ПРО ЗАХИСТ ІНФОРМАЦІЇ В АВТОМАТИЗОВАНИХ СИСТЕМАХ

Об’єктами захисту є інформація, що обробляється в АС, права власників цієї інформації та власників АС, права користувача.

Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначається її власником або чинним законодавством.

Стаття 3. Суб’єкти відносин

Суб’єктами відносин, пов’язаних з обробкою інформації в АС, є:

• власники інформації чи уповноважені ними особи;
• власники АС чи уповноважені ними особи; –
• користувачі інформації; – користувачі АС.

Стаття 4. Право власності на інформацію під час її обробки

Право власності на інформацію, створену як вторинну в процесі обробки в АС, встановлюється з урахуванням норм авторського права на підставі угоди між власником вхідної інформації і користувачем АС. Якщо такої угоди немає, то така інформація належить користувачу АС, який здійснив цю обробку. Користувач АС може проводити обробку інформації лише за наявності згоди на те її власника або уповноваженої ним особи, якщо ця інформація не віднесена до категорії загальнодоступної.

Стаття 5. Гарантія юридичного захисту

Суб’єкти права власності, визначені авторським правом або договірними відносинами, мають право на юридичний захист від заподіяння шкоди власнику інформації чи АС внаслідок навмисної чи ненавмисної втрати, знищення, підроблення, спотворення, блокування інформації та інших неправомірних дій.

Стаття 6. Доступ до інформації

Доступ до інформації, яка зберігається, обробляється і передається в АС, здійснюється лише згідно з правилами розмежування доступу, встановленими власником інформації чи уповноваженою ним особою.

Без дозволу власника доступ до інформації, яка обробляється в АС, здійснюється лише у випадках, передбачених чинним законодавством.

Розділ II. ВІДНОСИНИ МІЖ СУБ’ЄКТАМИ В ПРОЦЕСІ ОБРОБКИ ІНФОРМАЦІЇ В АС

Стаття 7. Відносини між власником інформації та власником АС

Власник АС повинен забезпечити захист інформації згідно з вимогами і правилами, що обумовлюються угодою з власником інформації або уповноваженою ним особою, та зобов’язаний повідомити його про всі факти порушення її захисту.

Власник АС не несе відповідальності за шкоду, заподіяну власнику інформації, якщо при цьому не було порушено встановлені власником інформації правила її захисту.

Згідно з укладеною угодою власник інформації або уповноважені ним особи мають право здійснювати контроль за дотриманням вимог щодо захисту інформації та забороняти чи зупиняти обробку інформації у разі порушення цих вимог.

Стаття 8. Відносини між власником інформації та користувачем

Власник інформації, уповноважені ним на те особи визначають користувачів належної йому інформації та встановлюють їх повноваження.

Стаття 9. Відносини між власником АС і користувачем АС

Власник або розпорядник АС дає користувачам можливість доступу до інформації, що обробляється в АС, згідно з повноваженнями, встановленими власником інформації.

Власник або розпорядник АС регламентує порядок взаємодії користувачів з АС за погодженням з власником інформації.

Власник або розпорядник АС повинен інформувати власника і користувача інформації про властивості методів обробки інформації та межі їх використання, а власник і користувач інформації повинні підтвердити свою згоду на застосування пропонованих методів обробки та відсутність претензій.

Розпорядник АС в обов’язковому порядку інформує власника інформації про технічні можливості захисту інформації в його АС, типові правила, встановлені для персоналу АС.

Розділ III. ЗАГАЛЬНІ ВИМОГИ ЩОДО ЗАХИСТУ ІНФОРМАЦІЇ

Стаття 10. Забезпечення захисту інформації в АС

Захист інформації в АС забезпечується шляхом:

• дотримання суб’єктами правових відносин норм, вимог та правил організаційного і технічного характеру щодо захисту оброблюваної інформації;
• використання засобів обчислювальної техніки, програмного забезпечення, засобів зв’язку і АС в цілому, засобів захисту інформації, які відповідають встановленим вимогам щодо захисту інформації (мають відповідний сертифікат);
• перевірки відповідності засобів обчислювальної техніки, програмного забезпечення, засобів зв’язку і АС в цілому встановленим вимогам щодо захисту інформації (сертифікація засобів обчислювальної техніки, засобів зв’язку і АС);
• здійснення контролю щодо захисту інформації.

Стаття 11. Встановлення вимог і правил щодо захисту інформації

Вимоги і правила щодо захисту інформації, яка є власністю держави, або інформації, захист якої гарантується державою, встановлюються державним органом, уповноваженим Кабінетом Міністрів України. Ці вимоги і правила є обов’язковими для власників АС, де така інформація обробляється, і мають рекомендаційний характер для інших суб’єктів права власності на інформацію.

