Правовий статус інформації

Документи з грифом "ДСК", які надійшли помилково, повертаються відправнику або пересилаються адресатові.

У разі надходження документів з грифом "ДСК" у неробочий час вони приймаються черговим працівником, який, не розкриваючи цю кореспонденцію, передає її під розписку до канцелярії.

Забороняється доставляти у неробочий час документи з грифом "ДСК" в організації, де немає постійних чергових працівників.

Реєстрації підлягають усі вхідні, вихідні та внутрішні документи з грифом "ДСК". Вони обліковуються за кількістю сторінок, а видання (книги, журнали, брошури) -- за кількістю примірників.

Сторінки журналів нумеруються, журнали прошнуровуються та опечатуються. На останній обліченій сторінці робиться запис про кількість сторінок у журналі, який підписується працівником канцелярії та завіряється печаткою "Для пакетів". У разі коли обсяг документів з грифом "ДСК" незначний, дозволяється вести їх облік (реєстрацію) разом з іншою несекретною документацією. При цьому на картці (у журналі) до реєстраційного номера документа або видання додається позначка "ДСК".

Проходження документів з грифом "ДСК" повинно своєчасно відображатися на відповідних картках (у журналах).

На кожному зареєстрованому документі, а також супровідному листі до видання з грифом "ДСК" проставляється штамп, у якому зазначаються найменування організації, реєстраційний номер документа та дата його надходження.

Тираж видання з грифом "ДСК", одержаний для розсилання, реєструється за одним вхідним номером у журналі обліку і розподілу видань з грифом "ДСК" за відповідною формою. Додатково розмножені примірники документа (видання) обліковуються за номером цього документа (видання), про що робиться позначка на розмноженому документі (виданні) та у формах обліку. Нумерація додатково розмножених примірників продовжується від останнього номера примірників, що були розмножені раніше.

Відповідальність за випуск документів з грифом "ДСК", що тиражуються, несуть керівники організацій (структурних підрозділів), у яких вони тиражуються. Документи з грифом "ДСК", одержані від сторонніх організацій, можуть бути розмножені тільки за їх згодою.

Друкування документів з грифом "ДСК" здійснюється у друкарському бюро організації. При цьому до реєстраційного номера документа додається позначка "ДСК". Друкування таких документів також допускається у структурних підрозділах під відповідальність їх керівників. Оброблення, зберігання, а також друкування документів з грифом "ДСК" та конфіденційної інформації, що є власністю держави, з використанням автоматизованих систем (далі -- АС) дозволяється тільки за наявності виданого в установленому порядку Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України атестата відповідності комплексної системи захисту інформації в цій АС вимогам щодо захисту інформації.

На звороті останньої сторінки кожного примірника документа друкарка повинна зазначити кількість надрукованих примірників, прізвище виконавця, власне прізвище і дату друкування документа. Надруковані і підписані документи з грифом "ДСК" разом з їх чернетками та варіантами передаються для реєстрації співробітнику канцелярії, який здійснює їх облік. Чернетки і варіанти знищуються виконавцем та співробітником канцелярії, про що на копії вихідного документа робиться запис: "Чернетки і варіанти знищені. Дата. Підписи".

Реферативні інформаційні видання у журнальному або зброшурованому картковому виконанні, в яких містяться відомості про документи з грифом "ДСК", випускаються з аналогічним грифом. Вилучені із зазначених видань реферативні інформаційні картки та сторінки, що не містять відомостей обмеженого поширення, обліковуються і зберігаються як несекретні матеріали. Факт вилучення карток і сторінок засвідчується підписами двох виконавців на обкладинках цих видань.

Розмноження документів з грифом "ДСК" у друкарні або на розмножувальних апаратах здійснюється з дозволу керівника організації (структурного підрозділу) за підписаними ним нарядами під контролем канцелярії. Облік розмножених документів здійснюється за кількістю їх примірників.

У друкарнях та у відділах розмножувальної техніки облік документів з грифом "ДСК", що тиражуються в незначному обсязі, може здійснюватися в одному журналі разом з іншими несек-ретними документами. При цьому до реєстраційного номера чи назви документа додається позначка "ДСК".

Після закінчення друкування документів з грифом "ДСК" набір повинен бути розсипаний, друкарські форми анульовані, записи на магнітних дисках знищені, про що складається акт або робиться відповідна відмітка у журналі за підписами замовника і виконавця.

Під час розмноження документів з грифом "ДСК" з використанням засобів копіювально-розмножувальної техніки заходи технічного захисту інформації здійснюються відповідно до законодавства.

Розсилання (відправлення) тиражу документів з грифом "ДСК" здійснюється на підставі рознарядок, підписаних керівником організації (його заступником) та керівником канцелярії, із зазначенням облікових номерів примірників, що розсилаються (відправляються).

Пересилання документів з грифом "ДСК" до інших організацій у межах України здійснюється рекомендованими або цінними поштовими відправленнями, а також з кур'єрами організацій.

Доставка документів з грифом "ДСК" представниками інших організацій здійснюється на підставі письмового доручення.

Документи, справи і видання з грифом "ДСК", що розсилаються, повинні бути вкладені у конверти або упаковані таким чином, щоб виключалася можливість доступу до них.

