З А К О Н У К Р А И Н Ы
О защите информации
в информационно-телекоммуникационных системах
(Ведомости Верховной Рады Украины (ВВР), 1994, N 31, ст.286)
{Вводится в действие Постановлением ВР N 81 / 94-ВР от 05.07.94,
ВВР, 1994, N 31, ст.287}
{С изменениями, внесенными Законом
N 1703-IV ( 1703 -15 ) от 11.05.2004, ВВР, 2004, N 32, ст.394}
{В редакции Закона
N 2594-IV ( 2594-15 ) от 31.05.2005, ВВР, 2005, N 26, ст.347}
{С изменениями, внесенными согласно Законам
N 879-VI ( 879 -17 ) от 15.01.2009, ВВР, 2009, N 24, ст.296
N 1180-VI ( 1180 - 17 ) от 19.03.2009, ВВР, 2009, N 32-33, ст.485}
Настоящий Закон регулирует отношения в сфере защиты информации
в информационных, телекоммуникационных и
информационно-телекоммуникационных системах (далее - система).
Статья 1. Определение терминов
В этом Законе приведенные ниже термины употребляются в таком
значении:
блокирование информации в системе - действия, в результате которых
невозможным доступ к информации в системе;
утечка информации - результат действий, вследствие которых информация в
системе становится известной или доступной физическим и / или юридическим
лицам, не имеющим права доступа к ней;
владелец информации - физическое или юридическое лицо, которому
принадлежит право собственности на информацию;
владелец системы - физическое или юридическое лицо, которому принадлежит
право собственности на систему;
доступ к информации в системе - получение пользователем
возможности обрабатывать информацию в системе;
защита информации в системе - деятельность, направленная на
предотвращение несанкционированных действий относительно информации в системе;
уничтожение информации в системе - действия, в результате которых
информация в системе исчезает;
информационная (автоматизированная) система -
организационно-техническая система, в которой реализуется технология
обработки информации с использованием технических и программных средств;
информационно-телекоммуникационная система - совокупность
информационных и телекоммуникационных систем, в процессе обработки
информации действуют как единое целое;
комплексная система защиты информации - взаимосвязанная
совокупность организационных и инженерно-технических мероприятий, средств
и методов защиты информации;
пользователь информации в системе (далее - пользователь) - физическое
или юридическое лицо, которое в установленном законодательством порядке
получила право доступа к информации в системе;
криптографическая защита информации - вид защиты информации,
что реализуется путем преобразования информации с использованием
специальных (ключевых) данных с целью сокрытия / восстановления
содержания информации, подтверждения ее подлинности, целостности,
авторства и т.п.;
несанкционированные действия относительно информации в системе - действия,
производятся с нарушением порядка доступа к этой информации,
установленного в соответствии с законодательством;
обработка информации в системе - выполнение одной или нескольких
операций, в частности: сбор, введение, записи преобразования,
считывания, хранения, уничтожения, регистрации, приема, < br> получение, передачу, осуществляемых в системе с помощью
технических и программных средств;
нарушение целостности информации в системе - несанкционированные
действия по информации в системе, в результате которых изменяется ее содержание;
порядок доступа к информации в системе - условия получения
пользователем возможности обрабатывать информацию в системе и правила
обработки этой информации;
телекоммуникационная система - совокупность технических и программных
средств, предназначенных для обмена информацией путем передачи,
излучения или приема ее в виде сигналов, знаков,
звуков, подвижных или неподвижных изображений или другим способом;
техническая защита информации - вид защиты информации,
направлен на обеспечение с помощью инженерно-технических
мер и / или программных и технических средств предотвращения
утечки, уничтожения и блокирование информации, нарушение целостности и
режима доступа к информации.
Статья 2. Объекты защиты в системе
Объектами защиты в системе есть информация, обрабатываемая в
ней, и программное обеспечение, которое предназначено для обработки этой
информации.
Статья 3. Субъекты отношений
Субъектами отношений, связанных с защитой информации в
системах, являются:
владельцы информации;
владельцы системы;
пользователи;
специально уполномоченный центральный орган исполнительной власти по
вопросам организации специальной связи и защиты информации и
подчиненные ему региональные органы. {Абзац пятый части
первой статьи 3 в редакции Закона N 879-VI ( 879-17 ) от
15.01.2009}
На основании заключенного договора или по поручению владелец
информации может предоставить право распоряжаться информацией другой
физическому или юридическому лицу - распорядителю информации.
На основании заключенного договора или по поручению владелец
системы может предоставить право распоряжаться системой другому физическому
или юридическому лицу - распорядителю системы.
Статья 4. Доступ к информации в системе
Порядок доступа к информации, перечень пользователей и их
полномочия по этой информации определяются собственником
информации.
Порядок доступа к информации, являющейся собственностью государства, или
информации с ограниченным доступом, требование относительно защиты которой
установлена ??законом, перечень пользователей и их полномочия
по этой информации определяются законодательством.
В случаях, предусмотренных законом, доступ к информации в
системе может осуществляться без разрешения ее собственника в порядке,
установленном законом.
Статья 5. Отношения между обладателем информации и владельцем
системы
Владелец системы обеспечивает защиту информации в системе в
порядке и на условиях, определенных в договоре, который заключается ним
с владельцем информации, если иное не предусмотрено законом.
Владелец системы по требованию владельца информации предоставляет сведения
по защите информации в системе.
Статья 6. Отношения между владельцем системы и пользователем
Владелец системы предоставляет пользователю сведения о правилах и
режим работы системы и обеспечивает ему доступ к информации в
системе в соответствии с определенным порядком доступа.
