Підзаконні акти щодо хорони інформації

"Положення про технічний захист інформації в Прикордонних військах "
було введено 4 грудня 2000 року. Воно визначає правові та організаційні засади
ТЗІ, яка циркулює в усіх ланках Прикордонних військ і охорона якої
забезпечується державою.

Технічний захист інформації є однією складовою частин керівної, наукової
та військової діяльності щодо забезпечення безпеки інформації та являє собою
сукупність організаційних і технічних заходів, які побудовані на принципах
доцільності, безперервності і комплексності і узгоджених за часом та місцем
застосування.

Загрози для інформації можуть бути реалізовані технічними розвідками,
кримінальними угруповуваннями та окремими громадянами за допомогою
засобів космічної, оптико-електронної, радіотехнічної, електронної, лазерної та
іншої дії такими технічними каналами:

- акустичним, віброакустичним, лазерно-акустичним (випромінювання
звукового та ультразвукового діапазонів частот);

- радіо, радіотехнічними (електронні випромінювання в діапазоні
радіочастот);

- побічних електромагнітних випромінювань і наводок (електромагнітні
випромінювання, що утворюються під час роботи засобів забезпечення
інформаційної діяльності під впливом електричних і магнітних полів на
випадкові антени у процесі акусто-електричних перетворень, під час
виникнення паразитної високочастотної генерації та паразитної модуляції,
шляхом взаємного впливу кіл технічних засобів призначених і не призначених
для оброблення інформації, і кіл електроживлення, електроосвітлення,
заземлення, сигналізації та управління, під час хибних комутацій і
несанкціонованих дій користувачів);

- оптичним (електромагнітні випромінювання інфрачервоного видимого
та ультрафіолетового діапазонів частот);

хімічним (хімічні речовини різної природи, що використовуються як
сировина, утворюються в нових технологічних процесах, під час розроблення
нових матеріалів, проведення випробовувань спеціальної техніки та виробів і
містяться у навколишньому середовищі);

- іншими (радіаційним, магнітометричним тощо).

Організаційно-технічні принципи, порядок здійснення заходів з технічного
захисту інформації, порядок контролю у цій сфері, характеристики загроз для
інформації, норми та вимоги з технічного захисту, порядок атестації та
експертизи комплексів технічного захисту інформації визначаються
нормативними та розпорядчими документами.

Положення не поширюється на системи і засоби, які базуються на
криптографічних методах захисту інформації.

Головними завданнями з технічного захисту інформації є:

-проведення організаційно-технічних заходів, щодо ТЗІ в Держкомітеті;

- здійснення контролю за виконанням в об'єднаннях, з'єднаннях,
військових частинах, підрозділах Прикордонних військ, вимог цього
положення, інших організаційних, розпорядчих та нормативних документів з
питань технічного захисту;

- підготовка пропозицій щодо вдосконалення чинного законодавства та
нормативної бази з питань ТЗІ;

- узгодження з Департаментом спеціальних телекомунікаційних систем та
захисту інформації СБ України та виконанням функцій замовника на
проведення науково-дослідних та дослідно-конструкторських робіт з питань
технічного захисту інформації;

- підготовка пропозицій про внесення змін до існуючої структури ТЗІ
Прикордонних військ;

- підготовка матеріалів (звітів) відносно стану технічного захисту
інформації в Держкомітеті і прикордонних військ;

- організація підготовки, перепідготовки та підвищення кваліфікації
фахівців технічного захисту;

- організація взаємодії з Департаментом спеціальних телекомунікаційних
систем та захисту інформації СБ України та підрозділами ТЗІ інших державних
установ України;

- доведення до особового складу Прикордонних військ організаційних,
розпорядчих і нормативних документів з ТЗІ.

Державний контроль за функціонуванням СТЗІ у Державному комітеті у
справах охорони державного кордону України здійснюється Департаментом
спеціальних телекомунікаційних систем і захисту інформації СБ України.

