РОЗДІЛ 7. НОРМАТИВНО-ПРАВОВЕ РЕГУЛЮВАННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ УКРАЇНИ

- результатів виконання користувачем операцій з обробки інформації;

- спроб несанкціонованих дій з інформацією;

- фактів надання та позбавлення користувачів права доступу до інформації та її обробки;

- результатів перевірки цілісності засобів захисту інформації. Така реєстрація інформації здійснюється автоматичним способом, а реєстраційні дані захищаються від модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки. Ідентифікація та автентифікація користувачів, надання та позбавлення їх права доступу до інформації та її обробки, контроль за цілісністю засобів захисту в системі здійснюється автоматизованим способом.

В свою чергу, реєстрація спроб несанкціонованих дій з інформацією, що становить державну таємницю, а також конфіденційної інформації про фізичну особу, яка законом віднесена до персональних даних, повинна супроводжуватися повідомленням про них адміністратора безпеки системи (користувача, якого уповноважено здійснювати управління засобами захисту інформації і контроль за захистом Інформації в системі). Аналіз реєстраційних даних проводиться виключно адміністратором безпеки системи.

Відповідно до п. 13 Правил передача конфіденційної і таємної інформації з однієї системи до іншої здійснюється у зашифрованому вигляді або захищеними каналами зв'язку згідно з вимогами законодавства з питань технічного та криптографічного захисту інформації. Порядок підключення систем, в яких обробляється конфіденційна і таємна інформація, до глобальних мереж передачі даних (зокрема до мережі Інтернет) визначається законодавством.

Окрім того, Правилами у п. 15 передбачено здійснення контролю за цілісністю програмного забезпечення системи, яке використовується для обробки інформації, запобігання несанкціонованій його модифікації та ліквідація наслідків такої модифікації. Також контролюється цілісність програмних та технічних засобів захисту інформації, уразі порушення якої обробка інформації в системі припиняється.

Для забезпечення захисту інформації в інформаційній (телекомунікаційній чи інформаційно-телекомунікаційній) системі створюється комплексна система захисту інформації (п. 16 Правил), яка призначається для захисту інформації.

Відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається на керівника (заступника керівника) організації, яка є власником (розпорядником) системи, та керівників її структурних підрозділів, що забезпечують створення та експлуатацію системи. Організація та проведення робіт із захисту інформації ' в системі здійснюється службою захисту інформації, яка забезпечує визначення вимог до захисту інформації в системі, проектування, розроблення і модернізацію системи захисту, а також виконання ро-1 біт з її експлуатації та контролю за станом захищеності інформації.

Вимоги та порядок створення системи захисту, а також порядок проведення державної експертизи системи захисту, державної експертизи та сертифікації засобів технічного і криптографічного захисту інформації встановлюються Адміністрацією ДССЗЗІ України (пункти 21-22 Правил).

Виконавцем робіт зі створення системи захисту інформації може бути суб'єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації, необхідність проведення якого визначено технічним завданням на створення системи захисту.

Контроль за забезпеченням захисту інформації в системі полягає у перевірці виконання вимог з технічного та криптографічного захисту інформації та здійснюється у порядку, визначеному Адміністрацією ДССЗЗІ України.

Питання обліку електронних інформаційних ресурсів в державі та взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах врегульовані постановами Кабінету Міністрів України від 16 листопада 2002 р. № 1772 "Про затвердження Порядку взаємодії органів виконавчої влади з питань захисту державних інформаційних ресурсів в інформаційних та телекомунікаційних системах" та "Про затвердження Положення про Національний реєстр електронних інформаційних ресурсів" від 17 березня 2004 р. № 326.

Порядок підключення інформаційних систем до глобальних мереж передачі даних врегульований Постановою Кабінету Міністрів України від 12 квітня 2002 р. № 522 "Про затвердження Порядку підключення до глобальних мереж передачі даних".

Серед загальних положень цієї постанови, на нашу думку, ключовими є вимоги:

- щодо заборони підключення до глобальної мережі Інтернет локальних обчислювальних мереж, а також окремих електронно-обчислювальних машин, на яких обробляють або зберігають інформацію з обмеженим доступом, що є власністю держави й охороняється законами України (п. 7);

- щодо зобов'язання абонента укладати договір про надання послуг із доступу до глобальної мережі Інтернет та протягом 15 робочих днів повідомляти про це Державний комітет зв'язку та інформатизації України (п. 8).

Окрему увагу, на нашу думку, необхідно звернути на нормативні акти Кабінету Міністрів України, що регулюють порядок висвітлення діяльності органів виконавчої влади в мережі Інтернет. Це, зокрема, постанови Кабінету Міністрів України від 24 лютого 2003 р. № 208 "Про заходи щодо створення електронної інформаційної системи "Електронний Уряд", а також від 4 січня 2002 р. № 3 "Про Порядок оприлюднення у мережі Інтернет інформації про діяльність органів виконавчої влади" та від 11 лютого 2004 р. № 150 "Про офіційне оприлюднення регуляторних актів, прийнятих місцевими органами виконавчої влади, територіальними органами центральних органів виконавчої влади та їх посадовими особами, і внесення змін до Порядку оприлюднення у мережі Інтернет інформації про діяльність органів виконавчої влади".

Інформаційне наповнення та технічне забезпечення веб-порталів органів виконавчої влади врегульоване Порядком інформаційного наповнення та технічного забезпечення Єдиного веб-порталу органів виконавчої влади та Порядком функціонування веб-сайтів органів виконавчої влади, затвердженими Наказом Державного комітету інформаційної політики, телебачення і радіомовлення України, Державного комітету зв'язку та інформатизації України від 25 листопада 2002 р. № 327/225, Розпорядженням Голови Верховної Ради України від 24 травня 2001 р. № 462 "Про затвердження Положення про веб-сайт Верховної Ради України у глобальній інформаційній мережі Інтернет" та іншими нормативно-правовими актами.

Іншим важливим нормативно-правовим актом у зазначеній сфері є Порядок надання інформаційних та інших послуг з використанням електронної інформаційної системи "Електронний Уряд", затверджений Наказом Державного комітету зв'язку та інформатизації України від 15 серпня 2003 р. № 149. Порядок визначає процедуру надання органами виконавчої влади інформаційних та інших послуг громадянам і юридичним особам з використанням електронної інформаційної системи "Електронний Уряд".