На упаковці або конверті зазначаються адреси і найменування одержувача та відправника, номери вкладених документів з проставлянням позначки "ДСК".

На конвертах (упаковках) документів з грифом "ДСК" забороняється зазначати прізвища і посади керівників організацій (структурних підрозділів) і виконавців документів, а також найменування структурних підрозділів.

Ознайомлення представників засобів масової інформації з документами з грифом "ДСК та передавання їм таких матеріалів допускається у кожному окремому випадку за письмовими дозволами керівників організацій, яким надано право відповідно затверджувати переліки відомостей, які містять конфіденційну інформацію, що є власністю держави. Такі документи попередньо розглядаються експертними комісіями, які приймають письмові рішення про доцільність їх передавання або можливість зняття грифа "ДСК", якщо на момент ознайомлення або передавання відомості, що містяться у документах, втратили первісне значення. Якщо в документах з грифом "ДСК" містяться відомості, що належать до компетенції інших організацій, передавання їх за кордон або у засоби масової інформації може бути здійснене лише за письмовою згодою цих організацій. Забороняється надсилати за кордон видання з грифом "ДСК" у порядку книгообміну або експонування на виставках, презентаціях тощо.

Документи з грифом "ДСК" після їх виконання формуються у справи. Порядок формування цих справ передбачається номенклатурами справ несекретного діловодства У номенклатуру справ в обов'язковому порядку включаються всі довідкові та реєстраційні картотеки і журнали на документи з грифом "ДСК". Документи з грифом "ДСК" залежно від виробничої та інформаційної потреби дозволяється формувати у справи окремо або разом з іншими несекретними документами з одного й того ж питання.

Якщо в організації створюється велика кількість однакових видів документів (наказів, інструкцій, планів тощо) з грифом "ДСК" та без цього грифа, доцільно формувати їх в окремі справи. При цьому в графі номенклатури справ "Індекс справи" до номера справи з документами з грифом "ДСК" додається позначка "ДСК".

У разі долучення документа з грифом "ДСК" до справи з документами, що не мають такого грифа, на справі ставиться позначка "ДСК", а до номенклатури справ вносяться відповідні зміни.

В організаціях, у діяльності яких створюється незначна кількість документів з грифом "ДСК", номенклатурою справ може бути передбачене запровадження однієї справи із заголовком "Документи з грифом "ДСК". Термін зберігання такої справи не встановлюється, а у відповідній графі номенклатури справ приставляється позначка "ЕК" (експертна комісія).

Після закінчення діловодного року справа "Документи з грифом "ДСК" переглядається посторінково членами експертної комісії організації та у разі потреби приймається рішення про переформування документів. Документи постійного зберігання, що містяться у цій справі, формуються в окрему справу, якій надається окремий заголовок і яка додатково включається до номенклатури справ. Документи тимчасового зберігання залишаються у цій справі згідно із затвердженою номенклатурою справ. Якщо у справі "Документи з грифом "ДСК" містяться тільки документи тимчасового зберігання, вона може не переформовуватися. Термін зберігання такої справи встановлюється відповідно до найбільшого терміну зберігання документів, що містяться в цій справі. Позначка "ЕК" у графі номенклатури справ "Термін зберігання" закреслюється і зазначається уточнений термін зберігання.

Якщо члени експертної комісії за результатами перегляду наявних у справі документів дійдуть висновку, що вони за сукупністю містять відомості, які становлять державну таємницю, про це складається відповідний акт. Цій справі надається гриф обмеження доступу згідно із законодавством про державну таємницю. Зберігання її здійснюється відповідно до вимог секретного діловодства.

Справи з несекретними документами, в яких накопичуються окремі документи з грифом "ДСК", повинні бути віднесені до категорії обмеженого розповсюдження і використання. На обкладинках і титульних сторінках цих справ також проставляється гриф "ДСК", а в номенклатуру справ вносяться відповідні уточнення.

Справи з документами з грифом "ДСК" повинні мати внутрішні описи. До роботи із справами з грифом "ДСК" допускаються посадові особи, які мають досвід роботи та безпосереднє відношення до цих справ, згідно із списками, погодженими з канцелярією, а до документів -- згідно з вказівками, викладеними у резолюціях керівників організацій (структурних підрозділів).

Категорії працівників, які допускаються до роботи з виданнями з грифом "ДСК", визначаються керівниками організацій.

Забороняється користуватися відомостями з документів з грифом "ДСК" для відкритих виступів або опублікування у засобах масової інформації, експонувати такі документи на відкритих виставках, демонструвати їх на стендах, у вітринах або інших громадських місцях.

У разі потреби з письмового дозволу керівника організації допускається опублікування або передання для опублікування несекретних відомостей обмеженого поширення, якщо такі відомості не суперечать затвердженим в установі перелікам конфіденційної інформації, що є власністю держави.

Передача конфіденційної інформації, що є власністю держави, каналами зв'язку здійснюється лише з використанням засобів технічного та (або) криптографічного захисту інформації.

Представники інших організацій допускаються до ознайомлення і роботи з документами з грифом "ДСК" з дозволу керівників організацій (структурних підрозділів), у володінні та розпорядженні яких перебувають ці документи, за наявності письмового запиту організацій, в яких вони працюють, із зазначенням характеру завдання, що виконується.

