|
Скачати 153.18 Kb.
|
ПРОБЛЕМИ ДЕРЖАВНОГО РЕГУЛЮВАННЯ У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЇ Воронов Віктор Романович, головний спеціаліст Департаменту регулювання діяльності у сфері ТЗІ Адміністрації Держспецзв’язку, кандидат технічних наук, доцент Виступ на конференції “Актуальні питання інформаційної безпеки” у межах виставки “Безпека 2008” Важною складовою національної безпеки є інформаційна безпека держави. До сфери інформаційної безпеки держави входять конкретні дії щодо забезпечення безпечних умов існуючих інформаційних процесів та забезпечення безпечного розвитку таких процесів у майбутньому. Це охоплює регулювання питань захисту самої інформації, захисту інформаційної інфраструктури держави, захисту інформаційного ринку та створення безпечних умов розвитку інформаційних процесів. Тобто відокремлюються такі загальні види забезпечення інформаційної безпеки:
Захист інформації – це діяльність, спрямована на забезпечення конфіденційності, цілісності та доступності інформації. Результатом захисту інформації є захищеність інформації. Захищеність інформації – стан інформації, який характеризується унеможливленням порушення її цілісності, конфіденційності та доступності. Конфіденційність інформації – властивість інформації, що характеризується унеможливленням її несанкціонованого розповсюдження, одержання чи ознайомлення з нею. Цілісність інформації – властивість інформації, що характеризується унеможливленням несанкціонованого впливу на неї (знищення, спотворення, руйнування тощо). Доступність інформації – властивість інформації, що характеризується унеможливленням несанкціонованого блокування (заборони) дій з інформацією фізичної або юридичної особи, яка має відповідне право. Державним органом, який приймає участь та реалізує державну політику у сфері захисту інформації, є Державна служба спеціально зв’язку та захисту інформації України (скорочено – Держспецзв’язку). Основними завданнями Служби у сфері захисту інформації є: участь у формуванні та реалізація державної політики у сфері захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації; визначення вимог і порядку створення та розвитку систем технічного та криптографічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом; державний контроль за станом криптографічного та технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису. Основними напрямами діяльності Служби у сфері захисту інформації є: нормативне забезпечення криптографічного та технічного захисту інформації; регулювання діяльності у сфері криптографічного та технічного захисту інформації; розробка технологічних положень щодо забезпечення захисту інформації. Регулювання діяльності у сфері захисту інформації з боку Державної служби спеціального зв’язку та захисту інформації України включає: здійснення нормативних та організаційних заходів щодо забезпечення функціонування систем технічного та криптографічного захисту інформації; ліцензування господарчої діяльності у сфері технічного та криптографічного захисту інформації; надання дозволів на проведення робіт з захисту інформації для власних потреб; здійснення організаційних заходів щодо забезпечення функціонування систем сертифікації засобів захисту інформації та державної експертизи у сфері технічного захисту інформації; здійснення державного контролю за станом криптографічного та технічного захисту інформації; здійснення державного контролю за виконанням ліцензійних умов та умов проведення робіт з захисту інформації для власних потреб. Засадами та шляхом регулювання діяльності у сфері захисту інформації є нормативно-правова база у сфері захисту інформації. Нормативно-правову базу у сфері захисту інформації складають: Конституція України, Закони України “Про інформацію”, “Про державну таємницю”, “Про телекомунікації”, “Про Національну систему конфіденційного зв’язку”, “Про захист інформації в інформаційно-телекомунікаційних системах”, “Про Державну службу спеціального зв’язку та захисту інформації України”; чинні міжнародні договори та угоди, згода на обов’язковість яких надана Верховною Радою України; акти Президента України; акти Кабінету Міністрів України; Державні стандарти України; Державні будівельні норми України; міжвідомчі та відомчі нормативно-правові акти (НПА) та нормативні документи (НД) центральних органів виконавчої влади у сфері захисту інформації. Державне регулювання у сфері захисту інформації здійснюється шляхом:
4) визначення порядку та вимог щодо захисту інформації, нормативно-правового забезпечення діяльності у сфері захисту інформації; 5) встановлення відповідальності за порушення законодавства України про захист інформації. Органом державного регулювання діяльності у сфері захисту інформації є спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації. Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації і його повноваження визначаються законом. Законом України "Про Державну службу спеціального зв’язку та захисту інформації України" Спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації визначена Адміністрація Держспецзв’язку. Для подальшого розгляду проблем державного регулювання у сфері захисту інформації доцільно визначити об’єкти, де (щодо яких) здійснюється захист інформації. Об’єкти, де (щодо яких) здійснюється захист інформації, становлять: 1) об’єкти, де здійснюється захист інформації:
2) об’єкти, щодо яких здійснюється захист інформації, становлять будівлі, споруди, транспортні засоби, зразки озброєнь та військової і спеціальної техніки, призначені для забезпечення обороноздатності та безпеки держави, які є носіями інформації, що підлягає захисту, - об’єкти протидії технічній розвідці (ОПДТР). На даний момент в Україні існують такі проблеми державного регулювання у сфері захисту інформації:
невизначеність принципів, норм і правил діяльності єдиних для всіх аспектів і видів захисту інформації; невизначеність об’єкту захисту, що охоплює всі аспекти і види захисту інформації; неврегульованість здійснення захисту інформації на ОІД та ОПДТР; неврегульованість здійснення дозвільної діяльності; недостатня урегульованість ліцензійної діяльності; недостатня урегульованість метрологічного забезпечення у сфері захисту інформації; 2. На рівні додержання вимог законодавства про захист інформації: невідповідність сучасного стану захисту інформації вимогам нормативно-правових актів та нормативних документів у сфері захисту інформації; 3. На рівні встановлення відповідальності за порушення законодавства України про захист інформації: Недостатньо класифікована та визначена у Кримінальному та Адміністративному Кодексах України відповідальність за порушення законодавства України про захист інформації; 4. На рівні визначення порядку та вимог щодо захисту інформації (захищеності інформації): відсутність диференційованого підходу до визначення порядку та вимог щодо захисту інформації (захищеності інформації), створення КСЗІ, КТЗІ, комплексів ПДТР в залежності від ризиків порушення конфіденційності, цілісності та доступності інформації на ОІД, ОПДТР та в ІТС різного ступеню важливості; 5. На рівні нормативно-правового (нормативного) забезпечення діяльності у сфері захисту інформації: недостатня гармонізація нормативно-правових актів та нормативних документів у сфері захисту інформації України із міжнародними стандартами; не повне врегулювання всієї сукупності питань щодо захисту інформації; наявність застарілих НПА та НД, що не відповідають сучасним вимогам у сфері захисту інформації. На цей час правове регулювання у сфері захисту інформації забезпечують державні, міжвідомчі та відомчі нормативно-правові акти, акти нормативно-технічного характеру (нормативні документи) та акти рекомендаційного, роз’яснювального та інформаційного характеру, що спрямовані на встановлення прав та обов’язків суб’єктів відносин у цій сфері, визначення порядку їх взаємодії під час реалізації необхідного рівня та контролю захищеності інформації, на регламентацію технічних аспектів окремих видів захисту інформації на окремих об’єктах та в системах різного призначення. Регулювання окремих напрямів захисту інформації здійснюється різними за рівнями та складом пакетами документів, які іноді не узгоджені між собою, а в деяких випадках входять у протиріччя чи дублюють один іншого. Певне виключення становить Закон “Про захист інформації в інформаційно-телекомунікаційних системах”, який, проте, розповсюджується лише на сферу відносин захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах та не торкається ні врегулювання відносин при забезпеченні захисту інформації на інших об’єктах, ні загальних норм та вимог до захисту інформації на об’єктах різного призначення. Разом з тим, стрімкий розвиток сучасних інформаційних технологій, їх впровадження в усі сфери діяльності держави, суспільства, зокрема у системи державного управління, а також лібералізація суспільних та міждержавних відносин, поширення та удосконалення засобів несанкціонованого доступу до інформації та впливу на неї, розширює коло реальних і потенційних загроз для інформації, що обумовлює необхідність подальшого розвитку засобів та заходів захисту інформації. Відповідно потребує адекватного удосконалення