інформаційно-телекомунікаційна система - організаційно-технічна сукупність, що складається з автоматизованої системи та мережі передачі даних;
дані - інформація, яка передається мережею передачі даних незалежно від способу її фізичного та логічного представлення;
мережа передачі даних - організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв'язкуоператор мережі передачі даних (вузла комутації) - юридична особа, що здійснює діяльність з надання послуг з передачі даних;
користувач мережі передачі даних - фізична або юридична особа (власник автоматизованої системи), яка користується послугами мережі передачі даних за договором з оператором.
Дія Порядку поширюється на ITC, які обробляють, зберігають, передають державні інформаційні ресурси.
Вимоги Порядку обов'язкові для всіх власників автоматизованих систем, що входять до складу ITC (користувачів мереж передачі даних), а також для підприємств (установ, організацій) усіх форм власності, які є операторами мереж передачі даних (далі -МПД) усіх типів: відомчих, подвійного призначення, загального користування, глобальних (у тому числі Інтернет).
Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу ITC (далі - автоматизована система, АС), повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.
В АС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж.
Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник АС з використанням засобів та заходів з криптографічного захисту інформації або оператор МПД за договором з власником АС.
Основними завданнями підприємств (установ, організацій), які є операторами МПД, щодо забезпечення захисту державних інформаційних ресурсів є:
- створення, упровадження та супроводження КСЗІ в МПД;
- контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.
Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.
Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.
Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підприємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані.
Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.
Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. № 329/32 і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за № 640/5831, а експертний висновок - згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. № 62 і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за № 40/4261.
У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ.
Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації.
Для організації робіт із розроблення, виробництва, впровадження та обслуговування КСЗІ, контролю за станом захищеності державних інформаційних ресурсів у МПД наказом керівника підприємства, яке є оператором МПД, визначається відповідальний підрозділ або відповідальна особа.
Контроль за забезпеченням захисту державних інформаційних ресурсів в ITC здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України і полягає у перевірці виконання власниками АС та операторами МПД вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.
Власники АС та оператори МПД повинні повідомляти ДСТСЗІ
СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів.
Оператори МПД повинні надавати власнику АС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить.
9. Правові основи захисту інформації в інформаційно-телекомунікаційних системах
Питання лекції:
1.Законодавство України про захист інформації в інформаційно-телекомунікаційних системах.
2.Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації.
3.Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі.
4.Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах.
5.Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі.
Інноваційна спрямованість сучасної економічної діяльності, інтеграція до глобальних процесів розвитку інформаційного суспільства потребує відповідного правового забезпечення.
На сьогодні дослідження науковців спрямовуються саме на розкриття новітніх інформаційних процесів та їх правової регламентації. Не є винятком і питання правового регулювання захисту інформації в інформаційно-телекомунікаційних системах.
1. Законодавство України про захист інформації в інформаційно-телекомунікаційних системах
На сьогодні відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, регулюються Законом України "Про захист інформації в автоматизованих системах" від 05.07.94 р. (нова редакція Закону "Про захист інформації в інформаційно-телекомунікаційних системах" від 31 травня 2005 року № 2594-ГУ, набрала чинності з 1 січня 2006 року). Закон регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далісистема). Дія зазначеного Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.
Відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, також частково регулюються Законом України "Про електронні документи та електронний документообіг" від 22.05.2003 р. Предметом правового регулювання даного Закону є відносини, що виникають у процесі створення, відправлення, передавання, одержання, зберігання, оброблення, використання та знищення електронних документів.
На сьогодні питання захисту інформації в інформаційно-телекомунікаційних системах окрім Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" та інших законів регулюються також низкою підзаконних нормативно-правових актів.
Кабінет Міністрів України Постановою від 13 березня 2002 р. № 281 уповноважив Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України "Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації та відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України) здійснювати управління захистом інформації в автоматизованих системах відповідно до Закону України "Про захист інформації в автоматизованих системах".
Так, наприклад, Кабінет Міністрів України Постановою від 2 серпня 1996 р. № 898 "Про створення Єдиної державної автоматизованої паспортної системи" започаткував створення Єдиної державної автоматизованої паспортної системи (далі - Система), яка забезпечуватиме видачу громадянам паспортів, що оформлюватимуться за єдиною технологією, та облік громадян за місцем проживання із застосуванням комп'ютерної мережі на єдиних принципах їх ідентифікації (із використанням особистих (ідентифікаційних) номерів громадян, відцифрованого образу осіб і біометричної ідентифікації) і взаємодії з базами даних інших інформаційних систем (як вітчизняних, так і іноземних). Передбачалося, що Система входитиме складовою частиною до Державного реєстру фізичних осіб.
Постановою Кабінету Міністрів України від 29 квітня 2004 р. № 573 було затверджено Положення про Головний обчислювальний центр Єдиної державної автоматизованої паспортної системи. Зазначеним Положенням зокрема визначалося, що основними завданнями Головного обчислювального центру є серед інших "впровадження комплексної системи захисту інформації Єдиної державної автоматизованої паспортної системи і здійснення постійного контролю за дотриманням у ній інформаційної безпеки" .