Виписки з документів і видань з грифом "ДСК", що містять відомості обмеженого поширення, робляться у зошитах, що мають аналогічний гриф, які після закінчення роботи надсилаються на адресу організації, яка давала дозвіл на ознайомлення і роботу з документами з грифом "ДСК".

Справи та видання з грифом "ДСК" видаються виконавцям і приймаються від них під розписку в картці обліку справ і видань, що видаються за встановленою формою.

Зняття копій, а також здійснення виписок з документів з грифом "ДСК" співробітниками організації, де перебувають документи, проводиться з дозволу керівника організації (структурного підрозділу).

Копіювання для сторонніх організацій документів з грифом "ДСК", одержаних від інших організацій, здійснюється за погодженням з організаціями-авторами цих документів.

Видання з грифом "ДСК" включаються тільки у службові каталоги. Забороняється включати такі видання у відкриті каталоги та бібліографічні покажчики Видача громадянам України видань з грифом "ДСК" у масових бібліотеках здійснюється за письмовими клопотаннями керівників організацій, в яких працюють ці громадяни, із зазначенням теми роботи. Ці дозволи дійсні протягом року.

Забороняється зберігати документи з грифом "ДСК" у бібліотеках загального користування.

У відомчих бібліотеках закритого типу видання з грифом "ДСК" видаються:

співробітникам цієї організації -- за списками, затвердженими керівником організації (структурного підрозділу), або за його письмовим дозволом;

співробітникам інших організацій -- за письмовими зверненнями цих організацій та з письмового дозволу керівника організації (структурного підрозділу), що зберігає ці видання.

Видання з грифом "ДСК" з письмового дозволу керівника організації можуть видаватися по міжбібліотечному абонементу на підставі письмових запитів керівників організацій, яким ці видання потрібні.

Справи постійного та тривалого (понад 10 років) зберігання з грифом "ДСК" періодично переглядаються з метою можливого зняття цього грифа. Перегляд здійснюється під час передачі справ із структурних підрозділів до архівного підрозділу організації, у процесі зберігання справ в архівному підрозділі (як правило не менш як один раз на 5 -- 10 років), а також під час підготовки справ постійного зберігання для передачі до державної архівної установи.

Рішення про зняття грифа "ДСК" приймається експертною комісією організації-автора документа (видання) чи правонаступника. До складу комісії включаються працівники канцелярії, режимно-секретного та інших структурних підрозділів організації.

Рішення комісії оформляється актом, що складається за довільною формою та затверджується керівником організації. В акті перелічуються заголовки та номери за описом справ, з яких знімається гриф "ДСК".

Один примірник акта разом із справами передається до архівного підрозділу організації, а справи постійного зберігання -- до відповідної державної архівної установи. Про зняття грифа обмеження доступу повідомляються всі організації, яким надсилався цей документ (видання).

На обкладинках справ гриф "ДСК" погашається штампом або записом від руки із зазначенням дати і номера акта, що став підставою для зняття грифа. Аналогічні відмітки вносяться до опису і номенклатури справ.

Справи з грифом "ДСК", передані організаціями до державних архівних установ, використовуються на правах документів обмеженого користування.

Видача таких справ дослідникам здійснюється з письмового дозволу керівника державної архівної установи, якщо організація-фондоутворювач під час передачі справ до державної архівної установи не обумовила вимоги щодо погодження з нею видачі таких справ.

Проведення експертизи наукової, історико-культурної цінності документів і справ з грифом "ДСК", розгляд і затвердження її результатів здійснюється відповідно до Порядку утворення та діяльності експертних комісій з визначення цінності документів, Порядку державної реєстрації документів Національного архівного фонду, Порядку віднесення документів Національного архівного фонду до унікальних, внесення їх до Державного реєстру національного культурного надбання та зберігання, затверджених Постановою Кабінету Міністрів України від 16 листопада 2002 р. № 1739.

Справи із структурних підрозділів до архівного підрозділу організації передаються в упорядкованому стані. На справи з документами з грифом "ДСК" з терміном зберігання до 10 років включно описи можуть не складатися. їх передача до архівного підрозділу здійснюється за номенклатурами справ. Підготовка справ для архівного зберігання (оформлення, опис справ на обкладинках і складання описів справ) здійснюється згідно з правилами, встановленими Головархівом.

Справи з грифом "ДСК" постійного зберігання передаються до державних архівних установ у встановленому Головархівом порядку з обов'язковою посторінковою перевіркою документів, включених до них.

Відібрані для знищення справи з грифом "ДСК", що не мають наукової, історико-культурної цінності та втратили практичне значення, можуть оформлятися окремим актом або включатися у загальний акт за разом з іншими несекретними справами, відібраними до знищення. При цьому у графі "Заголовки справ" після номерів цих справ проставляється відмітка "ДСК".

Відібрані для знищення документи, справи і видання з грифом "ДСК" перед здачею на переробку як макулатура повинні в обов'язковому порядку подрібнюватися до стану, що виключає можливість прочитання їх.

Після знищення матеріалів з грифом "ДСК" в облікових документах (картках, журналах, номенклатурах справ, описах справ тимчасового зберігання) робиться відповідна відмітка.

