Правові основи захисту інформації в інформаційно-телекомунікаційних системах

9. Правові основи захисту інформації в інформаційно-телекомунікаційних системах

Питання лекції:

1.Законодавство України про захист інформації в інформаційно-телекомунікаційних системах.

2.Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації.

3.Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі.

4.Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах.

5.Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі.

Інноваційна спрямованість сучасної економічної діяльності, інтеграція до глобальних процесів розвитку інформаційного суспільства потребує відповідного правового забезпечення.

На сьогодні дослідження науковців спрямовуються саме на роз криття новітніх інформаційних процесів та їх правової регламентації. Не є винятком і питання правового регулювання захисту інформації в інформаційно-телекомунікаційних системах.

1. Законодавство України про захист інформації в інформаційно-телекомунікаційних системах

На сьогодні відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, регулюються Законом України "Про захист інформації в автоматизованих системах" від 05.07.94 р. (нова редакція Закону "Про захист інформації в інформаційно-телекомунікаційних системах" від 31 травня 2005 року № 2594-ГУ, набрала чинності з 1 січня 2006 року). Закон регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі система). Дія зазначеного Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.

Відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, також частково регулюються Законом України "Про електронні документи та електронний документообіг" від 22.05.2003 р. Предметом правового регулювання даного Закону є відносини, що виникають у процесі створення, відправлення, передавання, одержання, зберігання, оброблення, використання та знищення електронних документів.

На сьогодні питання захисту інформації в інформаційно-телекомунікаційних системах окрім Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" та інших законів регулюються також низкою підзаконних нормативно-правових актів.

Кабінет Міністрів України Постановою від 13 березня 2002 р. № 281 уповноважив Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України "Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації та відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України) здійснювати управління захистом інформації в автоматизованих системах відповідно до Закону України "Про захист інформації в автоматизованих системах".

Так, наприклад, Кабінет Міністрів України Постановою від 2 серпня 1996 р. № 898 "Про створення Єдиної державної автоматизованої паспортної системи" започаткував створення Єдиної державної автоматизованої паспортної системи (далі - Система), яка забезпечуватиме видачу громадянам паспортів, що оформлюватимуться за єдиною технологією, та облік громадян за місцем проживання із застосуванням комп'ютерної мережі на єдиних принципах їх ідентифікації (із використанням особистих (ідентифікаційних) номерів громадян, відцифрованого образу осіб і біометричної ідентифікації) і взаємодії з базами даних інших інформаційних систем (як вітчизняних, так і іноземних). Передбачалося, що Система входитиме складовою частиною до Державного реєстру фізичних осіб.

Постановою Кабінету Міністрів України від 29 квітня 2004 р. № 573 було затверджено Положення про Головний обчислювальний центр Єдиної державної автоматизованої паспортної системи. Зазначеним Положенням зокрема визначалося, що основними завданнями Головного обчислювального центру є серед інших "впровадження комплексної системи захисту інформації Єдиної державної автоматизованої паспортної системи і здійснення постійного контролю за дотриманням у ній інформаційної безпеки" .

Постанова Кабінету Міністрів України від 16 лютого 1998 р. № 180 "Про затвердження Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах" також регулювала відносини щодо обігу інформації (яка становить державну таємницю) в автоматизованих системах.

Постанова Кабінету Міністрів України від 8 червня 1998 р. № 832 визначала комплекс заходів щодо поетапного впровадження у Пенсійному фонді автоматизованого персоніфікованого обліку відомостей у системі загальнообов'язкового державного пенсійного страхування.

Пам'ятаємо також про створення і функціонування у Центральній виборчій комісії автоматизованої інформаційної системи "Вибори", яка застосовувалась у процесі підготовки і проведення виборів Президента України, народних депутатів України.

Питання функціонування конкретних автоматизованих систем у органах державної влади, як правило, визначаються відомчими нормативно-правовими актами.

Так, наприклад, у Міністерстві фінансів України розроблено Положення про роботу із засобами обчислювальної техніки та про доступ до інформаційних ресурсів Міністерства фінансів України (додаток до наказу Міністерства фінансів України від 01.04.2003 р. № 248).

Наказом МВС України від 02.09.98 р. № 659 затверджено Інструкцію про створення єдиної автоматизованої системи номерного обліку вогнепальної (стрілецької) зброї, яка зберігається й використовується в МВС, на об'єктах дозвільної системи та перебуває в особистому користуванні громадян.

2. Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації

Розуміння основних понять, що застосовуються у сфері захисту інформації в інформаційно-телекомунікаційних системах, дає можливість не лише правильно аналізувати суб'єктно-об'єктний склад відповідних правовідносин, а й дозволяє правильно використовувати їх під час усної відповіді і виконання практичних завдань студентами та слухачами. Законом України "Про захист інформації в інформаційно-телекомунікаційних системах" даються такі визначення основних понять:

блокування інформації в системі — дії, внаслідок яких унеможливлюється доступ до інформації в системі;

виток інформації — результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

власник інформації — фізична або юридична особа, якій належить право власності на інформаці власник системи — фізична або юридична особа, якій належить право власності на систему;

доступ до інформації в системі — отримання користувачем можливості обробляти інформацію в системі;

захист інформації в системі — діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;

знищення інформації в системі — дії, внаслідок яких інформація в системі зникає;

інформаційна (автоматизована) система — організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;

інформаційно-телекомунікаційна система — сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;

комплексна система захисту інформації — взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;

користувач інформації в системі — фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;

криптографічний захист інформації — вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/віднов-лення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

несанкціоновані дії щодо інформації в системі — дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;

обробка інформації в системі — виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;

порушення цілісності інформації в системі — несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;

порядок доступу до інформації в системі — умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;

телекомунікаційна система — сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;

технічний захист інформації — вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлений витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.

Доповнює перелік основних термінів у сфері захисту інформації в інформаційно-телекомунікаційних системах Наказ ДСТЗІ СБ України 24 грудня 2001 р. № 76, яким затверджено Порядок захисту державних шформаційних ресурсів в автоматизованих системах.