Идет загрузка документа (56 kByte)
Главный правовой
портал Украины
Главный правовой
портал Украины
Остаться Попробовать

О криптографической и технической защите информации (неофициальный текст)

Субъект законодательной инициативы
Проект, Неофициальный текст от 13.10.2015

ЗАКОН УКРАЇНИ

Про криптографічний та технічний захист інформації

Цей Закон визначає правові та організаційні засади криптографічного та технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, протидії технічним розвідкам (далі - захист інформації), регулює відносини між суб'єктами у сфері захисту інформації.

РОЗДІЛ I
ЗАГАЛЬНІ ПОЛОЖЕННЯ

Стаття 1. Визначення термінів

У цьому Законі наведені нижче терміни вживаються в таких значеннях:

демаскуюча ознака - характерна ознака об'єкта протидії технічним розвідкам або результатів його діяльності (експлуатації, застосування), яка може бути визначена засобом технічної розвідки і використана для отримання інформації з обмеженим доступом;

державні інформаційні ресурси - систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб'єктами владних повноважень;

допуск до експлуатації - комплекс організаційно-технічних заходів з проведення тематичних досліджень засобів криптографічного захисту інформації, криптографічних алгоритмів, засобів, систем і комплексів спеціального зв'язку та державної експертизи їх результатів з метою встановлення можливості їх використання за призначенням;

доступність інформації - унеможливлення несанкціонованого блокування інформацією;

засіб криптографічного захисту інформації - програмний, апаратно-програмний або апаратний засіб, призначений для криптографічного захисту інформації;

засіб спеціального зв'язку - апаратний, апаратно-програмний засіб, призначений для обробки інформації з обмеженим доступом у складі системи спеціального зв'язку, але який не реалізує криптографічних перетворень інформації;

засіб технічного захисту інформації - технічний засіб, основним функціональним призначенням якого є захист інформації від загроз витоку, порушення цілісності та блокування; технічний засіб, у якого додатково до основного призначення передбачено функції захисту інформації; засіб, що призначений, спеціально розроблений або пристосований для пошуку закладних пристроїв, які створюють загрозу для інформації, або контролю ефективності технічного захисту інформації;

засіб технічної розвідки - технічний засіб, який призначений для несанкціонованого знімання (приймання, перехоплення, здобування) інформації;

захищеність інформації - стан інформації, при якому забезпечується конфіденційність, цілісність та доступність інформації;

комплекс технічного захисту інформації - взаємопов'язана сукупність організаційних та інженерних заходів та засобів технічного захисту інформації, призначена для захисту інформації від витоку технічними каналами;

комплекс спеціального зв'язку - сукупність обладнання і засобів криптографічного захисту інформації, засобів спеціального зв'язку, технічно та функціонально поєднаних для забезпечення захисту службової інформації та/або інформації, що становить державну таємницю, призначений для використання у складі системи спеціального зв'язку;

конфіденційність інформації - унеможливлення несанкціонованого доступу до інформації;

криптографічний захист інформації - вид захисту, що реалізується шляхом перетворення інформації з використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства або з іншою метою;

обладнання криптографічного захисту - обладнання, що функціонально взаємодіє та/або здійснює керування засобом криптографічного захисту інформації і відносно якого висуваються вимоги щодо побудови та умов експлуатації з метою унеможливлення впливу на криптографічні, інженерно-криптографічні та спеціальні якості засобу криптографічного захисту інформації;

об'єкт інформаційної діяльності - інженерно-технічна споруда (приміщення), транспортний засіб, зона, територія, де провадиться діяльність, пов'язана з державними інформаційними ресурсами або інформацією, вимога щодо захисту якої встановлена законом;

об'єкт протидії технічним розвідкам - зразки озброєння, військової та спеціальної техніки, об'єкти оборонно-промислового комплексу, військові та інші об'єкти, залучені до виконання завдань в інтересах оборони і безпеки держави, які містять інформацію з обмеженим доступом і мають демаскуючі ознаки;

об'єкт спеціального зв'язку - інженерно-технічна споруда (будівля, приміщення тощо), транспортний засіб, функціональне призначення якого передбачає використання засобів (комплексів, систем) спеціального зв'язку, засобів криптографічного захисту інформації, озвучування інформації користувачем або засобами спеціального зв'язку, а також обробку інформації засобами шифрування або кодування;

обробка інформації - здійснення за допомогою технічних засобів операцій з інформацією (створення, введення, збирання, записування, передавання, приймання (отримання), копіювання, перетворення, реєстрація, розмноження, дублювання, сканування (зчитування), роздрукування, зберігання, відображення (візуалізація, показ), відтворення, виготовлення (друкування) графічних і текстових документів, знищення тощо);

пристрій обробки інформації - технічний пристрій, призначений для обробки інформації, в якому не передбачена можливість реалізації програмних процедур розмежування доступу користувачів;

протидія технічним розвідкам - діяльність, спрямована на запобігання організаційно-технічними заходами отриманню засобами технічної розвідки інформації про об'єкти протидії технічним розвідкам;

