- •Міністерство освіти і науки України Запорізький національний технічний університет
- •Информационное право и информационные отношения
- •1.1 Информационное право
- •1.2 Основные субъекты информационного права
- •1.3 Особенности и юридические свойства информации
- •1.4 Основные принципы информационного права
- •1.5 Понятие законодательного уровня информационной безопасности
- •1.6 Нормативная правовая база в области обеспечения информационной безопасности
- •1.7 Правоприменительная деятельность в сфере обеспечения информационной безопасности
- •2. Правовая защита информационных ресурсов
- •2.1 Виды и свойства информационных ресурсов
- •2.2 Права на доступ к информации из информационных ресурсов
- •2.3 Конфіденційна інформація, що є власністю держави
- •2.4 Конфіденційна інформація про особу
- •2.5 Правовая охрана государственных секретов
- •2.5.1 Правовые основы защиты государственной тайны в Украине
- •2.5.2 Отнесение информации к государственной тайне
- •2.5.3 Порядок засекречивания и рассекречивания сведений и их носителей
- •2.5.4 Охрана государственной тайны
- •2.5.5 Ответственность за совершение правонарушений в сфере деятельности, связанной с государственной тайной
- •2.6 Правовая защита коммерческой и банковской тайны
- •2.7 Правовое регулирование защиты информационных ресурсов информационно-телекоммуникационных систем (итс)
- •2.8 Ответственность за правонарушения в сфере использования компьютерных технологий
- •2.9 Анализ раздела XVI ук Украины "Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей и сетей электросвязи"
- •2.10 Правовое регулирование электронного документооборота
- •2.11 Правовые основы использования электронной цифровой подписи (эцп)
- •3. Лицензирование хозяйственной деятельности в сфере защиты информации
- •3.1 Законодательство Украины о лицензировании хозяйственной деятельности
- •3.2 Особенности лицензирования деятельности в области технической защиты информации
- •3.3 Особенности лицензирования деятельности в области криптографической защиты информации
- •4. Правовые основы Сертификации средств технической и криптографической защиты информации в Украине
- •4.1 Основные принципы и правила системы сертификации средств защиты информации
- •4.2 Организационно-правовая основа стандартизация и сертификация средств технической и криптографической защиты информации
- •4.3 Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення
- •5. Гражданско-правовое регулирование отношений, связанных с творческой деятельностью
- •5.1 Творческая деятельность и роль гражданского права в ее организации. Понятие и значение творческой деятельности
- •5.2 Специальные институты гражданского права, опосредующие творческую деятельность
- •5.3 Авторское право
- •5.4 Патентное право
- •Основна література
- •Додаткова література
4. Правовые основы Сертификации средств технической и криптографической защиты информации в Украине
4.1 Основные принципы и правила системы сертификации средств защиты информации
Сертификация — это процесс, осуществляемый в отношении такой категории, как “изделие” (товар, средство) когда в результате выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, удостоверяется или подтверждается качество изделия. Таким образом, сертификация есть деятельность некоторой третьей стороны, независимой от изготовителя (продавца) и потребителя продукции или услуг, по подтверждению соответствия этих продукции или услуг установленным требованиям.
Сертификация средств защиты информации осуществляется Службой специальной связи и защиты информации Украины, базируется на Законах Украины “О подтверждении соответствия", "О стандартизации", Декрете КМ Украины 1993г. "О стандартизации и сертификации", иных нормативных актах, утвержденных Госстандартом Украины, и соответствует вытекающим из них требованиям к порядку, схеме проведения, а также организационной структуре систем сертификации. Тем самым учитываются сложившиеся к настоящему времени международные правила организации и проведения работ по сертификации продукции. С другой стороны, учтены и обобщены особенности и накопленный многолетний опыт работы в области защиты информации, оценки качества разрабатываемых и производимых средств защиты.
Порядок проведения сертификации средств защиты информации основан на следующих принципах и правилах:
1. Обязательность сертификации изделий, обеспечивающих защиту государственной тайны, или обязательность сертификации которых установлена нормативными актами Украины.
2. На сертификацию принимаются изделия только от заявителей, имеющих лицензию на соответствующие виды деятельности.
Оформление установленным порядком права на осуществление деятельности в области защиты информации является первичным. Разрабатывать алгоритмы и средства защиты на их базе как продукцию, товар, предлагаемый на рынок, могут только предприятия, имеющие лицензию.
3. Принятие на сертификацию только готовых изделий в целом, их совокупность или отдельных компонент. Для систем и комплексов, которые включают совокупность некоторого множества явно различимых как самостоятельное изделие функционально и конструктивно законченных элементов, возможно оформление сертификата на каждый из них.
4. Процедура сертификации осуществляется в отношении только технических средств или технической части системы защиты, с учетом условий их эксплуатации.
5. Двухступенчатость процесса сертификации при независимости организаций, проводящих экспертизу и сертификационные испытания: сертификация средств защиты информации осуществляется органом по сертификации, а испытания проводятся в аккредитованных испытательных центрах (лабораториях).
6. Дифференцированность подхода к уровню защиты различных видов информации.
7. Обязательность использования криптографических алгоритмов, являющихся стандартами или рекомендованными ГСССЗИ.
Специально подчеркнем, что факт одобрения ГСССЗИ алгоритма до его технической реализации является одним из основных требований к представляемым на сертификацию изделиям криптозащиты. Это одобрение может быть осуществлено путем утверждения алгоритма:
в качестве государственного стандарта;
Правительством Украины;
ГСССЗИ.
Отсюда следует, что изделия, реализованные на базе собственных оригинальных алгоритмов, ранее не представлявшихся в ГСССЗИ, а равно изделия, реализующие алгоритмы иностранной разработки, или импортные шифровальные средства на сертификацию не принимаются
8. Принятие органами по сертификации и испытательными центрами (лабораториями) ответственности за выполнение возложенных на них функций в соответствии с действующим законодательством и договорными обязательствами.
9. Сертификационные испытания средств защиты информации могут осуществляться только аккредитованными испытательными сертификационными центрами. Действительное соответствие изделия государственным стандартам и гарантию удовлетворения требований по безопасности удостоверяет только сертификат ГСССЗИ.
10. Принятие и неуклонное соблюдение заявителем правил, установленных в системе сертификации.
Действие выданного сертификата может быть приостановлено или сертификат может быть вообще аннулирован по результатам инспекционного контроля за сертифицированными средствами защиты информации.
Причинами приостановления и аннулирования сертификата могут быть:
изменение нормативных и методических документов на средства защиты информации или их элементов, на испытания и контроль;
изменения конструкции, состава или комплектности средства защиты информации;
невыполнение требований технологии или технических условий на изделие;
отказ заявителя в допуске для проведения научно-технического и инспекционного контроля.
Организационная структура системы сертификации средств ТЗИ включает в себя: Государственный комитет по стандартизации, метрологии и сертификации; ГСССЗИ как Государственный орган по сертификации средств защиты информации; органы сертификации; испытательные центры (лаборатории) технических средств защиты информации, а также заявителей.
Следует отметить, что системы лицензирования и сертификации проходят сейчас стадию совершенствования с точки зрения развития правовой базы, механизма и правил их функционирования. Отсюда, разумеется, следует, что отдельные положения могут быть изменены, уточнены или дополнены.