Учебное пособие: Захист інформації
використанням інформаційних ресурсів на основі рівноправного співробітництва з іншими державами.
Ціллю Закону України "ПРО захист інформації в автоматизованих системах" [2] є встановлення основ регулювання правових відношень по захисті інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію і права доступу до неї, права власника інформації на її захист, а також установленого чинним законодавством обмеження на доступ до інформації.
Чинність Закону поширюється на будь-яку інформацію, оброблювану в автоматизованих системах. У Законі основні терміни вживаються в такому значенні.
Автоматизована система (АС) – система, що здійснює автоматизоване опрацювання даних, до складу якої входять технічні засоби опрацювання (засоби обчислювальної техніки і зв'язку), а також методи, процедури і програмне забезпечення.
Інформація в АС – сукупність усіх даних і програм, використовуваних в АС незалежно від засобу їх фізичного і логічного уявлення.
Опрацювання інформації – сукупність операцій (збір, уведення, запис, перетворення, зчитування, зберігання, знищення, реєстрація), здійснюваних за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних.
Захист інформації – сукупність організаційно-технічних заходів і правових норм для попередження заподіяння збитку інтересам власника інформації або АС і осіб, що користуються інформацією.
Несанкціонований доступ до інформації, здійснюваний із порушенням встановлених в АС правил розмежування доступу.
Розпорядник АС – фізична або юридична особа, що має право розпорядження АС за згодою з її власником або по його дорученню.
Користувач АС – фізична або юридична особа, що має право використання АС за згодою з розпорядником АС.
Порушник - фізична або юридична особа, навмисно або ненавмисно здійснюючі неправомірні дії стосовно АС і інформації в ній.
Витік інформації – результат дій порушника, унаслідок яких інформація стає відомою (доступною) суб'єктам, що не мають права доступу до неї.
Втрата інформації – дія, унаслідок якої інформація в АС перестає існувати для фізичних або юридичних осіб, що мають право власності на її в повному або обмеженому обсязі.
Підробка інформації навмисні дії, що ведуть до перекручування інформації, що повинні опрацьовуватися або зберігатися в АС.
Блокування інформації дії, слідством яких є припинення доступу до інформації.
Відповідно до Закону об'єктами захисту є інформація, оброблювана в АС, права власників цієї інформації і власників АС, права користувача. Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.
Доступ до інформації, що зберігається, опрацьовується і передається в АС, здійснюється лише відповідно до правил розмежування доступу, установленим власником інформації або уповноваженою їм особою. Без дозволу власника доступ до інформації, що опрацьовується в АС, здійснюється лише у випадках, передбачених чинним законодавством.
Власник АС повинний забезпечити захист інформації відповідно до вимог і правил, що обумовлюється угодою з власником інформації або уповноваженою їм особою, і зобов'язаний повідомити йому про всі факти порушення її захисту. Власник інформації має право здійснювати контроль за дотриманням вимог по захисту інформації і забороняти або припиняти опрацювання інформації у випадку порушення цих вимог.
Власник інформації, уповноважені їм на те особи визначають користувачів приналежної йому інформації і встановлюють їхній повноваження. Власник АС дає користувачам можливість доступу до інформації, оброблюваної в АС, відповідно до повноважень, установленим власником інформації. Розпорядник АС інформує власника інформації про технічні можливості захисту інформації в його АС, типових правилах, установлених для персоналу АС.
Приведемо зведення найбільше важливих статей Закону, що стосуються умов опрацювання і заходів для забезпечення захисту інформації.
Стаття 10. Забезпечення захисту інформації в АС
Захист інформації в АС забезпечується шляхом: дотримання суб'єктами правових відношень норм, вимог і правил організаційного і технічного характеру по захисту оброблюваної інформації; використання засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку й АС у цілому, засобів захисту інформації, що відповідають установленим вимогам по захисту інформації (маючих відповідний сертифікат);
перевірки відповідності засобів обчислювальної техніки, програмного забезпечення, засобів зв'язку й АС в цілому установленим вимогам по захисту інформації (сертифікація засобів обчислювальної техніки, засобів зв'язку й АС);
здійснення контролю по захисту інформації.
Стаття 11. Встановлення вимог і правил по захисту інформації
Вимоги і правила по захисту інформації, що є власністю держави, або інформації, захист якої гарантується державою, установлюються державним органом, уповноваженим Кабінетом Міністрів України. Ці вимоги і правила є обов'язковими для власників АС, де така інформація опрацьовується, і носить рекомендаційний характер для інших суб'єктів права власності на інформацію.
Стаття 12. Умови опрацювання інформації
Інформація, що є власністю держави або інформація, захист якої гарантується державою, повинна опрацьовуватися в АС, що має відповідний сертифікат (атестат) захищеності, у порядку, обумовленому уповноваженим Кабінетом Міністрів України органом.
У процесі сертифікації (атестації) цих АС здійснюються також перевірка, сертифікація (атестація) розроблених засобів захисту інформації.