Стаття 12. Умови обробки інформації

Інформація, яка є власністю держави, або інформація, захист якої гарантується державою, повинна оброблятись в АС, що має відповідний сертифікат (атестат) захищеності, в порядку, який визначається уповноваженим Кабінетом Міністрів України органом.

У процесі сертифікації (атестації) цих АС здійснюються також перевірка, сертифікація (атестація) розроблених засобів захисту інформації.

Інформація, яка є власністю інших суб’єктів, може оброблятися у зазначених АС за розсудом власника інформації. Власник інформації може звернутися до органів сертифікації з клопотанням про проведення аналізу можливостей АС щодо належного захисту його інформації та одержання відповідних консультацій.

Розділ VI. МІЖНАРОДНА ДІЯЛЬНІСТЬ В ГАЛУЗІ ЗАХИСТУ ІНФОРМАЦІЇ В АС

Стаття 20. Забезпечення інформаційних прав України

Фізичні та юридичні особи в Україні на підставі Закону України “Про інформацію” (2657-12) можуть встановлювати взаємозв’язки з АС інших держав з метою обробки, обміну, продажу, купівлі відкритої інформації. Такі взаємозв’язки повинні виключати можливість несанкціонованого доступу з боку інших держав або їх представників-резидентів України чи осіб без громадянства до інформації, що є в АС України, незалежно від форм власності і підпорядкування, стосовно якої встановлено вимоги нерозповсюдження її за межі України без спеціального дозволу.

Відомості Верхов. Ради України. – 1994. – № 31. – Ст. 286;

Голос України. – 1994. – 4 серп. – С.6.

Що таке захищений носій інформації (токен)?

Так, з набранням чинності Закон України «Про електронні довірчі послуги» , тобто з 7 листопада 2018 року, замість поняття ЕЦП з’явилось КЕП. Таке нововведення виникло із прийнттям Закону України «Про електронний цифровий підпис» (повне набрання чинності відбулось 07.11.2018року).

Кваліфікований електронний підпис – удосконалений електронний підпис, який створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа ( п. 23 ст. 1 Закону України «Про електронні довірчі послуги» ).

Засіб кваліфікованого електронного підпису чи печатки – апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення кваліфікованого електронного підпису чи печатки, та/або перевірки кваліфікованого електронного підпису чи печатки, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки, який відповідає вимогам цього Закону ( п. 17 ст. 1 Закону України «Про електронні довірчі послуги» ).

Захищений носій особистих ключів – засіб кваліфікованого електронного підпису чи печатки, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання ( п. 2 Порядку використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, підприємствах, установах та організаціях державної форми власності, затверджений постановою Кабінету Міністрів України від 19 вересня 2018 р. №749 ).

Захищений носій особистих ключів – це і є захищений носій інформації (токен), який використовується для зберігання КЕП.

Іншими словами, засіб не є носій. Носій кваліфікованого електронного підпису/печатки – це токен із мікропроцесором (при вставлянні в комп’ютер токен не відображається як флешка, його “бачить” тільки програма, за допомогою якої відбувається підписання файлів), а засіб КЕП – це програмно-апаратний комплекс, яким володіє кваліфікований надавач, для генерації (створення) ключів і сертифікатів.

Довідково з ресурсу Вікіпедія , токен (також апаратний токен, USB-ключ, криптографічний токен) — компактний пристрій, призначений для забезпечення інформаційної безпеки користувача, також використовується для ідентифікації його власника, безпечного віддаленого доступу до інформаційних ресурсів і т. д. Зазвичай, це фізичний пристрій, що використовується для спрощення аутентифікації.

Токен зовнішньо схожий на USB-пристрій (флешку) або смарт-карту (пластикову картку з чіпом), але в класичному розумінні це не носій інформації. За своєю суттю токен (захищений носій інфомрації) – це апаратно-програмний засіб КЕП, криптографічний процесор, який виконує роль підпису документів.

З аналізу ст. 17 Закону України «Про електронні довірчі послуги» та п. 4 Порядку використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, підприємствах, установах та організаціях державної форми власності, затверджений постановою Кабінету Міністрів України від 19 вересня 2018 р. №749 вбачається, що натепер обов’язок використання захищених носіїв в своїй діяльності покледений на органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, державні реєстратори, нотаріуси та інші суб’єкти, уповноважені державою на здійснення функцій державного реєстратора.

Що стосується приватного сектора, то відповідно до абз.2 п. 1 постанови КМУ “Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів” від 3 березня 2020 р. № 193, обов’язковість використання КЕП на захищеному носії передбачена з 5 березня 2022 року, але лише після врегулювання використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів Законом України “Про електронні довірчі послуги” .

Реєструйтесь на сайті ІнстаДок та використовуйте зручну систему електронного документообігу. Додайте контрагентів, оберіть шаблон і підпишіть потрібний документ прямо зараз!