Постановою Кабміну від 8 лютого 2021 р. №92 внесено зміни до Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
На засоби для ОРД тепер не поширюються
Вказані Правила, які були прийняті ще у 2006 році, визначають вимоги та засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
Наприклад, якби була створена Єдина судова інформаційна-телекомунікаційна система (ЄСІТС), вони б розповсюджувалися і на неї.
Зокрема, Правила визначають, що доступ до службової інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації неідентифікованих осіб чи користувачів із не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
А під час обробки службової і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
Також прописано, що у системі здійснюється обов'язкова реєстрація результатів ідентифікації та автентифікації користувачів; результатів виконання користувачем операцій з обробки інформації; спроб несанкціонованих дій з інформацією; фактів надання та позбавлення користувачів права доступу до інформації та її обробки; результатів перевірки цілісності засобів захисту інформації.
Раніше в Правилах було визначено, що їх дія не поширюється на захист інформації в системах урядового та спеціальних видів зв'язку.
8 лютого Уряд розширив випадки, на які не поширюються ці Правила:
«Дія цих Правил не поширюється на захист інформації в системах урядового та спеціальних видів зв’язку, в технічних засобах і їх складових, необхідних для здійснення уповноваженими органами оперативно-розшукових, розвідувальних заходів та негласних слідчих (розшукових) дій».
Нагадаємо, що спільним наказом Служби безпеки України та Адміністрації Державної служби спеціального зв'язку та захисту інформації від 04.09.2018 №1519/533 затверджені Технічні засоби для здійснення уповноваженими органами оперативно-розшукових заходів та негласних слідчих (розшукових) дій у телекомунікаційних мережах загального користування України.
Аргументується таке непоширення Правил на вказані технічні засоби «приведенням у відповідність до норм Закону України «Про внесення змін до Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» щодо підтвердження відповідності інформаційної системи вимогам із захисту інформації».
Втім, у відповідних змінах до Закону 681-IX від 04.06.2020 про ОРД чи НСРД не йдеться.
Нагадаємо, що оперативно-розшукова діяльність – це система гласних і негласних пошукових та контррозвідувальних заходів, що здійснюються із застосуванням оперативних та оперативно-технічних засобів.
Крім того, постановою Уряду від 8 лютого змінено пункт, який регулював питання дій із персональними даними осіб.
Так, у Правилах було прописано, що реєстрація спроб несанкціонованих дій з інформацією, що становить державну таємницю, а також конфіденційної інформації про фізичну особу, яка законом віднесена до персональних даних, повинна супроводжуватися повідомленням про них адміністратора безпеки.
Тепер у цій нормі прибрали слова про персональні дані та виклали її так: «Реєстрація спроб несанкціонованих дій з інформацією, що становить державну таємницю, і службовою інформацією повинна супроводжуватися повідомленням про них адміністратору безпеки (відповідальній особі)».
Також у Правилах (п. 9) було прописано, що забезпечення захисту в системі таємної інформації, яка не становить державну таємницю, та конфіденційної інформації здійснюється згідно з вимогами до захисту службової інформації, якщо інше не передбачено законом.
Тепер цей пункт викладено в такій редакції:
«Забезпечення технічного та криптографічного захисту інформації з обмеженим доступом, а також відкритої інформації, вимога щодо захисту якої встановлена законом, здійснюється в системі з дотриманням вимог, що висуваються для забезпечення захисту такої інформації, якщо інше не передбачене законом.
Криптографічний захист у системі таємної інформації, яка не становить державної таємниці, та конфіденційної інформації в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах та організаціях, які належать до сфери їх управління, військових формуваннях, які створені відповідно до закону, здійснюється з використанням засобів криптографічного захисту інформації, які відповідають вимогам до засобів криптографічного захисту інформації, призначених для захисту таємної інформації, яка не становить державної таємниці, та конфіденційної інформації, що підтверджуються експертним висновком у сфері криптографічного захисту інформації або документом про відповідність».
«Нарешті прибрали норму щодо необхідності захисту конфіденційної інформації відповідно до вимог службової», - зазначив із цього приводу заступник голови Державної судової адміністрації Сергій Чорнуцький.
Також пункти 13 і 14 Правил вирішено викласти в такій редакції:
«Передача конфіденційної інформації, службової та таємної інформації через незахищене середовище (середовище, в якому циркулює інформація, стосовно якої відсутнє підтвердження відповідності захисту від усіх можливих загроз, імовірність прояву яких існує у цьому середовищі) здійснюється у зашифрованому вигляді або захищеними каналами зв’язку згідно з вимогами законодавства у сфері технічного та криптографічного захисту інформації, за винятком інформації, що передається через канали (лінії) зв’язку, які перебувають у межах контрольованої зони (територія (простір), на якій (в якому) унеможливлено несанкціоноване і неконтрольоване перебування сторонніх осіб, розміщення технічних і транспортних засобів).
Підключення систем, у яких обробляється службова інформація та інформація, що становить державну таємницю, до глобальних мереж передачі даних здійснюється з використанням засобів криптографічного захисту інформації, які допущені до експлуатації для криптографічного захисту інформації відповідного ступеня обмеження доступу, та/або апаратних, апаратно-програмних засобів технічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації та реалізують функції безпеки односпрямованої (односторонньої) передачі даних та/або двоспрямованої передачі даних з урахуванням їх змістовного аналізу.
В апаратно-програмних засобах технічного захисту інформації, які реалізують функції односпрямованої (односторонньої) передачі даних та або міжмережевого екранування (фільтрації) даних, що забезпечують захист службової інформації та інформації, що становить державну таємницю, рівень гарантії коректності надання функціональних послуг безпеки повинен бути не нижче третього.
Достатність впроваджених засобів захисту інформації обґрунтовується на етапі технічного проектування системи захисту інформації та оцінюється під час проведення державної експертизи комплексної системи захисту інформації».
Пункт 16 Правил доповнено:
«Державні інформаційні ресурси та інформація з обмеженим доступом, крім державної таємниці, службової інформації та державних і єдиних реєстрів, створення та забезпечення функціонування яких визначено законами, можуть оброблятися в системі без застосування комплексної системи захисту інформації. Умови, за яких можна не застосовувати комплексну систему захисту інформації, визначені Законом України «Про захист інформації в інформаційно-телекомунікаційних системах».
У таких системах повинні бути виконані технічні та організаційні вимоги із захисту інформації, визначені цими Правилами».
Пункт 22 викладено в такій редакції:
«Порядок проведення державної експертизи системи захисту, державної експертизи засобів технічного і криптографічного захисту інформації встановлюється Адміністрацією.
Органи виконавчої влади, військові формування, створені відповідно до закону, які мають дозвіл на проведення робіт з технічного захисту інформації для власних потреб, мають право організовувати проведення державної експертизи систем захисту на підприємствах, в установах, організаціях, закладах, військових з’єднаннях та частинах, які належать до їх сфери управління або підпорядковані їм. Порядок проведення такої експертизи встановлюється органом виконавчої влади, військовим формуванням, створеним відповідно до закону, за погодженням з Адміністрацією».
Також Уряд виключив з Правил пункт 23, яким раніше було встановлено, що виконавцем робіт зі створення системи захисту може бути суб'єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації, необхідність проведення якого визначено технічним завданням на створення системи захисту.
Підписуйтесь на наш Telegram-канал, щоб бути у курсі найважливіших подій.