система захисту інформації - сукупність організаційних, інженерно-технічних заходів, засобів та суб'єктів захисту інформації, об'єднаних з метою організації та забезпечення відповідно до законодавства технічного, криптографічного захисту інформації та протидії технічним розвідкам;

система спеціального зв'язку - взаємопов'язана сукупність обладнання, засобів, комплексів та систем обробки, передачі, технічного та криптографічного захисту інформації, що організаційно, технічно та функціонально поєднані в єдине ціле, яка призначена для забезпечення користувачів спеціальним зв'язком;

тематичні дослідження - дослідження щодо встановлення відповідності засобів криптографічного захисту інформації, криптосистем, криптографічних алгоритмів, засобів, систем і комплексів спеціального зв'язку вимогам тактико-технічних завдань на їх створення, нормативних документів та/або нормативно-правових актів у сфері криптографічного захисту інформації, а також вимогам із захисту від витоку інформації каналами побічних електромагнітних випромінювань і наведень;

технічний захист інформації - діяльність, спрямована на забезпечення конфіденційності, цілісності та доступності інформації;

технічний канал витоку інформації - сукупність джерела небезпечного сигналу, середовища його поширення та засобу технічної розвідки;

цілісність інформації - унеможливлення несанкціонованого знищення, спотворення, руйнування інформації.

Стаття 2. Законодавство України у сфері захисту інформації

Законодавство України у сфері захисту інформації становлять Конституція України, Закони України "Про інформацію", "Про доступ до публічної інформації", "Про державну таємницю", "Про телекомунікації", "Про Національну систему конфіденційного зв'язку", "Про захист інформації в інформаційно-телекомунікаційних системах", "Про Державну службу спеціального зв'язку та захисту інформації України", цей Закон, чинні міжнародні договори та угоди, згода на обов'язковість яких надана Верховною Радою України, акти Президента України, Кабінету Міністрів України, інші нормативно-правові акти та нормативні документи з питань технічного, криптографічного захисту інформації, протидії технічним розвідкам.

Стаття 3. Державне регулювання у сфері захисту інформації

1. Органом державного регулювання діяльності у сфері захисту інформації є центральний орган виконавчої влади, що забезпечує формування та реалізацію державної політики у сферах організації спеціального зв'язку, захисту інформації, телекомунікацій та користування радіочастотним ресурсом України (далі - уповноважений орган у сфері захисту інформації).

2. Повноваження уповноваженого органу у сфері захисту інформації встановлюються законом.

3. Державне регулювання у сфері захисту інформації здійснюється шляхом:

1) формування та реалізації державної політики у сфері захисту інформації;

2) визначення пріоритетних напрямів розвитку регулювання захисту інформації в Україні;

3) забезпечення нормативно-правового регулювання у сфері захисту інформації;

4) запровадження дозвільного порядку у сфері захисту інформації;

5) забезпечення додержання вимог законодавства про захист інформації, здійснення державного контролю у цій сфері;

6) встановлення відповідальності за порушення законодавства про захист інформації;

7) здійснення міжнародного співробітництва у сфері захисту інформації з відповідними органами інших держав.

Стаття 4. Об'єкт захисту

Об'єктом захисту є:

1) інформація, що становить державну, професійну, банківську таємницю, таємницю досудового розслідування або іншу таємницю передбачену законом;

2) службова інформація;

3) конфіденційна інформація, яка перебуває у володінні розпорядників інформації, визначених частиною першою статті 13 Закону України "Про доступ до публічної інформації";

4) відкрита інформація, яка належить до державних інформаційних ресурсів;

5) інформація іноземної держави чи міжнародної організації, що передана Україні, необхідність захисту якої передбачено у рамках міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України;

6) інша інформація, вимога щодо захисту якої встановлена законом.

Стаття 5. Об'єкти, де здійснюється захист інформації

Об'єктами, де здійснюється захист інформації, є:

об'єкти інформаційної діяльності;

інформаційні (автоматизовані), телекомунікаційні та інформаційно-телекомунікаційні системи (далі - інформаційно-телекомунікаційні системи);

об'єкти протидії технічним розвідкам;

об'єкти та системи спеціального зв'язку.

Стаття 6. Суб'єкти у сфері захисту інформації

1. Суб'єктами у сфері захисту інформації є:

1) уповноважений орган у сфері захисту інформації;

2) виконавці робіт у сфері захисту інформації;

3) володільці, розпорядники, користувачі інформації, що підлягає захисту відповідно до цього закону;

4) власники, розпорядники, користувачі об'єктів, де здійснюється захист інформації;

5) фізичні та юридичні особи, що здійснюють підготовку фахівців, наукову, науково-технічну та виробничу діяльність у сфері захисту інформації.

2. Суб'єктами у сфері захисту інформації відповідно до законодавства можуть бути також міжнародні організації, іноземні держави, їх представництва, громадяни та юридичні особи нерезиденти, особи без громадянства.

РОЗДІЛ II
ОРГАНІЗАЦІЙНО-ПРАВОВІ ЗАСАДИ ЗАХИСТУ ІНФОРМАЦІЇ

Стаття 7. Вимоги до захисту інформації

1. Вимоги до захисту інформації визначаються законодавством залежно від ступеня обмеження доступу та умов її оброблення або озвучення.

