Министерство образования и науки Украины Государственный университет интеллектуальных технологий и связи Реферат По дисциплине: «Лицензирование, аттестация и сертификация в отрасли» На тему: «Законодательство Украины в области информационной безопасности» Студента группы МКБ-71 Гусак Алины Одесса 2022 В Украине государственным органом, который отвечает за формирование и реализацию государственной политики в сфере технической защиты информации также является Государственная служба специальной связи и защиты информации Украины. Как и в криптографической защите информации, согласно Закону Украины «О Государственной службе специальной связи и защиты информации Украины» № 3475-IV на ведомство в соответствии с определенными задачами возлагаются следующие обязанности в сфере технической защиты информации: Формирование и реализацию государственной политики в сфере технической защиты информации; Осуществления полномочия органа лицензирования в сфере технической защиты информации; Обеспечение развития в сфере технической защиты информации; Обеспечение нормативно-правового регулирования в сфере технической защиты информации; Техническое регулирование в сфере технической защиты информации; Методическое руководство и координация деятельности государственных органов, органов местного самоуправления, воинских формирований, образованных в соответствии с законами Украины, предприятий, учреждений и организаций независимо от форм собственности в сфере технической защиты информации; Установление порядка и требований технической защиты информации на объектах информационной деятельности; Установление порядка осуществления государственного контроля и осуществление государственного контроля над состоянием технической защиты государственных информационных ресурсов; Установление порядка организации и проведения государственной экспертизы в сфере технической защиты информации, предоставление и/или регистрация экспертных заключений по результатам государственной экспертизы в сфере технической защиты информации; Установление порядка предоставления выводов и согласований, предоставление заключений и согласований средств технической защиты информации, в том числе тех, которые являются составными частями вооружения, военной и специальной техники; Определение технических и технологических требований к аккредитованным центрам сертификации ключей; Организация и координация работ по проведению сертификации средств технической защиты информации вместе с центральным органом исполнительной власти по вопросам технического регулирования; Определение перечней средств технической защиты информации, разрешенных для обеспечения технической защиты государственных информационных ресурсов и информации, требование относительно защиты которой установлено законом; Установление разрешительного порядка, выдача, переоформление, приостановление (возобновление) действия, аннулирования разрешений (копий и дубликатов разрешений) на проведение работ по технической защите информации для собственных нужд; Осуществление совместно с центральным органом исполнительной власти в области образования и науки научно-методического управления подготовкой специалистов в сфере технической защиты информации. Одними из нормативно-правовых документов, регулирующих деятельность технической защиты информации в Украине, является Постановление Кабинета Министров Украины «Об утверждении Концепции технической защиты информации в Украине» от 08 октября 1997 года № 1126 и Указ Президента Украины «О Положении о технической защите информации в Украине» от 27 сентября 1999 года № 1229. Настоящее Положение определяет правовые и организационные основы технической защиты важной для государства, общества и личности информации, охрана которой обеспечивается государством в соответствии с законодательством. Техническая защита информации осуществляется в отношении органов государственной власти, органов местного самоуправления, органов управления Вооруженных Сил Украины и других военных формирований, образованных в соответствии с законодательством Украины, соответствующих предприятий, учреждений, организаций. Основные понятия Конфиденциальность — свойство информации быть защищенной от несанкционированного ознакомления; Целостность — свойство информации быть защищенной от несанкционированного искажения, разрушения или уничтожения; Доступность — свойство информации быть защищенной от несанкционированного блокирования; Техническая защита информации (ТЗИ) — деятельность, направленная на обеспечение инженерно-техническими средствами конфиденциальности, целостности и доступности информации; Информационная система — автоматизированная система, компьютерная сеть или система связи; Разрешение — документ, дающий право на выполнение работ по технической защиты информации для собственных нужд; Комплекс технической защиты информации — совокупность мероприятий и средств, предназначенных для реализации технической защиты информации в информационной системе или на объекте. Государственная политика технической защиты информации формируется согласно законодательству и реализуется Государственной службой специальной связи и защиты информации Украины во взаимодействии с органами, в отношении которых осуществляется ТЗИ. Организация технической защиты информации в органах, по которых осуществляется