Екзаменаційний білет № 17

1. ЗАКОН УКРАЇНИ Про захист персональних даних (Відомості Верховної Ради України (ВВР), 2010, № 34, ст. 481)

Стаття 1. Сфера дії Закону

Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

Цей Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб.

Положення цього Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження.

Стаття 2. Визначення термінів

У цьому Законі нижченаведені терміни вживаються в такому значенні:

база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

володілець персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання;

знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;

картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;

обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;

одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

суб'єкт персональних даних - фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;

третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних відповідно до закону.

Стаття 3. Законодавство про захист персональних даних

Законодавство про захист персональних даних складають Конституція України, цей Закон, інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України.

Стаття 4. Суб'єкти відносин, пов'язаних із персональними даними

1. Суб'єктами відносин, пов'язаних із персональними даними, є:

суб'єкт персональних даних;

володілець персональних даних;

розпорядник персональних даних;

третя особа;

уповноважений державний орган з питань захисту персональних даних.

2. Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.

3. Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.

5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.

Стаття 5. Об'єкти захисту

1. Об'єктами захисту є персональні дані.

2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

Стаття 6. Загальні вимоги до обробки персональних даних

1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.

Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.

У разі зміни визначеної мети обробки персональних даних суб'єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети, якщо нова мета обробки є несумісною з попередньою.

2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.

3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.

4. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.

5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

6. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

7. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.

8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.

9. Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту.

10. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної політики у сфері захисту персональних даних.

Порядок обробки персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб затверджується Фондом гарантування вкладів фізичних осіб.

Стаття 7. Особливі вимоги до обробки персональних даних

Стаття 8. Права суб'єкта персональних даних

Стаття 9. Реєстрація баз персональних даних

Стаття 10. Використання персональних даних

Стаття 11. Підстави для обробки персональних даних….

2. Режими шифрування DES

МВ до ЛР ст 57-58

3. Сучасні тенденції створення СЗІ

ЕКЗАМЕНАЦІЙНИЙ БІЛЕТ № 18

1. Положення про порядок здійснення криптографічного захисту інформації в Україні

Методи захисту інформації

• Морально-етичні

• Правові

• Організаційно-адміністративні

• Технічні

• Програмні

• Криптографічні

ПОЛОЖЕННЯ

про порядок здійснення криптографічного

захисту інформації в Україні

1. Це Положення визначає порядок здійснення криптографічногозахисту інформації з обмеженим доступом, розголошення якої завдає(може завдати) шкоди державі, суспільству або особі.

2. Вжиті у цьому Положенні терміни мають таке значення:

криптографічний захист - вид захисту, що реалізується за

допомогою перетворень інформації з використанням спеціальних даних

(ключових даних) з метою приховування (або відновлення) змісту

інформації, підтвердження її справжності, цілісності, авторства

тощо;

засіб криптографічного захисту інформації - програмний,

апаратно-програмний, апаратний або інший засіб, призначений для

криптографічного захисту інформації;

криптографічна система (криптосистема) - сукупність засобів

криптографічного захисту інформації, необхідної ключової,

нормативної, експлуатаційної, а також іншої документації (у тому

числі такої, що визначає заходи безпеки), використання яких

забезпечує належний рівень захищеності інформації, що

обробляється, зберігається та (або) передається;

система криптографічного захисту інформації - сукупність

органів, підрозділів, груп, діяльність яких спрямована на

забезпечення криптографічного захисту інформації, та підприємств,

установ і організацій, що розробляють, виробляють, експлуатують та

(або) розповсюджують криптосистеми і засоби криптографічного

захисту інформації.

3. Державну політику у сфері криптографічного захисту

інформації відповідно до закону реалізує Державна служба

спеціального зв'язку та захисту інформації України (далі -

Держспецзв'язку України).

{ Пункт 3 із змінами, внесеними згідно з Указом Президента

N 1229/99 від 27.09.99; в редакції Указу Президента N 333/2008

(333/2008) від 11.04.2008 }

4. Ліцензування діяльності, пов'язаної з розробкою,

виготовленням, ввезенням, вивезенням, реалізацією та використанням

засобів криптографічного захисту інформації, а також з наданням

послуг із криптографічного захисту інформації, здійснюється згідно

із законодавством України. (Пункт 4 в редакції Указу Президента

N 1019/98 від 15.09.98)

5. Державні органи, підприємства, установи і організації

придбавають, ввозять в Україну, вивозять з України, використовують

криптосистеми і засоби криптографічного захисту інформації за

погодженням з Адміністрацією Державної служби спеціального зв'язку

та захисту інформації України.

{ Пункт 5 із змінами, внесеними згідно з Указом Президента

N 333/2008 (333/2008) від 11.04.2008 }

6. З метою визначення рівня захищеності від несанкціонованого

доступу до інформації з обмеженим доступом проводяться

сертифікаційні випробування криптосистем і засобів

криптографічного захисту.

7. Для криптографічного захисту інформації, що становить

державну таємницю, та службової інформації, створеної на

замовлення державних органів або яка є власністю держави,

використовуються криптосистеми і засоби криптографічного захисту,

допущені до експлуатації.

Зазначені криптосистеми і засоби перебувають у державній

власності.

Засоби криптографічного захисту службової інформації та

криптосистеми з відповідного дозволу можуть перебувати і в

недержавній власності.

8. Для криптографічного захисту конфіденційної інформації

використовуються криптосистеми і засоби криптографічного захисту,

які мають сертифікат відповідності.

9. Порядок розроблення, виготовлення, розповсюдження,

експлуатації, збереження, використання, випробування, сертифікації

та допуску до експлуатації криптосистем і засобів криптографічного

захисту інформації, контролю за додержанням вимог безпеки при

проведенні цих робіт визначається відповідними положеннями.

Діяльність, пов'язана зі створенням і експлуатацією систем

криптографічного захисту секретної інформації, забезпеченням

безпеки інформації, що циркулює в цих системах, регламентується

Iнструкцією.

10. Роботи, передбачені пунктами 4, 6 і 7 цього Положення,

виконує, а положення та Iнструкцію, зазначені у пункті 9,

затверджує Адміністрація Державної служби спеціального зв'язку та

захисту інформації України. Положення та Iнструкція є

обов'язковими для державних органів, а також підприємств, установ,

організацій усіх форм власності та громадян.

{ Пункт 10 із змінами, внесеними згідно з Указами Президента

N 1229/99 від 27.09.99, N 333/2008 (333/2008) від 11.04.2008 }

11. Діяльність, пов'язану з розробкою, виготовленням,

ввезенням, вивезенням, реалізацією та використанням засобів

криптографічного захисту інформації, а також з наданням послуг із

криптографічного захисту інформації, можуть здійснювати суб'єкти

підприємницької діяльності, зареєстровані в порядку,

встановленому законодавством. (Пункт 11 в редакції Указу

Президента N 1019/98 від 15.09.98)

12. До користування криптосистемами та засобами

криптографічного захисту секретної інформації допускаються особи,

які у встановленому законодавством України порядку одержали допуск

до державної таємниці.

13. Відповідно до Iнструкції, зазначеної в пункті 9 цього

Положення, міністерства, інші центральні органи виконавчої влади

затверджують відомчі інструкції.

14. У разі порушення вимог щодо порядку здійснення

криптографічного захисту інформації суб'єкти підприємницької

діяльності, установи, організації посадові особи та громадяни

несуть відповідальність згідно із законодавством України. (Пункт

14 із змінами, внесеними згідно з Указом Президента N 1019/98 від

15.09.98)

2. Концепція криптосистеми з відкритим ключем

Розрізняють два типи алгоритмів шифрування

симетричні (з секретним ключем)

• ключ розшифровування співпадає з ключем зашифровування або знання ключа зашифровування дозволяє легко обчислити ключ розшифровування

асиметричні (з відкритим ключем)

• для зашифровування та розшифровування використовуються різні ключі, при чому знання одного з них не дає практичної можливості визначити інший

Криптосистеми з відкритим ключем

• Шифрування з відкритим ключем є асиметричним, оскільки використовує два різних ключі для шифрування й дешифрування, на відміну від симетричного шифрування, у якому для шифрування й дешифрування використовується той самий ключ

• Алгоритми шифрування з відкритим ключем розроблялися для того, щоб вирішити два найважчі завдання, які виникли при використанні симетричного шифрування.

Першим завданням є розподіл ключа

При симетричному шифруванні потрібно, щоб обидві сторони вже мали загальний ключ, котрий якимось чином має бути їм заздалегідь переданий.

Другим завданням є необхідність створення таких механізмів, при використанні яких неможливо було б підмінити жодного з учасників

При використанні комунікацій для вирішення широкого кола завдань, наприклад у комерційних і приватних цілях, електронні повідомлення й документи повинні мати еквівалент підпису, що знаходиться в паперових документах. Необхідно створити метод, при використанні якого всі учасники мали б упевненість, що електронне повідомлення було послано конкретним учасником. Це сильніша вимога, ніж автентифікація.

Принцип роботи асиметричних систем

• Користувач В створює пари ключів KU_b і KR_b, які використовуються для шифрування та дешифрування переданих повідомлень.

• Користувач В робить доступним свій ключ шифрування, тобто відкритий ключ KU_b. Складова пари – закритий ключ KR_b тримається в секреті.

• Якщо А хоче надіслати повідомлення В, він шифрує повідомлення, використовуючи відкритий ключ В KU_b.

• Коли В одержує повідомлення, він дешифрує його, використовуючи свій закритий ключ KR_b. Ніхто інший не зможе дешифрувати повідомлення, оскільки цей закритий ключ знає тільки В.

• Якщо користувач (кінцева система) надійно зберігає свій закритий ключ, ніхто не зможе переглянути передані повідомлення.

Схема шифрування з відкритим ключем

3. Державна служба спеціального зв'язку та захисту інформації України — державний орган спеціального призначення, який забезпечує інформаційну безпеку у контексті національної безпеки України. Створена на матеріально-технічній базі Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України.

Завдання:

Забезпечення в установленому порядку урядовим зв'язком Президента України, Голови Верховної Ради України, Прем'єр-міністра України, інших посадових осіб органів державної влади, органів місцевого самоврядування, органів військового управління, керівників підприємств, установ і організацій у мирний час, в умовах надзвичайного та воєнного стану, а також у разі виникнення надзвичайної ситуації;

Забезпечення захисту державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації;

Забезпечення функціонування, безпеки та розвитку державної системи урядового зв'язку;

Забезпечення функціонування, безпеки та розвитку Національної системи конфіденційного зв'язку;

Здійснення державного контролю за станом криптографічного та технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також за додержанням вимог законодавства у сфері надання послуг електронного цифрового підпису.

1. Служби захисту СЗІ

ЕКЗАМЕНАЦІЙНИЙ БІЛЕТ № 19

1. ЗУ «Про захист інформації в інформаційно-телекомунікаційних системах»