Стаття 3. Суб'єкти відносин

Стаття 2. Об'єкти захисту

Об'єктами захисту є інформація, що обробляється в АС, права власників цієї інформації та власників АС, права користувача.

Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.

Стаття 3. Суб'єкти відносин

Суб'єктами відносин, пов'язаних з обробкою інформації в АС, є:
– власники інформації чи уповноважені ними особи;
– власники АС чи уповноважені ними особи;
– користувачі інформації;
– користувачі АС.

" Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу"

Цей нормативний документ технічного захисту інформації (НД ТЗІ) визначає методологічні основи (концепцію) вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, регламентуючих питання:

- визначення вимог щодо захисту комп'ютерних систем від несанкціонованого доступу;

- створення захищених комп'ютерних систем і засобів їх захисту від несанкціонованого доступу;

- оцінки захищеності комп'ютерних систем і їх придатностi для вирішення завдань споживача.

Документ призначено для постачальників (розробників), споживачів (замовників, користувачів) комп'ютерних систем, які використовуються для обробки (в тому числі збирання, зберігання, передачі і т. д.) критичної інформації (інформації, що вимагає захисту), а також для державних органів, що здійснюють функції контролю за обробкою такої інформації.

Необхідно визнати, що на сьогоднішній день проблема захисту інформації не має остаточного вирішення. Тому цей документ відображає сучасний стан проблеми і підходів до її розв'язання. З часом, як наслідок практичного застосування, а також з появою і розвитком нових тенденцій і підходів, в цей нормативний документ і інші нормативні і методологічні документи, що на ньому базуються, будуть вноситися відповідні корективи.

2.5. Поняття “державна таємниця“ (ДТ). Основні положення Закону України “Про державну таємницю“. Зведення відомостей, що становлять державну таємницю.

Сфера охорони ДТ належить до найбільш розроблених національним законодавством. Закон України “Про державну таємницю“ (ухвалено 1994 р., зміни внесено 1999 р.) визначає ДТ як «вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки, охорони правопорядку, розголошення яких може завдати шкоди національній безпеці України». З 1999 року до перелічених сфер було додано систему урядового та спеціального зв’язку. Віднесення інформації до ДТ − це «процедура прийняття державним експертом з питань таємниць рішення, зі встановленням ступеня секретності інформації та включенням інформації до “Зводу відомостей, що становлять ДТ».

Таким чином, у визначенні ДТ мають місце такі ознаки:

1) обмеженість доступу до ДТ як виду таємної інформації;

2) в разі розголошення ДТ національній безпеці загрожує суттєва шкода;

3) чітке визначення сфер дії ДТ;

4) встановлення переліку відомостей, що становлять ДТ;

5) на відміну від конфіденційної інформації, яку охороняє власник, ДТ охороняє винятково держава.

Закон визначає такі поняття як “гриф секретності“, “віднесення інформації до ДТ“, обов’язки та повноваження експерта з ДТ, процедуру допуску громадян до ДТ, причини відмови у допуску та ін. Органом з охорони ДТ є СБУ.

Як вже зазначалося, Закон чітко фіксує сфери, які належать до ДТ, при цьому забороняється віднесення до ДТ будь-яких відомостей, що будуть звужувати зміст і обсяг конституційних прав людини, завдавати шкоди здоров’ю та безпеці населення України. До інформації, яка за жодних обставин не повинна засекречуватися грифами ДТ, належить інформація про стан довкілля, якість продуктів харчування і предметів побуту, про аварії та катастрофи, здоров’я населення, життєвий рівень, медичні послуги, соціально- демографічні показники, факти порушень прав і свобод громадян, незаконні дії органів влади та посадових осіб (Ст.8).

Повноваження у сфері визначення статусу інформації (чи належить вона до ДТ) здійснює державний експерт з питань таємниць. Крім того, він визначає гриф секретності (“особливої важливості“, “цілком таємно“, “таємно“), зміни ступеня секретності та розсекречування. Експерт − незалежна постать, і втручання в його роботу інших державних органів не допускається. У парламенті експерта призначає Голова ВР, в інших органах влади − Президент.

Функції державного експерта:

− визначає підстави засекречення інформації;

− підстави засекречення винаходів;

− ступінь секретності та відповідний гриф (“особливої важливості“ надається на 30 років, “цілком таємно“ − 10 років, “таємно“ − 5 років);

− надає висновки щодо шкоди національним інтересам у разі розголошення ДТ;

− затверджує переліки відомостей, що становлять ДТ;

− контролює обґрунтованість надання грифа секретності, бере участь у розробці критеріїв визначення шкоди від розголошення ДТ.

Експерт повинен: погоджувати через СБУ свої висновки про скасування рішень щодо віднесення інформації до міждержавних таємниць; подавати СБУ не пізніше як за 10 днів з моменту підписання рішення про віднесення відомостей до ДТ чи скасування цих рішень; розглядати пропозиції СБУ про віднесення інформації до ДТ; надавати гриф секретності. В той же час експерт має право: перевіряти органи влади щодо секретної документації; створювати експертні комісії; скасовувати безпідставні засекречення інформації; клопотати про притягнення до відповідальності осіб, винних у розголошенні ДТ; одержувати всю необхідну інформації з приводу ДТ.

Інформація вважається ДТ з моменту опублікування “Зводу відомостей, що становлять ДТ“ або зміни у цьому “Зводі“. Насьогодні є чинним “Звід“, затверджений наказом Голови СБУ 1 березня 2001 р. Звід формується СБУ на підставі рішень державних експертів з ДТ. На підставі цього “Зводу“ органи влади (міністерства та відомства) створюють галузеві розгорнуті переліки. Неправомірне внесення інформації до “Зводу“ можна оскаржити в суді. Інформація засекречується шляхом надання відповідного грифу секретності. Категорично забороняється надавати гриф секретності матеріальним носіям інформації, що не становить ДТ, або конфіденційній інформації.

Хто може бути допущений до ДТ? Допуск надається громадянам України з 18 років, які потребують секретної інформації за умовами діяльності. В окремих випадках громадянам України з 16 років може надаватися доступ до інформації з грифом “цілком таємно“ та “таємно“, а з 17 років − “ особливої важливості“. Надання доступу до ДТ передбачає перевірку громадянина органами СБУ, письмове зобов’язання не розголошувати ДТ, усвідомлення громадянином того, що його права можуть бути обмежені у зв’язку з володінням ДТ (Ст. 22)

Допуск до ДТ не надається у разі:

− недостатнього обґрунтування потреби доступу;

− участі громадянина у заборонених організаціях;

− відмови від письмового зобов’язання щодо розголошення;

− наявність судимості за тяжкі злочини чи непогашеної судимості;

− психічної хвороби;

− повідомлення недостовірних даних про себе;

− постійне проживання за кордоном (Ст. 23).

Доступ до ДТ надається найвищим державним посадовцям за самим фактом обіймання посади: Президентові, Голові ВРУ, Прем’єр-міністру, Голові Верховного Суду, Голові Конституційного Суду, Генеральному прокуророві, Голові СБУ (з письмовим зобов’язанням щодо нерозголошення ДТ).

Громадяни, що володіють ДТ обмежуються частково у своїх правах: це стосується виїзду за кордон на ПМП, свободи інформаційної діяльності.

Секретна інформація може передаватися за кордон іноземній державі чи організації лише за міжнародними угодами, за згодою ВРУ, Президента, за пропозицією РНБО − Ради національної безпеки та оборони.

2.6 Основні положення Закону України “Про захист персональних даних”

Ст. 6 ЗУ Про захист персональних даних від 01.06.2010 № 2297-VI

1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.

У разі зміни визначеної мети обробки персональних даних суб'єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети.

2. Персональні дані мають бути точними, достовірними, у разі необхідності - оновлюватися.

3. Склад та зміст персональних даних мають бути відповідними та ненадмірними стосовно визначеної мети їх обробки.

4. Обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб'єкта персональних даних або відповідно до закону.

5. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.

6. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

7. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

8. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.

9. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.

10. Використання персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише в знеособленому вигляді.

11. Типовий порядок обробки персональних даних у базах персональних даних затверджується уповноваженим державним органом з питань захисту персональних даних.

12. Порядок обробки персональних даних, які належать до банківської таємниці, затверджується Національним банком України.

2.7. Державні стандарти та нормативні документи, що стосуються технічного захисту інформації (ТЗІ)

До них відносяться такі документи: “Державний стандарт України. Захист інформації. Технічний захист інформації. Основні положення“ (ДСТУ 3396.0-96); Державний стандарт України. Захист інформації. Технічний захист інформації. Порядок проведення робіт“ (ДСТУ 3396.1-96); “Державний стандарт України. Захист інформації. Технічний захист інформації. Терміни та визначення“ (ДСТУ 3396.2-96).

Ці стандарти установлюють об’єкт, мету, основні організаційно-технічні положення забезпечення технічного захисту інформації (ТЗІ), неправомірний доступ до якої може завдати шкоди громадянам, організаціям (юридичним особам) та державі, а також категорії нормативних документів системи ТЗІ. Вимоги стандарту обов’язкові для підприємств та установ усіх форм власності і підпорядкування, громадян - суб’єктів підприємницької діяльності, органів державної влади, органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють та користуються інформацією, що підлягає технічному захисту.

Об’єктом технічного захисту є інформація, що становить державну або іншу передбачену законодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження. Об’єкт, мету і завдання ТЗІ визначають і встановлюють особи, які володіють, користуються, розпоряджаються ІзОД у межах прав і повноважень, наданих законами України, підзаконними актами та нормативними документами системи ТЗІ. Цими стандартами визначаються носії ІзОД, середовище поширення, мета ТЗІ (див. далі), джерела загроз.

До джерел загроз відносяться діяльність іноземних розвідок, а також навмисні або ненавмисні дії юридичних і фізичних осіб. Далі йдеться про канали поширення загроз, розроблення і реалізацію системи захисту інформації, контроль за ТЗІ та функції нормативних документів у сфері ТЗІ. До таких функцій, зокрема, належить: проведення єдиної технічної політики; створення і розвиток єдиної термінологічної системи; функціонування багаторівневих систем захисту інформації на основі взаємопогоджених положень, правил, методик, вимог та норм; функціонування систем сертифікації, ліцензування й атестації згідно з вимогами безпеки інформації; розвиток сфери послуг у галузі ТЗІ; установлення порядку розроблення, виготовлення, експлуатації засобів забезпечення ТЗІ та спеціальної контрольно-вимірювальної апаратури; організація проектування будівельних робіт у частині забезпечення ТЗІ; підготовка та перепідготовка кадрів у системі ТЗІ. Нормативні документи системи ТЗІ поділяються на: нормативні документи із стандартизації у галузі ТЗІ; державні стандарти та прирівняні до них нормативні документи; нормативні акти міжвідомчого значення, що реєструються у Міністерстві юстиції України; нормативні документи міжвідомчого значення технічного характеру, що реєструються уповноваженим Кабінетом Міністрів органом; нормативні документи відомчого значення органів державної влади та органів місцевого самоврядування.