Інформаційні бюлетені, реферативні інформаційні видання, телефонні та адресні довідники, а також копії документів, стенографічні записи і друкарський брак знищуються без акта, але з відміткою в облікових формах, що засвідчується підписами виконавця і працівника, відповідального за їх облік і зберігання.

Забезпечення схоронності документів й перевірка їх наявності здійснюється у такому порядку. Документи з грифом "ДСК" повинні зберігатися у службових приміщеннях і бібліотеках у шафах (сховищах), які надійно замикаються та опечатуються. Забороняється зберігати такі документи у підсобних фондах бібліотек.

Справи з грифом "ДСК", видані для роботи, підлягають поверненню у канцелярію або архівний підрозділ у той же день. Окремі справи з грифом "ДСК" з дозволу керівника канцелярії або архівного підрозділу організації можуть перебувати у виконавця протягом терміну, необхідного для виконання завдання, за умови повного забезпечення їх схоронності і додержання правил зберігання.

Передача документів з грифом "ДСК" іншим співробітникам здійснюється тільки через канцелярію, архівний підрозділ або бібліотеку. Забороняється вилучення із справ або переміщення документів з грифом "ДСК" з однієї справи до іншої без дозволу канцелярії. Про всі проведені вилучення або переміщення документів робляться відмітки в облікових формах, включаючи внутрішні описи.

Забороняється виносити документи з грифом "ДСК" за межі службових приміщень організації. У разі потреби керівник організації (структурного підрозділу) може дозволити виконавцям або співробітникам канцелярії винести за межі службового приміщення організації документи з грифом "ДСК" для їх погодження, підписання тощо в організаціях, що знаходяться у межах одного населеного пункту.

Особам, які відряджені до інших населених пунктів, забороняється мати при собі матеріали з грифом "ДСК". Ці матеріали повинні бути заздалегідь надіслані на адресу організації за місцем відрядження співробітника відповідно до встановленого порядку.

В окремих випадках з дозволу керівника організації дозволяється перевезення документів з грифом "ДСК" до іншого населеного пункту за умови, що такі документи перевозяться групою у складі не менше двох працівників (або одного озброєного працівника), що мають виконувати роботу з ними в іншому населеному пункті.

У разі зміни працівників, відповідальних за облік і зберігання документів (справ) з грифом "ДСК", складається за довільною формою акт прийому-передачі цих документів (справ), що затверджується керівником організації (структурного підрозділу).

Перевірка наявності документів з грифом "ДСК" здійснюється щорічно комісією, що призначається наказом керівника організації. До складу цієї комісії обов'язково включаються особи, яким доручено облік і зберігання цих документів, а також працівники режимно-секретних підрозділів.

У бібліотеках та архівних підрозділах, де зосереджена значна кількість документів з грифом "ДСК", перевірка їх наявності може здійснюватися один раз на п'ять років. Результати перевірки наявності оформляються відповідним актом.

Про факти втрати документів з грифом "ДСК" або розголошення відомостей, що містяться в них, терміново доводиться до відома керівника організації, керівників режимно-секретного підрозділу та канцелярії. Для розслідування факту втрати документів з грифом "ДСК" або встановлення факту розголошення відомостей, що містяться в них, наказом керівника організації призначається комісія, висновок якої затверджується керівником організації.

Відповідні записи про втрачені документи вносяться в облікові форми на підставі акта комісії, затвердженого керівником організації. Акти комісії про втрачені справи постійного зберігання після затвердження їх керівником організації передаються до архівного підрозділу для включення у справу фонду.

За порушення, що призвели до розголошення інформації "ДСК", втрати або незаконного знищення документів з грифом "ДСК", а також інших вимог порядку обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, винні особи несуть дисциплінарну та цивільно-правову відповідальність згідно із законодавством.

Облік, зберігання і використання печаток, штампів і бланків здійснюється у такому порядку. Обов'язковому обліку підлягають печатки і штампи з повним найменуванням організацій; бланки з кутовими та повздовжніми штампами організацій, що мають необхідний трафаретизований текст документів, які дають право на інспектування, нагляд та відвідування організацій; посвідчення особи, посвідчення про відрядження, а також усі види перепусток, бланки документів про освіту (атестати, дипломи, посвідчення), трудові книжки.

Порядок обліку, зберігання і використання інших видів печаток, штампів і бланків суворої звітності визначається відповідними відомчими інструкціями. Контроль за їх виготовленням, зберіганням та використанням покладається на канцелярії організацій та осіб, відповідальних за діловодство.

Особи, що персонально відповідають за облік і зберігання печаток, штампів і бланків, призначаються наказами керівників організацій.

Облік печаток, штампів і бланків ведеться у журналі за встановленою формою. Видача бланків відповідальним за їх використання особам здійснюється під розписку у відповідних журналах. Журнали обліку печаток, штампів і бланків включаються у номенклатуру справ, їх аркуші нумеруються, прошиваються і опечатуються. Печатки і штампи повинні зберігатися у сейфах або металевих шафах. Бланки дозволяється зберігати у шафах, що надійно замикаються та опечатуються.