2. Інформація з обмеженим доступом підлягає захисту від порушення її конфіденційності, цілісності та доступності.

3. Відкрита інформація, вимоги щодо захисту якої визначено законами, підлягає захисту від порушення її цілісності та доступності.

Стаття 8. Умови діяльності з інформацією, що підлягає захисту

1. Інформація, що становить державну таємницю, озвучується або обробляється на об'єкті інформаційної діяльності за наявності атестованого комплексу технічного захисту інформації. Порядок створення та атестації комплексів технічного захисту інформації встановлюється уповноваженим органом у сфері захисту інформації.

2. Інформація, що підлягає захисту, обробляється в інформаційно-телекомунікаційній системі за наявності комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи у сфері захисту інформації.

При обробленні в інформаційно-телекомунікаційній системі інформації, що становить державну таємницю, її захист від витоку технічними каналами забезпечується атестованим комплексом технічного захисту інформації, який у цьому випадку є складовою комплексної системи захисту інформації.

Порядок створення комплексної системи захисту інформації та порядок проведення державної експертизи встановлюються уповноваженим органом у сфері захисту інформації.

3. Об'єкти протидії технічним розвідкам повинні функціонувати за умов впровадження на них заходів протидії технічним розвідкам. Порядок впровадження заходів протидії технічним розвідкам встановлюється уповноваженим органом у сфері захисту інформації.

4. Для забезпечення технічного захисту інформації використовуються засоби технічного захисту інформації, які мають чинний документ, що засвідчує їх відповідність вимогам законодавства у сфері захисту інформації, - сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації. Перелік таких засобів формується уповноваженим органом у сфері захисту інформації.

5. Оцінка відповідності засобу, який має функції захисту інформації, може бути проведена під час атестації комплексу технічного захисту інформації або під час проведення державної експертизи комплексної системи захисту інформації. Такий засіб використовується тільки в тій системі захисту, де був оцінений.

6. Засоби та алгоритми криптографічного захисту інформації, що становить державну таємницю, та захисту службової інформації повинні мати свідоцтво про допуск до експлуатації. Процедура допуску до експлуатації встановлюється уповноваженим органом у сфері захисту інформації.

7. Проектування, будівництво, реконструкція, розробка, створення, модернізація, впровадження та експлуатація об'єктів (систем, зразків, технологій) повинні передбачати вимоги із захисту інформації залежно від ступеня обмеження доступу та умов її оброблення або озвучення. Такі вимоги повинні передбачатися в тендерній документації у разі здійснення закупівлі за бюджетні кошти товарів, робіт чи послуг на ці цілі.

8. Системи спеціального зв'язку функціонують за умов їх допуску до експлуатації. Процедура допуску до експлуатації встановлюється уповноваженим органом у сфері захисту інформації.

Стаття 9. Організаційна структура системи захисту інформації

1. Державні органи, на об'єктах яких обробляється або озвучується інформація, що підлягає захисту, для організації та проведення робіт із захисту інформації на правах самостійних структурних підрозділів утворюють підрозділи захисту інформації, які за своїм статусом та умовами оплати праці повинні належати до основних підрозділів цього державного органу.

2. У разі незначного обсягу робіт із захисту інформації державні органи можуть за узгодженням з уповноваженим органом у сфері захисту інформації покладати функції підрозділу захисту інформації на інші підрозділи або відповідальних осіб цього державного органу.

Інші юридичні особи та фізичні особи - підприємці, діяльність яких пов'язана з інформацією, що підлягає захисту, визначають підрозділи захисту інформації або покладають функції підрозділу захисту інформації на інші підрозділи або відповідальних осіб юридичної особи.

3. Основні завдання підрозділів захисту інформації:

1) забезпечення захисту інформації згідно з вимогами чинного законодавства;

2) забезпечення видання у межах своїх повноважень організаційно-розпорядчих актів з питань захисту інформації;

3) здійснення відомчого контролю за станом захисту інформації;

4) аналіз стану захисту інформації;

5) організація підготовки (перепідготовки) співробітників підрозділів захисту інформації;

4. Для забезпечення спеціального зв'язку державні органи та інші юридичні особи на правах самостійних структурних підрозділів утворюють підрозділи спеціального зв'язку, які підпорядковуються безпосередньо керівництву цих органів. Покладати на підрозділи спеціального зв'язку види діяльності, що не пов'язані із забезпеченням спеціального зв'язку, забороняється. Утворення, реорганізація та ліквідація підрозділів спеціального зв'язку, а також призначення їх керівників здійснюються за погодженням з уповноваженим органом у сфері захисту інформації.

РОЗДІЛ III
ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ

Стаття 10. Нормативне забезпечення захисту інформації

1. Нормативне забезпечення захисту інформації здійснюється шляхом розроблення, прийняття і впровадження нормативно-правових актів та актів нормативно-технічного характеру (нормативних документів) у сфері захисту інформації.

2. Нормативні документи приймаються уповноваженим органом з питань захисту інформації та регламентують нормативно-технічні аспекти захисту інформації.

3. Нормативно-правові акти у сфері захисту інформації підлягають погодженню із уповноваженим органом з питань захисту інформації.