та розвитку і нормативна база системи захисту інформації, як основа і шлях регулювання діяльності у сфері захисту інформації. Так на сьогодні відсутні нормативні документи, які регламентують вимоги щодо захисту інформації від порушення її цілісності та несанкціонованого блокування за рахунок спеціальних впливів на технічні засоби оброблення інформації та її технічного захисту, не встановлено порядок розроблення, виробництва та експлуатації засобів технічного захисту інформації (далі - ТЗІ) і таке інше. Існує ще ряд факторів, які обумовлюють необхідність подальшого удосконалення нормативної бази у сфері захисту інформації. До них можна віднести: наявність значної частини чинних на сьогодні в Україні нормативних документів колишнього СРСР з питань захисту інформації; наявність певних дублювань і неоднозначностей, які існують в нормативних документах системи захисту інформації; недосконалість термінологічної системи захисту інформації. Виходячи з викладеного можна зробити висновок про наявність проблем державного регулювання у сфері захисту інформації, про недостатню ефективність державного регулювання у цій сфері, що призводить до необґрунтованості вимог до захищеності інформації на об’єктах різного призначення, неадекватності таких вимог реальним загрозам, що мають місце в умовах функціонування конкретних об’єктів і, зрештою, невідповідності витрат на забезпечення захисту інформації досягнутому рівню захисту. Шляхами розв’язання проблем державного регулювання у сфері захисту інформації є: 1. На законодавчому рівні та на рівні визначення порядку та вимог щодо захисту інформації (захищеності інформації): розробка, прийняття та впровадження Закону України "Про захист інформації"; 2. На рівні додержання вимог законодавства про захист інформації: розробка, прийняття та реалізація Державної цільової програми технічного захисту інформації в органах державної влади на 2010-2014 роки; 3. На рівні нормативно-правового (нормативного) забезпечення діяльності у сфері захисту інформації: визначення, розроблення, прийняття та впровадження всієї необхідної системи НПА та НД у сфері захисту інформації; адаптація (гармонізація) НПА та НД у сфері захисту інформації України до міжнародних стандартів; 4. На рівні встановлення відповідальності за порушення законодавства України про захист інформації: визначення та класифікація відповідальності за порушення законодавства України про захист інформації; внесення відповідних змін та доповнень до Кримінального та Адміністративного Кодексів України. Для розв’язання проблем державного регулювання у сфері захисту інформації на законодавчому рівні Державною службою спеціального зв’язку та захисту інформації України за дорученням Кабінету Міністрів України від 2 квітня 2008 р. №569-р ”Про затвердження плану заходів, спрямованих на реалізацію пріоритетів діяльності центральних органів виконавчої влади у 2008 році” та відповідно до рішення Комітету Верховної Ради України з питань національної безпеки і оборони від 14 травня 2008 року розроблено проект Закону України ”Про захист інформації”, який зараз проходить процедуру погодження із зацікавленими органами. Закон, що опрацьовується, буде базовим для розробки спеціалізованих законів та підзаконних актів, що мають за мету врегулювання відносин у сфері захисту інформації. Метою Закону є визначення правових та організаційних засад захисту інформації в Україні, а також шляхів державного регулювання відносин між суб’єктами у сфері технічного та криптографічного захисту інформації та забезпечення діяльності суб’єктів захисту інформації. Головними завданнями Закону є: визначення об’єкта захисту - вичерпного переліку видів інформації, що підлягають захисту; забезпечення єдності та системності підходів при забезпеченні захищеності інформації у поєднанні з визначенням вимог до захисту інформації залежно від збитків, що можуть бути нанесені власникам, розпорядникам і користувачам інформації та/або об’єктів, де здійснюється діяльність, пов’язана з інформацією, що підлягає захисту; впровадження правових механізмів забезпечення захищеності інформації, що базуються на засадах доцільності, раціональності та достатності впроваджуваних засобів та заходів; ефективне державне регулювання дозвільної діяльності у галузі захисту інформації, що забезпечує як реалізацію можливостей власників об’єктів щодо забезпечення захисту інформації власними силами у порядку виконання ними робіт для власних потреб, так і здійснення фізичними та юридичними особами господарської діяльності з урахуванням, зокрема, вимог, пов’язаних з вступом України до СОТ; визначення порядку та механізмів нормативного, кадрового, метрологічного, фінансового та науково-технічного забезпечення захисту інформації в Україні. Впровадження зазначених механізмів дозволить побудувати систему захисту інформації в державі на принципах доцільності, раціональності та достатності впровадження засобів та заходів на об’єктах різного призначення залежно від розміру та характеру можливих збитків власникам, розпорядникам та користувачам інформації та/або об’єктів, у разі порушення цілісності, конфіденційності та доступності інформації. Дозвільна діяльність у сфері захисту інформації полягає у ліцензуванні господарської діяльності у сфері захисту інформації та наданні дозволів на проведення робіт у сфері захисту інформації для власних потреб. Надання дозволів на проведення робіт для власних потреб здійснюється, виходячи з розгляду завдань захисту інформації як основних завдань органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил та інших військових формувань, і має на меті забезпечення створення, впровадження та експлуатації комплексів технічного захисту інформації (КТЗІ) на ОІД, комплексних систем захисту інформації (КСЗІ) в ІТС, комплексів ПДТР на ОПДТР власними силами – спеціально створюваними структурними підрозділами (органами) із захисту інформації. Ліцензування господарської діяльності у сфері захисту інформації здійснюється у порядку, визначеному спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації, що принципово відрізняється від визначеного Законом України “Про ліцензування певних видів господарської діяльності” порядку. Зазначене обумовлено особливостями захисту інформації, які принципово відрізняють його від інших видів діяльності, що відносяться до сфери дії зазначеного закону, а саме: необхідність забезпечення належної якості послуг із захисту інформації у поєднанні з різноплановістю та широким спектром технічних аспектів цієї діяльності призводить до необхідності встановлювати вимоги до матеріально-технічного оснащення ліцензіатів та знань фахівців у різних галузях науки і техніки - інформатики, криптології, обчислювальної техніки, зв’язку, акустики, віброакустики, електро- та радіотехніки тощо; забезпечення захищеності інформації, як складової національної безпеки, має здійснюватись за умови обґрунтованого обмеження кола виконавців робіт на об’єктах та в системах з високими ризиками нанесення збитків у разі порушення цілісності, конфіденційності та доступності інформації. З цією метою необхідно ввести додаткові вимоги до ліцензіатів, що матимуть право виконувати роботи із захисту інформації на таких об’єктах; створення контрольованого ринку та забезпечення високого рівня якості професійних послуг у сфері захисту інформації можливе лише за умови гнучкості державного регулювання та контролю діяльності, моніторингу стану справ у цій сфері та своєчасного прийняття відповідних заходів. З цією метою запроваджується звітність ліцензіатів перед Держспецзв’язку щодо виконаних робіт, призупинення дії ліцензії та дозволів на встановлений термін, вводиться термін розгляду заяв на видачу ліцензії, достатній для досконалого вивчення можливості забезпечення ліцензійних вимог заявником тощо. Об’єктом захисту у законопроекті визначено інформацію, що підлягає захисту, до якої віднесено: 1. До інформації, що підлягає захисту від порушення її конфіденційності, цілісності та доступності, відноситься інформація з обмеженим доступом: 1) інформація, що містить відомості, які становлять державну або іншу таємницю, передбачену законом; 2) конфіденційна інформація, що є власністю держави або вимога щодо захисту якої встановлена законодавством; 3) інформація іноземної держави чи міжнародної організації, що передана Україні та захист якої передбачений у рамках міжнародних договорів, згода на обов’язковість яких надана Верховною Радою України. 2. До інформації, що підлягає захисту від порушення її цілісності та доступності, відноситься: 1) відкрита інформація, що є власністю держави, належить до статистичної, правової, соціологічної, адміністративної, довідково-енциклопедичної інформації, інформації про особу та про діяльність органів державної влади і органів місцевого самоврядування, знаходиться в користуванні органів державної влади чи органів місцевого самоврядування та оприлюднюється в інформаційних мережах і системах, обробляється та передається в інформаційних, телекомунікаційних й інформаційно-телекомунікаційних системах; 2) інша відкрита інформація, вимога щодо захисту якої встановлена законодавством. 3. До інформації, що підлягає захисту, відноситься інформація, необхідність захисту якої визначена її власником, якщо такий захист не суперечить законодавству. Важливішою умовою діяльності, пов’язаної з інформацією, що підлягає захисту, визначена обов’язковість впровадження на ОІД, Об’єктах ПДТР, в ІТС взаємопов’язаної сукупності організаційних та інженерних заходів та засобів технічного і криптографічного захисту інформації (КТЗІ, КСЗІ, комплексів ПДТР з підтвердженою відповідністю) та/або застосування захищених засобів і комплексів із засвідченою відповідністю. У законопроекті визначені також виконавці робіт із захисту інформації. В органах державної влади, органах місцевого самоврядування, органах управління Збройних Сил України та інших військових формувань, на підприємствах, в установах, організаціях, закладах, незалежно від форм власності, у військових формуваннях, утворених згідно із законодавством, що проводять діяльність, пов’язану з інформацією, яка є власністю держави, або інформацією з обмеженим доступом, вимога щодо захисту якої встановлена законом, на правах самостійних структурних підрозділів утворюються органи захисту інформації, які за своїм статусом і умовами оплати праці належать до основних підрозділів. Міністерства, інші центральні органи влади визначають організаційно-штатну структуру, завдання, функції та повноваження органів захисту інформації згідно з їх підпорядкуванням (управлінням). У міністерствах та інших центральних органах влади, які мають підконтрольні чи підзвітні органи, підприємства, установи, організації, заклади, військові формування, утворені згідно із законодавством, діяльність яких пов’язана з інформацією, що підлягає захисту, утворюються відомчі центральні органи захисту інформації, до складу яких входять підрозділи технічного захисту інформації та/або підрозділи криптографічного захисту інформації, та/або служби захисту інформації в інформаційно-телекомунікаційних системах. Утворення, реорганізація та ліквідація відомчих центральних органів захисту інформації, а також призначення їх керівників здійснюються за погодженням зі спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації. Таким чином, результатом прийняття цього закону буде попередження небажаних наслідків для національної безпеки, економічних, соціальних та інших втрат у разі реалізації існуючих загроз для інформації. Реалізація запропонованого механізму державного регулювання дозволить розв’язати низку проблем на законодавчому рівні та створити умови для скоординованої діяльності у сфері захисту інформації, прийняття оптимальних рішень, необхідних для забезпечення комплексності та повноти заходів захисту інформації, раціонального витрачання ресурсів на впровадження заходів із захисту інформації та забезпечення необхідної якості робіт із захисту інформації. |
ПВНЗ «ЄВРОПЕЙСЬКИЙ УНІВЕРСИТЕТ» КАФЕДРА “ОРГАНІЗАЦІЇ КОМПЛЕКСНОГО ЗАХИСТУ ІНФОРМАЦІЇ” Поняття, специфіка та витоки правового забезпечення захисту інформації. Проблеми інформаційної безпеки України Основні терміни та... |
НОРМАТИВНИЙ ДОКУМЕНТ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ Цей документ не може бути повністю або частково відтворений, тиражований ї розповсюджений без дозволу Державного комітету України... |
20. Правове регулювання господарської діяльності у сфері транспорту,... Тема 20. Правове регулювання господарської діяльності у сфері транспорту, зв’язку та діяльності засобів масової інформації |
Тема 20. Правове регулювання господарської діяльності у сфері транспорту,... Тема 20. Правове регулювання господарської діяльності у сфері транспорту, зв’язку та діяльності засобів масової інформації |
ЗАКОН УКРАЇНИ Цей Закон визначає правові засади державного регулювання фінансової діяльності з організації і проведення азартних ігор, здійснення... |
ТО89 МОДЕРНІЗАЦІЯ СИСТЕМИ ДЕРЖАВНОГО РЕГУЛЮВАННЯ ЕКОНОМІЧНОГО РОЗВИТКУ КРАЇН У статті розглянуто загальні принципи та концепції сучасного регулювання економіки країн у розрізі економічних законів. Визначено... |
Закону України «Про засади держаної мовної політики» Визначення проблеми, яку передбачається розв’язати шляхом державного регулювання |
АНАЛІЗ РЕГУЛЯТОРНОГО ВПЛИВУ до проекту рішення Кременчуцької міської ради Визначення проблеми, яку передбачається розв’язати шляхом державного регулювання |
Методичні рекомендації соціальним педагогам і вчителям у сфері соціально-правового... РОЗДІЛ Теоретичні основи вивчення проблеми соціально-правового захисту дітей від насильства |
Аналіз регуляторного впливу Визначення та аналіз проблеми, яку передбачається розв’язати шляхом державного регулювання |