Під час розроблення і запровадження заходів з технічного захисту
інформації використовуються засоби, дозволені Департаментом спеціальних
телекомунікаційних систем і захисту інформації Служби безпеки України для
застосування та включання до відповідних переліків.

Дуже важливим документом є постанова Кабінету міністрів України №
1126 від 08.10.1997 року "Концепція технічного захисту інформації в Україні. "

Ця Концепція визначає основи державної політики у сфері захисту
інформації інженерно-технічними заходами. Концепція має забезпечити єдність
принципів формування і проведення такої політики в усіх сферах
життєдіяльності особи, суспільства та держави і служити підставою для
створення програм розвитку сфери ТЗІ.

Напрями розвитку ТЗІ обумовлюються необхідністю своєчасного вжиття
заходів, адекватних масштабам загроз для інформації, і грунтуються на засадах
правової демократичної держави відповідно до прав суб'єктів інформаційних
відносин на доступ до інформації та її захист.

Концепція складається із слідуючих розділів:

1. Загальні положення.

2. Загрози безпеці інформації та стан її технічного захисту.

3. Система ТЗІ.

4. Основні напрями державної політики у сфері ТЗІ.

5. Загрози безпеці інформації та стан її технічного захисту.

Витік інформації, яка становить державну та іншу передбачену законом
таємницю, конфіденційної інформації, що є власністю держави, - це одна з
основних можливих загроз національній безпеці України в інформаційній
сфері. Загрози безпеці інформації в Україні зумовлені:

- не виваженістю державної політики в галузі інформаційних технологій;

- діяльністю інших держав, спрямованою на одержання переваги в
зовнішньополітичній, військовій, економічній та інших сферах;

- діяльністю політичних партій, суб'єктів підприємницької діяльності,
окремих фізичних осіб, спрямованою на одержання переваги у
політичній боротьбі та конкуренції;

- злочинною діяльністю, спрямованою на протизаконне одержання
інформації;

- використанням інформаційних технологій низького рівня;

- недостатністю документації на засоби забезпечення ТЗІ іноземного
виробництва, а також низькою кваліфікацією технічного персоналу у
сфері ТЗІ.

Стан ТЗІ зумовлюється:

- недосконалістю правового регулювання в інформаційній сфері, зокрема
у сфері захисту таємниць;

- недостатністю нормативно-правових актів і нормативних документів з
питань проведення досліджень, розроблення та виробництва засобів
забезпечення ТЗІ;

- незавершеністю створення системи сертифікації засобів забезпечення
ТЗІ;

- недосконалістю системи атестації на відповідність вимогам ТЗІ об'єктів;

- недостатньою узгодженістю чинних в Україні нормативно-правових
актів та нормативних документів з питань ТЗІ з відповідними
міжнародними угодами України.

У розділі "Система ТЗІ" зафіксовано, що Система ТЗІ - це сукупність
суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-
технічними заходами, нормативно-правова та матеріально-технічна база.

Принципами формування і проведення державної політики у сфері ТЗІ є:

- додержання балансу інтересів особи, суспільства та держави, їх взаємна
відповідальність;

- єдність підходів до забезпечення ТЗІ, які визначаються загрозами
безпеці інформації та режимом доступу до неї;

- комплексність, повнота та безперервність заходів ТЗІ;

- відкритість нормативно-правових актів та нормативних документів з
питань ТЗІ, які не містять відомостей, що становлять державну
таємницю;

- обов'язковість захисту інженерно-технічними заходами інформації, яка
становить державну та іншу передбачену законом таємницю;

- виконання на власний розсуд суб'єктами інформаційних відносин вимог
щодо технічного захисту конфіденційної інформації;

- покладення відповідальності за формування та реалізацію державної
політики у сфері ТЗІ на спеціально уповноважений центральний орган
виконавчої влади;

- ієрархічність побудови організаційних структур системи ТЗІ та
керівництво їх діяльністю;

- координованість дій та розмежування сфер діяльності організаційних
структур системи ТЗІ;

- фінансова забезпеченість системи ТЗІ за рахунок Державного бюджету.

