Обзор законодательства Украины в сфере информационной безопасности. Часть 10: Техническая защита информации
В Украине государственным органом, который отвечает за формирование и реализацию государственной политики в сфере технической защиты информации также является Государственная служба специальной связи и защиты информации Украины.
- Оглавление (показать/скрыть)
- Часть 1: Общий обзор законодательства Украины в сфере информационной безопасности
Часть 2: Стратегия национальной безопасности Украины
Часть 3: Персональные данные
Часть 4: Государственная тайна
Часть 5: Коммерческая тайна
Часть 6: Иные виды тайн
Часть 7: Криптография
Часть 8: Сертификация криптографии
Часть 9: Стандарты криптографической защиты
Часть 10: Техническая защита информации
Часть 11: Прослушка
Часть 12: Борьба с киберпреступностью
Как и в криптографической защите информации, согласно Закону Украины «О Государственной службе специальной связи и защиты информации Украины» № 3475-IV на ведомство в соответствии с определенными задачами возлагаются следующие обязанности в сфере технической защиты информации:
- формирование и реализацию государственной политики в сфере технической защиты информации;
- осуществления полномочия органа лицензирования в сфере технической защиты информации;
- обеспечение развития в сфере технической защиты информации;
- обеспечение нормативно-правового регулирования в сфере технической защиты информации;
- техническое регулирование в сфере технической защиты информации;
- методическое руководство и координация деятельности государственных органов, органов местного самоуправления, воинских формирований, образованных в соответствии с законами Украины, предприятий, учреждений и организаций независимо от форм собственности в сфере технической защиты информации;
- установление порядка и требований технической защиты информации на объектах информационной деятельности;
- установление порядка осуществления государственного контроля и осуществление государственного контроля над состоянием технической защиты государственных информационных ресурсов;
- установление порядка организации и проведения государственной экспертизы в сфере технической защиты информации, предоставление и/или регистрация экспертных заключений по результатам государственной экспертизы в сфере технической защиты информации;
- установление порядка предоставления выводов и согласований, предоставление заключений и согласований средств технической защиты информации, в том числе тех, которые являются составными частями вооружения, военной и специальной техники;
- определение технических и технологических требований к аккредитованным центрам сертификации ключей;
- организация и координация работ по проведению сертификации средств технической защиты информации вместе с центральным органом исполнительной власти по вопросам технического регулирования;
- определение перечней средств технической защиты информации, разрешенных для обеспечения технической защиты государственных информационных ресурсов и информации, требование относительно защиты которой установлено законом;
- установление разрешительного порядка, выдача, переоформление, приостановление (возобновление) действия, аннулирования разрешений (копий и дубликатов разрешений) на проведение работ по технической защите информации для собственных нужд;
- осуществление совместно с центральным органом исполнительной власти в области образования и науки научно-методического управления подготовкой специалистов в сфере технической защиты информации.
Одними из нормативно-правовых документов, регулирующих деятельность технической защиты информации в Украине, является Постановление Кабинета Министров Украины «Об утверждении Концепции технической защиты информации в Украине» от 08 октября 1997 года № 1126 и Указ Президента Украины «О Положении о технической защите информации в Украине» от 27 сентября 1999 года № 1229.
Настоящее Положение определяет правовые и организационные основы технической защиты важной для государства, общества и личности информации, охрана которой обеспечивается государством в соответствии с законодательством.
Техническая защита информации осуществляется в отношении органов государственной власти, органов местного самоуправления, органов управления Вооруженных Сил Украины и других военных формирований, образованных в соответствии с законодательством Украины, соответствующих предприятий, учреждений, организаций.
Основные понятия
конфиденциальность — свойство информации быть защищенной от несанкционированного ознакомления;
целостность — свойство информации быть защищенной от несанкционированного искажения, разрушения или уничтожения;
доступность — свойство информации быть защищенной от несанкционированного блокирования;
техническая защита информации (ТЗИ) — деятельность, направленная на обеспечение инженерно-техническими средствами конфиденциальности, целостности и доступности информации;
информационная система — автоматизированная система, компьютерная сеть или система связи;
разрешение — документ, дающий право на выполнение работ по технической защиты информации для собственных нужд;
комплекс технической защиты информации — совокупность мероприятий и средств, предназначенных для реализации технической защиты информации в информационной системе или на объекте.
Государственная политика технической защиты информации формируется согласно законодательству и реализуется Государственной службой специальной связи и защиты информации Украины во взаимодействии с органами, в отношении которых осуществляется ТЗИ.
Организация технической защиты информации в органах, по которых осуществляется ТЗИ, возлагается на их руководителей.
