Обзор законодательства Украины: Техническая защита информации

Обзор законодательства Украины в сфере информационной безопасности. Часть 10: Техническая защита информации

В Украине государственным органом, который отвечает за формирование и реализацию государственной политики в сфере технической защиты информации также является Государственная служба специальной связи и защиты информации Украины.

Оглавление (показать/скрыть): Часть 1: Общий обзор законодательства Украины в сфере информационной безопасности
Часть 2: Стратегия национальной безопасности Украины
Часть 3: Персональные данные
Часть 4: Государственная тайна
Часть 5: Коммерческая тайна
Часть 6: Иные виды тайн
Часть 7: Криптография
Часть 8: Сертификация криптографии
Часть 9: Стандарты криптографической защиты
Часть 10: Техническая защита информации
Часть 11: Прослушка
Часть 12: Борьба с киберпреступностью

Как и в криптографической защите информации, согласно Закону Украины «О Государственной службе специальной связи и защиты информации Украины» № 3475-IV на ведомство в соответствии с определенными задачами возлагаются следующие обязанности в сфере технической защиты информации:

формирование и реализацию государственной политики в сфере технической защиты информации;
осуществления полномочия органа лицензирования в сфере технической защиты информации;
обеспечение развития в сфере технической защиты информации;
обеспечение нормативно-правового регулирования в сфере технической защиты информации;
техническое регулирование в сфере технической защиты информации;
методическое руководство и координация деятельности государственных органов, органов местного самоуправления, воинских формирований, образованных в соответствии с законами Украины, предприятий, учреждений и организаций независимо от форм собственности в сфере технической защиты информации;
установление порядка и требований технической защиты информации на объектах информационной деятельности;
установление порядка осуществления государственного контроля и осуществление государственного контроля над состоянием технической защиты государственных информационных ресурсов;
установление порядка организации и проведения государственной экспертизы в сфере технической защиты информации, предоставление и/или регистрация экспертных заключений по результатам государственной экспертизы в сфере технической защиты информации;
установление порядка предоставления выводов и согласований, предоставление заключений и согласований средств технической защиты информации, в том числе тех, которые являются составными частями вооружения, военной и специальной техники;
определение технических и технологических требований к аккредитованным центрам сертификации ключей;
организация и координация работ по проведению сертификации средств технической защиты информации вместе с центральным органом исполнительной власти по вопросам технического регулирования;
определение перечней средств технической защиты информации, разрешенных для обеспечения технической защиты государственных информационных ресурсов и информации, требование относительно защиты которой установлено законом;
установление разрешительного порядка, выдача, переоформление, приостановление (возобновление) действия, аннулирования разрешений (копий и дубликатов разрешений) на проведение работ по технической защите информации для собственных нужд;
осуществление совместно с центральным органом исполнительной власти в области образования и науки научно-методического управления подготовкой специалистов в сфере технической защиты информации.

Одними из нормативно-правовых документов, регулирующих деятельность технической защиты информации в Украине, является Постановление Кабинета Министров Украины «Об утверждении Концепции технической защиты информации в Украине» от 08 октября 1997 года № 1126 и Указ Президента Украины «О Положении о технической защите информации в Украине» от 27 сентября 1999 года № 1229.

Настоящее Положение определяет правовые и организационные основы технической защиты важной для государства, общества и личности информации, охрана которой обеспечивается государством в соответствии с законодательством.

Техническая защита информации осуществляется в отношении органов государственной власти, органов местного самоуправления, органов управления Вооруженных Сил Украины и других военных формирований, образованных в соответствии с законодательством Украины, соответствующих предприятий, учреждений, организаций.

Основные понятия

конфиденциальность — свойство информации быть защищенной от несанкционированного ознакомления;

целостность — свойство информации быть защищенной от несанкционированного искажения, разрушения или уничтожения;

доступность — свойство информации быть защищенной от несанкционированного блокирования;

техническая защита информации (ТЗИ) — деятельность, направленная на обеспечение инженерно-техническими средствами конфиденциальности, целостности и доступности информации;

информационная система — автоматизированная система, компьютерная сеть или система связи;

разрешение — документ, дающий право на выполнение работ по технической защиты информации для собственных нужд;

комплекс технической защиты информации — совокупность мероприятий и средств, предназначенных для реализации технической защиты информации в информационной системе или на объекте.

Государственная политика технической защиты информации формируется согласно законодательству и реализуется Государственной службой специальной связи и защиты информации Украины во взаимодействии с органами, в отношении которых осуществляется ТЗИ.