Стаття 11. Фінансування захисту інформації

1. Заходи із захисту інформації фінансуються за рахунок Державного бюджету України, місцевих бюджетів або інших джерел, не заборонених законодавством.

2. Державні органи щороку під час підготовки бюджетних запитів мають передбачати кошти на фінансування заходів із захисту інформації, в тому числі для розпорядників бюджетних коштів нижчого рівня.

3. Витрати на заходи із захисту інформації передбачаються в кошторисах робіт на проектування, будівництво, реконструкцію, розробку, створення, модернізацію, впровадження та експлуатацію об'єктів (систем, зразків, технологій).

4. Витрати на заходи із захисту інформації, які виникли у зв'язку з діяльністю, що створює загрози для інформації на об'єктах, де виконується захист інформації, здійснюються за рахунок суб'єктів, які провадять таку діяльність.

Стаття 12. Підготовка фахівців у сфері захисту інформації

1. До системи підготовки фахівців у сфері захисту інформації входять вищі навчальні заклади усіх форм власності, що мають ліцензії на провадження освітньої діяльності у сфері захисту інформації, заклади післядипломної освіти, навчальні центри, органи управління освітою і наукою, органи науково-методичного управління підготовкою фахівців сфери захисту інформації відповідних міністерств, правоохоронних та інших державних органів, консультативно-дорадчі органи.

2. Науково-методичне управління підготовкою фахівців у сфері захисту інформації організовується та здійснюється уповноваженим органом у сфері захисту інформації у взаємодії з центральним органом виконавчої влади у галузі освіти і науки та полягає у визначенні критеріїв професійної придатності та фахової підготовленості, участі у розробці та погодженні галузевих стандартів вищої освіти у відповідних галузях знань, участі у ліцензуванні діяльності з надання освітніх послуг, в акредитації та інспектуванні вищих навчальних закладів, формуванні державного замовлення на підготовку (перепідготовку, підвищення кваліфікації) фахівців у сфері захисту інформації. Порядок взаємодії визначається спільним наказом зазначених органів.

Стаття 13. Контроль у сфері захисту інформації

1. Контроль у сфері захисту інформації поділяється на державний та відомчий.

2. Державний контроль здійснюється уповноваженим органом у сфері захисту інформації та його територіальними органами. Порядок здійснення державного контролю визначається уповноваженим органом у сфері захисту інформації.

3. Відомчий контроль здійснюється посадовими особами державного органу, на об'єктах, де виконується захист інформації державного органу, закладу, установи, організації цього державного органу та підприємств, що входять до сфери його управління. Порядок здійснення відомчого контролю визначається державним органом та погоджується з уповноваженим органом у сфері захисту інформації.

4. Метою контролю у сфері захисту інформації є визначення стану криптографічного, технічного захисту інформації, протидії технічним розвідкам, додержання вимог законодавства у сфері надання послуг електронного цифрового підпису.

РОЗДІЛ IV
ДОЗВІЛЬНИЙ ПОРЯДОК У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЇ

Стаття 14. Правові засади виконання робіт із захисту інформації

1. Роботи із захисту інформації проводяться виконавцями робіт у сфері захисту інформації у дозвільному порядку.

2. Дозвільний порядок у сфері захисту інформації полягає у наданні права на проведення робіт із захисту інформації суб'єктам, які в установленому порядку отримали сертифікат на право проведення робіт із захисту інформації (далі - сертифікат) та включені до реєстрів виконавців робіт у сфері захисту інформації.

3. Сертифікат видається юридичним та фізичним особам, які відповідають встановленим вимогам та виявили бажання виконувати види робіт у сфері технічного або криптографічного захисту інформації, перелік яких визначається уповноваженим органом у сфері захисту інформації.

4. Включенню до реєстрів виконавців робіт у сфері захисту інформації підлягають юридичні та фізичні особи, які отримали сертифікат.

5. Державне регулювання дозвільного порядку у сфері захисту інформації здійснює уповноважений орган у сфері захисту інформації.

6. Уповноважений орган у сфері захисту інформації:

1) визначає переліки видів робіт у сфері захисту інформації, виконання яких потребує отримання сертифіката;

2) визначає вимоги до виконавців робіт у сфері захисту інформації та встановлює вичерпний перелік документів, що підтверджують відповідність вимогам, обов'язковим для виконання при проведенні робіт у сфері захисту інформації;

3) установлює порядок видачі, переоформлення, скасування сертифікатів та визначає форму сертифіката;

4) приймає рішення про видачу, переоформлення та скасування сертифікатів;

5) веде реєстри виконавців робіт у сфері захисту інформації, визначає порядок їх ведення, включення та виключення з них;

6) приймає рішення про включення до реєстрів та виключення з них;

7) визначає порядок та проводить перевірки відомостей, викладених у заяві про видачу сертифіката та відповідності заявника вимогам, які висуваються до виконавців робіт у сфері захисту інформації;

8) надає інформацію з реєстрів виконавців робіт у сфері захисту інформації;

9) визначає форму та встановлює строк надання виконавцем робіт із захисту інформації відомостей про виконані роботи, право на виконання яких засвідчено сертифікатом;

7. Видача, переоформлення, скасування сертифікатів, включення до реєстрів виконавців робіт у сфері захисту інформації, виключення з них, надання інформації з реєстрів здійснюються на безоплатній основі.

8. Сертифікат чинний протягом п'яти років.

9. Для одержання сертифіката юридичні та фізичні особи подають уповноваженому органу у сфері захисту інформації заяву про видачу сертифіката, до якої додають документи, що підтверджують наявність умов, необхідних для виконання обраного виду робіт.

10. За рішенням уповноваженого органу у сфері захисту інформації за місцезнаходженням заявника (за винятком фізичних осіб) проводиться перевірка достовірності відомостей у документах, поданих заявником для включення до реєстрів та відповідності заявника і поданих документів вимогам для проведення заявлених видів робіт.

11. Підставою для переоформлення сертифіката є зміна найменування юридичної особи (якщо ця зміна не пов'язана з реорганізацією (ліквідацією, розформуванням)) або прізвища, імені, по батькові фізичної особи, яким видано сертифікат.

12. У разі виникнення підстав для переоформлення сертифіката виконавець робіт протягом 30 календарних днів з дати настання такої зміни подає до уповноваженого органу у сфері захисту інформації заяву про переоформлення сертифіката разом із сертифікатом, що підлягає переоформленню.

13. Строк дії переоформленого сертифіката не може перевищувати строку дії, зазначеного в сертифікаті, що переоформлявся.

14. Уповноважений орган у сфері захисту інформації приймає рішення про видачу (відмову у видачі), переоформлення сертифіката та скасування сертифікатів протягом п'ятнадцяти робочих днів з дати надходження відповідної заяви.

15. У разі наміру виконавця робіт розширити перелік видів робіт, право на проведення яких йому надано, він подає до уповноваженого органу у сфері захисту інформації заяву про видачу сертифіката, яка вважається новою заявою про видачу сертифіката і розглядається в порядку і в строки, визначені Законом.

16. У разі зміни відомостей, зазначених у заяві про видачу сертифіката, виконавець робіт зобов'язаний повідомити про них уповноважений орган з питань захисту інформації протягом 30 календарних днів з дня виникнення змін.

17. Рішення про відмову у видачі, переоформленні або про скасування сертифіката оскаржується заявником (виконавцем робіт) у встановленому законодавством порядку.

Стаття 15. Підстави для залишення заяви про видачу (переоформлення) сертифікату без розгляду та відмови у видачі, переоформленні сертифікату

1. Заява про видачу (переоформлення) сертифіката залишається без розгляду, якщо:

1) заява та документи, що додаються до заяви про видачу (переоформлення) сертифіката, складено не за встановленою формою, а також дані, що містяться в них, подано не в повному обсязі;

2) заява підписана особою, яка не має на це повноважень.

Про залишення заяви про видачу (переоформлення) сертифіката без розгляду заявник повідомляється в письмовій формі із зазначенням підстав не пізніше ніж через десять робочих днів з дати надходження заяви про видачу (переоформлення) сертифіката.

2. Підставою для прийняття рішення про відмову у видачі сертифіката є:

1) недостовірність даних у документах, поданих заявником, для видачі сертифіката;

2) невідповідність заявника вимогам до виконавців робіт у сфері захисту інформації, встановленим для проведення виду роботи, зазначеному у заяві про видачу сертифіката;

3) відсутність у Єдиному державному реєстрі юридичних осіб та фізичних осіб - підприємців відомостей про заявника або наявність відомостей про державну реєстрацію його припинення.

3. Підставою для прийняття рішення про відмову у переоформленні сертифікату є:

1) недостовірність даних у документах, поданих заявником, для переоформлення сертифіката;

2) відсутність у Єдиному державному реєстрі юридичних осіб та фізичних осіб - підприємців відомостей про заявника або наявність відомостей про державну реєстрацію його припинення.

Стаття 16. Підстави для скасування сертифіката

1. Підставою для прийняття рішення про скасування сертифіката є:

1) заява виконавця робіт у сфері захисту інформації про скасування сертифіката;

2) наявність у Єдиному державному реєстрі юридичних осіб та фізичних осіб - підприємців відомостей про державну реєстрацію припинення юридичної особи (фізичної особи - підприємця);

3) встановлення факту невиконання виконавцем робіт у сфері захисту інформації норм і вимог криптографічного та технічного захисту інформації, внаслідок чого виникає передумова або реальна загроза порушення конфіденційності, цілісності й доступності інформації;

4) незабезпечення виконавцем робіт дотримання вимог, встановлених для виконання виду робіт, що зазначений у сертифікаті.

2. Виконавець робіт, якому скасовано сертифікат на підставі пункту 3 частини першої цієї статті, має право подати заяву про видачу сертифіката не раніше ніж через один рік після прийняття рішення про скасування.

3. Виконавець робіт, якому скасовано сертифікат на підставі пунктів 1, 2, 4 частини першої цієї статті, має право подати заяву про видачу сертифіката за умови усунення причин, що були підставою для прийняття рішення про скасування.

4. Питання про скасування сертифіката на підставі випадків, визначених у пунктах 3, 4 частини першої цієї статті, розглядаються уповноваженим органом у сфері захисту інформації з обов'язковим запрошенням виконавця робіт або його уповноваженого представника.

РОЗДІЛ VI
ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЇ

Стаття 17. Відповідальність фізичних та юридичних осіб

Фізичні та юридичні особи, винні в порушенні законодавства у сфері захисту інформації, несуть дисциплінарну, цивільну, адміністративну чи кримінальну відповідальність згідно із законом.

Відповідальність за стан захисту інформації покладається на керівників державних органів та інших юридичних осіб, на об'єктах інформаційної діяльності та в інформаційно-телекомунікаційних системах яких обробляється або озвучується інформація, що підлягає захисту.

РОЗДІЛ VII
МІЖНАРОДНЕ СПІВРОБІТНИЦТВО

Стаття 18. Міжнародне співробітництво у сфері захисту інформації

1. Україна бере участь у міжнародному співробітництві у сфері захисту інформації на основі міжнародних договорів України.

2. Якщо міжнародним договором України, згода на обов'язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені у цьому Законі, то застосовуються правила міжнародного договору.

РОЗДІЛ VIII
ПРИКІНЦЕВІ ТА ПЕРЕХІДНІ ПОЛОЖЕННЯ

1. Цей Закон набирає чинності через шість місяців з дня його опублікування.

2. Кабінету Міністрів України в межах своїх повноважень протягом шести місяців з дня набрання чинності цим Законом:

1) привести свої нормативно-правові акти у відповідність із цим Законом;

2) забезпечити розробку та прийняття актів, необхідних для реалізації положень цього Закону;

3) забезпечити приведення міністерствами, іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом.

3. Внести зміни до таких Законів України:

1) у Кодексі України про адміністративні правопорушення (Відомості Верховної Ради Української РСР 1984 р., додаток до N 51, ст. 1122 з такими змінами):

додати статтю такого змісту:

"Стаття 212-7. Порушення порядку виконання робіт у сфері захисту інформації

Виконання робіт у сфері захисту інформації без включення до реєстрів виконавців робіт у сфері захисту інформації тягне за собою накладення штрафу від двадцяти до ста неоподатковуваних мінімумів доходів громадян.

Дії, передбачені частиною першою цієї статті, вчинені особою, яку протягом року було піддано адміністративному стягненню за таке саме правопорушення, тягнуть за собою накладення штрафу від ста до п'ятисот неоподатковуваних мінімумів доходів громадян.";

в абзаці двадцять сьомому частини першої статті 255 слова і цифри "стаття 164 (у частині, що стосується правопорушень у галузі господарської діяльності, ліцензії на проведення якої видає ця Служба" замінити словом і цифрами "стаття 212-8";

2) у Законі України "Про Державну службу спеціального зв'язку та захисту інформації України" (Відомості Верховної Ради України, 2006 р., N 30, ст. 258):

абзаци третій, четвертий, п'ятий, шостий, восьмий, дев'ятий, десятий, одинадцятий, дванадцятий, тринадцятий, сімнадцятий частини першої статті 1 розділу І виключити;

пункт 8, 47 частини першої статті 14 розділу IV виключити;

абзац третій пункту 5 частини першої статті 15 розділу IV виключити;

3) у Законі України "Про державну таємницю" (Відомості Верховної Ради України, 1994 р., N 16, ст. 93) абзац одинадцятий статті 1 розділу I виключити;

4) у пункті 8 частини першої статті 7 Закону України "Про ліцензування видів господарської діяльності" (Відомості Верховної Ради України, 2015 р., N 23, ст. 158) слова "надання послуг у галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису) та технічного захисту інформації, за переліком, що визначається Кабінетом Міністрів України" виключити.

 

* * *

АНАЛІЗ РЕГУЛЯТОРНОГО ВПЛИВУ
проекту Закону України "Про криптографічний та технічний захист інформації"

1. Визначення та аналіз проблеми, яку передбачається вирішити шляхом державного регулювання

На тлі зростання зовнішніх та внутрішніх викликів національній безпеці України реалізація загроз для інформації, важливої для держави, може негативно вплинути на загальний рівень інформаційній безпеки і заподіяти шкоди національним інтересам.

Саме тому у Стратегії національної безпеки, затвердженій Указом Президента України від 26 травня 2015 року N 287/2015, поставлено завдання щодо реформування системи охорони державної таємниці та іншої інформації з обмеженим доступом, захисту державних інформаційних ресурсів, технічного і криптографічного захисту інформації з урахуванням практики держав - членів НАТО та ЄС.

На цей час за відсутності базового закону галузь технічного і криптографічного захисту інформації (далі - захист інформації) регулюється спеціальним законом із захисту інформації в інформаційно-телекомунікаційних системах і низкою підзаконних актів.

З метою укріплення галузі інформаційної безпеки України необхідно з урахуванням досвіду провідних країн Європейського Союзу закріпити на законодавчому рівні єдині засади, принципи, підходи та норми з організації та забезпечення захисту інформації на всіх об'єктах, де здійснюється захист інформації, порядок і механізми нормативного, кадрового, матеріально-технічного, фінансового та науково-технічного забезпечення захисту інформації в Україні.

Відповідно до цього та на виконання доручення Віце-прем'єр-міністра - Міністра регіонального розвитку, будівництва та житлово-комунального господарства України Зубка Г. Г. від 21.05.2015 N 14180/3/1-15 Адміністрацією Держспецзв'язку розроблено проект Закону України "Про криптографічний та технічний захист інформації" (далі - проект Закону).

Проектом Закону передбачається збалансувати національну законодавчу базу з питань захисту інформації та запровадити з урахуванням специфіки діяльності із захисту інформації новий порядок проведення заходів у цій сфері, який адаптовано до європейської практики.

Зокрема, абсолютну більшість робіт у сфері захисту інформації безпосередньо спрямовано на забезпечення безпеки держави та захисту державних інформаційних ресурсів, в основному інформації з обмеженим доступом, в тому числі найвищих ступенів секретності. І тому на організацію та провадження господарської діяльності у сфері захисту інформації накладаються суттєві обмеження, що пов'язано з необхідністю дотримання законодавства з питань захисту державної таємниці. Така специфіка проведення робіт у сфері захисту інформації не дозволяє застосовувати загальні принципи вільного доступу суб'єктів господарювання на ринок послуг та спрощених підходів щодо регулювання господарської діяльності.

Відповідно до цього провадження діяльності, пов'язаної з державною таємницею, виведено з-під дії Закону України "Про адміністративні послуги" (стаття 2 цього Закону).

Проведеним аналізом організації захисту інформації країн ЄС та НАТО з'ясовано, що в цих країнах діяльність з криптографічного та технічного захисту інформації ліцензуванню не підлягає.

Проектом Закону запроваджується новий дозвільний порядок у сфері захисту інформації, який з урахуванням вимог щодо забезпечення національної безпеки в інформаційній сфері найбільше адаптований до європейської організації таких видів робіт. Зокрема, проектом Закону передбачається заміна ліцензування господарської діяльності у галузі криптографічного та технічного захисту інформації впровадженням сертифікації виконавців робіт у сфері захисту інформації. Одночасно запропоновано відмовитись від здійснення державного нагляду (контролю) за додержанням умов провадження господарської діяльності у галузі криптографічного та технічного захисту інформації. Разом з цим, враховуючи вплив робіт у сфері захисту інформації на стан національної безпеки, проектом Закону пропонується запровадити механізми підвищення відповідальності суб'єктів у сфері захисту інформації за кінцеві результати проведених ними робіт.

Очікуваними результатами від прийняття проекту Закону є забезпечення належного рівня захисту інформації, покращення стану захисту інформації в Україні та упорядкування відносин між суб'єктами сфери захисту інформації.

2. Визначення цілей державного регулювання

Основними цілями прийняття регуляторного акта є:

визначення правових та організаційних засад технічного та криптографічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, протидії технічним розвідкам;

удосконалення нормативно-правової бази, необхідної для ефективного функціонування системи захисту інформації та системи підтвердження відповідності;

врегулювання відносин між суб'єктами у сфері захисту інформації.

3. Визначення та оцінка усіх прийнятих альтернативних способів досягнення зазначених цілей та аргументи щодо переваги обраного способу

Альтернативних способів досягнення зазначених цілей не існує.

Цей регуляторний акт відповідає потребам при розв'язанні визначеної проблеми.

Можливі способи досягнення цілей

Оцінка способу

Причини відмови від альтернативних способів/аргументи щодо переваги обраного способу

Збереження чинного регулювання

Не вирішує наявної проблеми

Стан нормативно-правової бази у сфері захисту інформації не повною мірою забезпечує виконання сучасних завдань щодо забезпечення національної безпеки та підвищення рівня захисту державних інформаційних ресурсів та не забезпечує гармонізацію із законодавством країн ЄС у цих сферах.

Обраний спосіб

Єдиний спосіб вирішення проблеми, оскільки спрямований на приведення нормативно-правових актів, які регламентують діяльність із захисту інформації, у відповідність із державними завданнями щодо забезпечення національної безпеки

Забезпечує досягнення державного регулювання

Ринкові умови

Не вирішує наявної проблеми

Регулювання діяльності із захисту інформації є виключно функцією держави

4. Опис механізму і заходів, які забезпечать вирішення вказаної проблеми шляхом прийняття регуляторного акта

Проектом Закону передбачається визначити:

єдині принципи державної політики у сферах технічного та криптографічного захисту інформації та протидії технічним розвідкам;

об'єкт захисту - вичерпний перелік видів інформації, яка підлягає захисту;

об'єкти, де здійснюється захист інформації;

організаційну структуру системи технічного захисту інформації;

суб'єкти відносин у сфері захисту інформації, їх взаємовідносини;

принципи, підходи та загальні вимоги до захисту інформації;

норми регулювання дозвільною діяльністю у сфері захисту інформації;

принципи та порядок державного контролю за станом технічного та криптографічного захисту інформації та протидії технічним розвідкам;

положення щодо міжнародного співробітництва у сфері захисту інформації.

Проектом Закону регламентуються:

сфера застосування;

державне управління та регулювання відносин у сфері захисту інформацій;

організаційні основи функціонування ринку послуг із захисту інформації;

права, обов'язки та відповідальність суб'єктів відносин у сфері захисту інформації.