На бланках посвідчень особи, посвідчень про відрядження, усіх видів перепусток, документів про освіту, документів, що дають право на інспектування, нагляд або відвідання організацій, друкарським способом або нумератором проставляються порядкові номери на всіх частинах (сторінках) цих бланків.

Печатки і штампи, виготовлені з дозволу органів МВС, здаються для знищення цим органам за місцезнаходженням організацій. Перевірка наявності печаток, штампів і бланків здійснюється щорічно комісією, призначеною наказом керівника організації. Про перевірки наявності печаток, штампів і бланків робляться відмітки у журналах обліку за встановленими формами після останнього запису. У разі порушення правил обліку, зберігання і використання печаток, штампів і бланків комісія проводить службове розслідування, результати якого оформляються актом довільної форми та доводяться до відома керівника організації.

У разі втрати печаток і штампів керівники організацій зобов'язані негайно повідомити про це органи МВС та вжити заходів для їх розшуку.

4. Центральний орган державної влади, функції якого пов'язані із захистом конфіденційної інформації, що є власністю держави

Врегулювання питань, пов'язаних з обігом конфіденційної інформації, що є власністю держави, на рівні постанови КМ України не призвело до вирішення даного питання в цілому. Лише 11 травня 2004 року до Закону України "Про інформацію" було внесено зміни, завдяки яким в законодавче поле вписувалися основи правового регулювання конфіденційної інформації, а саме:

доповнено статтю ЗО, згідно з якою інформація, що є власністю держави, і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ -- надано статус конфіденційної. Порядок обліку, зберігання і використання документів та інших носіїв інформації, що містять зазначену інформацію, визначається Кабінетом Міністрів України. Визначено категорії інформації, які не можуть бути віднесені до конфіденційної;

статтю 47 "Відповідальність за порушення законодавства про інформацію доповнено абзацом такого змісту: "порушення порядку обліку, зберігання і використання документів та інших носіїв інформації, які містять конфіденційну інформацію, що є власністю держави".

Одночасно із змінами до Закону України "Про інформацію" було внесено зміни до Кодексу України про адміністративні правопорушення, до Закону України --Про Службу безпеки України".

Аналіз чинного законодавства дозволяє зробити висновок, що СБ України є єдиним правоохоронним органом, який наділений необхідним правовим інструментарієм щодо забезпечення захисту конфіденційної інформації:

- з метою пошуку і фіксації фактичних даних про передачу або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави, СБ України уповноважена проводити оперативно-розшукову діяльність;

- до підслідності СБ України віднесено розслідування злочину передбаченого статтею 330 КК України "Передача або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави";

уповноважені посадові особи СБ України мають право складати адміністративні протоколи за порушення передбачені статтею 212-5 Кодексу України про адміністративні правопорушення "Порушення порядку обліку, зберігання і використання документів та інших носіїв, які містять конфіденційну інформацію, що є власністю держави";

ДСТСЗІ СБ України (Державну службу спеціального зв'язку та захисту інформації України) наділено контрольно-наглядовими, регулятивними та дозвільно-реєстраційними повноваженнями з технічного та криптографічного захисту конфіденційної інформації, що є власністю держави.

Крім цього, відповідно до Закону України "Про Службу безпеки України" остання зобов'язана брати участь у розробці і здійсненні заходів щодо забезпечення конфіденційної інформації (п. 7 ст. 24). А згідно з Постановою Кабінету Міністрів України від 17.11.2004 р. № 1547 (доповнення до Постанови КМ України від 27 листопада 1998 р. № 1893) СБ України:

контролює обіг документів, які містять конфіденційну інформацію;

погоджує (спільно з Держкомархів України) відомчі інструкції з питань обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які її містять;

про факти втрати документів з грифом "ДСК" або розголошення таких відомостей організації зобов'язані письмово повідомляти СБ України.

Виходячи з зазначеного, Службу безпеки України фактично визнано спеціально уповноваженим органом державної влади у сфері захисту конфіденційної інформації.

Повне розв'язання даної проблеми можливе у разі законодавчого врегулювання основних аспектів захисту конфіденційної інформації.

встановлення строку обмеження доступу до інформації, підстави для зняття такого обмеження;

заходи захисту даної категорії інформації;

порядок доступу до відповідної інформації;

обмеження прав громадян, які обізнані з конфіденційною інформацією (насамперед на її оприлюднення) тощо.

8. Правова регламентація технічного захисту інформації в Україні

Питання лекції:

1. Зміст поняття "технічний захист інформації".

Основні положення законодавства України щодо технічного захисту інформації.

Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації.

Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах.

Зростання загроз для інформації, спричинене лібералізацією суспільних та міждержавних відносин, кризовим станом економіки, застосуванням технічних засобів оброблення інформації та засобів зв'язку іноземного виробництва, поширенням засобів несанкціонованого доступу до інформації та впливу на неї, визначає необхідність розвитку технічного захисту інформації.

Напрями розвитку технічного захисту інформації обумовлюються необхідністю своєчасного вжиття заходів, адекватних масштабам загроз для інформації, і ґрунтуються на засадах правової демократичної держави відповідно до прав суб'єктів інформаційних відносин на доступ до інформації та її захист.

Ефективне і належне функціонування системи технічного захисту інформації не можливе без чіткого правового регулювання відповідних суспільних відносин. Адже саме право має необхідні засоби і механізми впливу на поведінку суб'єктів відповідних відносин.

