Деякі питання проведення державної експертизи у сфері ТЗІ
Розглядаються деякі випадки проведення держ.експертизи у сфері ТЗІ щодо відповідності програмного зебезпечення вимогам НД з ТЗІ
Стаття є продовженням попередньої статті «Загадковий «Сертифікат захисту «Г-2», в якій було анонсовано висвітлення деяких питань.
До числа програмних засобів технічного захисту інформації від несанкціонованого доступу належить програмне забезпечення, яке безпосередньої призначене для захисту інформації, а також окремі компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з його основними функціями реалізовані функції з захисту інформації.
Для підтвердження відповідності (підтвердження того, що зазначене програмне забезпечення відповідає вимогам нормативних документів з технічного захисту інформації, у тому числі не має ніяких прихованих функцій), може бути проведена державна експертиза у сфері технічного захисту інформації.
Державна експертиза проводиться у порядку, передбаченому Положенням про державну експертизу в сфері технічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 р. № 93 із змінами.
За результатами проведення експертизи складається Експертний висновок щодо можливості використання засобу технічного захисту інформації. Якщо об’єктом експертизи є комплексна система захисту інформації, в побудові якої використовується засіб технічного захисту інформації (як складова системи), то складається Експертний висновок та Атестат відповідності. Зазначені документи реєструються Державною службою спеціального зв’язку та захисту інформації України.
На практиці виникають питання, в яких випадках наявність Експертного висновку щодо можливості використання засобу технічного захисту інформації є обов’язковою.
У статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» встановлено, що державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством. Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації.
Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету міністрів України від 29.03.2006 р. № 373 із змінами, визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. У пункті 16 вказаних Правил встановлено, що для забезпечення захисту інформації в системі створюється комплексна система захисту інформації, яка призначається для захисту інформації. Пунктом 21 вказаних Правил встановлено, що у складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.
Отже, певне програмне забезпечення з числа програмних засобів технічного захисту інформації може використовуватись для забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, лише у разі підтвердження його відповідності вимогам нормативних документів з технічного захисту інформації.
У зв’язку з наведеним вище постають інші питання: які інформаційні ресурси вважаються державними та яка інформація є такою, вимога щодо захисту якої встановлена законом ?
Визначення терміну «державні інформаційні ресурси» міститься у Законі України «Про Державну службу спеціального зв’язку та захисту інформації України». Так, відповідно до статті 1 Закону державні інформаційні ресурси - систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень.
До інформації, вимога щодо захисту якої встановлена законом, може належати дуже різноманітна інформація. Чи є вимоги щодо захисту певної інформації, підлягає встановленню у кожному конкретному випадку. При цьому, я не буду зупинятись на питані, чи обов’язково така вимога може встановлюватись виключно законом. Я вважаю, що у даному випадку поняття «закон» має розширене тлумачення і включає в себе законодавство України в цілому. Неодноразово Верховний Суд України дотримувався такої позиції та усталеної судової практики.
В якості прикладу, коли вимога щодо захисту інформації встановлена законодавством України, можна навести приклад з об’єктами критичної інфраструктури.
Відповідно до статті 1 Закону України «Про основні засади забезпечення кібербезпеки України» об’єкти критичної інфраструктури - підприємства, установи та організації незалежно від форми власності, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки та промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей.
Вимоги щодо захисту інформації на об’єкті критичної інфраструктури встановлені у Переліку базових вимог із забезпечення кіберзахисту на об’єкті критичної інфраструктури, затвердженому постановою Кабінету міністрів України від 19.06.2019 р. № 518. Так, згідно з пунктом 3 Переліку кіберзахист об’єкта критичної інфраструктури забезпечується шляхом впровадження на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури комплексної системи захисту інформації або системи інформаційної безпеки з підтвердженою відповідністю. В пункті 45 вказаного Переліку зазначено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації.
У випадках, коли вимога щодо захисту інформації прямо не встановлена законодавством України, підтвердження відповідності програмного забезпечення з числа програмних засобів технічного захисту інформації шляхом проведення державної експертизи та отримання Експертного висновку не є обов’язковим.