Организация технической защиты информации в органах, по которых осуществляется ТЗИ, возлагается на их руководителей.

Нормативно-правовые акты по технической защите информации является обязательными для выполнения всеми субъектами системы технического защиты информации.

Субъектами системы технической защиты информации являются:

Госспецсвязи Украины;
органы, в отношении которых осуществляется ТЗИ;
научно-исследовательские и научно-производственные учреждения Госспецсвязи Украины, государственные предприятия, находящиеся в управлении Госспецсвязи Украины и выполняют задачи по технической защиты информации;
воинские части, предприятия, учреждения и организации всех форм собственности и граждане-предприниматели, осуществляющие деятельность по технической защиты информации по соответствующим разрешениям или лицензиями;
учебные заведения по подготовке, переподготовке и повышению квалификации специалистов по технической защите информации.

Материально-техническая база системы технической защиты информации состоит из технических средств общего назначения и специальных технических средств.

При разработке и внедрении мероприятий по технической защите информации используются средства, разрешенные Администрацией Госспецсвязи Украины для применения и которые включены в соответствующие перечни.

В случае нарушения требований по обеспечению технического защиты информации должностные лица и граждане несут ответственность в соответствии с законодательством Украины.

Основным Законом, регулирующим вопросы защиты информации в информационно-телекоммуникационных системах, является Закон Украины «О защите информации в информационно-телекоммуникационных системах», который был принят в 1994 году, и имел название «О защите информации в автоматизированных системах».

В соответствии с данным Законом:

Государственные информационные ресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, должны обрабатываться в системе с применением комплексной системы защиты информации с подтвержденной соответствием. Подтверждение соответствия осуществляется по результатам государственной экспертизы в порядке, установленном законодательством.
Для создания комплексной системы защиты государственных информационных ресурсов или информации с ограниченным доступом, требование по защите которой установлено законом, используются средства защиты информации, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере технической и/или криптографической защиты информации. Подтверждение соответствия и проведение государственной экспертизы этих средств осуществляются в порядке, установленном законодательством.
Под комплексной системой защиты информации подразумевается взаимосвязанная совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации.

Законом Украины «О Государственной службе специальной связи и защиты информации Украины» определено, что государственные информационные ресурсы — это систематизированная информация, доступная с помощью информационных технологий, право на владение, использование или распоряжение которой принадлежит государственным органам, военным формированиям, созданным в соответствии с законами Украины, государственным предприятиям, учреждениям и организациям, а также информация, создание которой предусмотрено законодательством и обрабатывается физическими или юридическими лицами в соответствии с предоставленными им полномочиями субъектами властных полномочий;

Постановлением Кабинета Министров Украины от 29 марта 2006 года № 373 утверждены Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно—телекоммуникационных системах, которые определят, какая именно информация подлежит защите в системе:

открытая информация, которая относится к государственным информационным ресурсов, а также открытая информация о деятельности субъектов властных полномочий, воинских формирований, которая обнародуется в Интернете, других глобальных информационных сетях и системах или передается телекоммуникационными сетями;
конфиденциальная информация, которая находится во владении распорядителей информации, определенных частью первой статьи 13 Закон Украины «О доступе к публичной информации» (2939-17);
служебная информация;
информация, которая составляет государственную или иную предусмотренную законом тайну (далее — секретная информация);
информация, требование относительно защиты которой установлено законом (например, персональные данные).

Открытая информация во время обработки в системе должна сохранять целостность, что обеспечивается путем защиты от несанкционированных действий, которые могут привести к ее случайной или умышленной модификации или уничтожения.

Во время обработки служебной и секретной информации должна обеспечиваться ее защита от несанкционированного и неконтролируемого ознакомления, модификации, уничтожения, копирования, распространение, т.е. конфиденциальность и целостность.

Требования к защите в системе информации, составляющей государственную тайну, определяются настоящими Правилами и законодательством в сфере охраны государственной тайны.

Обеспечение защиты в системе тайной информации, не составляет государственную тайну, и конфиденциальной информации осуществляется в соответствии с требованиями к защите служебной информации, если иное не предусмотрено законом.

Приказом Администрации Госспецсвязи от 16 мая 2007 года № 93 утверждено Положение о государственной экспертизе в сфере технической защиты информации.

Государственная экспертиза в сфере технической защиты информации проводится с целью исследования, проверки, анализа и оценки объектов экспертизы относительно их соответствия требованиям нормативных документов по технической защите информации и возможности их использования для обеспечения технической защиты информации (далее — ТЗИ).