ТЗИ, возлагается на их руководителей. Нормативно-правовые акты по технической защите информации является обязательными для выполнения всеми субъектами системы технического защиты информации. Субъектами системы технической защиты информации являются: Госспецсвязи Украины; органы, в отношении которых осуществляется ТЗИ; научно-исследовательские и научно-производственные учреждения Госспецсвязи Украины, государственные предприятия, находящиеся в управлении Госспецсвязи Украины и выполняют задачи по технической защиты информации; воинские части, предприятия, учреждения и организации всех форм собственности и граждане-предприниматели, осуществляющие деятельность по технической защиты информации по соответствующим разрешениям или лицензиями; учебные заведения по подготовке, переподготовке и повышению квалификации специалистов по технической защите информации. Материально-техническая база системы технической защиты информации состоит из технических средств общего назначения и специальных технических средств. При разработке и внедрении мероприятий по технической защите информации используются средства, разрешенные Администрацией Госспецсвязи Украины для применения и которые включены в соответствующие перечни. В случае нарушения требований по обеспечению технического защиты информации должностные лица и граждане несут ответственность в соответствии с законодательством Украины. Основным Законом, регулирующим вопросы защиты информации в информационно-телекоммуникационных системах, является Закон Украины «О защите информации в информационно-телекоммуникационных системах», который был принят в 1994 году, и имел название «О защите информации в автоматизированных системах». В соответствии с данным Законом: Государственные информационные ресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, должны обрабатываться в системе с применением комплексной системы защиты информации с подтвержденной соответствием. Подтверждение соответствия осуществляется по результатам государственной экспертизы в порядке, установленном законодательством. Для создания комплексной системы защиты государственных информационных ресурсов или информации с ограниченным доступом, требование по защите которой установлено законом, используются средства защиты информации, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере технической и/или криптографической защиты информации. Подтверждение соответствия и проведение государственной экспертизы этих средств осуществляются в порядке, установленном законодательством. Под комплексной системой защиты информации подразумевается взаимосвязанная совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации. Законом Украины «О Государственной службе специальной связи и защиты информации Украины» определено, что государственные информационные ресурсы — это систематизированная информация, доступная с помощью информационных технологий, право на владение, использование или распоряжение которой принадлежит государственным органам, военным формированиям, созданным в соответствии с законами Украины, государственным предприятиям, учреждениям и организациям, а также информация, создание которой предусмотрено законодательством и обрабатывается физическими или юридическими лицами в соответствии с предоставленными им полномочиями субъектами властных полномочий; Постановлением Кабинета Министров Украины от 29 марта 2006 года № 373 утверждены Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно—телекоммуникационных системах, которые определят, какая именно информация подлежит защите в системе: открытая информация, которая относится к государственным информационным ресурсов, а также открытая информация о деятельности субъектов властных полномочий, воинских формирований, которая обнародуется в Интернете, других глобальных информационных сетях и системах или передается телекоммуникационными сетями; конфиденциальная информация, которая находится во владении распорядителей информации, определенных частью первой статьи 13 Закон Украины «О доступе к публичной информации» (2939-17); служебная информация; информация, которая составляет государственную или иную предусмотренную законом тайну (далее — секретная информация); информация, требование относительно защиты которой установлено законом (например, персональные данные). Открытая информация во время обработки в системе должна сохранять целостность, что обеспечивается путем защиты от несанкционированных действий, которые могут привести к ее случайной или умышленной модификации или уничтожения. Во время обработки служебной и секретной информации должна обеспечиваться ее защита от несанкционированного и неконтролируемого ознакомления, модификации, уничтожения, копирования, распространение, т.