4.     Нормативно-правове забезпечення технічного захисту інформації

Нині загальна кількість нормативно-правових актів, що регламен­тують діяльність в сфері технічного захисту інформації в нашій держа­ві, складає близько 150 одиниць.

Основу державного регулювання суспільних відносин в сфері ТЗІ становить Конституція України. До спеціального законодавства, що врегульовує дану галузь, належать Закони України: «Про інформацію», «Про державну таємницю», «Про захист інформації в автоматизованих системах», «Про Національну систему конфіденційного зв’язку», «Про Концепцію Національної програми інформатизації», «Про науково- технічну інформацію» та інші. У тому числі у сфері правоохоронної ді­яльності — такі, що визначають компетенцію та функції окремих дер­жавних органів влади: Служби безпеки України, міліції, прокуратури тощо (закони України «Про Службу безпеки України», «Про міліцію» та інші). Деякі вимоги щодо технічного захисту окремих видів інфор­мації містяться у законодавстві України про оперативно-розшукову ді­яльність, про організаційно-правові основи боротьби з організованою злочинністю.

Державна політика України у сфері захисту інформації від її вито­ку технічними каналами знаходить відображення у системі підзакон- них нормативно-правових актів органів державної влади, що видають­ся останніми відповідно до їх компетенції, функцій, прав і обов’язків. Дану систему складають Укази та Розпорядження Президента України, нормативно-правові акти Кабінету Міністрів України, нормативні акти Служби безпеки України, інших міністерств і відомств.

Розвиток положень чинного законодавства знаходить відображення у конкретних нормативно-правових актах, таких як:

1. Укази Президента України: від 22.04.1998 «Про деякі заходи щодо захисту інтересів держави в інформаційній сфері»; від

22.05.1998 «Про Положення про порядок здійснення криптографіч­ного захисту інформації в Україні»; від 27.09.1999 «Про Положення про технічний захист інформації в Україні»; від 10.04.2000 «Про заходи щодо захисту інформаційних ресурсів держави»; від 06.10.2000 « Питання Департаменту спеціал ьнихтелекомунікаційних систем та захисту інформації Служби безпеки України».

2. Постанови Кабінету Міністрів України: від 26.06.1996 №677 «Про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації»; від 08.10.1997 № 1126 «Про затвердження Концепції технічного захисту інформації в Україні»; від

04.02.1998 № 121 «Про затвердження переліку обов’язкових ета­пів робіт під час проектування, впровадження та експлуатації систем і засобів автоматизованої обробки та передачі даних»; від

27.11.1998 № 1893 «Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави».

3. Накази ДСТСЗІСБ України: від 09.06.1995 № 25 «Про нормативні документи»; від 30.11.1999 № 53 «Про затвердження Положен­ня про порядок розроблення, виготовлення та експлуатації засо­бів криптографічного захисту конфіденційної інформації»; від

22.12.1999 № 61 «Про затвердження Положення про контроль за функціонуванням системи технічного захисту інформації»; від

29.12.1999  №62 «Про затвердження Положення про державну експертизу у сфері технічного захисту інформації»; від 23.02.2002 № 9 «Про затвердження Положення про дозвільний порядок проведення робіт з технічного захисту інформації для власних потреб».

Крім того, на сьогодні в Україні чинними є ряд нормативних доку­ментів (НД), що унормовують технічний захист інформації.

Це державні стандарти (ДСТУ 3396.0-96 Захист інформації. Тех­нічний захист інформації. Основні положення; ДСТУ 3396.1-96 Захист інформації. Технічний захист інформації. Порядок проведення робіт; ДСТУ 3396.2-96 Захист інформації. Технічний захист інформації. Тер­міни та визначення) та галузеві стандарти (НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп’ютерних системах від не­санкціонованого доступу; НД ТЗІ 1.1-003-99 Термінологія в галузі за­хисту інформації в комп’ютерних системах від несанкціонованого до­ступу; НД ТЗІ 2.5-004-99 Критерії оцінювання захищеності інформації в комп’ютерних системах від несанкціонованого доступу; НД ТЗІ 2.5- 005-99 Класифікація автоматизованих систем і стандартні функціональ­ні профілі захищеності оброблюваної інформації від несанкціонованого доступу; НД ТЗІ 3.7-001-99 Методичні вказівки щодо розроблення тех­нічного завдання на створення комплексної системи захисту інформації в автоматизованій системі).

