Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах

4. Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах

Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, затверджений Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 24 грудня 2001 р. № 76, визначає основи організації та порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (далі - ITC). У ньому використовуються наступні поняття: державні інформаційні ресурси - інформація, яка є власністю держави та (або) необхідність захисту якої визначено законодавством;

інформаційно-телекомунікаційна система - організаційно-технічна сукупність, що складається з автоматизованої системи та мережі передачі даних;

дані - інформація, яка передається мережею передачі даних незалежно від способу її фізичного та логічного представлення;

мережа передачі даних - організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв'язку оператор мережі передачі даних (вузла комутації) - юридична особа, що здійснює діяльність з надання послуг з передачі даних;

користувач мережі передачі даних - фізична або юридична особа (власник автоматизованої системи), яка користується послугами мережі передачі даних за договором з оператором.

Дія Порядку поширюється на ITC, які обробляють, зберігають, передають державні інформаційні ресурси.

Вимоги Порядку обов'язкові для всіх власників автоматизованих систем, що входять до складу ITC (користувачів мереж передачі даних), а також для підприємств (установ, організацій) усіх форм власності, які є операторами мереж передачі даних (далі -МПД) усіх типів: відомчих, подвійного призначення, загального користування, глобальних (у тому числі Інтернет).

Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу ITC (далі - автоматизована система, АС), повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.

В АС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж.

Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник АС з використанням засобів та заходів з криптографічного захисту інформації або оператор МПД за договором з власником АС.

Основними завданнями підприємств (установ, організацій), які є операторами МПД, щодо забезпечення захисту державних інформаційних ресурсів є:

- створення, упровадження та супроводження КСЗІ в МПД;

- контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.

Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.

Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.

Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підприємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані.

Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.

Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. № 329/32 і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за № 640/5831, а експертний висновок - згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. № 62 і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за № 40/4261.

У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ.

Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації.

Для організації робіт із розроблення, виробництва, впровадження та обслуговування КСЗІ, контролю за станом захищеності державних інформаційних ресурсів у МПД наказом керівника підприємства, яке є оператором МПД, визначається відповідальний підрозділ або відповідальна особа.

Контроль за забезпеченням захисту державних інформаційних ресурсів в ITC здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України і полягає у перевірці виконання власниками АС та операторами МПД вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.

Власники АС та оператори МПД повинні повідомляти ДСТСЗІ

СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів.

Оператори МПД повинні надавати власнику АС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить.