Положення про технічний захист інформації в Україні

Закон України „Про захист інформації в інформаційно-телекомунікаційних системах”

• регулює відносини у сфері захисту

інформації в інформаційних, телекомунікаційних та
інформаційно-телекомунікаційних системах

Стаття 2. Об'єкти захисту в системі

Об'єктами захисту в системі є інформація, що обробляється в
ній, та програмне забезпечення, яке призначено для обробки цієї
інформації.

Стаття 3. Суб'єкти відносин

Суб'єктами відносин, пов'язаних із захистом інформації в
системах, є:

власники інформації;

власники системи;

користувачі;

спеціально уповноважений центральний орган виконавчої влади з
питань організації спеціального зв'язку та захисту інформації і
підпорядковані йому регіональні органи. { Абзац п'ятий частини
першої статті 3 в редакції Закону N 879-VI (879-17) від
15.01.2009 }

На підставі укладеного договору або за дорученням власник
інформації може надати право розпоряджатися інформацією іншій
фізичній або юридичній особі - розпоряднику інформації.

На підставі укладеного договору або за дорученням власник
системи може надати право розпоряджатися системою іншій фізичній
або юридичній особі - розпоряднику системи.

Стаття 4. Доступ до інформації в системі

Порядок доступу до інформації, перелік користувачів та їх
повноваження стосовно цієї інформації визначаються власником
інформації.

Порядок доступу до інформації, яка є власністю держави, або
інформації з обмеженим доступом, вимога щодо захисту якої
встановлена законом, перелік користувачів та їх повноваження
стосовно цієї інформації визначаються законодавством.

У випадках, передбачених законом, доступ до інформації в
системі може здійснюватися без дозволу її власника в порядку,
встановленому законом.

Стаття 8. Умови обробки інформації в системі

• Умови обробки інформації в системі визначаються власником
системи відповідно до договору з власником інформації, якщо інше
не передбачено законодавством.

• Інформація, яка є власністю держави, або інформація з
обмеженим доступом, вимога щодо захисту якої встановлена законом,
повинна оброблятися в системі із застосуванням комплексної системи
захисту інформації з підтвердженою відповідністю. Підтвердження
відповідності здійснюється за результатами державної експертизи в
порядку, встановленому законодавством.

• Для створення комплексної системи захисту інформації, яка є
власністю держави, або інформації з обмеженим доступом, вимога
щодо захисту якої встановлена законом, використовуються засоби
захисту інформації, які мають сертифікат відповідності або
позитивний експертний висновок за результатами державної
експертизи у сфері технічного та/або криптографічного захисту
інформації. Підтвердження відповідності та проведення державної
експертизи цих засобів здійснюються в порядку, встановленому
законодавством.

Стаття 9. Забезпечення захисту інформації в системі

• Відповідальність за забезпечення захисту інформації в системі
покладається на власника системи.

• Власник системи, в якій обробляється інформація, яка є
власністю держави, або інформація з обмеженим доступом, вимога
щодо захисту якої встановлена законом, утворює службу захисту
інформації або призначає осіб, на яких покладається забезпечення
захисту інформації та контролю за ним.

• Про спроби та/або факти несанкціонованих дій у системі щодо
інформації, яка є власністю держави, або інформації з обмеженим
доступом, вимога щодо захисту якої встановлена законом, власник
системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкований йому регіональний орган.