Правила захисту інформації змінено
Постановою Кабміну від 8 лютого 2021 р. №92 внесено зміни до Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
Вказані Правила, які були прийняті ще у 2006 році на той час визначали вимоги та засади забезпечення захисту державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
Дані Правила визначають доступ до службової інформації за умови ідентифікації та автентифікації користувача. В них прописано, що має здійснюється обов’язкова реєстрація результатів ідентифікації та автентифікації користувачів; результатів виконання користувачем операцій з обробки інформації; спроб несанкціонованих дій з інформацією; фактів надання та позбавлення користувачів права доступу до інформації та її обробки; результатів перевірки цілісності засобів захисту інформації.
Раніше в Правилах було також визначено, що їх дія не поширюється на захист інформації в системах урядового та спеціальних видів зв’язку.
8 лютого Уряд розширив випадки, на які не поширюються ці Правила а саме:
не поширюється на захист інформації в системах урядового та спеціальних видів зв’язку, в технічних засобах і їх складових, необхідних для здійснення уповноваженими органами оперативно-розшукових, розвідувальних заходів та негласних слідчих (розшукових) дій.
Нагадаємо, що спільним наказом Служби безпеки України та Адміністрації Державної служби спеціального зв’язку та захисту інформації від 04.09.2018 №1519/533 затверджені Технічні засоби для здійснення уповноваженими органами оперативно-розшукових заходів та негласних слідчих (розшукових) дій у телекомунікаційних мережах загального користування України.
Нагадаємо, що оперативно-розшукова діяльність – це система гласних і негласних пошукових та контррозвідувальних заходів, що здійснюються із застосуванням оперативних та оперативно-технічних засобів.
Постановою Уряду від 8 лютого змінено пункт, який регулював питання дій із персональними даними осіб.
Так, раніше реєстрація несанкціонованих дій з інформацією, що становить державну таємницю, а також конфіденційної інформації про фізичну особу, яка законом віднесена до персональних даних, повинна супроводжуватися повідомленням про них адміністратору безпеки.
Про те тепер прибрали положення про персональні дані та виклали його наступним чином: «Реєстрація спроб несанкціонованих дій з інформацією, що становить державну таємницю, і службовою інформацією повинна супроводжуватися повідомленням про них адміністратору безпеки (відповідальній особі)».
Також у п 9 Правил було визначено, що забезпечення захисту в системі таємної інформації, яка не становить державну таємницю, та конфіденційної інформації здійснюється згідно з вимогами до захисту службової інформації, якщо інше не передбачено законом.
Тепер цей пункт викладено в такій редакції:
“Забезпечення технічного та криптографічного захисту інформації з обмеженим доступом, а також відкритої інформації, вимога щодо захисту якої встановлена законом, здійснюється в системі з дотриманням вимог, що висуваються для забезпечення захисту такої інформації, якщо інше не передбачене законом”.
Нарешті прибрали норму щодо необхідності захисту конфіденційної інформації відповідно до вимог службової.
Також пункти 13 і 14 Правил вирішено викласти в такій редакції:
«Передача конфіденційної інформації, службової та таємної інформації через незахищене середовище (середовище, в якому циркулює інформація, стосовно якої відсутнє підтвердження відповідності захисту від усіх можливих загроз, імовірність прояву яких існує у цьому середовищі) здійснюється у зашифрованому вигляді або захищеними каналами зв’язку згідно з вимогами законодавства у сфері технічного та криптографічного захисту інформації, за винятком інформації, що передається через канали (лінії) зв’язку, які перебувають у межах контрольованої зони (територія (простір), на якій (в якому) унеможливлено несанкціоноване і неконтрольоване перебування сторонніх осіб, розміщення технічних і транспортних засобів).
Підключення систем, у яких обробляється службова інформація та інформація, що становить державну таємницю, до глобальних мереж передачі даних здійснюється з використанням засобів криптографічного захисту інформації, які допущені до експлуатації для криптографічного захисту інформації відповідного ступеня обмеження доступу, та/або апаратних, апаратно-програмних засобів технічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації та реалізують функції безпеки односпрямованої (односторонньої) передачі даних та/або двоспрямованої передачі даних з урахуванням їх змістовного аналізу.
В апаратно-програмних засобах технічного захисту інформації, які реалізують функції односпрямованої (односторонньої) передачі даних та або міжмережевого екранування (фільтрації) даних, що забезпечують захист службової інформації та інформації, що становить державну таємницю, рівень гарантії коректності надання функціональних послуг безпеки повинен бути не нижче третього.
Достатність впроваджених засобів захисту інформації обґрунтовується на етапі технічного проектування системи захисту інформації та оцінюється під час проведення державної експертизи комплексної системи захисту інформації».
Пункт 16 Правил доповнено:
«Державні інформаційні ресурси та інформація з обмеженим доступом, крім державної таємниці, службової інформації та державних і єдиних реєстрів, створення та забезпечення функціонування яких визначено законами, можуть оброблятися в системі без застосування комплексної системи захисту інформації. Умови, за яких можна не застосовувати комплексну систему захисту інформації, визначені Законом України «Про захист інформації в інформаційно-телекомунікаційних системах».
У таких системах повинні бути виконані технічні та організаційні вимоги із захисту інформації, визначені цими Правилами».
Внесені зміни до пункт 22:
«Порядок проведення державної експертизи системи захисту, державної експертизи засобів технічного і криптографічного захисту інформації встановлюється Адміністрацією.
Органи виконавчої влади, військові формування, створені відповідно до закону, які мають дозвіл на проведення робіт з технічного захисту інформації для власних потреб, мають право організовувати проведення державної експертизи систем захисту на підприємствах, в установах, організаціях, закладах, військових з’єднаннях та частинах, які належать до їх сфери управління або підпорядковані їм. Порядок проведення такої експертизи встановлюється органом виконавчої влади, військовим формуванням, створеним відповідно до закону, за погодженням з Адміністрацією».
Також Уряд виключив з Правил пункт 23, яким раніше було встановлено, що виконавцем робіт зі створення системи захисту може бути суб’єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері технічного захисту інформації, необхідність проведення якого визначено технічним завданням на створення системи захисту.
Джерело: https://zakon.rada.gov.ua/laws/show/373-2006-%D0%BF#Text