У даній лекції розглянуто саме правові основи технічного захисту інформації в Україні.

1. Зміст поняття "технічний захист інформації"

Основи державної політики у сфері захисту інформації інженерно-технічними заходами визначає Концепція технічного захисту інформації в Україні, затверджена Постановою Кабінету Міністрів України від 8 жовтня 1997 р. №1126.

У Концепції зазначено, що технічний захист інформації (далі - ТЗІ) є складовою частиною забезпечення національної безпеки України.

Закон України "Про основи національної безпеки України" дає таке визначення: національна безпека - захищеність життєво важливих інтересів людини і громадянина, суспільства і держави, за якої забезпечуються сталий розвиток суспільства, своєчасне виявлення, запобігання і нейтралізація реальних та потенційних загроз національним інтересам.

Таким чином, технічний захист інформації визнається одним із засобів охорони та захисту життєво важливих інтересів людини і громадянина, суспільства і держави.

Згадана вище Концепція має за мету забезпечити єдність принципів формування і проведення політики технічного захисту інформації в усіх сферах життєдіяльності особи, суспільства та держави (соціальній, політичній, економічній, військовій, екологічній, науково-технологічній, інформаційній тощо) і служити підставою для створення програм розвитку сфери ТЗІ.

Нормативне визначення ТЗІ наступне: це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності (унеможливлення блокування) інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави. Система ТЗІ - це сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами (далі - організаційні структури), нормативно-правова та матеріально-технічна база.

Принципами формування і проведення державної політики у сфері ТЗІ є:

додержання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність;

єдність підходів до забезпечення ТЗІ, які визначаються загрозами безпеці інформації та режимом доступу до неї;

- комплексність, повнота та безперервність заходів ТЗІ;

відкритість нормативно-правових актів та нормативних документів з питань ТЗІ, які не містять відомостей, що становлять державну таємницю;

узгодженість нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України;

обов'язковість захисту інженерно-технічними заходами інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, в державних установах і організаціях (далі - державні органи, підприємства, установи і організації);

виконання на власний розсуд суб'єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації, що не належить державі, та відкритої інформації, важливої для особи та суспільства, якщо остання циркулює поза межами державних органів, підприємств, установ і організацій;

покладення відповідальності за формування та реалізацію державної політики у сфері ТЗІ на спеціально уповноважений центральний орган виконавчої влади;

ієрархічність побудови організаційних структур системи ТЗІ та керівництво їх діяльністю у межах повноважень, визначених нормативно-правовими актами;

методичне керівництво спеціально уповноваженим центральним органом виконавчої влади у сфері ТЗІ діяльністю організаційних структур системи ТЗІ;

скоординованість дій та розмежування сфер діяльності організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки;

фінансова забезпеченість системи ТЗІ за рахунок Державного бюджету України, бюджету Автономної Республіки Крим, місцевих бюджетів та інших джерел.

2. Основні положення законодавства України щодо технічного захисту інформації

Правову основу забезпечення ТЗІ в Україні становлять Конституція України, Закон України "Про основи національної безпеки України", Закони України "Про інформацію", "Про захист інформації в автоматизованих системах", "Про державну таємницю", "Про науково-технічну інформацію", інші нормативно-правові акти, а також міжнародні договори України, що стосуються сфери інформаційних відносин.

Структура нормативно-правової бази системи ТЗІ в Україні є наступною.

Закони України, в т.ч. Конституція України і Кримінальний кодекс України (ст. 361, 363), які містять загальні правові норми щодо забезпечення організації діяльності системи ТЗІ в Україні. Вони стосуються правового статусу суб'єктів інформаційних відносин, власників інформації; інформаційної діяльності різноманітних суб'єктів; національної, інформаційної безпеки тощо.

Нормативно-правові акти підзаконного характеру (постанови, укази, накази, розпорядження тощо) Верховної Ради України, Президента України, Кабінету Міністрів України, Служби безпеки України, інших органів державної влади щодо організації діяльності системи ТЗІ в Україні:

ліцензування господарської діяльності в галузі ТЗІ, дозвільного порядку проведення робіт з ТЗІ для власних потреб;

процедур сертифікації, атестації, експертизи, контролю, інспектування в галузі ТЗІ;

порядку і правил побудови, викладення, оформлення, видання та розповсюдження документів з питань ТЗІ;

підготовки, перепідготовки і підвищення кваліфікації фахівців в галузі ТЗІ.

3. Міжвідомчі нормативні документи з питань ТЗІ (державні стандарти, галузеві стандарти, стандарти науково-технічних та інженерних товариств і спілок України, технічні умови України, стандарти підприємств, державні (відомчі) будівельні норми). Це стандарти, які містять положення, вимоги, умови щодо ТЗІ або можуть бути використані для забезпечення ТЗІ.

Порядок розроблення, погодження, затвердження, реєстрації та видання нових, перегляду і скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного, захисту інформації, що не належать до нормативних документів із стандартизації, але є обов'язковими для виконання всіма органами виконавчої влади та місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов'язана з технічним захистом інформації, визначається Положенням про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації, затвердженим Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 7.06.2002 р. № 35. Міжвідомчі нормативні документи з питань ТЗІ призначені для забезпечення конфіденційності, цілісності і доступності інформації в інформаційно-телекомунікаційних системах, автоматизованих системах і на об'єктах інформаційної діяльності.

