При побудові правової бази системи безпеки інформації в Україні треба буде розв'язати такі задачі.
Розробка в якості правової основи системи забезпечення безпеки інформації базового закону, що регламентує відношення і розмежування сфери повноважень всіх учасників інформаційних відношень, а також визначальні державні органи, що забезпечують інформаційну безпеку і засоби контролю з боку держави за розмежуванням доступу до інформації.
Розробка законодавчих актів і правових норм, що всестороннє охоплюють усі проблеми захисту інформації і підходів, що відбивають специфіку, до забезпечення безпеки інформації в різноманітних сферах діяльності держави і товариства.
Регламентація рівнів безпеки інформації й адекватних їм методів і засобів захисту. Однієї з найбільше важливих складових частин правового забезпечення системи безпеки інформації є стандартизація і сертифікація, що повинні вирішувати такі задачі.
Створення пакета основних стандартів організаційно-методичного і термінологічного забезпечення системи захисту інформації.
Стандартизація вимог по захисту інформації в засобах обчислювальної техніки, в автоматизованих системах, інформаційних мережах і засобах телекомунікації.
Нормативне і метрологічне забезпечення сертифікації й атестації технічних засобів захисту інформації і контролю їхньої ефективності.
Закон України "Про інформацію" [1] установлює загальні правові основи одержання, використання, поширення і збереження інформації.
Відповідно до цього закону:
Інформація – це документовані або привселюдно оголошені відомості про події і явища, що відбуваються в товаристві, державі або навколишньому природному середовищі.
Закон закріплює право особистості на інформацію у всіх сферах суспільного і державного життя України, а також систему інформації, її джерела, визначає статус учасників інформаційних відношень, регулює доступ до інформації і забезпечує її охорону, захищає особистість і товариство від помилкової інформації. Чинність закону поширюється на інформаційні відношення, що виникають у всіх сферах життя і діяльності товариства і держави при одержанні, використанні, поширенні і збереженні інформації. Суб'єктами інформаційних відношень є громадяни України, юридичні особи, держава Україна, а також інші держави, їхні громадяни і юридичні особи, міжнародні організації й особи без громадянства. З метою задоволення потреби в інформаційній діяльності створюються інформаційні служби, системи, мережі, бази і банки даних. Закон передбачає створення загальної системи охорони інформації.
Відповідно до закону основними видами інформації є:
· статистична інформація;
· масова інформація;
· інформація про діяльність державних органів влади й органів місцевого і регіонального самоврядування;
· правова інформація;
· інформація про особистість;
· інформація довідково-енциклопедичного характеру; соціологічна інформація.
Категорії інформації і режим доступу до неї визначаються такими статтями Закону [1].
Стаття 28. Режим доступу до інформації
Режим доступу до інформації це передбачений правовими нормами порядок одержання, використання, поширення і збереження інформації.
По режиму доступу інформація ділиться на відкриту та інформацію з обмеженим доступом.
Держава здійснює контроль за режимом доступу до інформації.
Задача контролю за режимом доступу до інформації складається в забезпеченні дотримання вимог законодавства про інформацію всіма державними органами, підприємствами, заснуваннями й організаціями, недопущенні необгрунтованого віднесення зведень до категорії інформації з обмеженим доступом.
Державний контроль за дотриманням установленого режиму здійснюється спеціальними органами, що визначаються Верховною Радою України і Кабінетом Міністрів України.
У порядку контролю Верховних Рада України може жадати від урядових заснувань, міністерств, відомств звіти, що містять зведення про їхню діяльність по забезпеченню інформацією зацікавлених осіб (кількість випадків відмови в наданні доступу до інформації з указівкою мотивів таких відмов; кількість і обгрунтування застосування режиму обмеженого доступу до окремих видів інформації; кількість скарг на неправомірні дії посадових осіб, що відмовили в доступі до інформації, прийняті до них міри і т.п.).
Стаття 30. Інформація з обмеженим доступом
Інформація з обмеженим доступом по своєму правовому режимі ділиться на конфіденційну і секретну.
Конфіденційна інформація це зведення, що знаходяться у володінні, користуванні або розпорядженні окремих фізичних або юридичних осіб і що поширюються по їхньому бажанню відповідно до передбачених ними умов.