Нормативно-правовые акты по технической защите информации является обязательными для выполнения всеми субъектами системы технического защиты информации.
Субъектами системы технической защиты информации являются:
- Госспецсвязи Украины;
- органы, в отношении которых осуществляется ТЗИ;
- научно-исследовательские и научно-производственные учреждения Госспецсвязи Украины, государственные предприятия, находящиеся в управлении Госспецсвязи Украины и выполняют задачи по технической защиты информации;
- воинские части, предприятия, учреждения и организации всех форм собственности и граждане-предприниматели, осуществляющие деятельность по технической защиты информации по соответствующим разрешениям или лицензиями;
- учебные заведения по подготовке, переподготовке и повышению квалификации специалистов по технической защите информации.
Материально-техническая база системы технической защиты информации состоит из технических средств общего назначения и специальных технических средств.
При разработке и внедрении мероприятий по технической защите информации используются средства, разрешенные Администрацией Госспецсвязи Украины для применения и которые включены в соответствующие перечни.
В случае нарушения требований по обеспечению технического защиты информации должностные лица и граждане несут ответственность в соответствии с законодательством Украины.
Основным Законом, регулирующим вопросы защиты информации в информационно-телекоммуникационных системах, является Закон Украины «О защите информации в информационно-телекоммуникационных системах», который был принят в 1994 году, и имел название «О защите информации в автоматизированных системах».
В соответствии с данным Законом:
- Государственные информационные ресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, должны обрабатываться в системе с применением комплексной системы защиты информации с подтвержденной соответствием. Подтверждение соответствия осуществляется по результатам государственной экспертизы в порядке, установленном законодательством.
- Для создания комплексной системы защиты государственных информационных ресурсов или информации с ограниченным доступом, требование по защите которой установлено законом, используются средства защиты информации, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере технической и/или криптографической защиты информации. Подтверждение соответствия и проведение государственной экспертизы этих средств осуществляются в порядке, установленном законодательством.
- Под комплексной системой защиты информации подразумевается взаимосвязанная совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации.
Законом Украины «О Государственной службе специальной связи и защиты информации Украины» определено, что государственные информационные ресурсы — это систематизированная информация, доступная с помощью информационных технологий, право на владение, использование или распоряжение которой принадлежит государственным органам, военным формированиям, созданным в соответствии с законами Украины, государственным предприятиям, учреждениям и организациям, а также информация, создание которой предусмотрено законодательством и обрабатывается физическими или юридическими лицами в соответствии с предоставленными им полномочиями субъектами властных полномочий;
Постановлением Кабинета Министров Украины от 29 марта 2006 года № 373 утверждены Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно—телекоммуникационных системах, которые определят, какая именно информация подлежит защите в системе:
- открытая информация, которая относится к государственным информационным ресурсов, а также открытая информация о деятельности субъектов властных полномочий, воинских формирований, которая обнародуется в Интернете, других глобальных информационных сетях и системах или передается телекоммуникационными сетями;
- конфиденциальная информация, которая находится во владении распорядителей информации, определенных частью первой статьи 13 Закон Украины «О доступе к публичной информации» (2939-17);
- служебная информация;
- информация, которая составляет государственную или иную предусмотренную законом тайну (далее — секретная информация);
- информация, требование относительно защиты которой установлено законом (например, персональные данные).
Открытая информация во время обработки в системе должна сохранять целостность, что обеспечивается путем защиты от несанкционированных действий, которые могут привести к ее случайной или умышленной модификации или уничтожения.
Во время обработки служебной и секретной информации должна обеспечиваться ее защита от несанкционированного и неконтролируемого ознакомления, модификации, уничтожения, копирования, распространение, т.е. конфиденциальность и целостность.
Требования к защите в системе информации, составляющей государственную тайну, определяются настоящими Правилами и законодательством в сфере охраны государственной тайны.
Обеспечение защиты в системе тайной информации, не составляет государственную тайну, и конфиденциальной информации осуществляется в соответствии с требованиями к защите служебной информации, если иное не предусмотрено законом.
Приказом Администрации Госспецсвязи от 16 мая 2007 года № 93 утверждено Положение о государственной экспертизе в сфере технической защиты информации.
Государственная экспертиза в сфере технической защиты информации проводится с целью исследования, проверки, анализа и оценки объектов экспертизы относительно их соответствия требованиям нормативных документов по технической защите информации и возможности их использования для обеспечения технической защиты информации (далее — ТЗИ).