Також у цьому розділі наведені основні функції організаційних структур

системи ТЗІ.

У розділі "Основні напрями державної політики у сфері ТЗІ" визначається
пріоритетність національних інтересів.

Основними напрямами державної політики у сфері ТЗІ є:

- нормативно-правове забезпечення;

- організаційне забезпечення;

- науково-технічна та виробнича діяльність.

Крім того, у цьому розділі сформульовані першочергові заходи щодо
реалізації державної політики у сфері ТЗІ.

Значущість забезпечення ТЗІ, його наукоємність вимагає концентрації
зусиль науково-технічного та виробничого потенціалу міністерств, інших
центральних органів виконавчої влади, академій наук.

"Положення про порядок здійснення криптографічного захисту інформації
в Україні" було затверджено 22 травня 1998 року. Це Положення визначає
порядок здійснення криптографічного захисту інформації, розголошення якої
може завдати шкоди державі, суспільству або особі(зі змінами відповідно до
Указу президента № 333/2008 від 15.09. 2008 року).

Державну політику щодо криптографічного захисту інформації відповідно
цього Положення реалізує Державна служба спеціального зв'язку та захисту
інформації України.

Державні органи, підприємства, установи і організації придбають, ввозять
в Україну, вивозять з України, використовують криптосистеми, і засоби
криптографічного захисту інформації за погодженням з ДССЗЗІ України.

З метою визначення рівня захищеності від несанкціонованого доступу до
інформації з обмеженим доступом проводяться сертифікаційні випробування
криптосистем і засобів криптографічного захисту.

Для криптографічного захисту інформації, що становить державну
таємницю, та службової інформації, створеної на замовлення державних
органів або яка є власністю держави, використовуються криптосистеми і
засоби криптографічного захисту, допущені до експлуатації.

Ці криптосистеми і засоби перебувають у державній власності. Деякі
засоби криптографічного захисту службової інформації та криптосистеми
можуть перебувати в недержавній власності з відповідного дозволу.

Для криптографічного захисту інформації використовуються засоби
криптографічного захисту і криптосистеми, які мають сертифікат відповідності.

До користування криптосистемами та засобами криптографічного захисту
секретної інформації допускаються особи, які у встановленому законодавством
України порядку одержали допуск до державної таємниці.

Порядок розроблення, виготовлення, розповсюдження, експлуатації,
збереження, використання випробування, сертифікації та допуску до
експлуатації криптосистем і засобів криптографічного захисту інформації,
контролю за додержанням вимог безпеки при проведенні цих робіт
визначається відповідними положеннями.

Діяльність, пов'язана зі створенням і експлуатацією систем
криптографічного захисту секретної інформації, забезпеченням безпеки
інформації, що циркулює в цих системах, регламентується Інструкцією.

Діяльність, пов'язану з розробкою, виготовленням, ввезенням, вивезенням,
реалізацією та використанням засобів криптографічного захисту інформації, а
також з наданням послуг із криптографічного захисту інформації, можуть
здійснювати суб'єкти підприємницької діяльності, зареєстровані в порядку,
встановленому законодавством.

Слідуючим важливим документом є "Положення про технічний захист
інформації в Україні", яке було затверджено 27 вересня 1999 року (зі змінами
згідно з Указом Президента №1120/2000 від 06.10. 2000 та № 333/2008 від
2008).

Це положення визначає правові та організаційні засади технічного захисту
важливої для держави, суспільства, і особи інформації, охорона якої
забезпечується державою відповідно до законодавства.

Технічний захист інформації (ТЗІ) здійснюється щодо органів державної
влади, органів місцевого самоврядування, органів управління Збройних Сил
України та інших військових формувань, утворених згідно із законодавством
України відповідних підприємств, установ, організацій.

Державна політика ТЗІ формується згідно із законодавством і реалізується
ДССЗЗІ України у взаємодії з органами, щодо яких здійснюється ТЗІ.

Організація ТЗІ в органах, щодо яких здійснюється ТЗІ, покладається на їх
керівників.

