РОЗДІЛ 7. НОРМАТИВНО-ПРАВОВЕ РЕГУЛЮВАННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ УКРАЇНИ

Серед згаданих у цьому переліку термінів законодавцем чітко визначено лише поняття державної таємниці. Водночас "інша, передбачена законом таємниця" насправді ніяким законом України не визначена, малозрозумілим є поняття "конфіденційної інформації, що е власністю держави": згідно зі ст. 30 Закону України "Про інформацію" вона може бути власністю тільки юридичних і фізичних осіб, але не держави. Також розмитим є поняття "відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює".

Тому закономірним буде висновок про те, що рішення, яку інформацію потрібно захищати, будуть приймати державні службовці за своїм переконанням, не обмеженим жодними правовими рамками. Концепція передбачає створення підрозділів ТЗІ всюди, де необхідно захищати інформацію. Аналіз положень Концепції ТЗІ наводить на думку про те, що реалізація цієї концепції фактично спрямована на обмеження доступу до офіційної інформації, однак не визначає чітких підстав та умов проведення в Україні діяльності щодо контролю за інформацією, що циркулює в інформаційних мережах.

Іншим важливим документом щодо контролю інформації в інформаційних мережах в Україні стала "Інструкція про порядок обліку, зберігання й використання документів, справ, видань і інших матеріальних носіїв інформації, що містять конфіденційну інформацію, що є власністю держави", затверджена Постановою Кабінету Міністрів України від 27 листопада 1998 р. Л° 1898.

Відповідно до п. 1 Інструкції до таких переліків може ввійти не лише інформація, що створюється самим органом влади, але й інформація, що перебуває в його розпорядженні й користуванні. Тому будь-яка інформація, що потрапила в поле зору державного органу, може бути за бажанням його керівника оголошена конфіденційною.

Згідно з п. 2 Постанови центральні й місцеві органи виконавчої влади й органи місцевого самоврядування повинні розробити в шестимісячний строк і ввести в дію переліки конфіденційної інформації, що є власністю держави, цій інформації привласнюється гриф "Для службового користування" (ДСК). Відповідно до п. З Постанови виконувати Інструкцію повинні не лише органи влади, але й підприємства, установи й організації незалежно від форм власності.

Документи органів законодавчої влади, вищих органів виконавчої влади й судової влади, що вийшли у світ в І991 році й пізніше без грифа обмеження доступу, але не опубліковані в офіційній пресі, розглядаються як матеріали, що містять відомості обмеженого поширення із грифом "ДСК" (п. 5 Інструкції).

Умови зберігання, розмноження й розсилання документів із грифом "ДСК" не менш жорсткі, аніж для документів, що містять відомості, що становлять державну таємницю: реєстрація й знищення всіх чернеток і варіантів документів, заборона на позначення прізвищ і навіть посад керівників організації тощо (пункти 17-28 Інструкції)* Ознайомлення представників ЗМІ з документами із грифом "ДСК" дозволяється тільки за письмового дозволу керівника організації в кожному конкретному випадку й лише після розгляду цього питання експертною комісією, що приймає письмове рішення про доцільність передачі документа журналістові. Зі змісту Інструкції видно тільки, що до складу зазначеної експертної комісії входять "співробітники канцелярії, РСП та інших структурних підрозділів".

Одним із недоліків Інструкції стало те, що в ній конкретно не визначено, хто саме та на підставі яких критеріїв, вирішує, які відомості е конфіденційними, а які ні. Також зі змісту Інструкції не зрозуміло, чи будуть доступні для широкого використання самі переліки, тим більше, що кожне відомство може мати свій перелік.

Постанови Кабінету Міністрів України "Про затвердження Положення про формування та виконання Національної програми інформатизації" від 31 серпня 1998 р. № 1352 та "Про затвердження Порядку формування та виконання регіональної програми і проекту інформатизації" від 12 квітня 2002 р. № 644 спрямовані на реалізацію на загальнодержавному та регіональному рівнях положень відповідних законів України у галузі інформатизації: "Про Національну програму інформатизації" від 4 лютого 1998р.Ле 74/98-ВРта "Про Концепцію Національної програми інформатизації" від 4 лютого 1998 р. № 75/98, зміст яких вже було нами попередньо розглянуто.

Питання забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах врегульовані Постановою Кабінету Міністрів України від 29 березня 2006 р. № 373 "Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах".

Правила, затверджені зазначеною постановою, визначають загальні вимоги та організаційні засади забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. Дія цих Правил не поширюється на захист інформації в системах урядового та спеціальних видів зв'язку.

Відповідно до п. 2 Правил, захисту в системі підлягає:

- відкрита інформація, яка є власністю держави та відповідно до Закону України "Про інформацію" належить до статистичної, правової, соціологічної інформації, інформації довідково-енциклопедичного характеру й використовується для забезпечення діяльності державних органів або органів місцевого самоврядування, а також інформація про діяльність зазначених органів, яка оприлюднюється в Інтернет, інших глобальних інформаційних мережах і системах або передається телекомунікаційними мережами. Відкрита інформація під час обробки в системі повинна зберігати цілісність, що забезпечується шляхом захисту системи від несанкціонованих дій, які можуть призвести до випадкової або умисної модифікації чи знищення такої інформації;

- конфіденційна інформація, яка є власністю держави або вимога щодо захисту якої встановлена законом, у тому числі конфіденційна інформація про фізичну особу. Під час обробки такої інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення;

- інформація, що становить державну або іншу передбачену законом таємницю. У процесі її обробки повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

Доступ до конфіденційної інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації не ідентифікованих осіб чи користувачів з непідтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.

У системі забезпечується можливість надання користувачеві права на виконання однієї або кількох операцій з обробки конфіденційної інформації або позбавлення його такого права.

Вимоги до захисту в системі інформації, що становить державну таємницю, визначаються цими Правилами та законодавством у сфері охорони державної таємниці. Вимоги до захисту в системі інформації від несанкціонованого блокування визначаються її власником (розпорядником), якщо інше для цієї інформації або системи, в якій вона обробляється, не встановлено законодавством (пункти 9 і 10 Правил).

Згідно з п. 11 Правил, у системі здійснюється обов'язкова реєстрація:

- результатів ідентифікації та автентифікації користувачів;