
УДК 342.951:004.056 ББК 67.404.3 П 68
Затверджено Міністерством освіти і науки України підручник для студентів вищих навчальних закладів, які навчаються за напрямом «Інформаційна безпека» (лист № 1/11-4074 від 12.06.2009)
Рецензенти : докт. юрид.наук, проф. Долженков О.Ф.
докт. юрид.наук, проф. Кузьмічов B.C. докт. юрид.наук, проф. Шумило М.Є.
Живко З.Б., Сердюков В.В., Стаднік О.М., Хорошко В.О. П 68 Правові основи охорони інформації /За ред. проф. В.О. Хорошка. - Вид.2 -К.: Вид. ДУІКТ, 2009, - 355с.
ISBN 978-966-2970-25-8
Запропонований підручник розкриває комплекс проблем пов'язаних з правовою охороною інформації. У виданні здійснено огляд існуючого законодавства, що регулює відносини , які виникають у процесі охорони інформації України, та чітко визначені межі можливих та неможливих взаємин щодо отримання інформації. Здійснений аналіз існуючої законодавчої бази охорони та захисту інформації може стати передумовою щодо розробки нових позицій та удосконалень існуючої бази.
Видання призначене для студентів вищих учбових закладів, аспірантів, а також фахівців, що працюють у галузі захисту та охорони інформації.
УДК 342.951:004.056 ББК 67.404.3 © З.Б. Живко © В.В. Сердюков © О.М. Стаднік
ISBN 978-966-2970-25-8 © В.О. Хорошко
ЗМІСТ
ЗМІСТ 2
СКОРОЧЕННЯ 5
ВСТУП 7
23
Глава II 32
рад; 236
Глава VIII 315
ПІСЛЯМОВА 353
НАВЧАЛЬНЕ ВИДАННЯ 366
ПРАВОВІ ОСНОВИ ОХОРОНИ ІНФОРМАЦІЇ 366
ПЕРЕДМОВА
Обгрунтування національної стратегії інформаційної безпеки України є важливим і відповідальним завданням відчизняної науки. Створення сучасної системи інформаційної безпеки є невід'ємлимим чинником ефективного функціонування держави.
Питання інформаційної безпеки - важлива частина процеса впровадження нових інформаційних технологій в усі сфери життя суспільства. Багатомаштабне використання обчислювальної техніки та телекомунікаційних систем у межах територіально-разподілених інформаційних систем, перехід до безпаперової технології, збільшення обсягів обробляємої інформації та поширення кола користувачів приводить до якісно нових можливостей несанкціонованого здобуття інформації.
Крім того, неодмінною умовою соціально-економічного розвитку держави, е побудова відкритого інформаційного суспільства, що закономірно передбачає запровадження сучасних підходів у гарантуванні безпеки інформації в інформаційних та телекомунікаційних системах.
Реалізація загроз несанкціонованого використання інформації наносить зараз більше шкоди ніж пожежі. Однак витрати на побудову систем захисту інформації, ще настільки малі порівняно з витратами на охоронний та противопожежний захист.
Слід враховувати, що на сьогодення в Україні формується систематизація у сфері нормативно-правового забезпечення інформаційної безпеки.
В роботі саме і розглядаються актуальні питання законодавчого, правового і нормативного забезпечення захисту інформації.
Направленність підручника не знизу, а зверху, і в зв'язку з цим стає зрозумілим багато з того, що зараз робиться біля підвалини піраміди правового забезпечення інформаційної безпеки.
Задача, яка була поставлена авторами, полягає в систематизації законодавчого і нормативно-правового забезпечення діяльності у сфері інформаційної безпеки.
Слід відзначити, що підручник є другим виданням і базується на навчальному посібнику "Правові основи охорони інформації" 2003 року видання. Він дороблений і доповнений відповідно до тих законодавчих і нормативно-правових змін, які сталися за ці роки в Україні.
Підручник висвітлює основні правові проблеми організації і здійснення захисту інформації в Україні. Підручник розрахований на студентів виещх навчальних закладів України, що вивчають загальні правові основи діяльності у напряму 1701 "Інформаційна безпека". Слід також враховувати нестабільність законодавчого регулювання захист^ інформації, короткочасні дії нормативних актів, що регулюють питання інформаційної безпеки. Це вносить деякі труднощі щодо формування та систематизації законодавчої та нормотивно- правової бази захисту інформації.
На мій погляд ці питання плідно вирішені авторами.
Деякі положення і висновки, що містяться у підручнику, можуть бути предметом наукової дискусії. Однак у цілому підручник є, без сумніву, значним внеском у подальший розвиток інформаційної безпеки. Його положення викликатимуть інтерес і будуть корисни не тільки для студентів, а і для широкого кола науковців і практиків у сфері інформаційної безпеки України.
Заступник
Голови Державної
служби спеціального
зв'язку
та захисту інформації
України
О.
Скриник
СКОРОЧЕННЯ
AC - автоматизована система.
АТС - автоматизована телефонна станція.
ДСТС ЗІ - Департамент спеціальних телекомунікаційних систем та захисту інформації.
ДТЗС - допоміжні технічні засоби системи. ЗІ - захист інформації. ЗОТ - засіб обчислювальної техніки. ІзОД - інформація з обмеженим доступом. IP - інформаційний ресурс.
ЕОМСМ - електронно-обчислювальна машина, система та мережа.
EOT - електронно-обчислювальна техніка.
КЗЗ - комплекс засобів захисту.
КЗМЗ - комплекс засобів і механізмів захисту.
КК - кримінальний кодекс.
КРА - копіювально-розмножувальні апарати.
КРТ - копіювально-розмножувальна техніка.
КСЗІ - комплексна система захисту інформації.
КТ - контрольована територія.
НД - нормативний документ.
НСД - несанкціонований доступ.
ОРД - оперативно-розшукова діяльність. ОТЗ - оперативно-технічні засоби. ПІ - передача інформації.
ПЕМВН - побічні електромагнітні випромінювання та наводки.
ПЕМВ - побічне електромагнітне випромінювання.
ПЕОМ - персональна електронно-обчислювальна машина.
ПЗ - програмне забезпечення.
ПРД - правила розмежування доступу.
РВ - радіовиявлювачі.
РСО - режимо-секретні органи.
СБУ - Служба безпеки України.
СЗІ - служба захисту інформації.
СРД - система розмежування доступу.
СТЗІ - система технічного захисту інформації.
ТЗ - технічне завдання.
ТЗІ - технічний захист інформації.
ТЗПІ - технічні засоби посилання, оброблення, зберігання, відображання
інформації.
ТУ - технічні умови.
ФПЗ - функціональна послуга захисту.
ВСТУП
За умов розбудови інформаційного простору України і входження до світового інформаційного простору надзвичайної гостроти та актуальності набувають питання забезпечення інформаційної безпеки України.
Важливу роль інформаційній безпеці відведено з розумінням того, що:
інформаційна безпека є не тільки однією із головних складових національної безпеки України, а й невід'ємною компонентою усіх інших її складових;
інформаційні стратегії в сучасних умовах набувають важливого, а іноді-й вирішального значення у випадку реалізації різних стратегій співробітництва або відіграють своєрідної "інформаційної зброї"';
руйнування та дезорганізації інформаційної інфраструктури держави прирівнюються за наслідками до застосування зброї масового знищення.
Для підвищення ефективності захисту інформації необхідно розробити певний системний підхід до цієї проблеми, який полягає у проведенні ряду заходів за такими основними напрямками:
розробка нормативно-правових документів, що визначають етапи проведення, критерії оцінки та ефективності заходів щодо охорони інформації;
визначення порядку проведення робіт і надання послуг у галузі інформаційної безпеки;
створення вітчизняної інфраструктури розробки, видавництва, впровадження та експлуатації засобів охорони інформації;
підготовка і перепідготовка національних кадрів для роботи у сфері охорони інформації.
У рамках діяльності в галузі ТЗІ розроблені нормативні та правові документи щодо відносин у галузі охорони інформації.
Розроблені нормативно-правові акти вже передбачають та реалізують заходи у галузі технічного захисту інформації повністю відповідають тим основним напрямкам державної політики які визначені в Законі "Про основи
національної безпеки України " та Указу Президента України від 6 грудня 2001 року № 1193/2001.
Всі ці документи є документами верхнього рівня, вони є необхідними, але недостатніми для формування повної системи нормативно-правових документів у предметній галузі і, як наслідок, для ефективного вирішення проблем інформаційної безпеки. Про це свідчить стан розвитку нормативно-правової бази розвинутих країн, які значно випереджають нашу державу у цих питаннях.
Без подальшого розвитку нормативної і правової бази роботи у стратегічно важливому напрямі національної безпеки-забезпеченню інформаційної безпеки держави-можуть просто повністю втратити свою доцільність і ефективність.
Розробка національної нормативної і правової бази, її гармонізація до міжнародних інституцій, тобто приведення відношень у сфері інформаційної безпеки у відповідність до міжнародних стандартів і норм буде сприяти зміцненню національної безпеки України та підвищенню міжнародного авторитету України як демократичної і правової держави.
Метою курсу "Правові основи охорони інформації" є ознайомлення та вивчення студентами юридичної бази у сфері інформаційних відносин, завдання і повноваження органів влади, котрі реалізують державну політику інформаційної безпеки. Законодавство із захисту інформації відіграє важливу роль у загальній структурі системи державної безпеки. Проблеми захисту власних інформаційних ресурсів і контрольованості свого інформаційного простору особливо загострюються на сьогоднішньому етапі розвитку нашої держави, оскільки пов'язані із бурхливим впровадженням новітніх інформаційних технологій переважно іноземного походження на тлі процесів демократизації і зростаючої відкритості нашого суспільства.
Предметом цього курсу є питання охорони інформації. Саме в цьому аспекті чинне законодавство має довершений вигляд, чітко регламентує організацію і порядок поводження із відомостями, що становлять державну та комерційну таємницю. Важливість цього питання полягає в тому, що розголошення секретів може негативно позначатися на безпеці держави,
принести багатомільярдні втрати у формі упущеної вигоди. З іншого боку, иадлишкова секретність також недопустима, бо пов'язана із невиправданими затратами бюджетних коштів на її впровадження. Важливим у захисті інформації є суміщення принципу секретності з правом громадян на інформацію у всіх сферах життя суспільства
До недавнього часу питання захисту інформації асоціювалося (і небезпідставно) виключно із запобіганням несанкціонованого доступу до секретів. На сьогодні поняття інформації з обмеженим доступом розширене і містить промислову, комерційну, банківську, особисту та інші види таємниць. Особливої ваги набуває захист інформації як інтелектуальної власності від неконтрольованого розповсюдження і несанкціонованого використання.
Окрім забезпечення конфіденційності, до питань захисту інформації стали включати і проблеми забезпечення цілісності (автентичності) та доступності інформації. Це передовсім зумовлено широким використанням засобів обчислювальної техніки і зв'язку для оброблення, пересилання і зберігання інформації. Використання електромагнітних сигналів як носіїв інформації в автоматизованих системах її оброблення збільшує її вразливість як з погляду випадкових спотворень завадами, так і через можливість перехоплення зі значних віддалей сучасними засобами технічної розвідки. Ефективну протидію подібним загрозам через так звані технічні канали витоку можуть забезпечити лише технічні засоби захисту, тому на сьогодні виділився окремий напрямок - технічний захист інформації (ТЗІ).
Однією із найважливіших складових частин правового забезпечення системи інформаційної безпеки є стандартизація, нормативне і методологічне забезпечення сертифікації й атестації технічних засобів захисту і контролю їх ефективності, ліцензування діяльності у сфері технічного захисту інформації.
Для того щоб плідно вирішити поставленні питання перш за все необхідно оцінити та розглянути те що вже зроблено у цій сфері в Україні.
Все це зумовило основну спрямованість та зміст підручника із законодавчого, нормативного і правового забезпечення захисту інформації.
Слід враховувати, що після видання підручника у 2003 році були зроблені значні зміни у нормативній та законодавчій базі ТЗІ. Крім того з 2006 року Департамент спеціалізованих телекомунікаційних систем та захисту інформації Служби безпеки України був реорганізований у Державну службу спеціалізованого зв'язку та захисту інформації України.
Посібник має вісім глав, які послідовно та доповнюючи одна одну висвітлюють структуру законодавчої, правової та нормативної бази України у сфері інформаційної безпеки.
У першій главі "Зміст законодавчо-правового забезпечення охорони інформації" наведені загальні поняття законодавчого і правового забезпечення захисту інформації. До них відносяться три основні групи питань: організаційно-правова основа, технічні аспекти організаційно-правового забезпечення та юридичні аспекти організаційно-правового забезпечення захисту інформації.
Друга глава присвячена законодавчій базі. У ній наведені та розглянуті усі Закони України, які мають відношення до забезпечення інформаційної безпеки та регламентують відносини у цій сфері.
У третій та четвертій главі наведені стандарти та постанови Кабінету Міністрів України, які регламентують та визначають порядок проведення робіт у галузі захисту інформації. Цей порядок відноситься не тільки до технічних заходів, а і до програмних та криптографічних.
П'ята глава присвячена нормативним документам ТЗІ, які визначають порядок проведення заходів охорони інформації.
Шоста, сьома та восьма глави знайомлять з адміністративною та кримінальною відповідальністю щодо порушень правових норм при несанкціонованому отриманні інформації, а також з кримінально- процесуальним кодексом. Крім того у цих главах наведені загальні принципи та норми застосування, на правовій основі, несанкціонованого здобуття інформації при проведенні оперативно-пошукових заходів.
Підручник підготовлений відповідно до навчальної програми за напрямом 1701 "Інформаційна безпека" з метою надання допомоги спеціалістам, які працюють у сфері охорони інформації, та студентам при засвоєнні навчального матеріалу. Цей матеріал базується на лекціях, які були прочитані у 2004-2009 роках в Державному університеті інформаційно-комунікаційних технологій на кафедрі "Систем захисту інформації"" за дисципліною "Правові основи охорони інформації".
Автори висловлюють глибоку подяку доктору юридичних наук, професору Долженкову Олександру Федоровичу (ректору Одеського державного університету внутрішніх справ) , доктору юридичних наук, професору, Заслуженому юристу України, лауреату Державної премії України Кузьмі чову Володимиру Сергійовичу (проректору Київського національного університету внутрішніх справ) та доктору юридичних наук, професору Шумиху Миколі Єгоровичу (проректору Національної академії Служби безпеки України) за уважне та доброзичливе рецензування та висловлені зауваження і поради, які сприяли значному поглибленню та покращенню другого видання підручника.
Крім того, автори висловлюють подяку за співробітництво і професійні та практичні поради співробітникам Служби безпеки України, Державної служби спеціального зв'язку та захисту інформації, Служби зовнішньої розвідки та Національної академії Служби безпеки України, які допомогли конкретизувати та роз'яснити деякі питання законодавства.
Також автори висловлюють щиру подяку співробітникам ДУІКТ Невойт Я.В. та Мазуренко О.М. за допомогу у підготовці підручника до видання.