Деякі питання проведення державної експертизи у сфері ТЗІ
Розглядаються деякі випадки проведення держ.експертизи у сфері ТЗІ щодо відповідності програмного зебезпечення вимогам НД з ТЗІ
Стаття є продовженням попередньої статті «Загадковий «Сертифікат захисту «Г-2», в якій було анонсовано висвітлення деяких питань.
До числа програмних засобів технічного захисту інформації від несанкціонованого доступу належить програмне забезпечення, яке безпосередньої призначене для захисту інформації, а також окремі компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з його основними функціями реалізовані функції з захисту інформації.
Для підтвердження відповідності (підтвердження того, що зазначене програмне забезпечення відповідає вимогам нормативних документів з технічного захисту інформації, у тому числі не має ніяких прихованих функцій), може бути проведена державна експертиза у сфері технічного захисту інформації.
Державна експертиза проводиться у порядку, передбаченому Положенням про державну експертизу в сфері технічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 р. № 93 із змінами.
За результатами проведення експертизи складається Експертний висновок щодо можливості використання засобу технічного захисту інформації. Якщо об’єктом експертизи є комплексна система захисту інформації, в побудові якої використовується засіб технічного захисту інформації (як складова системи), то складається Експертний висновок та Атестат відповідності. Зазначені документи реєструються Державною службою спеціального зв’язку та захисту інформації України.
На практиці виникають питання, в яких випадках наявність Експертного висновку щодо можливості використання засобу технічного захисту інформації є обов’язковою.
У статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» встановлено, що державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством. Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації.
Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету міністрів України від 29.03.2006 р. № 373 із змінами, визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. У пункті 16 вказаних Правил встановлено, що для забезпечення захисту інформації в системі створюється комплексна система захисту інформації, яка призначається для захисту інформації. Пунктом 21 вказаних Правил встановлено, що у складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.
Отже, певне програмне забезпечення з числа програмних засобів технічного захисту інформації може використовуватись для забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, лише у разі підтвердження його відповідності вимогам нормативних документів з технічного захисту інформації.
У зв’язку з наведеним вище постають інші питання: які інформаційні ресурси вважаються державними та яка інформація є такою, вимога щодо захисту якої встановлена законом ?
Визначення терміну «державні інформаційні ресурси» міститься у Законі України «Про Державну службу спеціального зв’язку та захисту інформації України». Так, відповідно до статті 1 Закону державні інформаційні ресурси - систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень.
До інформації, вимога щодо захисту якої встановлена законом, може належати дуже різноманітна інформація. Чи є вимоги щодо захисту певної інформації, підлягає встановленню у кожному конкретному випадку. При цьому, я не буду зупинятись на питані, чи обов’язково така вимога може встановлюватись виключно законом. Я вважаю, що у даному випадку поняття «закон» має розширене тлумачення і включає в себе законодавство України в цілому. Неодноразово Верховний Суд України дотримувався такої позиції та усталеної судової практики.
В якості прикладу, коли вимога щодо захисту інформації встановлена законодавством України, можна навести приклад з об’єктами критичної інфраструктури.
Відповідно до статті 1 Закону України «Про основні засади забезпечення кібербезпеки України» об’єкти критичної інфраструктури - підприємства, установи та організації незалежно від форми власності, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки та промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей.
Вимоги щодо захисту інформації на об’єкті критичної інфраструктури встановлені у Переліку базових вимог із забезпечення кіберзахисту на об’єкті критичної інфраструктури, затвердженому постановою Кабінету міністрів України від 19.06.2019 р. № 518. Так, згідно з пунктом 3 Переліку кіберзахист об’єкта критичної інфраструктури забезпечується шляхом впровадження на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури комплексної системи захисту інформації або системи інформаційної безпеки з підтвердженою відповідністю. В пункті 45 вказаного Переліку зазначено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації.
У випадках, коли вимога щодо захисту інформації прямо не встановлена законодавством України, підтвердження відповідності програмного забезпечення з числа програмних засобів технічного захисту інформації шляхом проведення державної експертизи та отримання Експертного висновку не є обов’язковим.
Натомість, сенс проведення державної експертизи та отримання Експертного висновку щодо можливості використання програмного забезпечення з числа програмних засобів технічного захисту інформації полягає і у значному розширенні кола потенційних покупців/користувачів.
Щонайменше, до числа таких потенційних покупців/користувачів програмного забезпечення належать:
1. Особи, які обробляють державні інформаційні ресурси - інформацію, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, державним підприємствам, установам та організаціям, а також інформацію, яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» та стаття 1 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України»).
2. Об’єкти критичної інфраструктури, а саме підприємства, установи та організації незалежно від форми власності, які:
- провадять діяльність та надають послуги в галузях енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у банківському та фінансовому секторах;
- надають послуги у сферах життєзабезпечення населення, зокрема у сферах централізованого водопостачання, водовідведення, постачання електричної енергії і газу, виробництва продуктів харчування, сільського господарства, охорони здоров’я;
- є комунальними, аварійними та рятувальними службами, службами екстреної допомоги населенню;
- включені до переліку підприємств, що мають стратегічне значення для економіки і безпеки держави;
- є об’єктами потенційно небезпечних технологій і виробництв.
(стаття 6 Закону України «Про основні засади забезпечення кібербезпеки України»).
3. Об’єкти підвищеної небезпеки, а саме об'єкти, на яких використовуються, виготовляються, переробляються, зберігаються або транспортуються одна або кілька небезпечних речовин чи категорій речовин у кількості, що дорівнює або перевищує нормативно встановлені порогові маси, а також інші об'єкти як такі, що відповідно до закону є реальною загрозою виникнення надзвичайної ситуації техногенного та природного характеру (стаття 1 Закону України «Про об’єкти підвищеної небезпеки»).
4. Інші особи, які обробляють інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законодавством України (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»).
- Форвардні контракти на ринку електроенергії ЄС: як працювати з вигодою та без ризиків Ростислав Никітенко 11:55
- Особливості здійснення Держгеокадастром контролю за використанням та охороною земель Євген Морозов 09:56
- Розірвання шлюбу за кордоном: особливості та процедури для українців Світлана Приймак вчора о 16:28
- Зелені сертифікати для експорту електроенергії: можливості для українських трейдерів Ростислав Никітенко вчора о 11:10
- Еволюція судової практики: від традицій до цифрових інновацій Дмитро Шаповал вчора о 10:22
- Надіслання адвокатом відзиву на касаційну скаргу на електронну пошту Суду Євген Морозов вчора о 09:28
- Згода на обробку персональних даних – правочин? Судова практика Анастасія Полтавцева 12.11.2024 16:59
- Адвокатський запит в ТЦК та відстрочка від призову: очікування й реальність Світлана Приймак 12.11.2024 16:55
- Як створити "блакитний океан" для бренду: стратегія виходу за межі конкуренції Наталія Тонкаль 12.11.2024 11:32
- Переваги та ризики співпраці з європейськими постачальниками відновлювальної енергії Ростислав Никітенко 12.11.2024 11:02
- Перезавантаження трейдерського ринку: ключові тренди Дмитро Казанін 12.11.2024 10:48
- "Безліміт" на кредитні ліміти: як вилізти з боргової ями Ірина Селезньова 12.11.2024 09:55
- ОП ВС КГС: зменшення розміру неустойки (пені) нарахованої за порушення зобов`язання Євген Морозов 12.11.2024 08:49
- Гра в імітацію Євген Магда 12.11.2024 05:31
- Правова боротьба за спадок: позов проти банку про стягнення коштів у російських рублях Павло Васильєв 11.11.2024 20:24
-
У Нідерландах успішно випробували найпотужніший наземний кран у світі – фото
Бізнес 10151
-
Співвласник АТБ почне відкривати торговельні центри у невеликих містах
Бізнес 9804
-
Кінець уряду Шольца. Хто стане новим канцлером і який ультиматум має для Путіна
6421
-
У країнах ЄС ціни на вершкове масло зросли на 40%. Україна скорочує експорт
Бізнес 4835
-
Нафта може впасти до $40 у 2025 році, якщо ОПЕК скасує добровільне скорочення видобутку
Бізнес 3632