|
|
Скачати 1.07 Mb.
|
|
1. Загальні положення Ця Концепція визначає основи державної політики у сфері захисту інформації інженерно-технічними заходами. Технічний захист інформації (далі - ТЗІ) є складовою частиною забезпечення національної безпеки України. Концепція має забезпечити єдність принципів формування і проведення такої політики в усіх сферах життєдіяльності особи, суспільства та держави (соціальній, політичній, економічній, військовій, екологічній, науково-технологічній, інформаційній тощо) і служити підставою для створення програм розвитку сфери ТЗІ. ТЗІ - це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності (унеможливлення блокування) інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави. Зростання загроз для інформації, спричинене лібералізацією суспільних та міждержавних відносин, кризовим станом економіки, застосуванням технічних засобів оброблення інформації та засобів зв'язку іноземного виробництва, поширенням засобів несанкціонованого доступу до інформації та впливу на неї, визначає необхідність розвитку ТЗІ. Напрями розвитку ТЗІ обумовлюються необхідністю своєчасного вжиття заходів, адекватних масштабам загроз для інформації, і грунтуються на засадах правової демократичної держави відповідно до прав суб'єктів інформаційних відносин на доступ до інформації та її захист. Приведення інформаційних відносин у сфері ТЗІ у відповідність з міжнародними стандартами сприятиме утвердженню України у світі як демократичної правової держави. 2. Загрози безпеці інформації та стан її технічного захисту 3. Система ТЗІ 4. Основні напрями державної політики у сфері ТЗІ
КАБІНЕТ МІНІСТРІВ УКРАЇНИ П О С Т А Н О В А від 8 жовтня 1997 р. N 1126 Про затвердження Концепції технічного захисту інформації в Україні Кабінет Міністрів України п о с т а н о в л я є: 1. Загальні положення 2. Загрози безпеці інформації та стан її технічного захисту Впровадження в усі сфери життєдіяльності особи, суспільства та держави інформаційних технологій зумовило поширення великих масивів інформації в обчислювальних та інформаційних мережах на значних територіях. За відсутності вітчизняних конкурентоспроможних інформаційних технологій надається перевага технічним засобам оброблення інформації та засобам зв'язку іноземного та спільного виробництва, які здебільшого не забезпечують захист інформації. Комунікаційне обладнання іноземного виробництва, яке використовується у мережах зв'язку, передбачає дистанційний доступ до його апаратних та програмних засобів, у тому числі з-за кордону, що створює умови для несанкціонованого впливу на їх функціонування і контролю за організацією зв'язку та змістом повідомлень, які пересилаються. Прогрес у різних галузях науки і техніки призвів до створення компактних та високоефективних технічних засобів, за допомогою яких можна легко підключатись до ліній телекомунікацій та різноманітних технічних засобів оброблення інформації вітчизняного та іноземного виробництва з метою здобування, пересилання та аналізу розвідувальних даних. Для цього може використовуватись апаратура радіо-, радіотехнічної, оптико-електронної, радіотеплової, акустичної, хімічної, магнітометричної, сейсмічної та радіаційної розвідок. За таких умов створилися можливості витоку інформації, порушення її цілісності та блокування. Витік інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, - це одна з основних можливих загроз національній безпеці України в інформаційній сфері. Загрози безпеці інформації в Україні зумовлені: невиваженістю державної політики в галузі інформаційних технологій, що може призвести до безконтрольного та неправомочного доступу до інформації та її використання; діяльністю інших держав, спрямованою на одержання переваги в зовнішньополітичній, економічній, військовій та інших сферах; недосконалістю організації в Україні міжнародних виставок апаратури різного призначення (особливо пересувних) та заходів екологічного моніторингу, що може використовуватися для здобування інформації розвідувального характеру; діяльністю політичних партій, суб'єктів підприємницької діяльності, окремих фізичних осіб, спрямованою на одержання переваги у політичній боротьбі та конкуренції; злочинною діяльністю, спрямованою на протизаконне одержання інформації з метою досягнення матеріальної вигоди або нанесення шкоди юридичним чи фізичним особам; використанням інформаційних технологій низького рівня, що призводить до впровадження недосконалих технічних засобів із захистом інформації, засобів контролю за ефективністю ТЗІ та засобів ТЗІ (далі - засоби забезпечення ТЗІ); недостатністю документації на засоби забезпечення ТЗІ іноземного виробництва, а також низькою кваліфікацією технічного персоналу у сфері ТЗІ. Стан ТЗІ зумовлюється: недосконалістю правового регулювання в інформаційній сфері, зокрема у сфері захисту таємниць (крім державної), конфіденційної інформації та відкритої інформації, важливої для особи, суспільства та держави; недостатністю нормативно-правових актів і нормативних документів з питань проведення досліджень, розроблення та виробництва засобів забезпечення ТЗІ; незавершеністю створення системи сертифікації засобів забезпечення ТЗІ; недосконалістю системи атестації на відповідність вимогам ТЗІ об'єктів, робота яких пов'язана з інформацією, що підлягає технічному захисту; недостатньою узгодженістю чинних в Україні нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України. 3. Система ТЗІ 4. Основні напрями державної політики у сфері ТЗІ 24. Концепція технічного захисту інформації в Україні. Система технічного захисту інформації (ТЗІ). Основні державної політики у сфері ТЗІ. Першочергові заходи щодо реалізації державної політики у сфері ТЗІ. КАБІНЕТ МІНІСТРІВ УКРАЇНИ П О С Т А Н О В А від 8 жовтня 1997 р. N 1126 Про затвердження Концепції технічного захисту інформації в Україні Кабінет Міністрів України п о с т а н о в л я є: 1. Загальні положення 2. Загрози безпеці інформації та стан її технічного захисту 3. Система ТЗІ Система ТЗІ - це сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами (далі - організаційні структури), нормативно-правова та матеріально-технічна база. Правову основу забезпечення ТЗІ в Україні становлять Конституція України ( 254к/96-ВР ), Концепція (основи державної політики) національної безпеки України ( 3/97-ВР ), Закони України "Про інформацію" ( 2657-12 ), "Про захист інформації в автоматизованих системах" ( 80/94-ВР ), "Про державну таємницю" ( 3855-12 ), "Про науково-технічну інформацію" ( 3322-12 ), інші нормативно-правові акти, а також міжнародні договори України, що стосуються сфери інформаційних відносин. Принципами формування і проведення державної політики у сфері ТЗІ є: додержання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність; єдність підходів до забезпечення ТЗІ, які визначаються загрозами безпеці інформації та режимом доступу до неї; комплексність, повнота та безперервність заходів ТЗІ; відкритість нормативно-правових актів та нормативних документів з питань ТЗІ, які не містять відомостей, що становлять державну таємницю; узгодженість нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України; обов'язковість захисту інженерно-технічними заходами інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, в державних установах і організаціях (далі - державні органи, підприємства, установи і організації); виконання на власний розсуд суб'єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації, що не належить державі, та відкритої інформації, важливої для особи та суспільства, якщо остання циркулює поза межами державних органів, підприємств, установ і організацій; покладення відповідальності за формування та реалізацію державної політики у сфері ТЗІ на спеціально уповноважений центральний орган виконавчої влади; ієрархічність побудови організаційних структур системи ТЗІ та керівництво їх діяльністю у межах повноважень, визначених нормативно-правовими актами; методичне керівництво спеціально уповноваженим центральним органом виконавчої влади у сфері ТЗІ діяльністю організаційних структур системи ТЗІ; скоординованість дій та розмежування сфер діяльності організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки; фінансова забезпеченість системи ТЗІ за рахунок Державного бюджету України, бюджету Автономної Республіки Крим, місцевих бюджетів та інших джерел. Основними функціями організаційних структур системи ТЗІ є: оцінка стану ТЗІ в державі, визначення пріоритетних напрямів його розвитку; розвиток правових засад удосконалення системи ТЗІ; виявлення та прогнозування загроз безпеці інформації; забезпечення інженерно-технічними заходами захисту інформації, що підлягає технічному захисту; створення умов для ТЗІ, що здійснюється суб'єктами інформаційних відносин на власний розсуд; формування та забезпечення реалізації державної політики щодо створення та впровадження вітчизняних засобів забезпечення ТЗІ; створення національної системи стандартизації та нормування у сфері ТЗІ; організація фундаментальних і прикладних науково-дослідних робіт та розробок у сфері ТЗІ; забезпечення взаємодії організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки; організація створення та виконання програм розвитку ТЗІ; забезпечення ліцензування підприємницької діяльності в сфері ТЗІ; організація контролю за якістю засобів забезпечення ТЗІ шляхом їх сертифікації; організація контролю за відповідністю вимогам ТЗІ об'єктів, діяльність яких пов'язана з інформацією, що підлягає технічному захисту, шляхом їх атестації; організація контролю за ефективністю ТЗІ на об'єктах, діяльність яких пов'язана з інформацією, що підлягає технічному захисту; забезпечення підготовки фахівців для роботи у сфері ТЗІ; сприяння залученню інвестицій і вітчизняного товаровиробника у сферу ТЗІ; організація міжнародного співробітництва в сфері ТЗІ, представлення інтересів України у відповідних міжнародних організаціях; забезпечення (кадрове, фінансове, нормативне, матеріально-технічне, інформаційне тощо) життєдіяльності складових організаційних структур системи ТЗІ. 4. Основні напрями державної політики у сфері ТЗІ Державна політика у сфері ТЗІ визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень цієї Концепції, а також програм розвитку ТЗІ та окремих проектів. Основними напрямами державної політики у сфері ТЗІ є: нормативно-правове забезпечення: удосконалення чинних та створення нових нормативно-правових актів щодо захисту інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що належить державі; розроблення нормативно-правових актів щодо захисту відкритої інформації, важливої для особи, суспільства та держави; удосконалення правових механізмів організаційного забезпечення ТЗІ; удосконалення нормативно-правових актів щодо умов і правил провадження діяльності у сфері ТЗІ; розроблення нормативно-правових актів щодо визначення статусу головної у сфері ТЗІ, головних (базових) за напрямами ТЗІ організацій; удосконалення нормативно-правових актів щодо здійснення контролю за імпортом з метою впровадження в Україні іноземних інформаційних технологій з захистом інформації та засобів забезпечення ТЗІ; розроблення нормативних документів з питань формування та розвитку моделі загроз для інформації; розроблення нормативних документів з питань сертифікації засобів забезпечення ТЗІ та атестації на відповідність вимогам ТЗІ об'єктів, робота яких пов'язана з інформацією, що підлягає технічному захисту; удосконалення чинних та розроблення нових нормативних документів з питань ТЗІ: у засобах обчислювальної техніки, в автоматизованих системах, оргтехніці, мережах зв'язку, комп'ютерних мережах та приміщеннях, де циркулює інформація, що підлягає технічному захисту; під час створення, експлуатації та утилізації зразків озброєнь, військової та спеціальної техніки; під час проектування, будівництва і реконструкції військово-промислових, екологічно небезпечних та інших особливо важливих об'єктів; організаційне забезпечення: забезпечення створення підрозділів ТЗІ в органах державної влади та органах місцевого самоврядування, академіях наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на підприємствах, в установах і організаціях всіх форм власності, діяльність яких пов'язана з інформацією, що підлягає технічному захисту; створення головної у сфері ТЗІ, головних (базових) за напрямами ТЗІ організацій, а також лабораторій системи сертифікації засобів забезпечення ТЗІ; підготовка кадрів для роботи у сфері ТЗІ; залучення до розв'язання проблем ТЗІ вітчизняних вчених та висококваліфікованих спеціалістів; розвиток міжнародного співробітництва в сфері ТЗІ; науково-технічна та виробнича діяльність: моніторинг і оцінка стану ТЗІ, підготовка аналітичних матеріалів і пропозицій щодо стратегії його розвитку; створення інформаційно-аналітичних моделей загроз для інформації та методології їх прогнозування; обгрунтування критеріїв та показників рівнів ТЗІ; створення методології синтезу систем багаторівневого захисту інформації, адекватних масштабам загроз безпеці інформації та режиму доступу до неї; створення методології, призначеної для визначення зниження ефективності продукції, зумовленої витоком інформації про неї, порушенням її цілісності чи блокуванням, та методології обгрунтування заходів ТЗІ; системне і поетапне розроблення сучасних засобів забезпечення ТЗІ; пріоритетне створення вітчизняних конкурентоспроможних інформаційних технологій та розвиток виробництва засобів забезпечення ТЗІ; створення умов для забезпечення головної у сфері ТЗІ, головних (базових) за напрямами ТЗІ організацій, а також лабораторій системи сертифікації засобів забезпечення ТЗІ науковим, контрольно-вимірювальним, випробувальним та виробничим обладнанням. 25.Концепція технічного захисту інформації в Україні. Першочергові заходи щодо реалізації державної політики у сфері ТЗІ. КАБІНЕТ МІНІСТРІВ УКРАЇНИ П О С Т А Н О В А від 8 жовтня 1997 р. N 1126 Про затвердження Концепції технічного захисту інформації в Україні Кабінет Міністрів України п о с т а н о в л я є: 1. Загальні положення 2. Загрози безпеці інформації та стан її технічного захисту 3. Система ТЗІ 4. Основні напрями державної політики у сфері ТЗІ Першочерговими заходами щодо реалізації державної політики у сфері ТЗІ є: створення правових засад реалізації державної політики у сфері ТЗІ, визначення послідовності та порядку розроблення відповідних нормативно-правових актів; визначення перспективних напрямів розроблення нормативних документів з питань ТЗІ на основі аналізу стану відповідної вітчизняної та зарубіжної нормативної бази, розроблення зазначених нормативних документів; визначення номенклатури вітчизняних засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку, призначених для оброблення інформації з обмеженим доступом інших засобів забезпечення ТЗІ в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ; налагодження згідно з визначеною номенклатурою виробництва засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв'язку із захистом інформації, інших вітчизняних засобів забезпечення ТЗІ; завершення створення та розвиток системи сертифікації вітчизняних та закордонних засобів забезпечення ТЗІ; визначення реальних потреб системи ТЗІ у фахівцях, розвиток та вдосконалення системи підготовки, перепідготовки та підвищення кваліфікації фахівців з питань ТЗІ. Значущість забезпечення ТЗІ, його наукоємність вимагає концентрації зусиль науково-технічного та виробничого потенціалу міністерств, інших центральних органів виконавчої влади, академій наук. 26.Інформація з обмеженим доступом. Згідно ст. 30 "Інформація з обмеженим доступом" Закону України "Про інформацію", інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденціальну (конфіденційна - це більш вдалий і широко вживаний термін) і таємну. Конфіденціальна (конфіденційна) інформація - це, відповідно до Закону, відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їхнім бажанням відповідно до передбачених ними умов. Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їхнього професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї систем (способів) захисту. Виняток становить інформація комерційного та банківського характеру [20], а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо), та інформація, приховування якої є загрозою для життя і здоров'я людей. До таємної належить інформація, що містить відомості, які становлять державну або іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі. Ч. 2 ст. 30 Закону України "Про інформацію", перераховуючи повноваження, суб'єкт яких може визначати режим доступу до інформації, містить сполучник "або", який вказує на те, що інформація може вважатися конфіденційною не тільки з волі власника (право власності передбачає право володіння, користування та розпорядження), а й з волі особи, якій належить окреме повноваження щодо інформації. Оскільки Закон не містить зауважень відносно опосередкування волі такої особи щодо встановлення режиму доступу до інформації волею власника, у відповідності з нормою статті 30, до категорії конфіденційної інформацію може відносити як особа, не уповноважена на це власником (якщо, наприклад, власник інформації уповноважив таку особу тільки на користування), так і нетитульний володілець. Фактично це є порушенням права власності на інформацію, оскільки власник, від якого інформація фактично не виходить, здійснюючи свої повноваження, порушує режим обмеженого доступу до інформації, встановлений іншою особою згідно ст. 30. Те ж саме слід зазначити і щодо ч. 3 ст. 30. Інформація може бути предметом певного інтересу для будь-якої особи. Цей інтерес може бути і негативним, тобто мати протиправну спрямованість. Протиправний характер інтересу не виключає можливості придбання особою інформації на власні кошти. Таким чином, ч. 3 ст. 30 також не передбачає умовою для встановлення режиму доступу до інформації законність права власності або делегованих власником повноважень. Відповідно до змісту ч. 2 ст. 30, конфіденційною інформацією з волі вповноваженої особи може бути визнана будь-яка інформація. Однак ч. 4 статті 28 Закону передбачає, що не підлягає необгрунтоване її віднесення до категорії інформації з обмеженим доступом. Оскільки інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну (конфіденціальну) і таємну, згідно ст. 28 не допускається необгрунтоване (чим?) віднесення інформації до конфіденційної, що суперечить ст. 30. Встановлення ж умов обгрунтованого віднесення інформації до категорії конфіденційної, які б зумовили вичерпність переліку видів конфіденційної інформації, навряд чи доцільно у зв'язку зі змістом цього інституту і його відмінності від інституту таємної інформації. Це однак не повинно означати відсутності загальних принципів законності віднесення інформації до категорії конфіденційності (про такі принципи мова буде йти нижче). Згідно тексту ч. 4 ст. 30 Закону України "Про інформацію", інформація (будь-яка!) комерційного та банківського характеру не може бути визнана конфіденційною, тому в цій частині ст. 30 потребує коригування. Ст. 30 Закону України "Про інформацію" фактично не розмежовує конфіденційну та таємну інформацію, що негативно відбивається й на інших нормах чинного інформаційного законодавства. Ст. 30 у визначенні таємної інформації передбачає, що її розголошення завдає шкоди особі, суспільству і державі. Але власник встановлює для інформації режим обмеженого доступу, відносячи її до категорії конфіденційної також з урахування того, що повідомлення такої інформації третім особам може завдати йому (його інтересам) шкоди. Так само і державні юридичні особи, що володіють інформацією на праві повного господарського відання або оперативного управління (як і іншою державною власністю), тобто титульні володільці згідно змісту ст. 30 можуть відносити таку інформацію до категорії конфіденційної, якщо її розголошення може зашкодити державі. Крім того заподіяння шкоди окремому суб'єкту правовідносин одночасно є заподіянням шкоди правопорядку в цілому, тобто шкода завдається не лише окремій особі, а й суспільству та державі. Таким чином, завдання розголошення інформації шкоди певним інтересам не може вважатися підставою для класифікації інформації. Однак такі підстави мають бути виявлені і зазначені в законі. Закон охороняє як таємну, так і конфіденційну інформацію, тому неможливо говорити про захист першої за допомогою закону, а іншої - засобами власника. Разом з тим слід зазначити, що суб'єкти встановлення режиму обмеженого доступу для цих категорій інформації є різними. Належність інформації до категорії конфіденційної встановлюють фізичні та юридичні особи з метою захисту власних інтересів (ця інформація за загальним правилом є відкритою, і може такою залишатися, але фізичним та юридичним особам в межах їх компетенції надано право обмежувати доступ до такої інформації), а належність інформації до категорії таємної - держава в публічних інтересах. Для визнання інформації конфіденційною необхідно мати певне право на таку інформацію. Держава ж, визнаючи інформацію таємною, керується своїми повноваженнями щодо захисту публічних інтересів, а не правом на інформацію. Звісно, можна зазначити, що встановлення в законі можливості віднесення інформації до категорії конфіденційної також захищає публічні інтереси, тобто всіх, а не окремої особи. Однак норми щодо віднесення інформації до категорії конфіденційної є диспозитивними (особа може, але не зобов'язана відносити інформацію до категорії конфіденційної навіть тоді, коли в законі зазначений характер відомостей - комерційні або ін.), що ж стосується віднесення інформації до категорії таємної, тут мають місце імперативні норми - держава наказує визнавати таємною інформацію певного характеру. Різним є також момент отримання інформацією рівня захисту згідно режиму обмеженого доступу: таємною інформація визнається з моменту свого виникнення (якщо її визнання таємною вимагає закон), конфіденційною ж - з моменту відповідного рішення власника. Віднесення інформації до категорії конфіденційної є реалізацією повноважень власника, тобто права власності як абсолютного (ніхто не повинен посягати на власність незалежно від того, чи вжив власник заходів щодо її збереження, а їх вжиття в межах абсолютного права не порушує і не обмежує прав інших осіб). У той же час визнання інформації таємною являє собою безпосереднє виключення з права на інформацію, передбаченого чинним Законом та Конституцією [1]. Виходячи з цього, закон має передбачати вичерпний перелік видів інформації, що становить "іншу, передбачену законом таємницю", оскільки невстановлення в законі та віднесення до компетенції "відповідних державних органів" визначення порядку її обігу та захисту призводить до незаконних обмежень права на інформацію. Такий перелік, як і принципи "обгрунтованого віднесення" до інформації з обмеженим доступом, зокрема до категорії конфіденційної, є необхідним. Що стосується конфіденційної інформації, встановлення вичерпного переліку її видів є неможливим, оскільки власник, згідно закону, уповноважений відносити до категорії конфіденційної будь-яку інформацію, крім встановлених законом обмежень (тобто інформацію, яка за загальним правилом може бути й відкритою). Але якщо закон встановить окремі види конфіденційної інформації та характер відомостей, що до них належать (наприклад, комерційна таємниця), з метою визначення порядку її обігу та функціонування, це не означатиме вичерпності видів такої інформації та порушення диспозитивності норми (наприклад, якщо інформація не відповідає визначенню комерційної таємниці, це не означає, що вона не може бути визнана конфіденційною взагалі). До того ж неможливою є конфіденційність а priori, тобто вимога держави на рівні закону щодо обов'язковості визнання певної інформації конфіденційною. Щодо співвідношення інформації, яка захищається за допомогою законодавства про інтелектуальну власність, та конфіденційної інформації [7, 9-12], то воно виглядає наступним чином: конфіденційна інформація не обов'язково є об'єктом інтелектуальної власності, однак інформація, яка захищається за допомогою законодавства про інтелектуальну власність, може бути визнана конфіденційною. Таке визнання і відповідне застосування норм законодавства щодо інформації з обмеженим доступом не є перешкодою до застосування відповідних норм законодавства щодо інтелектуальної власності. В окремих випадках норми законодавства щодо інформації з обмеженим доступом є єдиним правовим засобом захисту вищезазначеної інформації в Україні (наприклад, ноу-хау). Що ж до таємної інформації, то норми законодавства щодо інформації з обмеженим доступом мають перевагу у застосуванні порівняно з нормами законодавства про інтелектуальну власність. Як уже зазначалося, існує багато окреслених у законодавстві видів інформації, в назві яких фігурує слово "таємниця" (види інформації, в яких спостерігаються спільні ознаки, в переліку позначені однаковим шрифтом):
Однак чи кожен з цих видів інформації належить до категорії таємної? Наявність у складі назви слова "таємниця" вочевидь не є визначальним моментом для безумовного розгляду зазначених видів як належних до категорії таємної інформації. Наприклад, у складі інформаційних ресурсів Російської Федерації також є наявними комерційна, банківська, службова, адвокатська та інші вищезазначені "таємниці". Однак, оскільки відповідно до законодавства Російської Федерації [21], інформація з обмеженим доступом поділяється на державну таємницю та конфіденційну інформацію, всі вищезазначені "таємниці", а також персональні дані належать до конфіденційної інформації (в той же час і термін "конфіденційна інформація" застосовується в дещо іншому значенні, ніж це має місце у відповідності із законодавством України). Слово "таємниця", таким чином, є синонімом до вислову "інформація з обмеженим доступом". Це є справедливим і для законодавства України, тому щодо кожної з "таємниць" має бути доведена її змістовна відповідність закріпленим законі України "Про інформацію" визначенням таємної, або ж конфіденційної інформації. Держава законодавчо зобов'язує не розголошувати всі види, крім комерційної та таємниці попереднього слідства (згідно Кримінального Кодексу України - таємниця попереднього слідства та дізнання) вже в силу існування інформації певного характеру або в силу знаходження інформації в певних суб'єктів. Щодо комерційної таємниці та таємниці попереднього слідства , то закон передбачає можливість обмеженого доступу до інформації певного характеру, якщо на це є воля власника (щодо попереднього слідства, власниками слід вважати осіб, з волі та внаслідок діяльності яких інформація попереднього слідства виникає як особливий об'єкт, тобто органи та посадових осіб, що здійснюють попереднє слідство). Закон, таким чином, не вимагає таємності інформації в будь-якому разі, тобто вже в силу її існування і обмеження доступу встановлюється з моменту прийняття власником рішення про це. Тобто зазначена інформація є конфіденційною. Разом з тим вважаємо, що таке становище таємниці попереднього слідства є недоречним з міркувань забезпечення безпеки зазначеної інформації з обмеженим доступом та інтересів слідства і має бути законодавчо змінено. Державна, службова, військова, медична таємниці, таємниця нарадчої кімнати є, безперечно, таємною інформацією. Як вже зазначалося, держава в обов'язковому порядку вимагає таємності таких відомостей. Державна [13,17], службова, військова таємниці [17] є загальнообов'язковими, в тому числі і для власника. Слід відзначити, що питання про зміст службової таємниці є дискусійним. Цивільне законодавство Російської Федерації [24], наприклад, окремими нормами здійснює спільне регулювання "службової та комерційної таємниць", тобто службова таємниця розглядається як така, що за змістом співпадає з комерційною, однак відрізняється від останньої за суб'єктами. Таке визначення службової таємниці обмежує права державних органів, підприємств, установ та організацій на конфіденційну інформацію (комерційну таємницю), або зумовлює конфіденційний характер службової таємниці, що суперечить нормам кримінального законодавства України. Не слід вважати вдалою також пропозицію доктрини про визнання службовою таємницею будь-якої інформації, одержаної внаслідок виконання професійних або службових обов'язків, оскільки не вся зазначена інформація потребує встановлення обмеження доступу до неї, а інформація тих видів, що належать до категорії таємної, має різний характер, особливості обігу, суб'єктний склад. Головним недоліком вищенаведених визначень службової таємниці є те, що вона, таким чином, залишатиме без захисту інформацію у найбільш важливих сферах життєдіяльності суспільства та держави, яка не може бути визнана державною таємницею відповідно до законодавства України, хоча саме така інформація становить зміст службової таємниці, якщо встановлювати його з негативного визначення, що міститься в чинному Кримінальному Кодексі України, та розміщення в Кодексі відповідної статті. Тобто вважаємо за необхідне закріпити визначення службової таємниці як "маленької державної таємниці" на рівні закону. Від службової слід відрізняти професійну таємницю [16]. Вона визначається не змістом конкретних відомостей, а їх наявністю у віданні визначених законом державних органів внаслідок виконання ними своїх функцій. Визначальне значення виконання зазначеної діяльності обумовлює строковий характер професійної таємниці - обмеження доступу скасовуються після закінчення такої діяльності органами державної влади. Для інформації, що становить професійну таємницю, може бути характерним перехід до категорії таємної з категорії конфіденційної (якщо до моменту передачі у відання відповідних органів власник визнав зазначену інформацію конфіденційною). В такому випадку скасування обмеження доступу до неї як до таємної інформації не скасовує її належності до категорії конфіденційної. Такий перехід може відбуватися й щодо інших видів таємної інформації. Таємниця нарадчої кімнати [18] є обов'язковою для присутніх суддів з приводу міркувань, які ними висловлюються. Щодо медичної таємниці [5], вона є обов'язковою лише для спеціального суб'єкта, а не для власника (особи, відомості про яку становлять зміст медичної таємниці) та інших осіб. Однак воля власника не може змінити режим доступу до такої інформації - суб'єкт має зберігати її в таємниці. В зазначених випадках, таким чином, ознаки конфіденційності повністю відсутні - диспозитивність та керівна воля власника. Разом з тим інформація, яка становить медичну таємницю, може бути використана в навчальному процесі, науково-дослідній роботі, в тому числі у випадках її публікації у спеціальній літературі, але за умови обов'язкового забезпечення анонімності пацієнта (тобто, згідно ст. 40 "Основ законодавства про охорону здоров'я", таке використання не скасовує таємного характеру інформації, оскільки значення має не збереження в таємниці власне відомостей, але особи, якої такі відомості стосуються. Збереження анонімності особи визначає зміст і деяких інших "таємниць", наприклад адвокатської). Згідно ст. 31 Конституції України [1], кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. Винятки можуть бути встановлені лише судом у випадках, передбачених законом, з метою запобігти злочинові чи з*ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо. Тобто обмеження доступу до такої інформації імперативно вимагається законом, і зобов'язаний суб'єкт має зберігати таємницю такої інформації незалежно від волі власника. Це, таким чином, також таємна інформація. Дещо схожий характер має банківська таємниця [2] - закон зобов'язує службовців банків зберігати таємницю по операціях, рахунках і вкладах банку його клієнтів та респондентів незалежно від волі останніх, однак зазначає випадки, коли вказана інформація може надаватися державним органам та посадовим особам з метою забезпечення виконання покладених на них обов'язків ( закон України "Про банки та банківську діяльність"). Від останніх, разом з тим, не вимагається подальшого збереження таємності інформації, що становить предмет банківської таємниці (цей недолік має бути усунено!). Це ж саме стосується і таємниці страхування, [15] таємниці вчинюваних нотаріальних дій [8]. У законодавстві Німеччини [22] аналогічний медичній таємниці характер має і адвокатська таємниця. Адвокат, незалежно від волі клієнта, зобов'язаний зберігати її протягом 5 років після закінчення виконання доручення клієнта, якого стосується така інформація. В Україні [6] закон покладає на адвоката обов'язок тримати в таємниці інформацію, що стала йому відома у зв'язку з виконанням ним своїх обов'язків (з цих питань він не може бути допитаний як свідок). Що стосується документованої інформації, пов'язаної в виконанням адвокатом доручення (ч.2. ст.10 закону України "Про адвокатуру"), - очевидно, власником якої є адвокат - вона підлягає оглядові та розголошенню лише за згодою адвоката. Тобто наявна у віданні адвоката інформація може бути як таємною, так і конфіденційною (разом з тим, чинне законодавство не містить критеріїв такого розподілу зазначеної інформації). Особливість має також і таємниця усиновлення [19] - закон встановлює обмеження доступу, а власник може змінювати порядок доступу та розповсюдження інформації на свій розсуд. Відповідальність за розголошення такої інформації настає лише в разі розголошення проти волі власника, так само, як і щодо комерційної таємниці. Але остання стає інформацією з обмеженим доступом після акту волевиявлення власника, а таємниця усиновлення є такою a priori. Разом з тим, стаття 46 закону України "Про інформацію", визначаючи, яка інформація не підлягає розголошенню, відмежовує державну та "іншу передбачену законом таємницю" від лікарської таємниці, таємниці грошових вкладів, прибутків від підприємницької діяльності, усиновлення, листування, телефонних розмов і телеграфних повідомлень, очевидно, не вважаючи зазначені "таємниці" таємною інформацією. Ці непорозуміння мають бути ліквідовані шляхом чіткого окреслення меж та критеріїв різних категорій інформації з обмеженим доступом. Також необхідно встановити, до якої категорії інформації з обмеженим доступом належать персональні дані (відповідно до Конституції - інформація про особу) [1, 4]. Крім того, необхідно визначити власника таких відомостей - особу, якої стосуються такі відомості, або відповідні органи (останніх доречніше вважати володільцями, а не власниками), визначити кількість інформації про громадян, яка може бути одержана законним шляхом. В іноземних державах [23] на державні органи покладений обов'язок зберігати інформацію, яка носить характер персональних даних, у таємниці незалежно від волі власника, оскільки вона (інформація) збирається також незалежно від його волі, тобто такі персональні дані вважаються таємною інформацією. Щодо збирання інформації недержавними органами, ця інформація визнається конфіденційною і поширюється згідно до передбачених власником умов. Разом з тим, згідно ст.32 Конституції України, персональні дані можуть і не вважатися захищеною законом таємницею (ч.3). Ч.2 ст.32 передбачає, що не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, i лише в інтересах національної безпеки, економічного добробуту та прав людини. Тобто, якщо випадки збирання персональних даних державними органами є такими винятками (за ст.32), то персональні дані є конфіденційною інформацією (а якщо не допускається здійснення інформаційних процесів щодо конфіденційної інформації про особу, вони, очевидно, дозволені щодо відкритої інформації - тобто, за статтею 32 Конституції, можливе і її існування). Що ж стосується тієї інформації, яка була зібрана "у випадках, визначених законом" державними органами, законодавство (зокрема Конституція України) не визначає її подальшої долі, тобто не встановлює, чи належить зазначена інформація до категорії таємної. До того ж ч. 3 ст. 32 встановлює, що громадяни не можуть знайомитись з відомостями про себе, які є не тільки державною, а й "іншою передбаченою законом таємницею" (тобто за змістом цієї норми персональні дані, зокрема відомості, що становлять зміст медичної та банківської таємниць, не можуть належати до таємної інформації, або ж особа, якої стосуються зазначені відомості, не може знайомитись з ними) - тому всі ці питання потребують уточнення на рівні закону. Таким чином слід зазначити, що регулювання суспільних відносин, які виникають з приводу інформації з обмеженим доступом, що не становить державної таємниці, є "білою плямою" в законодавстві України. Це зумовлено не лише відсутністю чіткого розмежування конфіденційної та таємної інформації, але й безсистемним та недбалим викладенням положень, які стосуються будь-якої інформації з обмеженим доступом, якщо вона не становить державної таємниці, непридатністю відповідних норм до практичного застосування. Усунення зазначених недоліків є обов'язковою передумовою розвитку інформаційного законодавства України, в тому числі й законодавчих основ системи захисту інформації. Постанова КАБІНЕТА МІНІСТРІВ УКРАЇНИ: вiд 27.11.1998 № 1893 "Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави" Зміст Загальні положення
27.Закон України „Про захист інформації в інформаційно-телекомунікаційних системах” ЗАКОН УКРАЇНИ Про захист інформації в інформаційно-телекомунікаційних системах 1994 року Закон викладено у новій редакції), від 15 січня 2009 року Цей Закон регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - система). |
|
МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ Дніпропетровський... Програма комплексного кваліфікаційного екзамену охоплює теми фундаментальних дисциплін з історії, які забезпечують базовий рівень... |
КАФЕДРА СИСТЕМ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ Галузь застосування |
|
МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ НАЦІОНАЛЬНИЙ... «МЕДИКО-БІОЛОГІЧНІ ОСНОВИ ФІЗИЧНОЇ КУЛЬТУРИ І СПОРТУ» для випускників заочної форми навчання |
НОРМАТИВНИЙ ДОКУМЕНТ СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ Цей документ не може бути повністю або частково відтворений, тиражований ї розповсюджений без дозволу Державного комітету України... |
|
Тема. Апаратні засоби захисту інформації в комп’ютерних системах Формування знань класифікації, призначення, особливостей застосування апаратних засобів захисту інформації в комп’ютерних системах.... |
Міністерство освіти і науки України України від 5 травня 2011 року №547 «Питання забезпечення органами виконавчої влади доступу до публічної інформації» та для належної... |
|
Задачах Тема «Поняття комплексного числа» Назвіть уявну та дійсну частини комплексного числа та якими символами їх позначають? |
Законодавче забезпечення права споживачів на отримання інформації про товар українською мовою ... |
|
РЕКОМЕНДАЦІЇ віднесення публічної інформації до службової згідно... Рекомендовано до застосування Представником Уповноваженого Верховної Ради України з прав людини з питань доступу до публічної інформації... |
В. П. Жиленко Кафедра менеджменту. Національний університет кораблебудування... Кафедра менеджменту. Національний університет кораблебудування імені адмірала Макарова, Миколаїв |