Деякі питання проведення державної експертизи у сфері ТЗІ
Розглядаються деякі випадки проведення держ.експертизи у сфері ТЗІ щодо відповідності програмного зебезпечення вимогам НД з ТЗІ
Стаття є продовженням попередньої статті «Загадковий «Сертифікат захисту «Г-2», в якій було анонсовано висвітлення деяких питань.
До числа програмних засобів технічного захисту інформації від несанкціонованого доступу належить програмне забезпечення, яке безпосередньої призначене для захисту інформації, а також окремі компоненти/модулі/механізми захисту інформації програмного забезпечення, в якому поряд з його основними функціями реалізовані функції з захисту інформації.
Для підтвердження відповідності (підтвердження того, що зазначене програмне забезпечення відповідає вимогам нормативних документів з технічного захисту інформації, у тому числі не має ніяких прихованих функцій), може бути проведена державна експертиза у сфері технічного захисту інформації.
Державна експертиза проводиться у порядку, передбаченому Положенням про державну експертизу в сфері технічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 р. № 93 із змінами.
За результатами проведення експертизи складається Експертний висновок щодо можливості використання засобу технічного захисту інформації. Якщо об’єктом експертизи є комплексна система захисту інформації, в побудові якої використовується засіб технічного захисту інформації (як складова системи), то складається Експертний висновок та Атестат відповідності. Зазначені документи реєструються Державною службою спеціального зв’язку та захисту інформації України.
На практиці виникають питання, в яких випадках наявність Експертного висновку щодо можливості використання засобу технічного захисту інформації є обов’язковою.
У статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» встановлено, що державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством. Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації.
Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету міністрів України від 29.03.2006 р. № 373 із змінами, визначають загальні вимоги та організаційні засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. У пункті 16 вказаних Правил встановлено, що для забезпечення захисту інформації в системі створюється комплексна система захисту інформації, яка призначається для захисту інформації. Пунктом 21 вказаних Правил встановлено, що у складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.
Отже, певне програмне забезпечення з числа програмних засобів технічного захисту інформації може використовуватись для забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, лише у разі підтвердження його відповідності вимогам нормативних документів з технічного захисту інформації.
У зв’язку з наведеним вище постають інші питання: які інформаційні ресурси вважаються державними та яка інформація є такою, вимога щодо захисту якої встановлена законом ?
Визначення терміну «державні інформаційні ресурси» міститься у Законі України «Про Державну службу спеціального зв’язку та захисту інформації України». Так, відповідно до статті 1 Закону державні інформаційні ресурси - систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень.
До інформації, вимога щодо захисту якої встановлена законом, може належати дуже різноманітна інформація. Чи є вимоги щодо захисту певної інформації, підлягає встановленню у кожному конкретному випадку. При цьому, я не буду зупинятись на питані, чи обов’язково така вимога може встановлюватись виключно законом. Я вважаю, що у даному випадку поняття «закон» має розширене тлумачення і включає в себе законодавство України в цілому. Неодноразово Верховний Суд України дотримувався такої позиції та усталеної судової практики.
В якості прикладу, коли вимога щодо захисту інформації встановлена законодавством України, можна навести приклад з об’єктами критичної інфраструктури.
Відповідно до статті 1 Закону України «Про основні засади забезпечення кібербезпеки України» об’єкти критичної інфраструктури - підприємства, установи та організації незалежно від форми власності, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки та промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей.
Вимоги щодо захисту інформації на об’єкті критичної інфраструктури встановлені у Переліку базових вимог із забезпечення кіберзахисту на об’єкті критичної інфраструктури, затвердженому постановою Кабінету міністрів України від 19.06.2019 р. № 518. Так, згідно з пунктом 3 Переліку кіберзахист об’єкта критичної інфраструктури забезпечується шляхом впровадження на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури комплексної системи захисту інформації або системи інформаційної безпеки з підтвердженою відповідністю. В пункті 45 вказаного Переліку зазначено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації.
У випадках, коли вимога щодо захисту інформації прямо не встановлена законодавством України, підтвердження відповідності програмного забезпечення з числа програмних засобів технічного захисту інформації шляхом проведення державної експертизи та отримання Експертного висновку не є обов’язковим.
