Правові основи забезпечення безпеки

Правові основи забезпечення безпеки інформаційних технологій. Закони України та інші нормативно- правові акти, що регламентують відносини суб’єктів в інформаційній сфері та захист інформації. Відповідальність за порушення у сфері захисту інформації та неправомірного використання автоматизованих систем.

Відповідно до законодавства України поняття «інформаційна безпека» має таке визначення:

стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване поширення, використання, порушення цілісності, конфіденційності та доступності інформації.

Закони України:

• Закон України «Про інформацію» від 02.10.1992 № 2657-XII
• Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 № 80/94-ВР
• Закон України «Про державну таємницю» від 21.01.1994 № 3855-XII
• Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI

Постанови КМУ:

• Постанова Кабінету міністрів України «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» від 29.03.2006 №373
• Постанова Кабінету міністрів України «Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію» від 27 листопада 1998 р. №1893

Нормативні документи в галузі технічного захисту інформації (НД ТЗІ) та державні стандарти України (ДСТУ) стосовно створення і функціонування КСЗІ:

• НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі
• Державний стандарт України. Захист інформації. Технічний захист інформації. Порядок проведення робіт. ДСТУ 3396.1-96
• НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі
• НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу
• НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу
• НД ТЗІ 2.5-008-02 Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2
• НД ТЗІ 2.5-010-03 Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу
• НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі
• НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу
• Автоматизированные системы. Требования к содержанию документов РД 50-34.698
• Техническое задание на создание автоматизированной системы. ГОСТ 34.602-89
• НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу

Галузеві стандарти:

• Національний банк України
  • ГСТУ СУІБ 1.0/ISO/IEC 27001:2010 Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Вимоги. (ISO/IEC 27001:2005, MOD)
  • ГСТУ СУІБ 2.0/ISO/IEC 27002:2010 Інформаційні технології. Методи захисту. Звід правил для управління інформаційною безпекою. (ISO/IEC 27002:2005, MOD)

Відповідальність за порушення у сфері захисту інформації та неправомірного використання автоматизованих систем.

Настання адміністративної відповідальності в разі:

• Несвоєчасне або взагалі неповідомлення суб’єкта персональних даних по його права у зв’язку з внесенням до бази даних його персональної інформації, непороінформування про мету збору такої інформації та про осіб, яким будуть переданні дані.
• За незаконне збирання, використання, зберігання, поширення, знищення конфіденційної інформації наступає кримінальна відповідальність, окрім випадків передбачених іншими статтями Кримінального кодексу.