Організаційно-технічні принципи, порядок здійснення заходів з ТЗІ,
порядок контролю у цій сфері, характеристики загроз для інформації, норми та
вимоги з технічного захисту, порядок атестації та експертизи комплексів ТЗІ
визначаються нормативно правовими актами, прийнятими в установленому
порядку відповідними органами.

Суб'єктами системи технічного захисту інформації є:

- ДССЗЗІ України;

- органи, щодо яких здійснюється ТЗІ;

- науково-дослідні та науково-виробничі установи Держспезв'язку
України, державні підприємства що перебувають в управлінні
Держспецзв'язку України та виконують завдання з питань технічного
захисту інформації;

- військові частини, підприємства, установи та організації усіх форм
власності й громадяни-підприємці, які проводять діяльність з технічного
захисту інформації за відповідними дозволами або ліцензіями;

- навчальні заклади з підготовки, перепідготовки та підвищення
кваліфікації фахівців з технічного захисту інформації.

Основними завданнями органів, щодо яких здійснюється ТЗІ, є:

- забезпечення ТЗІ згідно з вимогами нормативно-правових актів з питань
технічного захисту;

- видання у межах своїх повноважень нормативно-правових актів із
зазначених питань;

- здійснення контролю за станом технічного захисту інформації.

Органи, щодо яких здійснюється ТЗІ, відповідно до покладених на них

завдань:

- створюють або визначають підрозділи, на які покладається забезпечення
ТЗІ та контроль за його станом, узгоджують основні завдання та функції
цих підрозділів;

- видають за погодженням з Адміністрацією Держспецзв'язку України та
впроваджують нормативно-правові акти з питань ТЗІ;

- погоджують з ДССЗЗІ України проведення підприємствами, установами,
організаціями тих науково-дослідних, дослідно-конструкторських і
дослідно-технологічних робіт, спрямованих на розвиток нормативно-
правової та матеріально-технічної бази СТЗІ, які здійснюються за
рахунок коштів державного бюджету;

- створюють або визначають за погодженням з Департаментом
підприємства, установи та організації, що забезпечують ТЗІ;

- забезпечують підготовку, перепідготовку та підвищення кваліфікації
кадрів з ТЗІ;

- надають ДССЗЗІ України за його запитами відомості про стан ТЗІ.

Основними завданнями інших об'єктів СТЗІ є:

- дослідження загроз для інформації на об'єктах, функціонування яких
пов'язано з інформацією, що підлягає охороні;

- створення та виробництво засобів забезпечення ТЗІ;

- розроблення, впровадження, супроводження комплексів ТЗІ;

- підвищення кваліфікації фахівців з технічного захисту інформації.

Матеріально-технічна база системи ТЗІ складається з технічних засобів

загального призначення та спеціальних технічних засобів.

Технічні засоби загального призначення повинні мати документ, що
засвідчує їх відповідність вимогам нормативно-правових актів з ТЗІ, одержаний
у порядку, що встановлюється Департаментом і Комітетом України з питань
технічного регулювання та споживчої політики.

Під час розроблення і впровадження заходів з ТЗІ використовуються
засоби, дозволені Адміністрацією ДССЗЗІ України для застосування та
включені до відповідних переліків.

Контроль у сфері ТЗІ полягає в перевірці виконання вимог цього
положення, інших нормативно-правових актів з питань ТЗІ та в оцінюванні
захищеності інформації на об'єкті, де вона циркулюватиме або циркулює.

Оцінювання захищеності інформації здійснюється шляхом атестації або
експертизи комплексів ТЗІ та інспекційних перевірок. За результатами атестації
або експертизи комплексів ТЗІ визначається можливість введення в
експлуатацію об'єкта, де циркулюватиме інформація, охорона якої
забезпечується державою.

Порядок експертизи та інспекційних перевірок захищеності інформації
визначається відповідними нормативно-правовими актами.