4. Відомчі документи з питань ТЗІ, що погоджені Державною службою і стосуються досліджень заходів ТЗІ та досліджень їх ефективності.

У сукупності всі ці документи встановлюють основні положення, загальні правила, визначають порядок здійснення різних видів діяльності в сфері ТЗІ, формулюють вимоги до якості послуг і продукції, викладають методичні вказівки по впровадженню заходів захисту і оцінюванню їх ефективності.

3. Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації

Дозвільний порядок здійснення діяльності з розробки технічних засобів захисту інформації визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62.

Державна експертиза в сфері технічного захисту інформації (далі -- експертиза) проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, приміщеннях, інженерно-технічних спорудах тощо (далі -- об'єкти інформаційної діяльності), та підготовки обґрунтованих висновків для прийняття відповідних рішень.

Дія зазначеного Положення поширюється на всіх юридичних та фізичних осіб, які належать до числа суб'єктів експертизи.

Суб'єктами експертизи є:

юридичні та фізичні особи, які є замовниками експертизи (далі -- замовники);

Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України <<Про Державну службу спеціального зв'язку та захисту інформації України" від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації і відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України, далі -- Державна служба), а також підприємства, установи та організації, які проводять експертизу за його дорученням (далі -- організатори);

фізичні особи -- виконавці експертних робіт з технічного захисту інформації (далі -- експерти). Об'єктами експертизи є:

комплексні системи захисту інформації (далі -- КСЗІ), кожна з яких є невід'ємною складовою частиною конкретного об'єкта інформаційної діяльності і поєднує організаційні та інженерні заходи, програмні й технічні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;

окремі технічні та програмні засоби, які реалізують функції технічного захисту інформації (далі -- засоби забезпечення технічного захисту інформації, ЗТЗІ).

КСЗІ на об'єктах інформаційної діяльності, де обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підлягають експертизі в обов'язковому порядку.

Експертиза може бути первинною та контрольною.

Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.

Контрольна експертиза провадиться іншим організатором: з ініціативи замовника, за наявності в нього обґрунтованих претензій до висновку первинної експертизи, або з ініціативи Державної служби -- для перевірки висновків первинної експертизи.

Державна служба для організації та проведення експертизи:

- розробляє необхідні нормативно-правові аьсги та нормативні документи, що забезпечують проведення експертизи, інформує організаторів та експертів про введення їх у дію;

- формує Реєстри організаторів та експертів;

реєструє заяви на проведення експертизи та надає замовникові консультації з процедурних питань;

приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема -- контрольної;

реєструє, видає, призупиняє дію або анулює документи, що засвідчують рішення щодо можливості використання ЗТЗІ чи відповідності КСЗІ вимогам нормативних документів з технічного захисту інформації;

здійснює контроль за дотриманням тих вимог експлуатації об'єкта експертизи, недотримання яких впливає на захищеність інформації.

Замовник експертизи має право:

використовувати без обмежень висновки, результати і матеріали експертизи у своїй діяльності, якщо іншого не передбачено договором на проведення експертизи;

заявляти клопотання про потребу проведення контрольної експертизи - брати, за погодженням з організатором, участь у проведенні експертних робіт.

Замовник експертизи зобов'язаний:

сприяти організатору в проведенні всебічного комплексного дослідження об'єкта експертизи, виробленні експертної оцінки;

передавати в установлені договором терміни організатору потрібні матеріали, розрахунки, дані, додаткові відомості, що стосуються об'єкта експертизи, та надавати потрібне обладнання.

Результати, матеріали, висновки експертизи та створене або придбане за кошти замовника матеріально-технічне забезпечення є його власністю, якщо іншого не передбачено договором між замовником і організатором.

Організатор експертизи має право:

здійснювати всі потрібні заходи з метою організації та проведення експертизи відповідно до положень договору із замовником;

готувати пропозиції щодо включення (виключення) фахівців з питань технічного захисту інформації до (з) Реєстру експертів;

готувати пропозиції щодо розроблення та розробляти проекти нормативних документів з питань проведення експертизи.

Організатор експертизи зобов'язаний:

забезпечувати неупереджене, об'єктивне та своєчасне проведення експертизи;

за залучення Державною службою -- розглядати проекти нормативних документів щодо виконання експертних робіт і надавати змістовні, обґрунтовані пропозиції та зауваження;

створювати умови, які б забезпечували виконання вимог до конфіденційності проведення експертизи, якщо це передбачено договором.

Експерт має право:

вільно викладати в документах з експертизи особисту думку з питань експертизи, а також -- особливі думки відносно результатів виконання робіт;

вимагати від організатора надання достовірних відомостей, матеріалів та інженерно-технічного забезпечення, потрібних для виконання експертних робіт та підготовки висновків;

вносити пропозиції щодо вдосконалення форм і методів проведення експертизи.