Субъектами экспертизы являются:

юридические и физические лица — владельцы (распорядители) информационных, телекоммуникационных, информационно-телекоммуникационных систем, технических и программных средств, реализующих функции ТЗИ, — заказчики экспертизы (далее — Заказчики);
Администрация Государственной службы специальной связи и защиты информации Украины;
подразделения Государственной службы специальной связи и защиты информации Украины, предприятия, учреждения и организации, проводят экспертизу (далее — Организаторы);
государственные органы, которые проводят экспертизу в сфере своего управления;
физические лица — исполнители экспертных работ по ТЗИ (далее — Эксперты).

Объектами экспертизы являются:

комплексные системы защиты информации (далее — КСЗИ), которые являются неотъемлемой составной частью информационной, телекоммуникационной или информационно-телекоммуникационной системы (далее — ИТС);
технические и программные средства, реализующие функции ТЗИ (далее — средства ТЗИ).

Экспертиза КСЗИ является процедурой подтверждения соответствия КСЗИ требованиям нормативных документов по ТЗИ и проводится путем экспертных испытаний или путем анализа декларации о соответствии КСЗИ требованиям нормативных документов с ТЗИ (далее — декларация). Экспертиза средств ТЗИ проводится путем экспертных испытаний.

Для проведения экспертизы путем экспертных испытаний Заказчик направляет заявление на имя Председателя (заместителя Председателя) Госспецсвязи о проведении экспертизы КСЗИ в ИТС или средства ТЗИ, а путем анализа декларации — декларация о соответствии КСЗИ требованиям нормативных документов по ТЗИ, форму ИТС и акт о завершении работ по созданию КСЗИ согласно руководящим документом по стандартизации РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».

С целью рассмотрения деклараций и заявлений, координации мероприятий и принятия решений о проведении экспертиз в Администрации создается экспертный совет по вопросам государственной экспертизы в сфере технической защиты информации (далее — Экспертный совет).

По результатам анализа декларации и представленных вместе с нею документами Экспертный совет в месячный срок принимает решение о регистрацию декларации. Срок действия зарегистрированной декларации является неограниченным.

Порядок предоставления экспертного заключения и аттестата соответствия

Экспертное заключение на средство ТЗИ рассматривается Экспертным советом и, в случае утверждения результатов экспертизы, регистрируется и выдается Заказчику.

На основании положительного решения по экспертизе КСЗИ, Заказчику выдается зарегистрированный Аттестат соответствия за подписью Председателя (заместителя Председателя) Госспецсвязи.

Администрация Госспецсвязи вправе в установленном порядке приостановить действие или отменить Экспертное заключение или Аттестат соответствия.

Экспертное заключение и/или Аттестат соответствия выдаются на 5 лет.

Согласно Закону Украины «О лицензировании определенных видов хозяйственной деятельности» лицензированию подлежит предоставление услуг в области технической защиты информации.

Перечень таких услуг также как и перечень услуг в области криптографической защиты информации определяется отдельно Кабинетом Министров Украины.

Постановлением Кабинета Министров Украины от 18 мая 2011 года № 517 «Об утверждении перечня услуг в области технической защиты информации, хозяйственная деятельность по предоставлению которых подлежит лицензированию» утвержден Перечень услуг в области технической защиты информации, хозяйственная деятельность по предоставлению которых подлежит лицензированию, а именно услуги по:

Оценке защищенности информации.
Выявление закладных устройств.

Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 14 октября 2014 года № 532 утверждены:

Лицензионные условия осуществления хозяйственной деятельности по предоставлению услуг в области технической защиты информации (согласно перечню, который определяется Кабинетом Министров Украины);
Порядок контроля за соблюдением Лицензионных условий осуществления хозяйственной деятельности по предоставлению услуг в области технической защиты информации (согласно перечню, который определяется Кабинетом Министров Украины).

Лицензионные условия устанавливают исчерпывающий перечень квалификационных, организационных, технологических и других специальных требований, обязательных для выполнения при осуществлении хозяйственной деятельности по предоставлению услуг в области технической защиты информации (далее — ТЗИ) (согласно перечню, который определяется Кабинетом Министров Украины).

Действия Лицензионных условий распространяется на всех субъектов хозяйствования независимо от организационно-правовой формы и формы их собственности, осуществляющие хозяйственную деятельность или которые обратились с заявлением о выдаче лицензии на право осуществления хозяйственной деятельности по предоставлению услуг в области ТЗИ (согласно перечню, определяется Кабинетом Министров Украины) (далее — хозяйственная деятельность в области ТЗИ).

Читать далее: Часть 11: Прослушка