Статья 7. Отношения между владельцами систем
Владелец системы, которая используется для обработки информации
из другой системы, обеспечивает защиту такой информации в порядке и
на условиях, определяемых договором, который заключается между
владельцами систем, если иное не установлено законодательством.
Владелец системы, которая используется для обработки информации
из другой системы, сообщает владельцу указанной системы о
выявлены факты несанкционированных действий относительно информации в системе.
Статья 8. Условия обработки информации в системе
Условия обработки информации в системе определяются собственником
системы согласно договору с владельцем информации, если иное
не предусмотрено законодательством.
Информация, которая является собственностью государства, или информация с
ограниченным доступом, требование относительно защиты которой установлена ??законом,
должна обрабатываться в системе с применением комплексной системы
защиты информации с подтвержденной соответствием. Подтверждение
соответствия осуществляется по результатам государственной экспертизы в
порядке, установленном законодательством.
Для создания комплексной системы защиты информации, которая является
собственностью государства, или информации с ограниченным доступом, требование
по защите которой установлено законом, используются средства
защиты информации , которые имеют сертификат соответствия или
положительное экспертное заключение по результатам государственной
экспертизы в сфере технической и / или криптографической защиты
информации. Подтверждение соответствия и проведение государственной
экспертизы этих средств осуществляются в порядке, установленном
законодательством.
Статья 9. Обеспечение защиты информации в системе
Ответственность за обеспечение защиты информации в системе
возлагается на владельца системы.
Владелец системы, в которой обрабатывается информация, являющаяся
собственностью государства, или информация с ограниченным доступом, требование
по защите которой установлено законом, образует службу защиты
информации или назначает лиц, на которых возлагается обеспечение
защиты информации и контроля за ним.
О попытках и / или факты несанкционированных действий в системе по
информации, являющейся собственностью государства, или информации с ограниченным
доступом, требование относительно защиты которой установлена ??законом, владелец
системы сообщает соответственно специально уполномоченный центральный
орган исполнительной власти по вопросам организации специальной связи
и защиты информации или подчиненный ему региональный орган.
{Часть третья статьи 9 с изменениями, внесенными Законом
N 879-VI ( 879-17 ) от 15.01.2009}
Статья 10. Полномочия государственных органов в сфере защиты
информации в системах
Требования ( 373-2006-п ) к обеспечению защиты информации,
является собственностью государства, или информации с ограниченным доступом, требование
по защите которой установлено законом, устанавливаются Кабинетом
Министров Украины.
{Часть вторая статьи 10 исключен на основании Закона
N 879-VI ( 879-17 ) от 15.01.2009}
Специально уполномоченный центральный орган исполнительной власти по
вопросам организации специальной связи и защиты информации:
{Абзац первый части третьей статьи 10 в редакции Закона
N 879 -VI ( 879-17 ) от 15.01.2009}
разрабатывает предложения относительно государственной политики в сфере защиты
информации и обеспечивает ее реализацию в пределах своей компетенции;
определяет требования и порядок создания комплексной системы
защиты информации, которая является собственностью государства, или информации с
ограниченным доступом, требование относительно защиты которой установлена ??законом;
организует проведение государственной экспертизы комплексных
систем защиты информации, экспертизы и подтверждения
соответствия средств технической и криптографической защиты
информации;
осуществляет контроль за обеспечением защиты информации, которая является
собственностью государства, или информации с ограниченным доступом, требование
по защите которой установлено законом;
осуществляет мероприятия по выявлению угрозы государственным
информационным ресурсам от несанкционированных действий в информационных,
телекоммуникационных и информационно-телекоммуникационных системах и
дает рекомендации по предотвращению такой угрозы. {Часть
третью статьи 10 дополнена абзацем согласно Закону N 1180-VI
( 1180-17 ) от 19.03. 2009}
Государственные органы в пределах своих полномочий по согласованию
соответствии со специально уполномоченным центральным органом
исполнительной власти по вопросам организации специальной связи и
защиты информации или подчиненным региональным органом
устанавливают особенности защиты информации, которая является собственностью
государства, или информации с ограниченным доступом, требование относительно защиты
которой установлена ??законом. {Часть четвертая статьи 10 с изменениями, внесенными согласно
Законом N 879-VI ( 879-17 ) от 15.01.2009}
Особенности защиты информации в системах, обеспечивающих
банковской деятельности, устанавливаются Национальным банком Украины.
Статья 11. Ответственность за нарушение законодательства о
защите информации в системах
Лица, виновные в нарушении законодательства о защите информации
в системах, несут ответственность согласно закону.
Статья 12. Международные договоры
Если международным договором, согласие на обязательность которого
дано Верховной Радой Украины, определены иные правила, чем те, что
предусмотренные настоящим Законом, применяются нормы международного
договора.
Статья 13. Заключительные положения
1. Закон вступает в силу с 1 января 2006 года.
2. Нормативно-правовые акты до приведения их в соответствие
с настоящим Законом действуют в части, не противоречащей настоящему Закону.
3. Кабинета Министров Украины и Национальному банку Украины
в пределах своих полномочий в течение шести месяцев со дня вступления
силу настоящего Закона:
привести свои нормативно-правовые акты в соответствие с настоящим
Законом;
обеспечить приведение министерствами и другими центральными
органами исполнительной власти их нормативно-правовых актов в
соответствие с настоящим Законом.
Президент Украины Л.Кучма
г. Киев, 5 июля 1994
N 80/94-ВР
|
|