Субъектами экспертизы являются:
- юридические и физические лица — владельцы (распорядители) информационных, телекоммуникационных, информационно-телекоммуникационных систем, технических и программных средств, реализующих функции ТЗИ, — заказчики экспертизы (далее — Заказчики);
- Администрация Государственной службы специальной связи и защиты информации Украины;
- подразделения Государственной службы специальной связи и защиты информации Украины, предприятия, учреждения и организации, проводят экспертизу (далее — Организаторы);
- государственные органы, которые проводят экспертизу в сфере своего управления;
- физические лица — исполнители экспертных работ по ТЗИ (далее — Эксперты).
Объектами экспертизы являются:
- комплексные системы защиты информации (далее — КСЗИ), которые являются неотъемлемой составной частью информационной, телекоммуникационной или информационно-телекоммуникационной системы (далее — ИТС);
- технические и программные средства, реализующие функции ТЗИ (далее — средства ТЗИ).
Экспертиза КСЗИ является процедурой подтверждения соответствия КСЗИ требованиям нормативных документов по ТЗИ и проводится путем экспертных испытаний или путем анализа декларации о соответствии КСЗИ требованиям нормативных документов с ТЗИ (далее — декларация). Экспертиза средств ТЗИ проводится путем экспертных испытаний.
Для проведения экспертизы путем экспертных испытаний Заказчик направляет заявление на имя Председателя (заместителя Председателя) Госспецсвязи о проведении экспертизы КСЗИ в ИТС или средства ТЗИ, а путем анализа декларации — декларация о соответствии КСЗИ требованиям нормативных документов по ТЗИ, форму ИТС и акт о завершении работ по созданию КСЗИ согласно руководящим документом по стандартизации РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».
С целью рассмотрения деклараций и заявлений, координации мероприятий и принятия решений о проведении экспертиз в Администрации создается экспертный совет по вопросам государственной экспертизы в сфере технической защиты информации (далее — Экспертный совет).
По результатам анализа декларации и представленных вместе с нею документами Экспертный совет в месячный срок принимает решение о регистрацию декларации. Срок действия зарегистрированной декларации является неограниченным.
Порядок предоставления экспертного заключения и аттестата соответствия
Экспертное заключение на средство ТЗИ рассматривается Экспертным советом и, в случае утверждения результатов экспертизы, регистрируется и выдается Заказчику.
На основании положительного решения по экспертизе КСЗИ, Заказчику выдается зарегистрированный Аттестат соответствия за подписью Председателя (заместителя Председателя) Госспецсвязи.
Администрация Госспецсвязи вправе в установленном порядке приостановить действие или отменить Экспертное заключение или Аттестат соответствия.
Экспертное заключение и/или Аттестат соответствия выдаются на 5 лет.
Согласно Закону Украины «О лицензировании определенных видов хозяйственной деятельности» лицензированию подлежит предоставление услуг в области технической защиты информации.
Перечень таких услуг также как и перечень услуг в области криптографической защиты информации определяется отдельно Кабинетом Министров Украины.
Постановлением Кабинета Министров Украины от 18 мая 2011 года № 517 «Об утверждении перечня услуг в области технической защиты информации, хозяйственная деятельность по предоставлению которых подлежит лицензированию» утвержден Перечень услуг в области технической защиты информации, хозяйственная деятельность по предоставлению которых подлежит лицензированию, а именно услуги по:
- Оценке защищенности информации.
- Выявление закладных устройств.
Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 14 октября 2014 года № 532 утверждены:
- Лицензионные условия осуществления хозяйственной деятельности по предоставлению услуг в области технической защиты информации (согласно перечню, который определяется Кабинетом Министров Украины);
- Порядок контроля за соблюдением Лицензионных условий осуществления хозяйственной деятельности по предоставлению услуг в области технической защиты информации (согласно перечню, который определяется Кабинетом Министров Украины).
Лицензионные условия устанавливают исчерпывающий перечень квалификационных, организационных, технологических и других специальных требований, обязательных для выполнения при осуществлении хозяйственной деятельности по предоставлению услуг в области технической защиты информации (далее — ТЗИ) (согласно перечню, который определяется Кабинетом Министров Украины).
Действия Лицензионных условий распространяется на всех субъектов хозяйствования независимо от организационно-правовой формы и формы их собственности, осуществляющие хозяйственную деятельность или которые обратились с заявлением о выдаче лицензии на право осуществления хозяйственной деятельности по предоставлению услуг в области ТЗИ (согласно перечню, определяется Кабинетом Министров Украины) (далее — хозяйственная деятельность в области ТЗИ).
Читать далее: Часть 11: Прослушка
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Flattr
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link