Громадяни, юридичні особи, що володіють інформацією фахового, ділового, виробничого, банківського, комерційного й іншого характеру, отриманої на власні засоби, або яка є предметом їх фахового, ділового, виробничого, банківського, комерційного й іншого інтересу і порушуючи не передбаченої законом таємниці, самостійно визначають режим доступу до неї, включаючи приналежність її до категорії конфіденційної, і встановлюють для неї систему (засоби) захисту.
Виняток складає інформація комерційного і банківського характеру, а також інформація, правовий режим якої установлений Верховною Радою України по уявленню Кабінету Міністрів України (із питань статистики, екології, банківських операцій, податків і т.п.), і інформація, утаювання якої являє загрозу життя і здоров'ю людей.
До секретної інформації відноситься інформація, що містить зведення, що складають державну й іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, товариству і державі,
Віднесення інформації до категорії секретних зведень, що складають державну таємницю, і доступ до неї громадян здійснюється відповідно до закону про цю інформацію.
Порядок обертання секретної інформації і її захист визначається відповідними державними органами за умови дотримання вимог, установлених дійсним Законом.
Порядок і терміни обнародування секретної інформації визначаються відповідним законом.
Стаття 53. Інформаційний суверенітет
Основою інформаційного суверенітету України є національні інформаційні ресурси.
До інформаційних ресурсів України відноситься вся приналежна їй інформація, незалежно від утримання, форм, часу і місця створення.
Україна самостійно формує інформаційні ресурси на своїй території і вільно розпоряджається ними, за винятком випадків, передбачених законами і міжнародними договорами.
Стаття 54. Гарантії інформаційного суверенітету України
Інформаційний суверенітет України забезпечується: виключним правом власності України на інформаційні ресурси, що формуються за рахунок засобів державного бюджету; створенням національних систем інформації;
установленням режиму доступу інших держав до інформаційних ресурсів України;
використанням інформаційних ресурсів на основі рівноправного співробітництва з іншими державами.
Ціллю Закону України "ПРО захист інформації в автоматизованих системах" [2] є встановлення основ регулювання правових відношень по захисті інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію і права доступу до неї, права власника інформації на її захист, а також установленого чинним законодавством обмеження на доступ до інформації.
Чинність Закону поширюється на будь-яку інформацію, оброблювану в автоматизованих системах. У Законі основні терміни вживаються в такому значенні.
Автоматизована система (АС) – система, що здійснює автоматизоване опрацювання даних, до складу якої входять технічні засоби опрацювання (засоби обчислювальної техніки і зв'язку), а також методи, процедури і програмне забезпечення.
Інформація в АС – сукупність усіх даних і програм, використовуваних в АС незалежно від засобу їх фізичного і логічного уявлення.
Опрацювання інформації – сукупність операцій (збір, уведення, запис, перетворення, зчитування, зберігання, знищення, реєстрація), здійснюваних за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних.
Захист інформації – сукупність організаційно-технічних заходів і правових норм для попередження заподіяння збитку інтересам власника інформації або АС і осіб, що користуються інформацією.
Несанкціонований доступ до інформації, здійснюваний із порушенням встановлених в АС правил розмежування доступу.
Розпорядник АС – фізична або юридична особа, що має право розпорядження АС за згодою з її власником або по його дорученню.
Користувач АС – фізична або юридична особа, що має право використання АС за згодою з розпорядником АС.
Порушник - фізична або юридична особа, навмисно або ненавмисно здійснюючі неправомірні дії стосовно АС і інформації в ній.
Витік інформації – результат дій порушника, унаслідок яких інформація стає відомою (доступною) суб'єктам, що не мають права доступу до неї.
Втрата інформації – дія, унаслідок якої інформація в АС перестає існувати для фізичних або юридичних осіб, що мають право власності на її в повному або обмеженому обсязі.
Підробка інформації навмисні дії, що ведуть до перекручування інформації, що повинні опрацьовуватися або зберігатися в АС.
Блокування інформації дії, слідством яких є припинення доступу до інформації.
Відповідно до Закону об'єктами захисту є інформація, оброблювана в АС, права власників цієї інформації і власників АС, права користувача. Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.
Доступ до інформації, що зберігається, опрацьовується і передається в АС, здійснюється лише відповідно до правил розмежування доступу, установленим власником інформації або уповноваженою їм особою. Без дозволу власника доступ до інформації, що опрацьовується в АС, здійснюється лише у випадках, передбачених чинним законодавством.