Натомість, сенс проведення державної експертизи та отримання Експертного висновку щодо можливості використання програмного забезпечення з числа програмних засобів технічного захисту інформації полягає і у значному розширенні кола потенційних покупців/користувачів.
Щонайменше, до числа таких потенційних покупців/користувачів програмного забезпечення належать:
1. Особи, які обробляють державні інформаційні ресурси - інформацію, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, державним підприємствам, установам та організаціям, а також інформацію, яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» та стаття 1 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України»).
2. Об’єкти критичної інфраструктури, а саме підприємства, установи та організації незалежно від форми власності, які:
- провадять діяльність та надають послуги в галузях енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у банківському та фінансовому секторах;
- надають послуги у сферах життєзабезпечення населення, зокрема у сферах централізованого водопостачання, водовідведення, постачання електричної енергії і газу, виробництва продуктів харчування, сільського господарства, охорони здоров’я;
- є комунальними, аварійними та рятувальними службами, службами екстреної допомоги населенню;
- включені до переліку підприємств, що мають стратегічне значення для економіки і безпеки держави;
- є об’єктами потенційно небезпечних технологій і виробництв.
(стаття 6 Закону України «Про основні засади забезпечення кібербезпеки України»).
3. Об’єкти підвищеної небезпеки, а саме об'єкти, на яких використовуються, виготовляються, переробляються, зберігаються або транспортуються одна або кілька небезпечних речовин чи категорій речовин у кількості, що дорівнює або перевищує нормативно встановлені порогові маси, а також інші об'єкти як такі, що відповідно до закону є реальною загрозою виникнення надзвичайної ситуації техногенного та природного характеру (стаття 1 Закону України «Про об’єкти підвищеної небезпеки»).
4. Інші особи, які обробляють інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законодавством України (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»).
- Вимога щодо посвідчення заповіту при свідках при наявності хвороби заповідача Євген Морозов вчора о 21:08
- Використання подарункового сертифікату платником єдиного податку Євген Власов вчора о 19:07
- Виклики і тенденції. Що чекає на український бізнес в 2025 році Віктор Андрухів вчора о 17:46
- Як повернути активи за кордону: адвокатський погляд на спецконфіскацію, практику й виклики Дмитро Зенкін вчора о 13:51
- Юридичні нюанси встановлення когенераційних установок для виробництва та продажу е/е Ростислав Никітенко вчора о 12:09
- Бідних стає все більше Андрій Павловський 26.12.2024 22:57
- Використання підробленого військово квитка з метою перетину держкордону Євген Морозов 26.12.2024 21:03
- Авіакатастрофа "Азербайджанських авіаліній": пошуки правди Юрій Гусєв 26.12.2024 14:40
- Підписано Закон про право слідчих і прокурорів обмежувати роботу бізнесу Андрій Хомич 26.12.2024 14:08
- Особливості імпортно-експортних операцій з електроенергією та газом у Європі: аналіз країн Ростислав Никітенко 26.12.2024 13:30
- Партнерства заради сталого розвитку в технологічному секторі: Україна та світ Оксана Захарченко 26.12.2024 11:48
- Шестимісячний строк для оголошення особи померлою: право, яке має служити людяності Світлана Приймак 26.12.2024 11:43
- Етика суддів 2025: нові показники доброчесності чи додаткові виклики? Дмитро Зенкін 26.12.2024 10:13
- Оскарження в суді містобудівної документації як нормативно- правового акту Євген Морозов 25.12.2024 20:50
- Податкові умов для енергоринку в Україні, Польщі, Угорщині, Німеччині та Нідерландах Ростислав Никітенко 25.12.2024 14:21
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду 895
- Бідних стає все більше 406
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? 271
- Підписано Закон про право слідчих і прокурорів обмежувати роботу бізнесу 257
- Legal instruments to combat stalking, based on international experience 80
-
Суд заборонив продавати речі Медведчука, зокрема вже продані
Бізнес 26438
-
Українці вже не хочуть працювати за низьку зарплатню у Польщі. Скільки вимагають та отримують
Фінанси 19800
-
В Україну повертається одна з найбільших у світі контейнерних компаній
Бізнес 17424
-
Київстар починає згортати технологію 3G. З яких міст почнуть
Бізнес 6219
-
Компанія, яка будувала Дегтярівський міст, отримала від Києва новий багатомільйонний контракт
Бізнес 5522