Відповідно відносини у сфері ТЗІ як опосередкований об’єкт, ре­гулюються також законодавством та підзаконними нормативно-право­вими актами про державний нагляд за додержанням стандартів, норм і правил та відповідальність за їх порушення; про стандартизацію і серти­фікацію тощо.

Щодо системи технічного захисту інформації МВС України, до за­значених актів слід додати цілий ряд відомчих наказів, розпоряджень та вказівок, що регламентують діяльність підрозділів ТЗІ органів вну­трішніх справ.

Таким чином, на даний момент створено значний масив норматив­но-правових актів із зазначеного питання.

Конституція України є основним джерелом права у галузі технічно­го захисту інформації.

Відповідно до Конституції:

• забезпечення інформаційної безпеки є однією з найважливіших функцій держави, справою всього Українського народу (стаття 17);

• кожному гарантується таємниця листування, телефонних роз­мов, телеграфної та іншої кореспонденції (стаття 31);

• ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України (стаття 32);

• кожному гарантується право на свободу думки і слова, на вільне вираження своїх поглядів і переконань (стаття 34);

• кожен має право володіти, користуватися і розпоряджатися сво­єю власністю, результатами своєї інтелектуальної, творчої діяль­ності (стаття 41).

До міжнародних договорів, учасницею яких є Україна, слід віднести угоди в інформаційній та сфері безпеки інформації (наприклад, Угоду між Україною та Європейським Співтовариством про наукове і техно­логічне співробітництво, ратифіковану Законом України №368-ІУ від 25.12.2002, Угоду між Кабінетом Міністрів України та Урядом Республі­ки Білорусь про співробітництво в галузі технічного захисту інформації, ратифіковану Законом України №1434-ІУ від 04.02.2004 та інші). При­чому, положення, закріплені в даних угодах мають знайти свій розвиток у відповідній законодавчій базі, так як зазвичай такі міжнародні догово­ри носять узагальнений характер і вимагають певної деталізації.

Закони України, акти Президента України та Кабінету Міністрів України видаються Верховною Радою України, Президентом та Кабіне­том Міністрів України відповідно до їх компетенції. У цих актах отриму­ють розвиток положення Конституції України, Концепції національної безпеки, Доктрини інформаційної безпеки та міжнародних договорів, учасницею яких є Україна. Основне їх призначення — чітке регулюван­ня відносин, що виникають у сфері технічного захисту інформації, за­кріплення концептуальних положень у даній галузі.

Серед актів Служби безпеки України слід окремо вказати на таку ка­тегорію нормативів, як накази Департаменту спеціальних телекомуніка­ційних систем та захисту інформації Служби безпеки України (ДСТСЗІ СБ України), які пройшли відповідну реєстрацію в Міністерстві юсти­ції України. Однією з функцій СБУ є координація діяльності у сфері охорони державної таємниці (у тому числі — видання вказівок з цих пи­тань), а безпосередньо ДСТСЗІ СБ України реалізує державну політику у сфері захисту державних інформаційних ресурсів у мережах передачі даних, криптографічного та технічного захисту інформації, забезпечує функціонування державної системи урядового зв’язку і видає відповідні накази з зазначених питань. Причому, рішення Департаменту, прийняті в межах його повноважень, є обов’язковими для виконання центральни­ми і місцевими органами виконавчої влади, підприємствами, установа­ми та організаціями й громадянами.

Стосовно стандартизації в галузі ТЗІ слід зазначити, що, крім дер­жавній: стандартів України, діяльність з технічного захисту інформа­ції також регламентується нормативними документами системи тех­нічного захисту інформації (НД ТЗІ), які не належать до нормативних документів із стандартизації, але є обов’язковими для виконання всіма центральними і місцевими органами державної виконавчої влади, Уря­дом Автономної Республіки Крим, органами місцевого самоврядування, військовими частинами всіх військових формувань, створених відповід­но до законодавства, підприємствами, установами й організаціями не­залежно від форм власності, діяльність яких пов’язана з технічним за­хистом інформації.

І нарешті, положення з технічного захисту, що не знайшли свого ві­дображення у актах вищого рівня, врегульовуються для окремих органі­зацій, установ та державних органів відповідними відомчими наказами, розпорядженнями та вказівками, що регламентують діяльність підроз­ділів технічного захисту інформації, а також допомагають вирішувати певні конкретні завдання з ТЗІ. їх ми відносимо до актів інших органів, що видаються ними в межах наданої компетенції.