Деякі питання проведення державної експертизи у сфері ТЗІ

Стаття є продовженням попередньої статті «Загадковий «Сертифікат захисту «Г-2», в якій було анонсовано висвітлення деяких питань.

До числа програмних засобів технічного захисту інформації від несанкціонованого доступу належить програмне забезпечення, яке безпосередньої призначене для захисту інформації, а також окремі компоненти/модулі/механізми захисту інформації  програмного забезпечення, в якому поряд з його основними функціями реалізовані функції з захисту інформації.

Для підтвердження відповідності (підтвердження того, що зазначене програмне забезпечення відповідає вимогам нормативних документів з технічного захисту інформації, у тому числі не має ніяких прихованих функцій), може бути проведена державна експертиза у сфері технічного захисту інформації.

Державна експертиза проводиться у порядку, передбаченому Положенням про державну експертизу в сфері технічного захисту інформації, затвердженому наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16.05.2007 р. № 93 із змінами.

За результатами проведення експертизи складається Експертний висновок щодо можливості використання засобу технічного захисту інформації. Якщо об’єктом експертизи є комплексна система захисту інформації, в побудові якої використовується засіб технічного захисту інформації (як складова системи), то складається Експертний висновок та Атестат відповідності. Зазначені документи реєструються Державною службою спеціального зв’язку та захисту інформації України.

На практиці виникають питання, в яких випадках наявність Експертного висновку щодо можливості використання засобу технічного захисту інформації є обов’язковою.

У статті 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» встановлено, що державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством. Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації.

Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету міністрів України від 29.03.2006 р. № 373 із змінами, визначають загальні вимоги та організаційні засади забезпечення  захисту державних інформаційних ресурсів або інформації,  вимога  щодо  захисту  якої  встановлена  законом,  в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. У пункті 16 вказаних Правил встановлено, що для забезпечення захисту інформації в системі створюється комплексна система захисту інформації, яка призначається для захисту інформації. Пунктом 21 вказаних Правил встановлено, що у складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.

Отже, певне програмне забезпечення з числа програмних засобів технічного захисту інформації може використовуватись для забезпечення захисту державних інформаційних ресурсів або інформації,  вимога  щодо  захисту  якої  встановлена  законом, лише у разі підтвердження його відповідності вимогам нормативних документів з технічного захисту інформації.

У зв’язку з наведеним вище постають інші питання: які інформаційні ресурси вважаються державними та яка інформація є такою, вимога  щодо  захисту  якої  встановлена  законом ?

Визначення терміну «державні інформаційні ресурси» міститься у Законі України «Про Державну службу спеціального зв’язку та захисту інформації України». Так, відповідно до статті 1 Закону державні інформаційні ресурси - систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень.

До інформації, вимога  щодо  захисту  якої  встановлена  законом, може належати дуже різноманітна інформація. Чи є вимоги щодо захисту певної  інформації, підлягає встановленню у кожному конкретному випадку. При цьому, я не буду зупинятись на питані, чи обов’язково така вимога може встановлюватись виключно законом. Я вважаю, що у даному випадку поняття «закон» має розширене тлумачення і включає в себе законодавство України в цілому. Неодноразово Верховний Суд України дотримувався такої позиції та усталеної судової практики.

В якості прикладу, коли вимога щодо захисту інформації встановлена законодавством України, можна навести приклад з об’єктами критичної інфраструктури.

Відповідно до статті 1 Закону України «Про основні засади забезпечення кібербезпеки України» об’єкти критичної інфраструктури - підприємства, установи та організації незалежно від форми власності, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки та промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей.

Вимоги щодо захисту інформації на об’єкті критичної інфраструктури встановлені у Переліку базових вимог із забезпечення кіберзахисту на об’єкті критичної інфраструктури, затвердженому постановою Кабінету міністрів України від 19.06.2019 р. № 518. Так, згідно з пунктом 3 Переліку кіберзахист об’єкта критичної інфраструктури забезпечується шляхом впровадження на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури комплексної системи захисту інформації або системи інформаційної безпеки з підтвердженою відповідністю. В пункті 45 вказаного Переліку зазначено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації.

У випадках, коли вимога щодо захисту інформації прямо не встановлена законодавством України, підтвердження відповідності програмного забезпечення з числа програмних засобів технічного захисту інформації шляхом проведення державної експертизи та отримання Експертного висновку не є обов’язковим.

Натомість, сенс проведення державної експертизи та отримання Експертного висновку щодо можливості використання програмного забезпечення з числа програмних засобів технічного захисту інформації полягає і у значному розширенні кола потенційних покупців/користувачів.

Щонайменше, до числа таких потенційних покупців/користувачів програмного забезпечення належать:

1. Особи, які обробляють державні інформаційні ресурси - інформацію, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, державним підприємствам, установам та організаціям, а також інформацію, яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» та стаття 1 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України»).

2. Об’єкти критичної інфраструктури, а саме підприємства, установи та організації незалежно від форми власності, які:

- провадять діяльність та надають послуги в галузях енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у банківському та фінансовому секторах;

- надають послуги у сферах життєзабезпечення населення, зокрема у сферах централізованого водопостачання, водовідведення, постачання електричної енергії і газу, виробництва продуктів харчування, сільського господарства, охорони здоров’я;

- є комунальними, аварійними та рятувальними службами, службами екстреної допомоги населенню;

- включені до переліку підприємств, що мають стратегічне значення для економіки і безпеки держави;

- є об’єктами потенційно небезпечних технологій і виробництв.

(стаття 6 Закону України «Про основні засади забезпечення кібербезпеки України»).

3. Об’єкти підвищеної небезпеки, а саме об'єкти, на яких використовуються, виготовляються, переробляються, зберігаються або транспортуються одна або кілька небезпечних речовин  чи  категорій речовин   у   кількості,  що  дорівнює  або  перевищує  нормативно встановлені порогові маси,  а  також  інші  об'єкти  як  такі,  що відповідно  до  закону є реальною загрозою виникнення надзвичайної ситуації техногенного та природного характеру (стаття 1 Закону України «Про об’єкти підвищеної небезпеки»).

4. Інші особи, які обробляють інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законодавством України (стаття 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах»).