Кабінет Міністрів України Постановою від 13 березня 2002 р. № 281 уповноважив Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України "Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації та відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України) здійснювати управління захистом інформації в автоматизованих системах відповідно до Закону України "Про захист інформації в автоматизованих системах".

Так, наприклад, Кабінет Міністрів України Постановою від 2 серпня 1996 р. № 898 "Про створення Єдиної державної автоматизованої паспортної системи" започаткував створення Єдиної державної автоматизованої паспортної системи (далі - Система), яка забезпечуватиме видачу громадянам паспортів, що оформлюватимуться за єдиною технологією, та облік громадян за місцем проживання із застосуванням комп'ютерної мережі на єдиних принципах їх ідентифікації (із використанням особистих (ідентифікаційних) номерів громадян, відцифрованого образу осіб і біометричної ідентифікації) і взаємодії з базами даних інших інформаційних систем (як вітчизняних, так і іноземних). Передбачалося, що Система входитиме складовою частиною до Державного реєстру фізичних осіб.

Постановою Кабінету Міністрів України від 29 квітня 2004 р. № 573 було затверджено Положення про Головний обчислювальний центр Єдиної державної автоматизованої паспортної системи. Зазначеним Положенням зокрема визначалося, що основними завданнями Головного обчислювального центру є серед інших "впровадження комплексної системи захисту інформації Єдиної державної автоматизованої паспортної системи і здійснення постійного контролю за дотриманням у ній інформаційної безпеки" .

Постанова Кабінету Міністрів України від 16 лютого 1998 р. № 180 "Про затвердження Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах" також регулювала відносини щодо обігу інформації (яка становить державну таємницю) в автоматизованих системах.

Постанова Кабінету Міністрів України від 8 червня 1998 р. № 832 визначала комплекс заходів щодо поетапного впровадження у Пенсійному фонді автоматизованого персоніфікованого обліку відомостей у системі загальнообов'язкового державного пенсійного страхування.

Пам'ятаємо також про створення і функціонування у Центральній виборчій комісії автоматизованої інформаційної системи "Вибори", яка застосовувалась у процесі підготовки і проведення виборів Президента України, народних депутатів України.

Питання функціонування конкретних автоматизованих систем у органах державної влади, як правило, визначаються відомчими нормативно-правовими актами.

Так, наприклад, у Міністерстві фінансів України розроблено Положення про роботу із засобами обчислювальної техніки та про доступ до інформаційних ресурсів Міністерства фінансів України (додаток до наказу Міністерства фінансів України від 01.04.2003 р. № 248).

Наказом МВС України від 02.09.98 р. № 659 затверджено Інструкцію про створення єдиної автоматизованої системи номерного обліку вогнепальної (стрілецької) зброї, яка зберігається й використовується в МВС, на об'єктах дозвільної системи та перебуває в особистому користуванні громадян.

2. Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації

Розуміння основних понять, що застосовуються у сфері захисту інформації в інформаційно-телекомунікаційних системах, дає можливість не лише правильно аналізувати суб'єктно-об'єктний склад відповідних правовідносин, а й дозволяє правильно використовувати їх під час усної відповіді і виконання практичних завдань студентами та слухачами. Законом України "Про захист інформації в інформаційно-телекомунікаційних системах" даються такі визначення основних понять:

блокування інформації в системі -- дії, внаслідок яких унеможливлюється доступ до інформації в системі;

виток інформації -- результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

власник інформації -- фізична або юридична особа, якій належить право власності на інформаці власник системи -- фізична або юридична особа, якій належить право власності на систему;

доступ до інформації в системі -- отримання користувачем можливості обробляти інформацію в системі;

захист інформації в системі -- діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;

знищення інформації в системі -- дії, внаслідок яких інформація в системі зникає;

інформаційна (автоматизована) система -- організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;

інформаційно-телекомунікаційна система -- сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;

комплексна система захисту інформації -- взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;

користувач інформації в системі -- фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;

криптографічний захист інформації -- вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/віднов-лення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

несанкціоновані дії щодо інформації в системі -- дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;

обробка інформації в системі -- виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;

порушення цілісності інформації в системі -- несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;

порядок доступу до інформації в системі -- умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;

телекомунікаційна система -- сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;

технічний захист інформації -- вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлений витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.

Доповнює перелік основних термінів у сфері захисту інформації в інформаційно-телекомунікаційних системах Наказ ДСТЗІ СБ України 24 грудня 2001 р. № 76, яким затверджено Порядок захисту державних шформаційних ресурсів в автоматизованих системах.

3. Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі

Аналіз відносин, що виникають між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційних системах, дає можливість розкрити їх специфіку.

Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.

Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:

власники інформації;

власники системи;

користувачі;

- уповноважений орган у сфері захисту інформації в системах (Державна служба спеціального зв'язку та захисту інформації України).

На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі -- розпоряднику інформації.

На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі -- розпоряднику системи.

Статтею 4 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" визначені загальні підстави доступу до інформації в системі: "порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації.

Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.

У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом".

Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом.

Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі Відносини між власником системи та користувачем полягають у тому, що власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.

Відносини між власниками систем базуються на тому, що власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.

Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.

Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством.

Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством (див. попередню лекцію).

Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.

Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога Щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.

Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.

Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої передбачена законом, встановлюються Кабінетом Міністрів України.

Обов'язки уповноваженого органу у сфері захисту інформації в системах виконує центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації (Державна служба спеціального зв'язку та захисту інформації України).

Уповноважений орган у сфері захисту інформації в системах:

розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;

визначає вимоги та порядок створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;

здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Державні органи в межах своїх повноважень за погодженням з уповноваженим органом у сфері захисту інформації встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.

4. Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах

Особи, винні в порушенні порядку і правил захисту оброблюваної в ITC інформації, несуть дисциплінарну, адміністративну, кримінальну чи матеріальну відповідальність згідно з чинним законодавством України.

Зупинимося на окремих складах правопорушень у сфері захисту інформації в АС.

Кодекс України про адміністративні правопорушення було доповнено Законом України "Про внесення змін до деяких законодавчих актів України від 11 травня 2004 року" № 1703-ІУ статтею 212-6 "Здійснення незаконного доступу до інформації в автоматизованих системах".

Цією статтею передбачена адміністративна відповідальність за "здійснення незаконного доступу до інформації, яка зберігається, обробляється чи передається в автоматизованих системах". Санкція за дане правопорушення - накладення штрафу від п'яти до десяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу, або без такої Та сама дія, вчинена особою, яку протягом року було піддано адміністративному стягненню за порушення, передбачене в частині першій статті 212-6, - тягне за собою накладення штрафу від десяти до двадцяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу.

Законом України "Про внесення змін до Кримінального та Кримінально-процесуального кодексів України від 23 грудня 2004 року № 2289-ІУ статті 361, 361-2, 362, 363, 363-1 Кримінального кодексу України (КК України) були викладені у новій редакції. Передбачені даними статтями склади злочинів містять об'єкт, що безпосередньо стосується захисту інформації в АС.

Стаття 361 КК України "Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку" передбачає кримінальну відповідальність за "несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації". За скоєння такого злочину передбачається санкція у вигляді штрафу від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк від двох до п'яти років, або позбавлення волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи Додатковими кваліфікуючими ознаками даного злочину є вчинення його повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду. Такі діяння (дії) караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.

Стаття 361-2 КК України "Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації" передбачає, що "несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, -- караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи.

Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, -- караються позбавленням волі на строк від двох до п'яти років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи". Стаття 362 КК України "Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї" передбачає кримінальну відповідальність за несанкціоновані зміну, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах чи комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї. Санкція за скоєння даного злочину - штраф від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або виправні роботи на строк до двох років конфіскацією програмних або технічних засобів, за допомогою яких було вчинено несанкціоновані зміна, знищення або блокування інформації, які є власністю винної особи.

"Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, -- караються позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк та з конфіскацією програмних чи технічних засобів, за допомогою яких було здійснено несанкціоновані перехоплення або копіювання інформації, які є власністю винної особи.

Дії, передбачені частиною першою або другою статті 362 КК України, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані дії з інформацією, які є власністю винної особи". Стаття 363 КК України "Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється передбачає, що "порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, - караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк". Стаття 363-1 КК України "Перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку" передбачає кримінальну відповідальність за "умисне масове розповсюдження по відомлень електрозв'язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку". Санкція -штраф від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк до трьох років.

"Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду, -- караються обмеженням волі на строк до п'яти років або позбавленням волі на той самий строк, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено масове розповсюдження повідомлень електрозв'язку, які є власністю винної особи". Згідно зі статтею 18 Закону України "Про захист інформації в автоматизованих системах", шкода, заподіяна суб'єктам відносин, що виникають під час захисту інформації в АС (власникам інформації чи уповноваженим ними особам; власникам АС чи уповноваженим ними особам; користувачам інформації; користувачам АС), внаслідок незаконного створення перешкод для доступу до інформації, витоку чи втрати інформації в АС, відшкодовується особами, яких визнано винними в цьому.

5. Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі

Нормативні документи, що визначають особливості захисту інформації в конкретній автоматизованій системі, мають розроблятися на підставі і з урахуванням положень таких державних стандартів:

НД ТЗІ 1.1-002-99. Загальних положень щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22 "Про затвердження і введення в дію нормативних документів";

НД ТЗІ 2.5-005-99. Класифікації автоматизованих систем і стандартних функціональних профілів захищеності оброблюваної інформації від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 №22;

НД ТЗІ 2.5-004-99. Критеріїв оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22;

НД ТЗІ 1.1-003-99. Термінології в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 № 2

Згідно з НД ТЗІ 2.5-005-99. Класифікацією автоматизованих систем і стандартних профілів захищеності оброблюваної інформації від несанкціонованого доступу автоматизовані системи розподіляють на три класи: клас "1" - одномашинний однокористувачевий комплекс; клас "2" - локалізований багатомашинний багатокористува-чевий комплекс; клас "З" - розподілений машинний багатокористувачевий комплекс, у якому передання інформації здійснюється через незахищене середовище (глобальну мережу).

Прикладом індивідуального нормотворення у сфері захисту інформації в АС може бути Комплексна система захисту інформації в автоматизованій системі Міністерства та Інструкція користувача автоматизованої системи 3 класу, які затверджені Наказом Міністерства економіки та з питань європейської інтеграції України від 23.04.2002 р. № 121 "Про заходи щодо захисту конфіденційної і відкритої інформації, що циркулює в автоматизованій системі Міністерства". У зазначених документах використано принцип, який є актуальним не лише для Міністерства економіки та з питань європейської інтеграції України, а й для інших органів державної влади. Зокрема, зазначається, що широке застосування програмно-технічних обчислювальних засобів імпортного походження при приєднані їх до Інтернету принципово унеможливлює здійснити надійний захист інформації, що належить державі. У таких умовах забезпечення конфіденційності, цілісності і доступності інформації можливе лише в разі фізичного відокремлення автоматизованої системи, де циркулює інформація, яка потребує захисту, від системи, яка приєднана до Інтернету.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21