Деякі питання проведення державної експертизи у сфері ТЗІ
Розглядаються деякі випадки проведення держ.експертизи у сфері ТЗІ щодо відповідності програмного зебезпечення вимогам НД з ТЗІ
Стаття є продовженням попередньої статті «Загадковий «Сертифікат захисту «Г-2», в якій було анонсовано висвітлення деяких питань.
До числа програмних засобів технічного захисту інформації від несанкціонованого доступу належить програмне забезпечення, яке безпосередньої призначене для захисту інформації, а також окремі компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з його основними функціями реалізовані функції з захисту інформації.
Для підтвердження відповідності (підтвердження того, що зазначене програмне забезпечення відповідає вимогам нормативних документів з технічного захисту інформації, у тому числі не має ніяких прихованих функцій), може бути проведена державна експертиза у сфері технічного захисту інформації.
Державна експертиза проводиться у порядку, передбаченому Положенням про державну експертизу в сфері технічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 р. № 93 із змінами.
За результатами проведення експертизи складається Експертний висновок щодо можливості використання засобу технічного захисту інформації. Якщо об’єктом експертизи є комплексна система захисту інформації, в побудові якої використовується засіб технічного захисту інформації (як складова системи), то складається Експертний висновок та Атестат відповідності. Зазначені документи реєструються Державною службою спеціального зв’язку та захисту інформації України.
На практиці виникають питання, в яких випадках наявність Експертного висновку щодо можливості використання засобу технічного захисту інформації є обов’язковою.
У статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» встановлено, що державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством. Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації.
Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету міністрів України від 29.03.2006 р. № 373 із змінами, визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. У пункті 16 вказаних Правил встановлено, що для забезпечення захисту інформації в системі створюється комплексна система захисту інформації, яка призначається для захисту інформації. Пунктом 21 вказаних Правил встановлено, що у складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.
Отже, певне програмне забезпечення з числа програмних засобів технічного захисту інформації може використовуватись для забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, лише у разі підтвердження його відповідності вимогам нормативних документів з технічного захисту інформації.
У зв’язку з наведеним вище постають інші питання: які інформаційні ресурси вважаються державними та яка інформація є такою, вимога щодо захисту якої встановлена законом ?
Визначення терміну «державні інформаційні ресурси» міститься у Законі України «Про Державну службу спеціального зв’язку та захисту інформації України». Так, відповідно до статті 1 Закону державні інформаційні ресурси - систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень.
До інформації, вимога щодо захисту якої встановлена законом, може належати дуже різноманітна інформація. Чи є вимоги щодо захисту певної інформації, підлягає встановленню у кожному конкретному випадку. При цьому, я не буду зупинятись на питані, чи обов’язково така вимога може встановлюватись виключно законом. Я вважаю, що у даному випадку поняття «закон» має розширене тлумачення і включає в себе законодавство України в цілому. Неодноразово Верховний Суд України дотримувався такої позиції та усталеної судової практики.
В якості прикладу, коли вимога щодо захисту інформації встановлена законодавством України, можна навести приклад з об’єктами критичної інфраструктури.
Відповідно до статті 1 Закону України «Про основні засади забезпечення кібербезпеки України» об’єкти критичної інфраструктури - підприємства, установи та організації незалежно від форми власності, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки та промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей.
Вимоги щодо захисту інформації на об’єкті критичної інфраструктури встановлені у Переліку базових вимог із забезпечення кіберзахисту на об’єкті критичної інфраструктури, затвердженому постановою Кабінету міністрів України від 19.06.2019 р. № 518. Так, згідно з пунктом 3 Переліку кіберзахист об’єкта критичної інфраструктури забезпечується шляхом впровадження на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури комплексної системи захисту інформації або системи інформаційної безпеки з підтвердженою відповідністю. В пункті 45 вказаного Переліку зазначено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації.
У випадках, коли вимога щодо захисту інформації прямо не встановлена законодавством України, підтвердження відповідності програмного забезпечення з числа програмних засобів технічного захисту інформації шляхом проведення державної експертизи та отримання Експертного висновку не є обов’язковим.
Натомість, сенс проведення державної експертизи та отримання Експертного висновку щодо можливості використання програмного забезпечення з числа програмних засобів технічного захисту інформації полягає і у значному розширенні кола потенційних покупців/користувачів.
Щонайменше, до числа таких потенційних покупців/користувачів програмного забезпечення належать:
1. Особи, які обробляють державні інформаційні ресурси - інформацію, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, державним підприємствам, установам та організаціям, а також інформацію, яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» та стаття 1 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України»).
2. Об’єкти критичної інфраструктури, а саме підприємства, установи та організації незалежно від форми власності, які:
- провадять діяльність та надають послуги в галузях енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у банківському та фінансовому секторах;
- надають послуги у сферах життєзабезпечення населення, зокрема у сферах централізованого водопостачання, водовідведення, постачання електричної енергії і газу, виробництва продуктів харчування, сільського господарства, охорони здоров’я;
- є комунальними, аварійними та рятувальними службами, службами екстреної допомоги населенню;
- включені до переліку підприємств, що мають стратегічне значення для економіки і безпеки держави;
- є об’єктами потенційно небезпечних технологій і виробництв.
(стаття 6 Закону України «Про основні засади забезпечення кібербезпеки України»).
3. Об’єкти підвищеної небезпеки, а саме об'єкти, на яких використовуються, виготовляються, переробляються, зберігаються або транспортуються одна або кілька небезпечних речовин чи категорій речовин у кількості, що дорівнює або перевищує нормативно встановлені порогові маси, а також інші об'єкти як такі, що відповідно до закону є реальною загрозою виникнення надзвичайної ситуації техногенного та природного характеру (стаття 1 Закону України «Про об’єкти підвищеної небезпеки»).
4. Інші особи, які обробляють інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законодавством України (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»).
- Права, гарантовані Конституцією України, які неможливо обмежити Світлана Приймак 18:21
- Процедура видачі Держпрацею дозволів на виконання робіт підвищеної небезпеки Євген Морозов 10:32
- Сила чи емпатія Наталія Тонкаль вчора о 20:57
- Видалення з реєстру старої щорічної декларації депутата та подання виправленої Євген Морозов вчора о 16:07
- Справедливість по-українськи: забрати в бідних, збагатити чиновників Андрій Павловський 15.11.2024 22:06
- Перевибори у Німеччині. Нові проблеми чи можливості для України? Галина Янченко 15.11.2024 17:33
- Особистий бренд – ваш новий бізнес-актив Наталія Тонкаль 15.11.2024 14:39
- Нові правила управління державним майном та реалізації арештованих активів Дмитро Зенкін 15.11.2024 14:09
- Обміняйте Шевченка Євген Магда 15.11.2024 13:56
- Університети і ринок праці: взаємозалежність Юрій Баланюк 15.11.2024 13:37
- Виїзд дитини за кордон під час війни: порада від сімейного адвоката Світлана Приймак 15.11.2024 12:59
- Право постійного землекористувача надавати земельну ділянку в оренду третій особі Євген Морозов 15.11.2024 11:16
- ІТ в США та в Україні: порівняння зарплат, витрати та перспективи Сергій Хромченко 15.11.2024 10:39
- Воднева галузь США після обрання Трампа: чи зупинить Америка рух зеленого водню? Олексій Гнатенко 15.11.2024 09:15
- Форвардні контракти на ринку електроенергії ЄС: як працювати з вигодою та без ризиків Ростислав Никітенко 14.11.2024 11:55
-
Темні емпати: який це тип особистості та що про них кажуть психологи
Життя 9715
-
Комедія з Монікою Белуччі та продовження легендарного "Гладіатора": чотири кіноновинки тижня
Життя 6712
-
Секрет дорогих яєць. Як виробники задерли ціни та збільшили експорт
Бізнес 5144
-
"Справжній бедрум панк": музичні новинки тижня
Життя 4021
-
NASA та Microsoft запустили чатбот на основі ШІ, що відповідає на питання про Землю
Бізнес 3903