Постанова Кабінету Міністрів України від 16 лютого 1998 р. № 180 "Про затвердження Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах" також регулювала відносини щодо обігу інформації (яка становить державну таємницю) в автоматизованих системах.
Постанова Кабінету Міністрів України від 8 червня 1998 р. № 832 визначала комплекс заходів щодо поетапного впровадження у Пенсійному фонді автоматизованого персоніфікованого обліку відомостей у системі загальнообов'язкового державного пенсійного страхування.
Пам'ятаємо також про створення і функціонування у Центральній виборчій комісії автоматизованої інформаційної системи "Вибори", яка застосовувалась у процесі підготовки і проведення виборів Президента України, народних депутатів України.
Питання функціонування конкретних автоматизованих систем у органах державної влади, як правило, визначаються відомчими нормативно-правовими актами.
Так, наприклад, у Міністерстві фінансів України розроблено Положення про роботу із засобами обчислювальної техніки та про доступ до інформаційних ресурсів Міністерства фінансів України (додаток до наказу Міністерства фінансів України від 01.04.2003 р. № 248).
Наказом МВС України від 02.09.98 р. № 659 затверджено Інструкцію про створення єдиної автоматизованої системи номерного обліку вогнепальної (стрілецької) зброї, яка зберігається й використовується в МВС, на об'єктах дозвільної системи та перебуває в особистому користуванні громадян.
2. Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації
Розуміння основних понять, що застосовуються у сфері захисту інформації в інформаційно-телекомунікаційних системах, дає можливість не лише правильно аналізувати суб'єктно-об'єктний склад відповідних правовідносин, а й дозволяє правильно використовувати їх під час усної відповіді і виконання практичних завдань студентами та слухачами. Законом України "Про захист інформації в інформаційно-телекомунікаційних системах" даються такі визначення основних понять:
блокування інформації в системі — дії, внаслідок яких унеможливлюється доступ до інформації в системі;
виток інформації — результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;
власник інформації — фізична або юридична особа, якій належить право власності на інформаці власник системи — фізична або юридична особа, якій належить право власності на систему;
доступ до інформації в системі — отримання користувачем можливості обробляти інформацію в системі;
захист інформації в системі — діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
знищення інформації в системі — дії, внаслідок яких інформація в системі зникає;
інформаційна (автоматизована) система — організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
інформаційно-телекомунікаційна система — сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
комплексна система захисту інформації — взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
користувач інформації в системі — фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;
криптографічний захист інформації — вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/віднов-лення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
несанкціоновані дії щодо інформації в системі — дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;
обробка інформації в системі — виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;
порушення цілісності інформації в системі — несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;
порядок доступу до інформації в системі — умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;
телекомунікаційна система — сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
технічний захист інформації — вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлений витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.
Доповнює перелік основних термінів у сфері захисту інформації в інформаційно-телекомунікаційних системах Наказ ДСТЗІ СБ України 24 грудня 2001 р. № 76, яким затверджено Порядок захисту державних шформаційних ресурсів в автоматизованих системах.
3. Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі
Аналіз відносин, що виникають між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційних системах, дає можливість розкрити їх специфіку.
Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:
- власники інформації;
- власники системи;
- користувачі;
- уповноважений орган у сфері захисту інформації в системах (Державна служба спеціального зв'язку та захисту інформації України).
На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі — розпоряднику інформації.
На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі — розпоряднику системи.
Статтею 4 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" визначені загальні підстави доступу до інформації в системі: "порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації.
Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом".
Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом.
Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі Відносини між власником системи та користувачем полягають у тому, що власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.
Відносини між власниками систем базуються на тому, що власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.
Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.
Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством.
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством (див. попередню лекцію).
Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога Щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.