Законопроектом передбачається відмова від ліцензування господарської діяльності у галузі криптографічного та технічного захисту інформації, а також здійснення державного нагляду (контролю) за додержанням умов проведення господарської діяльності у цих галузях.

Ефективність способів досягнення цілей полягає у сприянні підвищення відповідальності суб'єктів відносин у сфері захисту інформації і, як наслідок, забезпеченні підвищення надійності і якості послуг у цій сфері.

Такий підхід дозволить уникнути небажаних ризиків, пов'язаних з можливістю отримання неякісних послуг, наслідком чого буде втрата інформації, а також нераціональним використанням матеріальних і фінансових ресурсів.

5. Обґрунтування можливості досягнення встановлених цілей у разі прийняття регуляторного акта

Прийняття зазначеного закону дозволить більшою мірою забезпечити необхідний рівень національної безпеки та своєчасне реагування на сучасні виклики в сфері інформаційних технологій, врегулювати відносини між суб'єктами відносин у сфері захисту інформації та зберегти контроль держави за їх діяльністю.

Визначених цілей буде досягнуто за рахунок чітких регулювань прав та обов'язків суб'єктів відносин у сфері захисту інформації, на яких поширюється регуляторний акт.

Запровадження проекту Закону призведе до зменшення навантаження на суб'єктів господарювання, що здійснюють свою діяльність на ринку послуг сфери захисту інформації, та сприятиме підвищенню їх відповідальності за результати виконаних ними робіт.

Запровадження зазначеного регуляторного акта забезпечить високу ймовірність досягнення поставлених цілей.

6. Визначення очікуваних результатів прийняття регуляторного акта

Сфера дії

Витрати

Вигоди

Держава

Додаткові витрати не передбачаються

Приведення окремих нормативно-правових та регуляторних актів системи КЗІ та ТЗІ у відповідність із законодавчими актами з питань захисту інформації Європейського співтовариства та найбільш розвинутих країн світу

Суб'єкти господарювання

Додаткові витрати не передбачаються

Здійснення діяльності у врегульованому нормативно-правовому полі, що відповідає сучасним умовам ринку із захисту інформації

Громадяни

Не передбачаються

Немає

Прийняття запропонованого проекту Закону дозволить:

систематизувати принципи, вимоги та підходи до захисту інформації та протидії технічним розвідкам;

сформувати єдину термінологію у сферах технічного та криптографічного захисту інформації та протидії технічним розвідкам;

забезпечити необхідний рівень захищеності інформації та зменшення нераціональних витрат на захист інформації за рахунок підвищення ефективності державного регулювання у сфері захисту інформації;

підвищити якість товарів, робіт та послуг у сфері захисту інформації, гарантом якого відповідно до законодавства є держава;

забезпечити у регуляторній діяльності баланс інтересів суб'єктів господарювання, громадян, суспільства та держави;

створити законодавчу базу для розробки підзаконних актів, що регулювали б відносини на окремих напрямах захисту інформації;

збалансувати законодавство стосовно доступу до інформації і захисту інформації (Закони України "Про інформацію" та "Про доступ до публічної інформації" - Закон України "Про криптографічний та технічний захист інформації").

Таким чином, прийняття законопроекту сприятиме покращенню стану захисту інформації в Україні та упорядкуванню відносин між суб'єктами сфери захисту інформації.

7. Обґрунтування запропонованого строку чинності регуляторного акта

Регуляторний акт набирає чинності через шість місяців з дня його опублікування у засобах масової інформації.

Термін чинності нормативно-правового акта - необмежений.

8. Визначення показників результативності акта

Прийняття акта сприятиме приведенню регуляторних актів системи ліцензування у галузі криптографічного та технічного захисту інформації у відповідність із законодавством з питань ліцензування.

Показником результативності впровадження є рівень стану захисту інформації в державі.

Дія акта поширюватиметься на необмежену кількість суб'єктів, діяльність яких пов'язана із впровадженням заходів із захисту інформації.

Рівень поінформованості суб'єктів відносин у сфері захисту інформації щодо основних положень акта - достатній: регуляторний акт розміщено на офіційному веб-сайті Державної служби спеціального зв'язку та захисту інформації України.

9. Визначення заходів, за допомогою яких буде здійснюватися відстеження результативності регуляторного акта

Відстеження результативності регуляторного акта буде проводитися відповідно до Методики, затвердженої постановою Кабінету Міністрів України від 11.03.2004 N 308.

Відстеження результативності регуляторного акта здійснюватиметься шляхом аналізу таких статистичних даних:

документальних результатів державного контролю за станом криптографічного та технічного захисту інформації;

відомостей, що надаються суб'єктами системи захисту інформації;

інших відомостей, отримання яких можливе Держспецзв'язку під час реалізації завдань, визначених Законом України "Про Державну службу спеціального зв'язку та захисту інформації України".

Аналіз регуляторного впливу підготовлено Адміністрацією Державної служби спеціального зв'язку та захисту інформації України.

 

Голова Державної служби
спеціального зв'язку та захисту
інформації України

Л. О. Євдоченко

Опрос