е. конфиденциальность и целостность. Требования к защите в системе информации, составляющей государственную тайну, определяются настоящими Правилами и законодательством в сфере охраны государственной тайны. Обеспечение защиты в системе тайной информации, не составляет государственную тайну, и конфиденциальной информации осуществляется в соответствии с требованиями к защите служебной информации, если иное не предусмотрено законом. Приказом Администрации Госспецсвязи от 16 мая 2007 года № 93 утверждено Положение о государственной экспертизе в сфере технической защиты информации. Государственная экспертиза в сфере технической защиты информации проводится с целью исследования, проверки, анализа и оценки объектов экспертизы относительно их соответствия требованиям нормативных документов по технической защите информации и возможности их использования для обеспечения технической защиты информации (далее — ТЗИ). Субъектами экспертизы являются: юридические и физические лица — владельцы (распорядители) информационных, телекоммуникационных, информационно-телекоммуникационных систем, технических и программных средств, реализующих функции ТЗИ, — заказчики экспертизы (далее — Заказчики); Администрация Государственной службы специальной связи и защиты информации Украины; подразделения Государственной службы специальной связи и защиты информации Украины, предприятия, учреждения и организации, проводят экспертизу (далее — Организаторы); государственные органы, которые проводят экспертизу в сфере своего управления; физические лица — исполнители экспертных работ по ТЗИ (далее — Эксперты). Объектами экспертизы являются: комплексные системы защиты информации (далее — КСЗИ), которые являются неотъемлемой составной частью информационной, телекоммуникационной или информационно-телекоммуникационной системы (далее — ИТС); технические и программные средства, реализующие функции ТЗИ (далее — средства ТЗИ). Экспертиза КСЗИ является процедурой подтверждения соответствия КСЗИ требованиям нормативных документов по ТЗИ и проводится путем экспертных испытаний или путем анализа декларации о соответствии КСЗИ требованиям нормативных документов с ТЗИ (далее — декларация). Экспертиза средств ТЗИ проводится путем экспертных испытаний. Для проведения экспертизы путем экспертных испытаний Заказчик направляет заявление на имя Председателя (заместителя Председателя) Госспецсвязи о проведении экспертизы КСЗИ в ИТС или средства ТЗИ, а путем анализа декларации — декларация о соответствии КСЗИ требованиям нормативных документов по ТЗИ, форму ИТС и акт о завершении работ по созданию КСЗИ согласно руководящим документом по стандартизации РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов». С целью рассмотрения деклараций и заявлений, координации мероприятий и принятия решений о проведении экспертиз в Администрации создается экспертный совет по вопросам государственной экспертизы в сфере технической защиты информации (далее — Экспертный совет). По результатам анализа декларации и представленных вместе с нею документами Экспертный совет в месячный срок принимает решение о регистрацию декларации. Срок действия зарегистрированной декларации является неограниченным. Порядок предоставления экспертного заключения и аттестата соответствия Экспертное заключение на средство ТЗИ рассматривается Экспертным советом и, в случае утверждения результатов экспертизы, регистрируется и выдается Заказчику. На основании положительного решения по экспертизе КСЗИ, Заказчику выдается зарегистрированный Аттестат соответствия за подписью Председателя (заместителя Председателя) Госспецсвязи. Администрация Госспецсвязи вправе в установленном порядке приостановить действие или отменить Экспертное заключение или Аттестат соответствия. Экспертное заключение и/или Аттестат соответствия выдаются на 5 лет. Согласно Закону Украины «О лицензировании определенных видов хозяйственной деятельности» лицензированию подлежит предоставление услуг в области технической защиты информации. Перечень таких услуг также как и перечень услуг в области криптографической защиты информации определяется отдельно Кабинетом Министров Украины. Постановлением Кабинета Министров Украины от 18 мая 2011 года № 517 «Об утверждении перечня услуг в области технической защиты информации, хозяйственная деятельность по предоставлению которых подлежит лицензированию» утвержден Перечень услуг в области технической защиты информации, хозяйственная деятельность по предоставлению которых подлежит лицензированию, а именно услуги по: Оценке защищенности информации. Выявление закладных устройств. Приказом Администрации Государственной службы специальной связи и защиты информации Украины от 14 октября 2014 года № 532 утверждены: Лицензионные условия осуществления хозяйственной деятельности по предоставлению услуг в области технической защиты информации (согласно перечню, который определяется Кабинетом Министров Украины); Порядок контроля за соблюдением Лицензионных условий осуществления хозяйственной деятельности по предоставлению услуг в области технической защиты информации (согласно перечню, который определяется Кабинетом Министров Украины). Лицензионные условия устанавливают исчерпывающий перечень квалификационных, организационных, технологических и других специальных требований, обязательных для выполнения при осуществлении хозяйственной деятельности по предоставлению услуг в области технической защиты информации (далее — ТЗИ) (согласно перечню, который определяется Кабинетом Министров Украины). Действия Лицензионных условий распространяется на всех субъектов хозяйствования независимо от организационно-правовой формы и формы их собственности, осуществляющие хозяйственную деятельность или которые обратились с заявлением о выдаче лицензии на право осуществления хозяйственной деятельности по предоставлению услуг в области ТЗИ (согласно перечню, определяется Кабинетом Министров Украины). |