Експерт зобов'язаний:

- об'єктивно, неупереджено та своєчасно виконувати експертні роботи;

не допускати розголошення інформації, яка міститься у матеріалах та висновках експертизи;

пред'являти на вимогу замовника документи, які підтверджують його досвід та рівень кваліфікації.

Положення про державну експертизу в сфері технічного захисту інформації, затверджене Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62 визначає також порядок організації та проведення експертизи.

З метою координації заходів та прийняття рішень щодо проведення експертиз при Державній службі створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації (далі -- Експертна рада).

Для проведення експертизи замовник надсилає на ім'я керівника Державної служби у двох примірниках з копією на магнітному носії заяву про проведення експертизи комплексної системи захисту інформації об'єкта інформаційної діяльності або заяву про проведення експертизи засобу технічного захисту інформації.

За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її організатора. У разі наявності у замовника обґрунтованих претензій щодо результатів або порядку проведення експертизи він може звернутися із заявою на ім'я керівника Державної служби про проведення контрольної експертизи.

Основним юридичним документом, що регламентує відносини між замовником і організатором, є договір на проведення експертизи. Порядок фінансування експертизи визначається відповідно до законодавства України, а оплата витрат на проведення експертизи, оплата праці експертів та послуг організаторів здійснюється на підставі договору. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. Збільшення терміну проведення експертизи допускається лише за узгодженням з Державної службою у випадку значного обсягу експертних робіт. Питання оплати контрольної експертизи визначається у договорі на проведення експертизи.

Список експертів, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначається організатором.

Замовник надає організатору визначений нормативними документами системи ТЗІ комплект організаційно-технічної документації на об'єкт експертизи. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та КСЗІ, формує програму і окремі методики проведення експертизи об'єкта та розробляє, у разі потреби, відповідне програмно-технічне забезпечення.

Терміни розроблення окремої методики та потрібних програмно-апаратних засобів залежать від характеру та складності об'єкта експертизи і визначаються у договорі на проведення експертизи. Під час проведення експертизи кожен експерт виконує тільки доручені організатором роботи, визначені окремою методикою. Результати роботи оформлюються у вигляді протоколу за підписом експертів, які її виконували. Протокол затверджується організатором. Організатор може рекомендувати експерту здійснити лише стилістичне редагування протоколів виконаних робіт без зміни їх змісту.

Узгодження результатів окремих робіт між експертом та організатором, а також внесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяється. У протоколі можуть бути зафіксовані особливі думки експертів щодо результатів виконаних робіт. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації організатор може запропонувати замовнику виконати доробку об'єкта.

Термін доробки об'єкта експертизи визначається спільним протоколом між замовником та організатором. Відомості щодо кожної з доробок, а також результати додаткових експертних робіт, оформлюються окремими протоколами. Результати робіт, визначених окремою методикою, узагальнюються організатором в експертному висновку.

Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколах, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.

За результатами проведених робіт організатор складає "Експертний висновок" щодо відповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає до Державної служби.

Положення про державну експертизу визначає також порядок надання "Експертного висновку" та "Атестата відповідності". "Експертний висновок" розглядається Експертною радою і в разі затвердження результатів експертизи реєструється та видається замовнику.

Наявність позитивного рішення щодо експертизи ЗТЗІ є підставою для включення цього засобу до переліку технічних засобів загального призначення, що дозволені Державною службою для використання з метою технічного захисту інформації.

На підставі позитивного рішення щодо експертизи КСЗІ замовнику видається зареєстрований "Атестат відповідності", який підписується керівником (заступником керівника) Державної служби. Державна служба має право призупинити або анулювати дію "Експертного висновку" та "Атестата відповідності". Порядок призупинення або анулювання дії зазначених документів визначається окремим нормативно-правовим документом системи ТЗІ.

Ліцензійні умови провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації, затверджені спільним Наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 29.12.2000 № 89/67.

Зазначені Ліцензійні умови розроблені з урахуванням вимог Законів України "Про ліцензування певних видів господарської діяльності", "Про інформацію", Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229 та інших нормативних актів. Ліцензійні умови визначають кваліфікаційні, організаційні, технологічні та інші вимоги до суб'єктів господарювання, виконання яких є обов'язковою умовою провадження певних видів робіт та надання певних видів послуг у межах господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації (далі -- господарська діяльність у галузі ТЗІ).

В установчих документах суб'єкта господарювання повинно бути передбачено провадження господарської діяльності в галузі ТЗІ. Ліцензування господарської діяльності в галузі ТЗІ провадить Державна служба спеціального зв'язку та захисту інформації України.

У межах господарської діяльності в галузі ТЗІ можуть виконуватися види робіт або надаватися види послуг (далі -- види робіт), які визначаються зазначеними Ліцензійними умовами. У разі, якщо суб'єкт господарювання провадить господарську діяльність у галузі ТЗІ не в повному обсязі, а частково, ліцензійні умови поширюються на нього в частині, що встановлює вимоги до провадження окремих робіт.

Суб'єкт господарювання, який має намір провадити господарську діяльність в галузі ТЗІ та відповідає цим Ліцензійним умовам, подає до Державної служби заяву за встановленою формою про видачу ліцензії.

Ліцензуванню підлягають такі види робіт, які виконуються в межах господарської діяльності з технічного захисту інформації:

розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг;

розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг;

розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг;