Please enable JavaScript.
Coggle requires JavaScript to display documents.
Про захист інформації в інформаційно-комунікаційних системах - Бовкун Д.О.…
Про захист інформації в інформаційно-комунікаційних системах - Бовкун Д.О. КБ-91
Забезпечення захисту інформації
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
Власник системи, в якій обробляються державні інформаційні ресурси або інформація з обмеженим доступом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо державних інформаційних ресурсів або інформації з обмеженим доступом, власник системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади.
Ключові терміни
Інформаційні системи
інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
інформаційно-комунікаційна система - сукупність інформаційних та електронних комунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
електронна комунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання та/або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
Інформаційні процеси
блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі;
виток інформації - результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;
доступ до інформації в системі - отримання користувачем можливості обробляти інформацію в системі;
захист інформації в системі - діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
знищення інформації в системі - дії, внаслідок яких інформація в системі зникає;
несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;
обробка інформації в системі - виконання однієї або кількох операцій, які здійснюються в системі за допомогою технічних і програмних засобів;
порушення цілісності інформації в системі - несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;
порядок доступу до інформації в системі - умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;
Суб'єкти відносин захисту інформації
володілець інформації - фізична або юридична особа, якій належать права на інформацію;
власник системи - фізична або юридична особа, якій належить право власності на систему;
користувач інформації в системі (користувач) - фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;
спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації і підпорядковані йому регіональні органи;
Види захисту інформації
криптографічний захист інформації - вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
технічний захист інформації - вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації;
Резервування
резервування державних інформаційних ресурсів та систем - сукупність заходів, спрямованих на забезпечення створення резервної копії (резервних копій) та зберігання державних інформаційних ресурсів та систем з метою забезпечення безперервності їх роботи;
резервна копія державних інформаційних ресурсів - копія інформації, яка міститься в державних інформаційних ресурсах, що перебувають у володінні або розпорядженні органів державної влади та є критичною для їх сталого функціонування, створюється, записується, обробляється або зберігається у цифровій чи іншій нематеріальній формі з метою подальшого відновлення цієї інформації;
Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Доступ до інформації в системі
Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються володільцем інформації.
Порядок доступу до державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її володільця в порядку, встановленому законом.
Умови обробки інформації в системі
Умови обробки інформації визначаються власником системи відповідно до договору з володільцем інформації, якщо інше не передбачено законодавством.
Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю.
Підтвердження відповідності та проведення державної експертизи засобів технічного і криптографічного захисту інформації здійснюються в порядку, встановленому законодавством.
Державні інформаційні ресурси та інформація з обмеженим доступом, крім державної таємниці, службової інформації та державних і єдиних реєстрів, створення та забезпечення функціонування яких визначено законами, можуть оброблятися без застосування комплексної системи захисту інформації у разі виконання всіх умов:
підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо систем управління інформаційною безпекою;
використання для захисту інформації в системі засобів криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації;
жоден з елементів системи не може бути розташований, а власник такої системи або його офіційний представник не може бути юридичною особою (його представником), зареєстрованою на територіях України, на яких органи державної влади України тимчасово не здійснюють своїх повноважень.
власник системи або його представник, який надає послуги з використанням системи, елементи якої розміщуються поза межами України, має бути юридичною особою, зареєстрованою в Україні, або мати свого представника в Україні;
виконання особливих вимог, встановлених Кабінетом Міністрів України до забезпечення захисту інформації в системах.
Власники систем для забезпечення належного функціонування систем:
створюють резервні копії державних інформаційних ресурсів та систем із дотриманням встановлених для таких ресурсів та систем вимог щодо їх захисту;
забезпечують створення резервних копій державних інформаційних ресурсів та систем на окремих фізичних носіях у зашифрованому вигляді та їх подальшу передачу для зберігання;
забезпечують в установленому законодавством порядку передачу (переміщення) державних інформаційних ресурсів та їх резервних копій для розміщення на хмарних ресурсах.
Порядок передачі, зберігання, функціонування та доступу до державних інформаційних ресурсів та їх резервних копій встановлюється Кабінетом Міністрів України.
Відносини між суб'єктами захисту інформації
Між володільцем інформації та власником системи
Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації, якщо інше не передбачено законом.
Протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування володільці інформації можуть укладати договори про технічне адміністрування відповідних реєстрів з іноземними компаніями.
Між власником системи та користувачем
Власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.
Між власниками систем
Власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, якщо інше не встановлено законодавством.
Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій у системі.
Повноваження державних органів у сфері захисту інформації
Спеціально уповноважений центральний орган виконавчої влади:
розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
визначає вимоги та порядок створення комплексної системи захисту державних інформаційних ресурсів;
організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів захисту інформації;
здійснює контроль за забезпеченням захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від несанкціонованих дій в системах та дає рекомендації з питань запобігання такій загрозі.
Державні органи в межах своїх повноважень за погодженням відповідно із спеціально уповноваженим центральним органом встановлюють особливості захисту державних інформаційних ресурсів.
Вимоги до забезпечення захисту державних інформаційних ресурсів, встановлюються Кабінетом Міністрів України.
Відповідальність
Особи, винні в порушенні законодавства про захист інформації в системах, несуть відповідальність згідно із законом.
Міжнародні договори
Якщо міжнародним договором, згода на обов'язковість якого надана Верховною Радою України, визначено інші правила, застосовуються норми міжнародного договору.