Наступним документом є "Положення про контроль за функціонуванням
систем технічного захисту інформації ", яке було введено Департаментом
спеціальних телекомунікаційних систем та захисту інформації СБ України
наказом № 61 від 22.12.99, а зареєстровано в міністерстві юстиції України
11.01.2000 за№ 10/4231.

Контроль за функціонуванням системи ТЗІ здійснюється з метою
визначення удосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ,
виявлення запобігання порушення з ТЗІ в інформаційних системах та об'єктах.

Контроль за функціонуванням системи ТЗІ в державі здійснюється
ДСТСЗІ СБУ шляхом організації та проведення контрольно-інспекційної
роботи з питань ТЗІ стосовно суб'єктів системи ТЗІ.

Контрольно-інспекційна робота з питань ТЗІ вимагає планування та
проведення перевірок з ТЗІ стану ТЗІ в органах, щодо яких здійснюється ТЗІ,
проведення аналізу та надання рекомендацій щодо вдосконалення заходів з ТЗІ
в зазначених органах та перевірок з ТЗІ інших суб'єктів системи ТЗІ щодо
виконання ними завдань або проведення діяльності в цій галузі за відповідними
дозволами та ліцензіями.

Перевірки поділяються на комплексні, цільові та контрольні.

При комплексній перевірці вивчається та оцінюється стан ТЗІ в органах,
щодо яких здійснюється ТЗІ.

При цільовій перевірці вивчаються окремі напрямки ТЗІ, перевіряється
виконання рішень (розпоряджень, наказів, вказівок) органів державної влади з
питань ТЗІ в органах, щодо яких здійснюється ТЗІ, виконання завдань або

провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями
суб'єктами системи ТЗІ.

При контрольній перевірці перевіряється усунення недоліків, які були
виявлені під час проведення попередньої комплексної або цільової перевірки.
Контрольні перевірки проводяться за потреби, як правило - не раніше, ніж
через рік після попередньої перевірки.

Зазначені перевірки можуть бути планові та позапланові, з
попередженням та рантові.

Позапланова перевірка здійснюється за вказівкою керівництва ДСТСЗІ
СБУ в разі виникнення потреби визначення повноти та достатності заходів з
ТЗІ в органі, щодо якого здійснюється ТЗІ, стану виконання завдань або
провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями
суб'єктами системи ТЗІ, за наявності відомостей щодо порушень вимог
нормативно-правових актів з питань ТЗІ.

Перевірки здійснюються комісіями підрозділу ДСТСЗІ СБУ, на який
покладено виконання завдань щодо здійснення контролю за функціонуванням
системи ТЗІ.

При проведенні перевірки стану ТЗІ контролю підлягають організаційні,
організаційно-технічні, технічні заходи з ТЗІ у виділених приміщеннях,
інформаційних системах і об'єктах, повнота та достатність робіт з атестації
виділених приміщень.

Контроль організаційних заходів з ТЗІ в органі, щодо якого здійснюється
ТЗІ, вимагає перевірку:

-переліку відомостей, що підлягає технічному захисту;

- окремої моделі загроз для інформаційної системи або об'єкта;

-плану контрольованої зони органу, щодо якого здійснюється ТЗІ;

-переліку виділених приміщень органу, щодо якого здійснюється ТЗІ,
інформаційних систем та об'єктів;

-проведення категоріювання виділених приміщень та об'єктів.

Контроль організаційно-технічних і технічних заходів щодо ТЗІ у
виділених приміщеннях, інформаційних системах та об'єктах, роботи з
атестації виділених приміщень виконуються власними силами органу, щодо
якого здійснюється ТЗІ.

За результатами комплексної перевірки складається акт перевірки стану
та ефективності заходів з технічного захисту інформації, а цільової та
контрольної перевірки - довідка.

Порушення встановлених норм та вимог з ТЗІ, вияснені під час
проведення перевірок, поділяються на три категорії:

-невиконання норм та вимог ТЗІ, внаслідок якого створюється реальна
можливість порушення конфіденційності, цілісності й доступності
інформації або її витоку технічними каналами;

- невиконання норм та вимог з ТЗІ, внаслідок якого створюються
передумови для порушення конфіденційності, цілісності і доступності
інформації або її витоку технічними каналами;

-невиконання інших вимог з ТЗІ.

Керівництво органу, щодо якого здійснюється ТЗІ, зобов'язане надавати
комісії повну інформацію стосовно впроваджених заходів з ТЗІ та сприяти
проведенню їх перевірки.

Важливим документом є постанова Кабінету міністрів України "Про деякі
питання захисту інформації, охорона якої забезпечується державою " від
13.03.2007 р№ 281.

У цій Постанові визначений порядок опрацювання, прийняття, перегляду
та скасування нормативних документів про технічний захист інформації, який є
обов'язковим для виконання всіма органами виконавчої влади, військовим
частинам всіх військових формувань, створених відповідно до законодавства,
підприємствами, установами та організаціями незалежно від форми власності,
діяльність яких пов'язана з інформацією, охорона якої забезпечується
державою відповідно до законодавства.

Також визначений порядок розгляду та затвердження проектів державних
стандартів технічного захисту інформації.

Розпорядження Президента України "Про заходи щодо забезпечення
розвитку і функціонування Національної системи конфіденційного зв'язку від
15.01.2003 року №7/2003 - рп, яке визначає державне підприємство "Українські
спеціальні системи " як провідним, а також з метою забезпечення розвитку і
функціонування національної системи конфіденційного зв'язку, сучасного
рівня захисту інформації в інформаційних і телекомунікаційних системах
органів державної влади, забезпечити реалізацію єдиної технічної політики під
час розроблення і впровадження комплексних систем захисту інформації в
центральних органах влади, обласних, Київській та Севастопольській міських
державних адміністраціях.

Важливим документом є "Державна Програма інформаційно-
комунікаційного забезпечення правоохоронних органів, діяльність яких
пов'язана з боротьбою із злочинністю ", яка затверджена постановою Кабінету
міністрів України від 08.04.2009 р.№ 321.

Програма включає у себе: загальну частину; мету Програми; шляхи і
способи розв'язання проблем; завдання і заходи; очікувані результати,
ефективність Програми; обсяги та джерела фінансування та три додатка до
Програми.

На даний час інформатизація правоохоронних органів здійснюється
шляхом створення та експлуатації кожним органом власних інформаційних
систем, які в цілому забезпечують виконання покладених на відповідальний
орган завдань , пов'язаних зокрема, з боротьбою зі злочинністю.

Метою програми є створення інтегрованої міжвідомчої інформаційно-
телекомунікаційної системи правоохоронних органів, що сприятиме реалізації
державної політики з питань боротьби із злочинністю, а саме забезпечить
створення умов для поліпшення координації організаційних, профілактичних,
оперативно-розшукових заходів, а також підвищить ефективність
інформаційно-аналітичного забезпечення правоохоронної діяльності за рахунок
удосконалення інформаційної взаємодії шляхом використання сучасних
захищених інформаційно-телекомунікаційних систем і проведення
стандартизованих (уніфікованих) процедур обміну інформацією.

Розв'язання проблем можливі шляхом:

- визначення потреб правоохоронних органів в інформаційних ресурсах;

- залучення інформаційних ресурсів інших державних органів для
використання їх правоохоронними органами в порядку установленому
законодавством;

- розроблення та запровадження єдиної уніфікованої технології
оброблення інформації в системі, а також шинових і спільних програмних
засобів;

-створення телекомунікаційної складової системи як окремої підсистеми
Національної системи конфіденційного зв'язку із забезпеченням можливості
інформаційної взаємодії з наявними системами правоохоронних органів;

- залучення до створення системи вітчизняних науково-дослідних
установ;

- створення в правоохоронних органах технічної бази для впровадження
системи;

упровадження комплексної системи захисту інформації та
підтвердження її відповідності в порядку, установленому законодавством;

- визначення принципів можливої інтеграції системи до міжнародних
спеціалізованих інформаційних систем у сфері запобігання злочинності.

Глава V

Наши рекомендации