Натомість, сенс проведення державної експертизи та отримання Експертного висновку щодо можливості використання програмного забезпечення з числа програмних засобів технічного захисту інформації полягає і у значному розширенні кола потенційних покупців/користувачів.
Щонайменше, до числа таких потенційних покупців/користувачів програмного забезпечення належать:
1. Особи, які обробляють державні інформаційні ресурси - інформацію, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, державним підприємствам, установам та організаціям, а також інформацію, яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» та стаття 1 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України»).
2. Об’єкти критичної інфраструктури, а саме підприємства, установи та організації незалежно від форми власності, які:
- провадять діяльність та надають послуги в галузях енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у банківському та фінансовому секторах;
- надають послуги у сферах життєзабезпечення населення, зокрема у сферах централізованого водопостачання, водовідведення, постачання електричної енергії і газу, виробництва продуктів харчування, сільського господарства, охорони здоров’я;
- є комунальними, аварійними та рятувальними службами, службами екстреної допомоги населенню;
- включені до переліку підприємств, що мають стратегічне значення для економіки і безпеки держави;
- є об’єктами потенційно небезпечних технологій і виробництв.
(стаття 6 Закону України «Про основні засади забезпечення кібербезпеки України»).
3. Об’єкти підвищеної небезпеки, а саме об'єкти, на яких використовуються, виготовляються, переробляються, зберігаються або транспортуються одна або кілька небезпечних речовин чи категорій речовин у кількості, що дорівнює або перевищує нормативно встановлені порогові маси, а також інші об'єкти як такі, що відповідно до закону є реальною загрозою виникнення надзвичайної ситуації техногенного та природного характеру (стаття 1 Закону України «Про об’єкти підвищеної небезпеки»).
4. Інші особи, які обробляють інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законодавством України (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»).
- Історичний кіт у мішку: чому піврічні торги деревиною обурили деревообробників Юрій Дюг 07:32
- Доплата за фактичні квадратні метри об`єкту інвестування Євген Морозов вчора о 14:52
- "Компостер подій" Кремля: будьте пильними Євген Магда вчора о 11:28
- З 1 грудня зміняться правила бронювання: з'явилася Постанова Кабміну Віталій Соловей 23.11.2024 20:23
- Бюджет-2025 прийнятий, але це не точно Любов Шпак 23.11.2024 18:55
- Час затягувати паски Андрій Павловський 23.11.2024 17:27
- Строк нарахування 3% річних від суми позики Євген Морозов 23.11.2024 13:52
- Судовий захист при звернені стягнення на предмет іпотеки, якщо таке майно не відчужено Євген Морозов 22.11.2024 13:02
- Система обліку немайнової шкоди: коли держава намагається залікувати невидимі рани війни Світлана Приймак 22.11.2024 11:36
- Чому енергетичні та газові гіганти обирають Нідерланди чи Швейцарію для бізнесу Ростислав Никітенко 22.11.2024 08:47
- 1000+ днів війни: чи достатньо покарати агрессора правовими засобами?! Дмитро Зенкін 21.11.2024 21:35
- Горизонтальний моніторинг як сучасний метод податкового контролю Юлія Мороз 21.11.2024 13:36
- Ієрархія протилежних правових висновків суду касаційної інстанції Євген Морозов 21.11.2024 12:39
- Чужий серед своїх: право голосу і місце в політиці іноземців у ЄС Дмитро Зенкін 20.11.2024 21:35
- Сталий розвиток рибного господарства: нові можливості для інвестицій в Україні Артем Чорноморов 20.11.2024 15:59
-
24 листопада в Україні відключатимуть світло – деталі
Бізнес 8489
-
Банки в ОАЕ, Туреччині та Таїланді не обслуговують видані Газпромбанком картки UnionPay
Фінанси 8450
-
В Україні фальсифіковані до 25% молочних продуктів: голова Спілки молочних підприємств
Бізнес 6128
-
Чоловіки, які прийшли на підприємство і були заброньовані після 18 травня, втратять бронь
виправлено Бізнес 5743
-
Найвища гора Західної Європи та найефектніша гора Франції: неперевершений Монблан — фото
Життя 3558