Тема № 7.
ЗАХИСТ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ, ЩО Є ВЛАСНІСТЮ ДЕРЖАВИ
ПИТАННЯ ЛЕКЦІЇ:
Зміст поняття «конфіденційна інформація, що є власністю держави».
Порядок надання відомостям статусу конфіденційної інформації, що є власністю держави.
Система захисту конфіденційної інформації, що є власністю держави.
Центральний орган державної влади, функції якого пов'язані із захистом конфіденційної інформації, що є власністю держави.
Національне законодавство передбачає низку правових норм, якими встановлюються обмеження щодо поширення інформації. На відміну від питань захисту секретної інформації, в якій було застосовано правові напрацювання ще радянських часів, законодавче регулювання захисту конфіденційної інформації в Україні розвинуте слабко і перебуває ще на початкових стадіях формування.
Зі здобуттям незалежності Україна починає самостійно створювати і розвивати власну систему державних органів та національне законодавство. Одним з перших законодавчих актів, який закріпив право громадян України на інформацію, заклав правові основи інформаційної діяльності був прийнятий 2 жовтня 1992 р. Закон України «Про інформацію». Саме цим законом вперше було введено в обіг термін «конфіденціальна інформація», а згодом «конфіденційна інформація».
1. Зміст поняття «конфіденціна інформація, що євласністю держави»
Термін «конфіденційна інформація, що є власністю держави» вперше на законодавчому рівні було застосовано в Концепції (Основах державної політики) національної безпеки України, схваленої Постановою Верховної Ради України від 16 січня 1997 року № 3/97. Витік такої інформації визнавався однією з загроз національній безпеці в інформаційній сфері. На той час чинне законодавство не давало визначення даного терміну.
Другим законодавчим актом, у якому прямо застосовувався термін «конфіденційна інформація, що є власністю держави» став прийнятий 5 квітня 2001 року Кримінальний Кодекс України. Кримінальна відповідальність встановлювалась за передачу іноземній стороні конфіденційної інформації, що є власністю держави, особою, якій ці відомості були довірені у зв'язку з виконанням службових обов'язків (стаття 330). Ця кримінально-правова норма майже повністю відтворювала аналогічну норму, яка була закріплена у КК УРСР (1960). Зміст статті 330 практично залишивсябез змін (законодавець продублював колишню статтю 68-1 КК). Було змінено лише предмет злочину (термін «службова таємниця» було замінено на «конфіденційна, що є власністю держави) і таким чином криміналізовано діяння, пов'язані з передачею або збиранням з метою передачі іноземним підприємствам, установам, організаціям або їх представникам інформації з грифом «Для службового користування» (далі - «ДСК»).
Лише 11 травня 2004 року до Закону України «Про інформацію» було внесено зміни, завдяки яким в законодавче поле вписуються основи правового регулювання конфіденційної інформації, а саме - доповнено статтю 30, згідно з якою інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ — надано статус конфіденційної.
До конфіденційної інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, не можуть бути віднесені відомості:
про стан довкілля, якість харчових продуктів і предметів побуту;
про аварії, катастрофи, небезпечні природні явища та інші надзвичайні
про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;
стосовно стану справ із правами і свободами людини і громадянина, а також фактів їх порушень;
про незаконні дії органів державної влади, місцевого самоврядування, їх посадових та службових осіб;
- інша інформація, доступ до якої відповідно до законів України та міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, не може бути обмеженим.
2. Порядок надання відомостям статусу конфіденційної інформації, що є власністю держави
Відповідно до Закону України «Про інформацію» порядок обліку, зберігання і використання документів та інших носіїв інформації, що містять зазначену інформацію, визначається Кабінетом Міністрів України. З цією метою було затверджено Інструкцію про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави (Постанова КМ України від 27 листопада 1998 р. № 1893).
Переліки відомостей, які містять конфіденційну інформацію, що є власністю держави, і яким надається гриф обмеження доступу «ДСК», розробляються експертними комісіями згідно з орієнтовними критеріями віднесення інформації до конфіденційної і затверджуються міністерствами, іншими центральними органами

відповідно до найбільшого терміну зберігання документів, що містяться в цій справі. Позначка «ЕК» у графі номенклатури справ «Термін зберігання» закреслюється і зазначається уточнений термін зберігання.
Якщо члени експертної комісії за результатами перегляду наявних у справі документів дійдуть висновку, що вони за сукупністю містять відомості, які становлять державну таємницю, про це складається відповідний акт. Цій справі надається гриф обмеження доступу згідно із законодавством про державну таємницю. Зберігання її здійснюється відповідно до вимог секретного діловодства.
Справи з несекретними документами, в яких накопичуються окремі документи з грифом «ДСК», повинні бути віднесені до категорії обмеженого розповсюдження і використання. На обкладинках і титульних сторінках цих справ також проставляється гриф «ДСК», а в номенклатуру справ вносяться відповідні уточнення.
Справи з документами з грифом «ДСК» повинні мати внутрішні описи. До роботи із справами з грифом «ДСК» допускаються посадові особи, які мають досвід роботи та безпосереднє відношення до цих справ, згідно із списками, погодженими з канцелярією, а до документів — згідно з вказівками, викладеними у резолюціях керівників організацій (структурних підрозділів).
Категорії працівників, які допускаються до роботи з виданнями з грифом «ДСК», визначаються керівниками організацій.
Забороняється користуватися відомостями з документів з грифом «ДСК» для відкритих виступів або опублікування у засобах масової інформації, експонувати такі документи на відкритих виставках, демонструвати їх на стендах, у вітринах або інших громадських місцях.
У разі потреби з письмового дозволу керівника організації допускається опублікування або передання для опублікування несекретних відомостей обмеженого поширення, якщо такі відомості не суперечать затвердженим в установі перелікам конфіденційної інформації, що є власністю держави.
Передача конфіденційної інформації, що є власністю держави, каналами зв'язку здійснюється лише з використанням засобів технічного та (або) криптографічного захисту інформації.
Представники інших організацій допускаються до ознайомлення і роботи з документами з грифом «ДСК» з дозволу керівників організацій (структурних підрозділів), у володінні та розпорядженні яких перебувають ці документи, за наявності письмового запиту організацій, в яких вони працюють, із зазначенням характеру завдання, що виконується.
Виписки з документів і видань з грифом «ДСК», що містять відомості обмеженого поширення, робляться у зошитах, що мають аналогічний гриф, які після закінчення роботи надсилаються на адресу організації, яка давала дозвіл на ознайомлення і роботу з документами з грифом «ДСК».
Справи та видання з грифом «ДСК» видаються виконавцям і приймаються від них під розписку в картці обліку справ і видань, що видаються за встановленою формою.
Зняття копій, а також здійснення виписок з документів з грифом «ДСК» співробітниками організації, де перебувають документи, проводиться з дозволу керівника організації (структурного підрозділу).
Копіювання для сторонніх організацій документів з грифом «ДСК», одержаних від інших організацій, здійснюється за погодженням з організаціями-авторами цих документів.
Видання з грифом «ДСК» включаються тільки у службові каталоги. Забороняється включати такі видання у відкриті каталоги та бібліографічні покажчики Видача громадянам України видань з грифом «ДСК» у масових бібліотеках здійснюється за письмовими клопотаннями керівників організацій, в яких працюють ці громадяни, із зазначенням теми роботи. Ці дозволи дійсні протягом року.
Забороняється зберігати документи з грифом «ДСК» у бібліотеках загального користування.
У відомчих бібліотеках закритого типу видання з грифом «ДСК» видаються:
співробітникам цієї організації — за списками, затвердженими керівником організації (структурного підрозділу), або за його письмовим дозволом;
співробітникам інших організацій — за письмовими зверненнями цих організацій та з письмового дозволу керівника організації (структурного підрозділу), що зберігає ці видання.
Видання з грифом «ДСК» з письмового дозволу керівника організації можуть видаватися по міжбібліотечному абонементу на підставі письмових запитів керівників організацій, яким ці видання потрібні.
Справи постійного та тривалого (понад 10 років) зберігання з грифом «ДСК» періодично переглядаються з метою можливого зняття цього грифа. Перегляд здійснюється під час передачі справ із структурних підрозділів до архівного підрозділу організації, у процесі зберігання справ в архівному підрозділі (як правило не менш як один раз на 5 — 10 років), а також під час підготовки справ постійного зберігання для передачі до державної архівної установи.
Рішення про зняття грифа «ДСК» приймається експертною комісією організації-автора документа (видання) чи правонаступника. До складу комісії включаються працівники канцелярії, режимно-секретного та інших структурних підрозділів організації.
Рішення комісії оформляється актом, що складається за довільною формою та затверджується керівником організації. В акті перелічуються заголовки та номери за описом справ, з яких знімається гриф «ДСК».
Один примірник акта разом із справами передається до архівного підрозділу організації, а справи постійного зберігання — до відповідної державної архівної установи. Про зняття грифа обмеження доступу повідомляються всі організації, яким надсилався цей документ (видання).
На обкладинках справ гриф «ДСК» погашається штампом або записом від руки із зазначенням дати і номера акта, що став підставою для зняття грифа. Аналогічні відмітки вносяться до опису і номенклатури справ.
Справи з грифом «ДСК», передані організаціями до державних архівних установ, використовуються на правах документів обмеженого користування.
Видача таких справ дослідникам здійснюється з письмового дозволу керівника державної архівної установи, якщо організація-фондоутворювач під час передачі справ до державної архівної установи не обумовила вимоги щодо погодження з нею видачі таких справ.
Проведення експертизи наукової, історико-культурної цінності документів і справ з грифом «ДСК», розгляд і затвердження її результатів здійснюється відповідно до Порядку утворення та діяльності експертних комісій з визначення цінності документів, Порядку державної реєстрації документів Національного архівного фонду, Порядку віднесення документів Національного архівного фонду до унікальних, внесення їх до Державного реєстру національного культурного надбання та зберігання, затверджених Постановою Кабінету Міністрів України від 16 листопада 2002 р. № 1739.
Справи із структурних підрозділів до архівного підрозділу організації передаються в упорядкованому стані. На справи з документами з грифом «ДСК» з терміном зберігання до 10 років включно описи можуть не складатися. їх передача до архівного підрозділу здійснюється за номенклатурами справ. Підготовка справ для архівного зберігання (оформлення, опис справ на обкладинках і складання описів справ) здійснюється згідно з правилами, встановленими Головархівом.
Справи з грифом «ДСК» постійного зберігання передаються до державних архівних установ у встановленому Головархівом порядку з обов'язковою посторінковою перевіркою документів, включених до них.
Відібрані для знищення справи з грифом «ДСК», що не мають наукової, історико-культурної цінності та втратили практичне значення, можуть оформлятися окремим актом або включатися у загальний акт за разом з іншими несекретними справами, відібраними до знищення. При цьому у графі «Заголовки справ» після номерів цих справ проставляється відмітка «ДСК».
Відібрані для знищення документи, справи і видання з грифом «ДСК» перед здачею на переробку як макулатура повинні в обов'язковому порядку подрібнюватися до стану, що виключає можливість прочитання їх.
Після знищення матеріалів з грифом «ДСК» в облікових документах (картках, журналах, номенклатурах справ, описах справ тимчасового зберігання) робиться відповідна відмітка.
Інформаційні бюлетені, реферативні інформаційні видання, телефонні та адресні довідники, а також копії документів, стенографічні записи і друкарський брак знищуються без акта, але з відміткою в облікових формах, що засвідчується підписами виконавця і працівника, відповідального за їх облік і зберігання.
Забезпечення схоронності документів й перевірка їх наявності здійснюється у такому порядку. Документи з грифом «ДСК» повинні зберігатися у службових приміщеннях і бібліотеках у шафах (сховищах), які надійно замикаються та опечатуються. Забороняється зберігати такі документи у підсобних фондах бібліотек.
Справи з грифом «ДСК», видані для роботи, підлягають поверненню у канцелярію або архівний підрозділ у той же день. Окремі справи з грифом «ДСК» з дозволу керівника канцелярії або архівного підрозділу організації можуть перебувати у виконавця протягом терміну, необхідного для виконання завдання, за умови повного забезпечення їх схоронності і додержання правил зберігання.
Передача документів з грифом «ДСК» іншим співробітникам здійснюється тільки через канцелярію, архівний підрозділ або бібліотеку. Забороняється вилучення із справ або переміщення документів з грифом «ДСК» з однієї справи до іншої без дозволу канцелярії. Про всі проведені вилучення або переміщення документів робляться відмітки в облікових формах, включаючи внутрішні описи.
Забороняється виносити документи з грифом «ДСК» за межі службових приміщень організації. У разі потреби керівник організації (структурного підрозділу) може дозволити виконавцям або співробітникам канцелярії винести за межі службового приміщення організації документи з грифом «ДСК» для їх погодження, підписання тощо в організаціях, що знаходяться у межах одного населеного пункту.
Особам, які відряджені до інших населених пунктів, забороняється мати при собі матеріали з грифом «ДСК». Ці матеріали повинні бути заздалегідь надіслані на адресу організації за місцем відрядження співробітника відповідно до встановленого порядку.
В окремих випадках з дозволу керівника організації дозволяється перевезення документів з грифом «ДСК» до іншого населеного пункту за умови, що такі документи перевозяться групою у складі не менше двох працівників (або одного озброєного працівника), що мають виконувати роботу з ними в іншому населеному пункті.
У разі зміни працівників, відповідальних за облік і зберігання документів (справ) з грифом «ДСК», складається за довільною формою акт прийому-передачі цих документів (справ), що затверджується керівником організації (структурного підрозділу).
Перевірка наявності документів з грифом «ДСК» здійснюється щорічно комісією, що призначається наказом керівника організації. До складу цієї комісії обов'язково включаються особи, яким доручено облік і зберігання цих документів, а також працівники режимно-секретних підрозділів.
У бібліотеках та архівних підрозділах, де зосереджена значна кількість документів з грифом «ДСК», перевірка їх наявності може здійснюватися один раз на п'ять років. Результати перевірки наявності оформляються відповідним актом.
Про факти втрати документів з грифом «ДСК» або розголошення відомостей, що містяться в них, терміново доводиться до відома керівника організації, керівників режимно-секретного підрозділу та канцелярії. Для розслідування факту втрати документів з грифом «ДСК» або встановлення факту розголошення відомостей, що містяться в них, наказом керівника організації призначається комісія, висновок якої затверджується керівником організації.
Відповідні записи про втрачені документи вносяться в облікові форми на підставі акта комісії, затвердженого керівником організації. Акти комісії про втрачені справи постійного зберігання після затвердження їх керівником організації передаються до архівного підрозділу для включення у справу фонду.
За порушення, що призвели до розголошення інформації «ДСК», втрати або незаконного знищення документів з грифом «ДСК», а також інших вимог порядку обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави, винні особи несуть дисциплінарну та цивільно-правову відповідальність згідно із законодавством.
Облік, зберігання і використання печаток, штампів і бланків здійснюється у такому порядку. Обов'язковому обліку підлягають печатки і штампи з повним найменуванням організацій; бланки з кутовими та повздовжніми штампами організацій, що мають необхідний трафаретизований текст документів, які дають право на інспектування, нагляд та відвідування організацій; посвідчення особи, посвідчення про відрядження, а також усі види перепусток, бланки документів про освіту (атестати, дипломи, посвідчення), трудові книжки.
Порядок обліку, зберігання і використання інших видів печаток, штампів і бланків суворої звітності визначається відповідними відомчими інструкціями. Контроль за їх виготовленням, зберіганням та використанням покладається на канцелярії організацій та осіб, відповідальних за діловодство.
Особи, що персонально відповідають за облік і зберігання печаток, штампів і бланків, призначаються наказами керівників організацій.
Облік печаток, штампів і бланків ведеться у журналі за встановленою формою. Видача бланків відповідальним за їх використання особам здійснюється під розписку у відповідних журналах. Журнали обліку печаток, штампів і бланків включаються у номенклатуру справ, їх аркуші нумеруються, прошиваються і опечатуються. Печатки і штампи повинні зберігатися у сейфах або металевих шафах. Бланки дозволяється зберігати у шафах, що надійно замикаються та опечатуються.
На бланках посвідчень особи, посвідчень про відрядження, усіх видів перепусток, документів про освіту, документів, що дають право на інспектування, нагляд або відвідання організацій, друкарським способом або нумератором проставляються порядкові номери на всіх частинах (сторінках) цих бланків.
Печатки і штампи, виготовлені з дозволу органів МВС, здаються для знищення цим органам за місцезнаходженням організацій. Перевірка наявності печаток, штампів і бланків здійснюється щорічно комісією, призначеною наказом керівника організації. Про перевірки наявності печаток, штампів і бланків робляться відмітки у журналах обліку за встановленими формами після останнього запису. У разі порушення правил обліку, зберігання і використання печаток, штампів і бланків комісія проводить службове розслідування, результати якого оформляються актом довільної форми та доводяться до відома керівника організації.
У разі втрати печаток і штампів керівники організацій зобов'язані негайно повідомити про це органи МВС та вжити заходів для їх розшуку.
4. Центральний орган державної влади, функції якого пов'язані із захистом конфіденційної інформації, що є власністю держави
Врегулювання питань, пов'язаних з обігом конфіденційної інформації, що є власністю держави, на рівні постанови КМ України не призвело до вирішення даного питання в цілому. Лише 11 травня 2004 року до Закону України «Про інформацію» було внесено зміни, завдяки яким в законодавче поле вписувалися основи правового регулювання конфіденційної інформації, а саме:
доповнено статтю ЗО, згідно з якою інформація, що є власністю держави, і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ — надано статус конфіденційної. Порядок обліку, зберігання і використання документів та інших носіїв інформації, що містять зазначену інформацію, визначається Кабінетом Міністрів України. Визначено категорії інформації, які не можуть бути віднесені до конфіденційної;
статтю 47 «Відповідальність за порушення законодавства про інформацію доповнено абзацом такого змісту: «порушення порядку обліку, зберігання і використання документів та інших носіїв інформації, які містять конфіденційну інформацію, що є власністю держави».
Одночасно із змінами до Закону України «Про інформацію» було внесено зміни до Кодексу України про адміністративні правопорушення, до Закону України --Про Службу безпеки України».
Аналіз чинного законодавства дозволяє зробити висновок, що СБ України є єдиним правоохоронним органом, який наділений необхідним правовим інструментарієм щодо забезпечення захисту конфіденційної інформації:
- з метою пошуку і фіксації фактичних даних про передачу або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави, СБ України уповноважена проводити оперативно-розшукову діяльність;
- до підслідності СБ України віднесено розслідування злочину передбаченого статтею 330 КК України «Передача або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави»;
уповноважені посадові особи СБ України мають право складати адміністративні протоколи за порушення передбачені статтею 212-5 Кодексу України про адміністративні правопорушення «Порушення порядку обліку, зберігання і використання документів та інших носіїв, які містять конфіденційну інформацію, що є власністю держави»;
ДСТСЗІ СБ України (Державну службу спеціального зв'язку та захисту інформації України) наділено контрольно-наглядовими, регулятивними та дозвільно-реєстраційними повноваженнями з технічного та криптографічного захисту конфіденційної інформації, що є власністю держави.
Крім цього, відповідно до Закону України «Про Службу безпеки України» остання зобов'язана брати участь у розробці і здійсненні заходів щодо забезпечення конфіденційної інформації (п. 7 ст. 24). А згідно з Постановою Кабінету Міністрів України від 17.11.2004 р. № 1547 (доповнення до Постанови КМ України від 27 листопада 1998 р. № 1893) СБ України:
контролює обіг документів, які містять конфіденційну інформацію;
погоджує (спільно з Держкомархів України) відомчі інструкції з питань обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які її містять;
про факти втрати документів з грифом «ДСК» або розголошення таких відомостей організації зобов'язані письмово повідомляти СБ України.
Виходячи з зазначеного, Службу безпеки України фактично визнано спеціально уповноваженим органом державної влади у сфері захисту конфіденційної інформації.
Повне розв'язання даної проблеми можливе у разі законодавчого врегулювання основних аспектів захисту конфіденційної інформації.
встановлення строку обмеження доступу до інформації, підстави для зняття такого обмеження;
заходи захисту даної категорії інформації;
порядок доступу до відповідної інформації;
обмеження прав громадян, які обізнані з конфіденційною інформацією (насамперед на її оприлюднення) тощо.
Тема № 8.
ПРАВОВА РЕГЛАМЕНТАЦІЯ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ В УКРАЇНІ
ПИТАННЯ ЛЕКЦІЇ:
1. Зміст поняття «технічний захист інформації».
Основні положення законодавства України щодо технічного захисту інформації.
Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації.
Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах.
Зростання загроз для інформації, спричинене лібералізацією суспільних та міждержавних відносин, кризовим станом економіки, застосуванням технічних засобів оброблення інформації та засобів зв'язку іноземного виробництва, поширенням засобів несанкціонованого доступу до інформації та впливу на неї, визначає необхідність розвитку технічного захисту інформації.
Напрями розвитку технічного захисту інформації обумовлюються необхідністю своєчасного вжиття заходів, адекватних масштабам загроз для інформації, і ґрунтуються на засадах правової демократичної держави відповідно до прав суб'єктів інформаційних відносин на доступ до інформації та її захист.
Ефективне і належне функціонування системи технічного захисту інформації не можливе без чіткого правового регулювання відповідних суспільних відносин. Адже саме право має необхідні засоби і механізми впливу на поведінку суб'єктів відповідних відносин.
У даній лекції розглянуто саме правові основи технічного захисту інформації в Україні.
1. Зміст поняття «технічний захист інформації»
Основи державної політики у сфері захисту інформації інженерно-технічними заходами визначає Концепція технічного захисту інформації в Україні, затверджена Постановою Кабінету Міністрів України від 8 жовтня 1997 р. №1126.
У Концепції зазначено, що технічний захист інформації (далі - ТЗІ) є складовою частиною забезпечення національної безпеки України.
Закон України «Про основи національної безпеки України» дає таке визначення: національна безпека - захищеність життєво важливих інтересів людини і громадянина, суспільства і держави, за якої забезпечуються сталий розвиток суспільства, своєчасне виявлення, запобігання і нейтралізація реальних та потенційних загроз національним інтересам.
Таким чином, технічний захист інформації визнається одним із засобів охорони та захисту життєво важливих інтересів людини і громадянина, суспільства і держави.
Згадана вище Концепція має за мету забезпечити єдність принципів формування і проведення політики технічного захисту інформації в усіх сферах життєдіяльності особи, суспільства та держави (соціальній, політичній, економічній, військовій, екологічній, науково-технологічній, інформаційній тощо) і служити підставою для створення програм розвитку сфери ТЗІ.
Нормативне визначення ТЗІ наступне - це діяльність, спрямована на забезпечення інженерно-технічними заходами порядку доступу, цілісності та доступності (унеможливлення блокування) інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, а також цілісності та доступності відкритої інформації, важливої для особи, суспільства і держави.
Система ТЗІ - це сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами (далі - організаційні структури), нормативно-правова та матеріально-технічна база.
Принципами формування і проведення державної політики у сфері ТЗІ є:
додержання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність;
єдність підходів до забезпечення ТЗІ, які визначаються загрозами безпеці інформації та режимом доступу до неї;
- комплексність, повнота та безперервність заходів ТЗІ;
відкритість нормативно-правових актів та нормативних документів з питань ТЗІ, які не містять відомостей, що становлять державну таємницю;
узгодженість нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними договорами України;
обов'язковість захисту інженерно-технічними заходами інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, в державних установах і організаціях (далі - державні органи, підприємства, установи і організації);
виконання на власний розсуд суб'єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації, що не належить державі, та відкритої інформації, важливої для особи та суспільства, якщо остання циркулює поза межами державних органів, підприємств, установ і організацій;
покладення відповідальності за формування та реалізацію державної політики у сфері ТЗІ на спеціально уповноважений центральний орган виконавчої влади;
ієрархічність побудови організаційних структур системи ТЗІ та керівництво їх діяльністю у межах повноважень, визначених нормативно-правовими актами;
методичне керівництво спеціально уповноваженим центральним органом виконавчої влади у сфері ТЗІ діяльністю організаційних структур системи ТЗІ;
скоординованість дій та розмежування сфер діяльності організаційних структур системи ТЗІ з іншими системами захисту інформації та системами забезпечення інформаційної та національної безпеки;
фінансова забезпеченість системи ТЗІ за рахунок Державного бюджету України, бюджету Автономної Республіки Крим, місцевих бюджетів та інших джерел.
2. Основні положення законодавства України щодо технічного захисту інформації
Правову основу забезпечення ТЗІ в Україні становлять Конституція України, Закон України «Про основи національної безпеки України», Закони України «Про інформацію», «Про захист інформації в автоматизованих системах», «Про державну таємницю», «Про науково-технічну інформацію», інші нормативно-правові акти, а також міжнародні договори України, що стосуються сфери інформаційних відносин.
Структура нормативно-правової бази системи ТЗІ в Україні є наступною.
Закони України, в т.ч. Конституція України і Кримінальний кодекс України (ст. 361, 363), які містять загальні правові норми щодо забезпечення організації діяльності системи ТЗІ в Україні. Вони стосуються правового статусу суб'єктів інформаційних відносин, власників інформації; інформаційної діяльності різноманітних суб'єктів; національної, інформаційної безпеки тощо.
Нормативно-правові акти підзаконного характеру (постанови, укази, накази, розпорядження тощо) Верховної Ради України, Президента України, Кабінету Міністрів України, Служби безпеки України, інших органів державної влади щодо організації діяльності системи ТЗІ в Україні:
ліцензування господарської діяльності в галузі ТЗІ, дозвільного порядку проведення робіт з ТЗІ для власних потреб;
процедур сертифікації, атестації, експертизи, контролю, інспектування в галузі ТЗІ;
порядку і правил побудови, викладення, оформлення, видання та розповсюдження документів з питань ТЗІ;
підготовки, перепідготовки і підвищення кваліфікації фахівців в галузі ТЗІ.
3. Міжвідомчі нормативні документи з питань ТЗІ (державністандарти, галузеві стандарти, стандарти науково-технічних таінженерних товариств і спілок України, технічні умови України,стандарти підприємств, державні (відомчі) будівельні норми). Цестандарти, які містять положення, вимоги, умови щодо ТЗІ абоможуть бути використані для забезпечення ТЗІ.
Порядок розроблення, погодження, затвердження, реєстрації та видання нових, перегляду і скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного, захисту інформації, що не належать до нормативних документів із стандартизації, але є обов'язковими для виконання всіма органами виконавчої влади та місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов'язана з технічним захистом інформації, визначається Положенням про порядок розроблення, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації, затвердженим Наказ Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 7.06.2002 р. № 35. Міжвідомчі нормативні документи з питань ТЗІ призначені для забезпечення конфіденційності, цілісності і доступності інформації в інформаційно-телекомунікаційних системах, автоматизованих системах і на об'єктах інформаційної діяльності.
4. Відомчі документи з питань ТЗІ, що погоджені Державноюслужбою і стосуються досліджень заходів ТЗІ та досліджень їхефективності.
У сукупності всі ці документи встановлюють основні положення, загальні правила, визначають порядок здійснення різних видів діяльності в сфері ТЗІ, формулюють вимоги до якості послуг і продукції, викладають методичні вказівки по впровадженню заходів захисту і оцінюванню їх ефективності.
3. Особливості дозвільного порядку здійснення діяльності з розробки технічних засобів захисту інформації
Дозвільний порядок здійснення діяльності з розробки технічних засобів захисту інформації визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62.
Державна експертиза в сфері технічного захисту інформації (далі — експертиза) проводиться з метою оцінки захищеності інформації, яка обробляється або циркулює в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, приміщеннях, інженерно-технічних спорудах тощо (далі — об'єкти інформаційної діяльності), та підготовки обґрунтованих висновків для прийняття відповідних рішень.
Дія зазначеного Положення поширюється на всіх юридичних та фізичних осіб, які належать до числа суб'єктів експертизи.
Суб'єктами експертизи є:
юридичні та фізичні особи, які є замовниками експертизи (далі — замовники);
Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України <<Про Державну службу спеціального зв'язку та захисту інформації України» від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації і відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України, далі — Державна служба), а також підприємства, установи та організації, які проводять експертизу за його дорученням (далі — організатори);
фізичні особи — виконавці експертних робіт з технічного захисту інформації (далі — експерти). Об'єктами експертизи є:
комплексні системи захисту інформації (далі — КСЗІ), кожна з яких є невід'ємною складовою частиною конкретного об'єкта інформаційної діяльності і поєднує організаційні та інженерні заходи, програмні й технічні засоби, призначені для попередження навмисних чи ненавмисних дій щодо блокування інформації, порушення її цілісності або конфіденційності;
окремі технічні та програмні засоби, які реалізують функції технічного захисту інформації (далі — засоби забезпечення технічного захисту інформації, ЗТЗІ).
КСЗІ на об'єктах інформаційної діяльності, де обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, підлягають експертизі в обов'язковому порядку.
Експертиза може бути первинною та контрольною.
Первинна експертиза є основним видом експертизи і передбачає виконання всіх потрібних заходів для підготовки та прийняття рішення щодо об'єкта експертизи.
Контрольна експертиза провадиться іншим організатором: з ініціативи замовника, за наявності в нього обґрунтованих претензій до висновку первинної експертизи, або з ініціативи Державної служби — для перевірки висновків первинної експертизи.
Державна служба для організації та проведення експертизи:
- розробляє необхідні нормативно-правові аьсги та нормативні документи, що забезпечують проведення експертизи, інформує організаторів та експертів про введення їх у дію;
- формує Реєстри організаторів та експертів;
реєструє заяви на проведення експертизи та надає замовникові консультації з процедурних питань;
приймає рішення щодо можливості й доцільності проведення та організації експертизи, зокрема — контрольної;
реєструє, видає, призупиняє дію або анулює документи, що засвідчують рішення щодо можливості використання ЗТЗІ чи відповідності КСЗІ вимогам нормативних документів з технічного захисту інформації;
здійснює контроль за дотриманням тих вимог експлуатації об'єкта експертизи, недотримання яких впливає на захищеність інформації.
Замовник експертизи має право:
використовувати без обмежень висновки, результати і матеріали експертизи у своїй діяльності, якщо іншого не передбачено договором на проведення експертизи;
заявляти клопотання про потребу проведення контрольної експертизи - брати, за погодженням з організатором, участь у проведенні експертних робіт.
Замовник експертизи зобов'язаний:
сприяти організатору в проведенні всебічного комплексного дослідження об'єкта експертизи, виробленні експертної оцінки;
передавати в установлені договором терміни організатору потрібні матеріали, розрахунки, дані, додаткові відомості, що стосуються об'єкта експертизи, та надавати потрібне обладнання.
Результати, матеріали, висновки експертизи та створене або придбане за кошти замовника матеріально-технічне забезпечення є його власністю, якщо іншого не передбачено договором між замовником і організатором.
Організатор експертизи має право:
здійснювати всі потрібні заходи з метою організації та проведення експертизи відповідно до положень договору із замовником;
готувати пропозиції щодо включення (виключення) фахівців з питань технічного захисту інформації до (з) Реєстру експертів;
готувати пропозиції щодо розроблення та розробляти проекти нормативних документів з питань проведення експертизи.
Організатор експертизи зобов'язаний:
забезпечувати неупереджене, об'єктивне та своєчасне проведення експертизи;
за залучення Державною службою — розглядати проекти нормативних документів щодо виконання експертних робіт і надавати змістовні, обґрунтовані пропозиції та зауваження;
створювати умови, які б забезпечували виконання вимог до конфіденційності проведення експертизи, якщо це передбачено договором.
Експерт має право:
вільно викладати в документах з експертизи особисту думку з питань експертизи, а також — особливі думки відносно результатів виконання робіт;
вимагати від організатора надання достовірних відомостей, матеріалів та інженерно-технічного забезпечення, потрібних для виконання експертних робіт та підготовки висновків;
вносити пропозиції щодо вдосконалення форм і методів проведення експертизи.
Експерт зобов'язаний:
- об'єктивно, неупереджено та своєчасно виконувати експертні роботи;
не допускати розголошення інформації, яка міститься у матеріалах та висновках експертизи;
пред'являти на вимогу замовника документи, які підтверджують його досвід та рівень кваліфікації.
Положення про державну експертизу в сфері технічного захисту інформації, затверджене Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 1999 р. № 62 визначає також порядок організації та проведення експертизи.
З метою координації заходів та прийняття рішень щодо проведення експертиз при Державній службі створюється Експертна рада з питань державної експертизи в сфері технічного захисту інформації (далі — Експертна рада).
Для проведення експертизи замовник надсилає на ім'я керівника Державної служби у двох примірниках з копією на магнітному носії заяву про проведення експертизи комплексної системи захисту інформації об'єкта інформаційної діяльності або заяву про проведення експертизи засобу технічного захисту інформації.
За результатами розгляду заяви Експертна рада у місячний термін приймає рішення про доцільність проведення експертизи та визначає її організатора. У разі наявності у замовника обґрунтованих претензій щодо результатів або порядку проведення експертизи він може звернутися із заявою на ім'я керівника Державної служби про проведення контрольної експертизи.
Основним юридичним документом, що регламентує відносини між замовником і організатором, є договір на проведення експертизи. Порядок фінансування експертизи визначається відповідно до законодавства України, а оплата витрат на проведення експертизи, оплата праці експертів та послуг організаторів здійснюється на підставі договору. Термін проведення експертизи визначається договором і не повинен перевищувати шести місяців. Збільшення терміну проведення експертизи допускається лише за узгодженням з Державної службою у випадку значного обсягу експертних робіт. Питання оплати контрольної експертизи визначається у договорі на проведення експертизи.
Список експертів, які залучаються до виконання експертних робіт під час проведення конкретної експертизи, визначається організатором.
Замовник надає організатору визначений нормативними документами системи ТЗІ комплект організаційно-технічної документації на об'єкт експертизи. Організатор, за результатами аналізу наданих документів і з урахуванням загальних методик оцінювання ефективності ЗТЗІ та КСЗІ, формує програму і окремі методики проведення експертизи об'єкта та розробляє, у разі потреби, відповідне програмно-технічне забезпечення.
Терміни розроблення окремої методики та потрібних програмно-апаратних засобів залежать від характеру та складності об'єкта експертизи і визначаються у договорі на проведення експертизи. Під час проведення експертизи кожен експерт виконує тільки доручені організатором роботи, визначені окремою методикою. Результати роботи оформлюються у вигляді протоколу за підписом експертів, які її виконували. Протокол затверджується організатором. Організатор може рекомендувати експерту здійснити лише стилістичне редагування протоколів виконаних робіт без зміни їх змісту.
Узгодження результатів окремих робіт між експертом та організатором, а також внесення змін до протоколів після їх оформлення або поєднання результатів окремих робіт в одному протоколі не дозволяється. У протоколі можуть бути зафіксовані особливі думки експертів щодо результатів виконаних робіт. У разі виявлення невідповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації організатор може запропонувати замовнику виконати доробку об'єкта.
Термін доробки об'єкта експертизи визначається спільним протоколом між замовником та організатором. Відомості щодо кожної з доробок, а також результати додаткових експертних робіт, оформлюються окремими протоколами. Результати робіт, визначених окремою методикою, узагальнюються організатором в експертному висновку.
Висновки щодо кожного пункту окремої методики, а також особливі думки експертів, зафіксовані в протоколах, включаються до експертного висновку як складові частини, без унесення до них будь-яких змін.
За результатами проведених робіт організатор складає «Експертний висновок» щодо відповідності об'єкта експертизи вимогам нормативних документів системи технічного захисту інформації, підписує його і подає до Державної служби.
Положення про державну експертизу визначає також порядок надання «Експертного висновку» та «Атестата відповідності». «Експертний висновок» розглядається Експертною радою і в разі затвердження результатів експертизи реєструється та видається замовнику.
Наявність позитивного рішення щодо експертизи ЗТЗІ є підставою для включення цього засобу до переліку технічних засобів загального призначення, що дозволені Державною службою для використання з метою технічного захисту інформації.
На підставі позитивного рішення щодо експертизи КСЗІ замовнику видається зареєстрований «Атестат відповідності», який підписується керівником (заступником керівника) Державної служби. Державна служба має право призупинити або анулювати дію «Експертного висновку» та «Атестата відповідності». Порядок призупинення або анулювання дії зазначених документів визначається окремим нормативно-правовим документом системи ТЗІ.
Ліцензійні умови провадження господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації, затверджені спільним Наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 29.12.2000 № 89/67.
Зазначені Ліцензійні умови розроблені з урахуванням вимог Законів України «Про ліцензування певних видів господарської діяльності», «Про інформацію», Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 року № 1229 та інших нормативних актів. Ліцензійні умови визначають кваліфікаційні, організаційні, технологічні та інші вимоги до суб'єктів господарювання, виконання яких є обов'язковою умовою провадження певних видів робіт та надання певних видів послуг у межах господарської діяльності, пов'язаної з розробленням, виробництвом, впровадженням, обслуговуванням, дослідженням ефективності систем і засобів технічного захисту інформації, наданням послуг у галузі технічного захисту інформації (далі — господарська діяльність у галузі ТЗІ).
В установчих документах суб'єкта господарювання повинно бути передбачено провадження господарської діяльності в галузі ТЗІ. Ліцензування господарської діяльності в галузі ТЗІ провадить Державна служба спеціального зв'язку та захисту інформації України.
У межах господарської діяльності в галузі ТЗІ можуть виконуватися види робіт або надаватися види послуг (далі — види робіт), які визначаються зазначеними Ліцензійними умовами. У разі, якщо суб'єкт господарювання провадить господарську діяльність у галузі ТЗІ не в повному обсязі, а частково, ліцензійні умови поширюються на нього в частині, що встановлює вимоги до провадження окремих робіт.
Суб'єкт господарювання, який має намір провадити господарську діяльність в галузі ТЗІ та відповідає цим Ліцензійним умовам, подає до Державної служби заяву за встановленою формою про видачу ліцензії.
Ліцензуванню підлягають такі види робіт, які виконуються в межах господарської діяльності з технічного захисту інформації:
розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є акустичні поля, надання консультативних послуг;
розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали, надання консультативних послуг;
розроблення, виробництво, впровадження, дослідження ефективності, супроводження засобів та комплексів технічного захисту інформації в інформаційних системах, інформаційних технологій із захистом інформації від несанкціонованого доступу, надання консультативних послуг;
виявлення та блокування витоку мовної та видової інформації через закладні пристрої на об'єктах інформаційної діяльності, надання консультативних послуг;
виробництво засобів забезпечення технічного захисту інформації, носіями якої є акустичні поля;
виробництво засобів забезпечення технічного захисту інформації, носіями якої є електромагнітні поля та електричні сигнали;
розроблення, впровадження, дослідження ефективності, обслуговування на об'єктах інформаційної діяльності комплексів (систем) технічного захисту інформації, носіями якої є хімічні речовини, надання консультативних послуг.
Для провадження господарської діяльності в галузі ТЗІ суб'єкт господарювання повинен мати:
- штатних або найманих за договором спеціалістів, які мають повну вищу освіту відповідного професійного спрямування або пройшли перепідготовку та підвищення кваліфікації у галузі інформаційної безпеки чи мають стаж роботи відповідного професійного спрямування не менше 3 років;
нормативно-правові акти з технічного захисту інформації, що забезпечують проведення обраного виду роботи;
власні або орендовані засоби вимірювань і контролю, перелік яких визначається нормативними документами з питань технічного захисту інформації, та (або) засоби електронно-обчислювальної техніки в обсязі, що забезпечує проведення обраного виду роботи;
власну або створену на договірній основі виробничу базу, яка дає змогу виробляти засоби забезпечення технічного захисту інформації згідно з вимогами нормативних документів з питань технічного захисту інформації;
методику виявлення витоку мовної або видової інформації через закладні пристрої на об'єктах інформаційної діяльності (власної розробки з урахуванням апаратурного забезпечення, узгодженої з Державною службою).
Залежно від важливості інформації для особи, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження господарської діяльності в галузі ТЗІ:
з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю;
з наданням права технічного захисту інформації, що не містить відомостей, які становлять державну таємницю.
Для провадження господарської діяльності в галузі ТЗІ з наданням права технічного захисту інформації усіх видів, у тому числі інформації, що містить відомості, які становлять державну таємницю, суб'єкт господарювання повинен мати:
дозвіл на здійснення діяльності, пов'язаної з державною таємницею;
оформлені у встановленому порядку допуски до державної таємниці на спеціалістів, що залучаються до виконання робіт, пов'язаних із державною таємницею;
матеріали, які відповідно до компетенції, державних завдань, програм, замовлень, договорів (контрактів) підтверджують, що суб'єкт господарювання передбачає провадити господарську діяльність у галузі ТЗІ, що містить відомості, які становлять державну таємницю;
- приміщення та (або) об'єкти електронно-обчислювальної техніки, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації (за потреби).
Виконання робіт із захисту таємної інформації дозволяється в межах терміну дії відповідного дозволу на здійснення діяльності, пов'язаної з державною таємницею. При виконанні робіт на об'єктах інформаційної діяльності, на яких циркулює інформація, що містить відомості, які становлять державну таємницю, а також у державних органах та установах суб'єкт господарювання зобов'язаний:
щорічно (до 20 грудня) надавати відомості до Державної служби щодо змісту виконаних робіт;
терміново (не пізніше наступного дня) інформувати Державну службу про виявлення закладних пристроїв.
4. Правове регулювання захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах
Порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, затверджений Наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 24 грудня 2001 р. № 76, визначає основи організації та порядок захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах (далі - ITC). У ньому використовуються наступні поняття:
державні інформаційні ресурси - інформація, яка є власністю держави та (або) необхідність захисту якої визначено законодавством;
інформаційно-телекомунікаційна система - організаційно-технічна сукупність, що складається з автоматизованої системи та мережі передачі даних;
дані - інформація, яка передається мережею передачі даних незалежно від способу її фізичного та логічного представлення;
мережа передачі даних - організаційно-технічна система, яка складається з комплексів телекомунікаційного обладнання (вузлів комутації) та реалізує технологію інформаційного обміну з використанням первинної мережі зв'язку оператор мережі передачі даних (вузла комутації) - юридична особа, що здійснює діяльність з надання послуг з передачі даних;
користувач мережі передачі даних - фізична або юридична особа (власник автоматизованої системи), яка користується послугами мережі передачі даних за договором з оператором.
Дія Порядку поширюється на ITC, які обробляють, зберігають, передають державні інформаційні ресурси.
Вимоги Порядку обов'язкові для всіх власників автоматизованих систем, що входять до складу ITC (користувачів мереж передачі даних), а також для підприємств (установ, організацій) усіх форм власності, які є операторами мереж передачі даних (далі -МПД) усіх типів: відомчих, подвійного призначення, загального користування, глобальних (у тому числі Інтернет).
Захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу ITC (далі - автоматизована система, АС), повинен забезпечуватися впровадженням комплексу технічних, криптографічних, організаційних та інших заходів і засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації.
В АС повинен забезпечуватися захист від несанкціонованого доступу до державних інформаційних ресурсів з боку мереж передачі даних, зокрема глобальних мереж.
Конфіденційність інформації, яка є державними інформаційними ресурсами, під час передавання мережею передачі даних забезпечує власник АС з використанням засобів та заходів з криптографічного захисту інформації або оператор МПД за договором з власником АС.
Основними завданнями підприємств (установ, організацій), які є операторами МПД, щодо забезпечення захисту державних інформаційних ресурсів є:
- створення, упровадження та супроводження КСЗІ в МПД;
- контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.
Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.
Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.
Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підприємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані.
Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.
Сертифікат відповідності надається згідно з Порядком проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення, затвердженим наказом Держстандарту України та ДСТСЗІ СБ України від 9 липня 2001 р. № 329/32 і зареєстрованим у Міністерстві юстиції України 26 липня 2001 р. за № 640/5831, а експертний висновок - згідно з Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом ДСТСЗІ СБ України від 29 грудня 1999 р. № 62 і зареєстрованим у Міністерстві юстиції України 24 січня 2000 р. за № 40/4261.
У разі відсутності на час створення КСЗІ таких документів сертифікація або державна експертиза зазначених засобів на відповідність вимогам із захисту інформації здійснюється під час проведення державної експертизи КСЗІ.
Розроблення, виробництво, впровадження та обслуговування КСЗІ здійснюється оператором МПД самостійно за умови наявності в нього ліцензії на провадження відповідних видів робіт або із залученням інших підприємств-ліцензіатів у галузі захисту інформації.
Для організації робіт із розроблення, виробництва, впровадження та обслуговування КСЗІ, контролю за станом захищеності державних інформаційних ресурсів у МПД наказом керівника підприємства, яке є оператором МПД, визначається відповідальний підрозділ або відповідальна особа.
Контроль за забезпеченням захисту державних інформаційних ресурсів в ITC здійснюється Департаментом спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України і полягає у перевірці виконання власниками АС та операторами МПД вимог нормативно-правових актів і нормативних документів з технічного та криптографічного захисту інформації.
Власники АС та оператори МПД повинні повідомляти ДСТСЗІ… СБ України про виявлені ними спроби та факти здійснення несанкціонованих дій щодо державних інформаційних ресурсів.
Оператори МПД повинні надавати власнику АС відомості про виявлені ними спроби та факти здійснення несанкціонованих дій в мережах передачі даних щодо інформації, яка йому належить.
Тема № 9.
ПРАВОВІ ОСНОВИ ЗАХИСТУ ІНФОРМАЦІЇ В ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМАХ
ПИТАННЯ ЛЕКЦІЇ:
Законодавство України про захист інформації в інформаційно-телекомунікаційних системах.
Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації.
Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі.
Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах.
Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі.
Інноваційна спрямованість сучасної економічної діяльності, інтеграція до глобальних процесів розвитку інформаційного суспільства потребує відповідного правового забезпечення.
На сьогодні дослідження науковців спрямовуються саме на роз криття новітніх інформаційних процесів та їх правової регламентації. Не є винятком і питання правового регулювання захисту інформації в інформаційно-телекомунікаційних системах.
Законодавство України про захист інформації в інформаційно-телекомунікаційних системах
На сьогодні відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, регулюються Законом України «Про захист інформації в автоматизованих системах» від 05.07.94 р. (нова редакція Закону «Про захист інформації в інформаційно-телекомунікаційних системах» від 31 травня 2005 року № 2594-ГУ, набрала чинності з 1 січня 2006 року). Закон регулює відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі система). Дія зазначеного Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.
Відносини, що виникають з приводу захисту інформації в інформаційно-телекомунікаційних системах, також частково регулюються Законом України «Про електронні документи та електронний документообіг» від 22.05.2003 р. Предметом правового регулювання даного Закону є відносини, що виникають у процесі створення, відправлення, передавання, одержання, зберігання, оброблення, використання та знищення електронних документів.
На сьогодні питання захисту інформації в інформаційно-телекомунікаційних системах окрім Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» та інших законів регулюються також низкою підзаконних нормативно-правових актів.
Кабінет Міністрів України Постановою від 13 березня 2002 р. № 281 уповноважив Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (Законом України «Про Державну службу спеціального зв'язку та захисту інформації України» від 23 лютого 2006 року на базі Департаменту спеціальних телекомунікаційних систем та захисту інформації та відповідних підрозділів Служби безпеки України утворено Державну службу спеціального зв'язку та захисту інформації України) здійснювати управління захистом інформації в автоматизованих системах відповідно до Закону України «Про захист інформації в автоматизованих системах».
Так, наприклад, Кабінет Міністрів України Постановою від 2 серпня 1996 р. № 898 «Про створення Єдиної державної автоматизованої паспортної системи» започаткував створення Єдиної державної автоматизованої паспортної системи (далі - Система), яка забезпечуватиме видачу громадянам паспортів, що оформлюватимуться за єдиною технологією, та облік громадян за місцем проживання із застосуванням комп'ютерної мережі на єдиних принципах їх ідентифікації (із використанням особистих (ідентифікаційних) номерів громадян, відцифрованого образу осіб і біометричної ідентифікації) і взаємодії з базами даних інших інформаційних систем (як вітчизняних, так і іноземних). Передбачалося, що Система входитиме складовою частиною до Державного реєстру фізичних осіб.
Постановою Кабінету Міністрів України від 29 квітня 2004 р. № 573 було затверджено Положення про Головний обчислювальний центр Єдиної державної автоматизованої паспортної системи. Зазначеним Положенням зокрема визначалося, що основними завданнями Головного обчислювального центру є серед інших «впровадження комплексної системи захисту інформації Єдиної державної автоматизованої паспортної системи і здійснення постійного контролю за дотриманням у ній інформаційної безпеки» .
Постанова Кабінету Міністрів України від 16 лютого 1998 р. № 180 «Про затвердження Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах» також регулювала відносини щодо обігу інформації (яка становить державну таємницю) в автоматизованих системах.
Постанова Кабінету Міністрів України від 8 червня 1998 р. № 832 визначала комплекс заходів щодо поетапного впровадження у Пенсійному фонді автоматизованого персоніфікованого обліку відомостей у системі загальнообов'язкового державного пенсійного страхування.
Пам'ятаємо також про створення і функціонування у Центральній виборчій комісії автоматизованої інформаційної системи «Вибори», яка застосовувалась у процесі підготовки і проведення виборів Президента України, народних депутатів України.
Питання функціонування конкретних автоматизованих систем у органах державної влади, як правило, визначаються відомчими нормативно-правовими актами.
Так, наприклад, у Міністерстві фінансів України розроблено Положення про роботу із засобами обчислювальної техніки та про доступ до інформаційних ресурсів Міністерства фінансів України (додаток до наказу Міністерства фінансів України від 01.04.2003 р. № 248).
Наказом МВС України від 02.09.98 р. № 659 затверджено Інструкцію про створення єдиної автоматизованої системи номерного обліку вогнепальної (стрілецької) зброї, яка зберігається й використовується в МВС, на об'єктах дозвільної системи та перебуває в особистому користуванні громадян.
2. Інформаційно-телекомунікаційні системи. Обробка інформації, несанкціонований доступ, витік інформації
Розуміння основних понять, що застосовуються у сфері захисту інформації в інформаційно-телекомунікаційних системах, дає можливість не лише правильно аналізувати суб'єктно-об'єктний склад відповідних правовідносин, а й дозволяє правильно використовувати їх під час усної відповіді і виконання практичних завдань студентами та слухачами. Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» даються такі визначення основних понять:
блокування інформації в системі — дії, внаслідок яких унеможливлюється доступ до інформації в системі;
виток інформації — результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;
власник інформації — фізична або юридична особа, якій належить право власності на інформаці власник системи — фізична або юридична особа, якій належить право власності на систему;
доступ до інформації в системі — отримання користувачем можливості обробляти інформацію в системі;
захист інформації в системі — діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
знищення інформації в системі — дії, внаслідок яких інформація в системі зникає;
інформаційна (автоматизована) система — організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
інформаційно-телекомунікаційна система — сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
комплексна система захисту інформації — взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
користувач інформації в системі — фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;
криптографічний захист інформації — вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/віднов-лення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
несанкціоновані дії щодо інформації в системі — дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;
обробка інформації в системі — виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;
порушення цілісності інформації в системі — несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;
порядок доступу до інформації в системі — умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;
телекомунікаційна система — сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
технічний захист інформації — вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлений витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.
Доповнює перелік основних термінів у сфері захисту інформації в інформаційно-телекомунікаційних системах Наказ ДСТЗІ СБ України 24 грудня 2001 р. № 76, яким затверджено Порядок захисту державних шформаційних ресурсів в автоматизованих системах.
3. Відносини між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційній системі
Аналіз відносин, що виникають між суб'єктами в процесі обробки інформації в інформаційно-телекомунікаційних системах, дає можливість розкрити їх специфіку.
Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:
власники інформації;
власники системи;
користувачі;
- уповноважений орган у сфері захисту інформації в системах (Державна служба спеціального зв'язку та захисту інформації України).
На підставі укладеного договору або за дорученням власник інформації може надати право розпоряджатися інформацією іншій фізичній або юридичній особі — розпоряднику інформації.
На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі — розпоряднику системи.
Статтею 4 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» визначені загальні підстави доступу до інформації в системі: «порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації.
Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом».
Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом.
Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі Відносини між власником системи та користувачем полягають у тому, що власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.
Відносини між власниками систем базуються на тому, що власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.
Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.
Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством.
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством (див. попередню лекцію).
Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога Щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.
Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої передбачена законом, встановлюються Кабінетом Міністрів України.
Обов'язки уповноваженого органу у сфері захисту інформації в системах виконує центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації (Державна служба спеціального зв'язку та захисту інформації України).
Уповноважений орган у сфері захисту інформації в системах:
розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
визначає вимоги та порядок створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Державні органи в межах своїх повноважень за погодженням з уповноваженим органом у сфері захисту інформації встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.
4. Відповідальність за порушення законодавства про захист інформації в інформаційно-телекомунікаційних системах
Особи, винні в порушенні порядку і правил захисту оброблюваної в ITC інформації, несуть дисциплінарну, адміністративну, кримінальну чи матеріальну відповідальність згідно з чинним законодавством України.
Зупинимося на окремих складах правопорушень у сфері захисту інформації в АС.
Кодекс України про адміністративні правопорушення було доповнено Законом України «Про внесення змін до деяких законодавчих актів України від 11 травня 2004 року» № 1703-ІУ статтею 212-6 «Здійснення незаконного доступу до інформації в автоматизованих системах».
Цією статтею передбачена адміністративна відповідальність за «здійснення незаконного доступу до інформації, яка зберігається, обробляється чи передається в автоматизованих системах». Санкція за дане правопорушення - накладення штрафу від п'яти до десяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу, або без такої Та сама дія, вчинена особою, яку протягом року було піддано адміністративному стягненню за порушення, передбачене в частині першій статті 212-6, - тягне за собою накладення штрафу від десяти до двадцяти неоподатковуваних мінімумів доходів громадян з конфіскацією засобів, що використовувалися для незаконного доступу.
Законом України «Про внесення змін до Кримінального та Кримінально-процесуального кодексів України від 23 грудня 2004 року № 2289-ІУ статті 361, 361-2, 362, 363, 363-1 Кримінального кодексу України (КК України) були викладені у новій редакції. Передбачені даними статтями склади злочинів містять об'єкт, що безпосередньо стосується захисту інформації в АС.
Стаття 361 КК України «Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку» передбачає кримінальну відповідальність за «несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації». За скоєння такого злочину передбачається санкція у вигляді штрафу від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк від двох до п'яти років, або позбавлення волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи Додатковими кваліфікуючими ознаками даного злочину є вчинення його повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду. Такі діяння (дії) караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.
Стаття 361-2 КК України «Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації» передбачає, що «несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, — караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи.
Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, — караються позбавленням волі на строк від двох до п'яти років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи».
Стаття 362 КК України «Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї» передбачає кримінальну відповідальність за несанкціоновані зміну, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах чи комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї. Санкція за скоєння даного злочину - штраф від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або виправні роботи на строк до двох років конфіскацією програмних або технічних засобів, за допомогою яких було вчинено несанкціоновані зміна, знищення або блокування інформації, які є власністю винної особи.
«Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, — караються позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади або займатися певною діяльністю на той самий строк та з конфіскацією програмних чи технічних засобів, за допомогою яких було здійснено несанкціоновані перехоплення або копіювання інформації, які є власністю винної особи.
Дії, передбачені частиною першою або другою статті 362 КК України, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, - караються позбавленням волі на строк від трьох до шести років з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані дії з інформацією, які є власністю винної особи».
Стаття 363 КК України «Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється передбачає, що «порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, - караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк».
Стаття 363-1 КК України «Перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку» передбачає кримінальну відповідальність за «умисне масове розповсюдження по відомлень електрозв'язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку». Санкція -штраф від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеження волі на строк до трьох років.
«Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду, — караються обмеженням волі на строк до п'яти років або позбавленням волі на той самий строк, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років та з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено масове розповсюдження повідомлень електрозв'язку, які є власністю винної особи».
Згідно зі статтею 18 Закону України «Про захист інформації в автоматизованих системах», шкода, заподіяна суб'єктам відносин, що виникають під час захисту інформації в АС (власникам інформації чи уповноваженим ними особам; власникам АС чи уповноваженим ними особам; користувачам інформації; користувачам АС), внаслідок незаконного створення перешкод для доступу до інформації, витоку чи втрати інформації в АС, відшкодовується особами, яких визнано винними в цьому.
5. Формування концепції захисту інформації в конкретній інформаційно-телекомунікаційній системі
Нормативні документи, що визначають особливості захисту інформації в конкретній автоматизованій системі, мають розроблятися на підставі і з урахуванням положень таких державних стандартів:
НД ТЗІ 1.1-002-99. Загальних положень щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22 «Про затвердження і введення в дію нормативних документів»;
НД ТЗІ 2.5-005-99. Класифікації автоматизованих систем і стандартних функціональних профілів захищеності оброблюваної інформації від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 №22;
НД ТЗІ 2.5-004-99. Критеріїв оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу, затверджених наказом ДСТСЗІ від 28.04.99 № 22;
НД ТЗІ 1.1-003-99. Термінології в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу, затвердженої наказом ДСТСЗІ від 28.04.99 № 2
Згідно з НД ТЗІ 2.5-005-99. Класифікацією автоматизованих систем і стандартних профілів захищеності оброблюваної інформації від несанкціонованого доступу автоматизовані системи розподіляють на три класи:
клас «1» - одномашинний однокористувачевий комплекс; клас «2» - локалізований багатомашинний багатокористува-чевий комплекс;
клас «З» - розподілений машинний багатокористувачевий комплекс, у якому передання інформації здійснюється через неза-хищене середовище (глобальну мережу).
Прикладом індивідуального нормотворення у сфері захисту інформації в АС може бути Комплексна система захисту інформації в автоматизованій системі Міністерства та Інструкція користувача автоматизованої системи 3 класу, які затверджені Наказом Міністерства економіки та з питань європейської інтеграції України від 23.04.2002 р. № 121 «Про заходи щодо захисту конфіденційної і відкритої інформації, що циркулює в автоматизованій системі Міністерства».
У зазначених документах використано принцип, який є актуальним не лише для Міністерства економіки та з питань європейської інтеграції України, а й для інших органів державної влади. Зокрема, зазначається, що їлироке застосування програмно-технічних обчислювальних засобів імпортного походження при приєднані їх до Інтернету принципово унеможливлює здійснити надійний захист інформації, що належить державі. У таких умовах забезпечення конфіденційності, цілісності і доступності інформації можливе лише в разі фізичного відокремлення автоматизованої системи, де циркулює інформація, яка потребує захисту, від системи, яка приєднана до Інтернету.
Тема № 10
НАЦІОНАЛЬНА СИСТЕМА КОНФІДЕНЦІЙНОГО ЗВ'ЯЗКУ
ПИТАННЯ ЛЕКЦІЇ:
Законодавство України про Національну систему конфіденційного зв'язку.
Порядок надання послуг конфіденційного зв'язку органам державної влади та органам місцевого самоврядування, державним підприємствам, установам та організаціям.
1.Законодавство України про Національну систему конфіденційного зв'язку
Закон України «Про Національну систему конфіденційного зв'язку» від 10 січня 2002 року регулює суспільні відносини, пов'язані із створенням, функціонуванням, розвитком та використанням Національної системи конфіденційного зв'язку.
У цьому Законі терміни вживаються в такому значенні:
спеціальна телекомунікаційна система (мережа) — телекомунікаційна система (мережа), призначена для обміну інформацією з обмеженим доступом;
спеціальна телекомунікаційна система (мережа) подвійного призначення — спеціальна телекомунікаційна система (мережа), призначена для забезпечення телекомунікацій (електрозв'язку) в інтересах органів державної влади та органів місцевого самоврядування, з використанням частини її ресурсу для надання послуг іншим споживачам;
Національна система конфіденційного зв'язку — сукупність спеціальних телекомунікаційних систем (мереж) подвійного призначення, які за допомогою криптографічних та/або технічних засобів забезпечують обмін конфіденційною інформацією в інтересах органів державної влади та органів місцевого самоврядування, створюють належні умови для їх взаємодії в мирний час та у разі введення надзвичайного і воєнного стану;
суб'єкти Національної системи конфіденційного зв'язку — органи державної влади та органи місцевого самоврядування, юридичні та фізичні особи, що беруть участь у створенні, функціонуванні, розвитку та використанні цієї системи.
Дія зазначеного Закону поширюється на відносини між суб'єктами Національної системи конфіденційного зв'язку, що виникають у зв'язку з її створенням, функціонуванням, розвитком та використанням. Відповідні відносини регулюються також Конституцією України, законами України «Про інформацію», «Про державну таємницю», «Про захист інформації в автоматизованих системах», «Про телекомунікації», «Про ліцензування певних видів господарської діяльності», іншими законами і нормативно-правовими актами.
Якщо міжнародним договором, згода на обов'язковість якого надана Верховною Радою України, встановлені інші правила, ніж ті, що передбачені законодавством України, застосовуються правила міжнародного договору.
Державна підтримка Національної системи конфіденційного зв'язку здійснюється Кабінетом Міністрів України шляхом створення сприятливих правових, економічних та інших умов для стимулювання процесу створення, функціонування, розвитку і використання цієї системи.
Складовими Національної системи конфіденційного зв'язку є спеціальні телекомунікаційні системи (мережі), їх фіксовані і мобільні компоненти, централізовані системи захисту інформації та оперативно-технічного управління. Структура побудови Національної системи конфіденційного зв'язку повинна забезпечувати відокремлення конфіденційної інформації органів державної влади та органів місцевого самоврядування, інших юридичних та фізичних осіб з використанням криптографічних та/або технічних засобів.
Управління Національною системою конфіденційного зв'язку, її функціонування, розвиток, використання та захист інформації забезпечуються спеціально уповноваженим центральним органом виконавчої влади у сфері конфіденційного зв'язку (Департаментом спеціальних телекомунікаційних систем та захисту інформації СБ України, його правонаступником Державною службою спеціального зв'язку та захисту інформації України) відповідно до законодавства. Централізовані системи захисту інформації та оперативно-технічного управління перебувають у державній власності і не підлягають приватизації.
Власниками інших складових Національної системи конфіденційного зв'язку можуть бути суб'єкти господарської діяльності незалежно від форми власності.
Послуги конфіденційного зв'язку надаються органам державної влади та органам місцевого самоврядування, державним підприємствам, установам, організаціям, іншим юридичним та фізичним особам на платній основі.
Порядок надання послуг конфіденційного зв'язку органам державної влади та органам місцевого самоврядування, державним підприємствам, установам та організаціям встановлюється Постановою Кабінету Міністрів України від 11 жовтня 2002 р. № 1519.
Надання послуг конфіденційного зв'язку іншим юридичним та фізичним особам здійснюється відповідно до законодавства на підставі договору між споживачем та оператором.
Послуги конфіденційного зв'язку надаються операторами, які є юридичними особами та мають ліцензії на право надання послуг фіксованого та/або рухомого (мобільного) телефонного зв'язку, а також надання послуг у галузі криптографічного та/або технічного захисту інформації відповідно до законодавства.
Особи, винні у порушенні законодавства у сфері конфіденційного зв'язку, несуть дисциплінарну, адміністративну, матеріальну, цивільно-правову або кримінальну відповідальність згідно із за коном.
Фінансування витрат, пов'язаних із створенням, функціонуванням та розвитком Національної системи конфіденційного зв'язку, здійснюється за рахунок коштів Державного бюджету України, що передбачається під час його формування на поточний рік у відповідних розділах окремим рядком, а також за рахунок місцевих бюджетів та інших джерел фінансування, не заборонених законом.
Спеціально уповноважений центральний орган виконавчої влади у сфері конфіденційного зв'язку в межах своїх повноважень може брати участь у науково-технічному, зовнішньоекономічному та інших формах співробітництва з питань конфіденційного зв'язку відповідно до державних програм та законодавства України.
Міжнародне співробітництво у сфері конфіденційного зв'язку здійснюється на основі законодавства та відповідних міжнародних договорів України.
2. Порядок надання послуг конфіденційного зв'язку органам державної влади та органам місцевого самоврядування, державним підприємствам, установам та організаціям
Порядок надання послуг конфіденційного зв'язку органам державної влади та органам місцевого самоврядування, державним підприємствам, установам та організаціям, затверджений Постановою Кабінету Міністрів України від 11 жовтня 2002 р, № 1519.
Зазначений Порядок визначає механізм та умови надання споживачам послуг конфіденційного зв'язку операторами зв'язку щодо передачі, прийому, зберігання та перетворення конфіденційної інформації, що є власністю держави (далі — обробка конфіденційної інформації), в Національній системі конфіденційного зв'язку (далі - НСКЗ).
У Порядку терміни вживаються в такому значенні: споживач — орган державної влади, орган місцевого самоврядування, державне підприємство, установа та організація, які уклали з оператором зв'язку договір про надання послуг конфіденційного зв'язку;
абонент — споживач, якому за договором про надання послуг конфіденційного зв'язку встановлено абонентський пристрій конфіденційного зв'язк;
абонентський пристрій конфіденційного зв'язку — абонентський засіб конфіденційного зв'язку з функціями захисту інформації, призначений для обробки конфіденційної інформації, а також обладнання, що забезпечує взаємодію такого засобу з НСКЗ.
Термін «оператор зв'язку» вживається у вказаному Порядку в значенні терміну, визначеному Законом України «Про телекомунікації», а саме: оператор телекомунікацій — суб'єкт господарювання, який мас право на здійснення діяльності у сфері телекомунікацій із правом на технічне обслуговування та експлуатацію телекомунікаційних мереж;.
Послуги конфіденційного зв'язку в НСКЗ надаються споживачам з встановленими рівнями якості конфіденційного зв'язку відповідно до нормативних документів, прийнятих Департаментом спеціальних телекомунікаційних систем та захисту інформації СБУ (далі - Департамент).
У технологічних процесах надання послуг конфіденційного зв'язку на підприємствах оператора зв'язку застосовується єдиний обліково-звітний час, що є в Україні.
Довідки про передавання інформації з абонентських пристроїв конфіденційного зв'язку видаються операторами зв'язку у випадках, передбачених законодавством.
Безпека обробки конфіденційної інформації забезпечується операторами зв'язку шляхом комплексного використання криптографічних і технічних засобів захисту інформації та здійснення організаційно-правових, інженерно-технічних заходів, спрямованих на запобігання розголошенню конфіденційної інформації.
Безпека обробки конфіденційної інформації забезпечується також виконанням споживачем вимог Порядку та нормативно-правових актів і нормативних документів з питань криптографічного та технічного захисту конфіденційної інформації.
Перелік заходів щодо забезпечення безпеки обробки конфіденційної інформації визначається відповідно до законодавства у сфері захисту інформації.
Абонентські пристрої конфіденційного зв'язку підлягають обов'язковим періодичним перевіркам на відповідність вимогам нормативних документів з питань захисту інформації. Терміни проведення перевірок визначаються Департаментом (Державною службою спеціального зв'язку та захисту інформації України).
Послуги конфіденційного зв'язку надаються операторами зв'язку, які мають на це право згідно із Законом України «Про Національну систему конфіденційного зв'язку».
Правила взаємодії між операторами зв'язку в частині використання ресурсу НСКЗ для надання послуг конфіденційного зв'язку визначаються Департаментом (Державною службою),
У разі виникнення потреби в отриманні послуг конфіденційного зв'язку споживач подає операторові зв'язку заяву, типова форма якої затверджується Департаментом (Державною службою).
Послуги конфіденційного зв'язку надаються на підставі договорів про надання послуг конфіденційного зв'язку, які укладаються між споживачами та операторами зв'язку відповідно до законодавства (далі — договір).
Типова форма договору затверджується Департаментом (Державною службою).
Надання послуг конфіденційного зв'язку та вибір варіантів підключення абонентів до НСКЗ проводиться з урахуванням наявної інфраструктури та ресурсу НСКЗ. Послуги конфіденційного зв'язку надаються за умови виконання абонентом вимог щодо безпеки обробки конфіденційної інформації.
Надання послуг конфіденційного зв'язку органам державної влади та органам місцевого самоврядування здійснюється за спеціальним пільговим режимом, який полягає у резервуванні обумовленої для вторинного розподілу частини номерного ресурсу НСКЗ. Департамент відповідно до законодавства може встановлювати інші пільги щодо надання послуг конфіденційного зв'язку зазначеним органам.
В умовах надзвичайного та воєнного стану оператори зв'язку мають право запроваджувати в установленому законодавством порядку тимчасові обмеження на надання послуг конфіденційного зв'язку.
Загальний перелік послуг конфіденційного зв'язку, які надаються у НСКЗ, визначається Департаментом (Державною службою спеціального зв'язку та захисту інформації України). Оператори зв'язку можуть надавати всі або окремі послуги конфіденційного зв'язку, зазначені у цьому переліку, залежно від технічних можливостей мережі НСКЗ.
Оператори зв'язку за згодою Департаменту (Державної служби спеціального зв'язку та захисту інформації України) можуть відповідно до загального переліку, визначеного Департаментом (Державною службою спеціального зв'язку та захисту інформації України), встановлювати свої переліки послуг конфіденційного зв'язку, які вони на дають.
Оператор зв'язку (оператор телекомунікацій) зобов'язаний:
забезпечувати безперебійне і якісне надання послуг конфіденційного зв'язку;
інформувати споживачів про всі зміни у переліку та порядку надання послуг конфіденційного зв'язку;
реєструвати придбані споживачами абонентські пристрої конфіденційного зв'язку;
проводити періодичну перевірку абонентських пристроїв конфіденційного зв'язку на відповідність вимогам нормативних документів з питань захисту інформації;
забезпечувати захист від несанкціонованого віддаленого доступу до обладнання та ліній зв'язку, які перебувають на балансі оператора зв'язку і використовуються у НСКЗ, відповідно до нормативних документів у сфері захисту інформації;
- негайно повідомляти Департамент (Державну службу спеціального зв'язку та захисту інформації України) про всі випадки порушення безпеки обробки конфіденційної інформації у НСКЗ;
отримувати дозвіл Департаменту (Державної служби спеціального зв'язку та захисту інформації України) на примусове відключення абонентських пристроїв конфіденційного зв'язку, крім випадків в умовах надзвичайного та воєнного стану;
повідомляти Департамент (Державну службу спеціального зв'язку та захисту інформації України) про відключення абонентських пристроїв конфіденційного зв'язку в умовах надзвичайного та воєнного стану;
усувати пошкодження конфіденційного зв'язку в технологічно контрольні терміни;
проводити перерахунок абонентної плати у разі пошкодження абонентського пристрою конфіденційного зв'язку не з вини абонента та у випадках в умовах надзвичайного та воєнного стану;
кожен випадок пошкодження з вини споживача обладнання та ліній зв'язку, які перебувають на балансі оператора зв'язку і використовуються в НСКЗ, оформляти актом за підписами представника оператора зв'язку та представника споживача. Якщо представник споживача, з вини якого сталося пошкодження, відмовляється підписати акт, він підписується двома представниками оператора зв'язку. На підставі цього акта споживачу, з вини якого сталося пошкодження, надсилається рахунок на оплату витрат, пов'язаних з відшкодуванням збитків та усуненням пошкоджень, згідно із законодавством;
розглядати скарги і заяви абонентів у терміни, передбачені законодавством, та інформувати їх про результати розгляду.
Оператор зв'язку (оператор телекомунікацій) має право:
змінювати ціни і тарифи на послуги конфіденційного зв'язку в межах затверджених граничних тарифів;
відключати абонентські пристрої конфіденційного зв'язку, які не допущені до експлуатації Департаментом (Державною службою спеціального зв'язку та захисту інформації України), не зареєстровані в оператора зв'язку або підключені без відповідного дозволу;
припиняти обслуговування абонентських пристроїв конфіденційного зв'язку в разі порушення споживачем Інструкції з експлуатації абонентських пристроїв конфіденційного зв'язку, що затверджується Департаментом (Державною службою спеціального зв'язку та захисту інформації України) (далі — Інструкція);
припиняти надання послуг конфіденційного зв'язку та тимчасово відключати абонентські пристрої конфіденційного зв'язку в разі несплати споживачем понад встановлений термін заборгованості за надані послуги конфіденційного зв'язку. Припинення надання споживачам послуг конфіденційного зв'язку не звільняє їх від погашення заборгованості. В цьому випадку оператор зв'язку має право стягувати суму боргу в судовому порядку.
Споживач зобов'язаний:
виконувати вимоги Інструкції;
не допускати використання конфіденційного зв'язку для цілей, що суперечать інтересам безпеки держави, призводять до порушення громадського порядку або посягають на честь і гідність громадян;
негайно повідомляти оператора зв'язку про всі випадки втрати абонентських пристроїв конфіденційного зв'язку або порушення вимог Інструкції;
не використовувати "??????????" конфіденційного зв'язку, які не допущені до експлуатації департаментом та не зареєстровані оператором зв'язку;
не допускати самовільного підключення до ліній конфіденційного зв'язку будь-яких абонентських пристроїв;
не допускати використання абонентських пристроїв конфіденційного зв'язку для навмисного створення незручностей іншим абонентам, перешкод у нормальному користуванні абонентськими пристроями конфіденційного зв'язку;
повідомляти у десятиденний термін оператора зв'язку про зміну свого найменування, адреси, розрахункового рахунка та інших даних, передбачених договором;
не допускати несанкціоноване передавання абонентських пристроїв конфіденційного зв'язку, в тому числі в оренду підприємствам, установам, організаціям та іншим юридичним і фізичним особам;
своєчасно вносити абонентну плату та плату за користування послугами конфіденційного зв'язку.
Споживач має право:
користуватися послугами конфіденційного зв'язку відповідно до договору;
безкоштовно користуватися зв'язком з черговими (аварійними) службами оператора зв'язку;
звертатися до оператора зв'язку за роз'ясненням щодо отриманого рахунка за розрахунковий період;
оскаржити неправомірні дії працівників оператора зв'язку згідно із законодавством.
На послуги конфіденційного зв'язку поширюється державне регулювання цін і тарифів відповідно до законодавства. Розмір плати за користування послугами конфіденційного зв'язку залежить від умов договору, зокрема системи оплати за послуги конфіденційного зв'язку, варіантів підключення до НСКЗ, наявності додаткових абонентських пристроїв конфіденційного зв'язку, та обсягів наданих додаткових послуг конфіденційного зв'язку.
Плата за встановлення (переустановлення) оператором зв'язку абонентського пристрою конфіденційного зв'язку та інших додаткових абонентських пристроїв вноситься споживачем під час оформлення замовлення на надання відповідної послуги за встановленими тарифами.
Нарахування плати за користування абонентським пристроєм конфіденційного зв'язку проводиться з дня його включення.
Порядок внесення споживачем плати за користування абонентським пристроєм конфіденційного зв'язку, надані послуги конфіденційного зв'язку визначається у договорі.
У разі затримання оплати наданих послуг конфіденційного зв'язку та несплати заборгованості понад 30 діб споживачу надсилається письмове попередження про припинення надання послуг конфіденційного зв'язку і тимчасове відключення абонентського пристрою конфіденційного зв'язку.
Після подання споживачем документів, що підтверджують погашення заборгованості, оператор зв'язку протягом доби здійснює включення абонентського пристрою конфіденційного зв'язку.
За час, протягом якого абонентський пристрій конфіденційного зв'язку не працював з вини споживача, абонентна плата нараховується в повному розмірі.
У разі відключення абонентського пристрою конфіденційного зв'язку в умовах надзвичайного та воєнного стану, плата за користування ним та за його включення не справляється.
Споживач має право подати оператору зв'язку пропозицію, заяву, скаргу, претензію щодо надання послуг конфіденційного зв'язку відповідно до законодавства. Оператор зв'язку зобов'язаний розглянути пропозицію, заяву, скаргу, претензію споживача та надіслати заявнику письмове повідомлення про результати розгляду в терміни, передбачені законодавством. Спірні питання між споживачем та оператором зв'язку вирішуються за згодою сторін або в судовому порядку.
Оператори зв'язку (оператори телекомунікацій) несуть передбачену законодавством відповідальність перед споживачами за ненадання чи неякісне надання послуг конфіденційного зв'язку. При цьому у разі усунення пошкоджень на обладнанні та лініях НСКЗ з порушенням технологічних термінів абонентна плата за весь час пошкодження не нараховується. Крім того, оператор зв'язку сплачує споживачу пеню у розмірі 25 відсотків добової абонентної плати за кожну добу перевищення технологічного терміну, але не більш як за три місяці. Кількість діб, протягом яких не працював абонентський пристрій конфіденційного зв'язку, визначається з дня
подачі споживачем заяви оператору зв'язку до дня усунення пошкодження.
Оператори зв'язку не несуть відповідальності перед споживачами за ненадання чи неякісне надання послуг конфіденційного зв'язку внаслідок дії непереборної сили (землетрус, повінь, ураган тощо) або з вини споживачів та у випадках, передбачених законодавством.
За порушення вимог Порядку споживач несе відповідальність згідно із законодавством. У разі невиконання споживачем вимог Порядку та Інструкції оператор зв'язку і Департамент (Державна служба спеціального зв'язку та захисту інформації України) не несуть відповідальності за порушення конфіденційності інформації, яка є власністю споживача.
Висновки
Важливість захисту інформації з обмеженим доступом при її передачі телекомунікаційними системами та мережами в Україні важко переоцінити.
У даній лекції розкрито механізми та умови надання споживачам послуг конфіденційного зв'язку щодо передачі, прийому, зберігання то перетворення конфіденційної інформації, що є власністю держави в Національній системі конфіденційного зв'язку.
Тема №11
ЮРИДИЧНА ВІДПОВІДАЛЬНІСТЬ ЗА ПРАВОПОРУШЕННЯ У СФЕРІ ОБІГУ ІНФОРМАЦІЇ З ОБМЕЖЕНИМ ДОСТУПОМ
ПИТАННЯ ЛЕКЦІЇ:
Поняття і види юридичної відповідальності за правопорушення у сфері обігу інформації з обмеженим доступом.
Кримінальна та адміністративна відповідальність у сфері обігу інформації з обмеженим доступом.
Цивільна відповідальність у сфері обігу інформації з обмеженим доступом.
Особливості матеріальної та дисциплінарної відповідальності у сфері обігу інформації з обмеженим доступом.
Мета юридичної відповідальності у сфері. обігу інформації з обмеженим, доступом це конкретний вияв загальних цілей права, серед яких виділяють регулювання і охорону відповідних суспільних відносин. Головними цілями юридичної відповідальності, у сфері обігу інформації з обмеженим доступом, що випливають із загальних цілей права, є: забезпечення нормального функціонування механізму правового регулювання відповідних відносин шляхом гарантування реалізації суб'єктами правових відносин суб'єктивних прав і юридичних обов'язків, охорона існуючого державного ладу та суспільного порядку, утвердження законності і захист правопорядку; захист інформаційних прав і свобод громадян від незаконних порушень ; покарання винного у скоєнні правопорушення; попередження скоєння правопорушень у сфері обігу інформації з обмеженим доступом у майбутньому.
Мета юридичної відповідальності реалізується через її відповідні функції, які відображають основні напрями впливу юридичної відповідальності на суспільні відносини. Саме у функціях юридичної відповідальності розкривається її роль і значення в забезпеченні реалізації, охорони і захисту прав і свобод особи.
Головними функціями юридичної відповідальності у тому числі у сфері обігу інформації з обмеженим доступом, які органічно випливають з її цілей, виступають регулятивна і охоронна. Похідними від цих функцій є штрафна (каральна), правовідновлювальна, попереджувальна, виховна та стимулююча.
1. Поняття і види юридичної відповідальності за правопорушення у сфері обігу інформації з обмеженим доступом
Юридична відповідальність - одна з форм соціальної відповідальності. Сутність соціальної відповідальності полягає в обов'язку індивіда виконувати вимоги, що висуваються до нього суспільством, державою, іншими індивідами. Крім юридичної, в суспільстві діють і інші форми соціальної відповідальності: моральна, політична, організаційна, суспільна, партійна й інша.
Юридичною відповідальністю є застосування до особи, що скоїла правопорушення, примусових заходів, передбачених санкцією
Всі види юридичної відповідальності характеризуються такими ознаками:
Найважливішою ознакою юридичної відповідальності є те, що фактичною підставою її виникнення виступає правопорушення.
Притягнення правопорушника до юридичної відповідальності здійснюється в певному процесуальному порядку в результаті здійснення правозастосовної діяльності.
Притягнення до юридичної відповідальності, як й інші види правозастосовної діяльності, здійснюється уповноваженими державними органами та їх посадовими особами, йому притаманний державно-владний характер.
Важливою ознакою юридичної відповідальності є чітка нормативна регламентація її здійснення,
Притягнення до юридичної відповідальності є невіддільним від державного примусу. Державний примус за скоєне правопорушення чітко регламентується в санкціях правових норм, які визначають його вид і міру - кількісні показники. Цей примус завжди звернений на правопорушника особу, яка скоїла протиправне діяння, і тягне за собою негативні для нього наслідки, що виявляються у позбавленні його певних благ, котрі йому належали до факту правопорушення.
Ще однією важливою ознакою юридичної відповідальності є наявність певних втрат для винної особи, які передбачені законом. Позбавлення правопорушника певних благ є необхідною умовою юридичної відповідальності Ці втрати є реакцією держави на шкоду, заподіяну правопорушником суспільству, державі або окремій особі, і можуть носити для правопорушника особистий, майновий або організаційний характер.
Соціальне призначення юридичної відповідальності як засобу охорони і захисту суспільних відносин від будь-яких незаконних порушень реалізується в її цілях і функціях.
Підставами юридичної відповідальності (у тому числі у сфері обігу інформації з обмеженим доступом) є:
факт скоєння правопорушення;
наявність у діях особи складу правопорушення;
наявність відповідної правової норми, яка передбачає притягнення до юридичної відповідальності за певне правопорушення;
4) акт застосування права (вирок суду, рішення адміністративного органу тощо).
Ключовий принцип юридичної відповідальності - принцип законності, суть якого полягає у суворому і точному слідуванні правовим приписам. Ця вимога, по-перше, передбачає, що притягнення до юридичної відповідальності повинно здійснюватись лише на підставі закону за правопорушення (на момент скоєння заборонене законом), що вступив у силу і був доведений до загального відома; по-друге, єдиною фактичною підставою юридичної відповідальності є правопорушення, тобто винне протиправне діяння, скоєне деліктоздатною особою; по-третє, притягувати до юридичної відповідальності можуть лише уповноважені законом органи і тільки в установленому законом порядку; по-четверте, міра покарання за скоєне правопорушення чітко обмежується санкцією правової норми і при реалізації юридичної відповідальності може бути пом'якшена, але в жодному разі не повинна перевищувати верхньої межі санкції; по-п'яте, реалізація юридичної відповідальності здійснюється у встановленій законом процесуальній формі.
З принципом законності тісно пов'язаний принцип справедливості, суть якого полягає у відповідності між діянням і його соціальним наслідком. Справедливість юридичної відповідальності, виявляється у тому, що вид і міра покараная або стягнення залежить від тяжкості скоєного правопорушення, ступеня його суспільної небезпеки і характеру завданої шкоди. Справедливість юридичної відповідальності характеризується неможливістю призначення кримінального покарання за проступок.
Принцип гуманізму заснований на визнанні пріоритету загально людських цінностей, серед яких, провідне місце посідають права і свободи особи, що носять природний і невід'ємний характер і визнаються найвищою соціальною цінністю. Особи, притягнені до юридичної відповідальності, користуються правами і свободами людини і громадянина за винятком встановлених законом обмежень.
Доцільність юридичної відповідальності передбачає відповідність обраних щодо правопорушника заходів покарання загальним цілям юридичної відповідальності - відновленню порушених прав і свобод, покаранню і перевихованню правопорушника, запобіганню скоєння правопорушень у майбутньому. Принцип неприпустимості аналогії права й аналогії закону при застосуванні заходів юридичної відповідальності означає, що рішення уповноваженого органу про притягнення правопорушника до юридичної відповідальності ґрунтується на конкретних правових нормах.
Принцип невідворотності посідає серед інших принципів юридичної відповідальності важливе місце, адже встановлення покарання за порушення норм права має значення тільки тоді, коли правопорушник неодмінно притягується до відповідальності. Впровадження у суспільну свідомість уявлення про неминучість покарання за порушення норм права є важливим виховним і попереджувальним правопорушення фактором.
Суть принципу індивідуалізації покарання полягає в тому, що відповідальність за скоєне правопорушник повинен нести сам за себе. Неприпустимим є перекладання відповідальності на інших осіб лише за наявності будь якого зв'язку з правопорушником.
Принцип неприпустимості подвоєння відповідальності означає, що ніхто не повинен двічі притягуватись до юридичної відповідальності за одне і те саме правопорушення
Принцип обгрунтованості юридичної відповідальності передбчає, по-перше, об'єктивне вивчення обставин справи, збір і всебічну оцінку доказів, аргументованість висновку про те, чи було скоєно правопорушення, чи винна особа, яка притягується до відповідальності, чи підлягає застосуванню передбачена в законі санкція; і по-друге, визначення конкретної міри покарання, стягнення, відшкодування збитків у ТОЧНІЙ ВІДПОВІДНОСТІ з критеріями, встановленими за коном.
До принципів юридичної відповідальності можна також віднести загальні принципи правосуддя: змагальність процесу як засіб досягнення об'єктивної істини; право на захист особи, що притягується до відповідальності; презумпція невинності; неприпустимість погіршення правового становища особи, яка оскаржує прийняте рішення, тощо.
За галузевою ознакою виділяють такі види юридичної відповідальності, як кримінальна, адміністративна, дисциплінарна, цивільно-правова, конституційна і міжнародно-правова.
У сфері обігу інформації з обмеженим доступом актуальними є такі види відповідальності як кримінальна, адміністративна, цивільно-правова, матеріальна, дисциплінарна.
2. Кримінальна та адміністративна відповідальність у сфері обігу інформації з обмеженим доступом
Кримінальна відповідальність є найсуворішим видом галузевої юридичної відповідальності. Вона настає тільки внаслідок скоєння злочину - суспільно небезпечного діяння, склад якого передбачений у кримінальному законі. До кримінальної відповідальності особа, винна у скоєнні злочину, може бути притягнена лише судом. Ніхто не може бути визнаний у скоєнні злочину, а також покараний інакше, ніж за вироком суду і відповідно до закону. Кримінальні покарання є найбільш суворими і жорсткими формами державного примусу, які впливають переважно на особистість злочинця з метою його перевиховання і попередження скоєння злочинів у майбутньому, істотно обмежуючи його правовий статус: позбавлення волі, виправні роботи, заборона обіймати певну посаду або займатись певною діяльністю, конфіскація майна тощо. Відбуття кримінального покарання тягне настання для злочинця відповідних юридичних наслідків; протягом певного часу за ним зберігається судимість.
Кримінальна відповідальність як правова категорія це визначена кримінально-правовими нормами специфічна форма реалізації повноважень держави у кримінально- правових відносинах щодо обвинувачуваного у злочині, що встановлює юридичний обов'язок винного вимушено зазнати державного осуду, а також передбачених КК України обмежень особистого, майнового або іншого характеру та правові наслідки вчиненого ним злочину, визначених обвинувальним вироком суду та які покладаються на винного спеціальними органами держави.
Кримінальне законодавство України передбачає наступні склади злочинів, пов'язаних з порушеннями встановленого порядку обігу інформації з обмеженим доступом.
Стаття 114 Кримінального кодексу України «Шпигунство» передбачає, що передача або збирання з метою передачі іноземній державі, іноземній організації або їх представникам відомостей, що становлять державну таємницю, якщо ці дії вчинені іноземцем або особою без громадянства, караються позбавленням волі на строк від восьми до п'ятнадцяти років.
Суб'єктами злочину, передбаченого статтею 111 Кримінального кодексу України «Державна зрада» можуть бути лише громадяни України.
Державною зрадою вважається діяння, умисно вчинене громадянином України на шкоду суверенітетові, територіальній цілісності та недоторканності, обороноздатності, державній, економічній чи інформаційній безпеці України: перехід на бік ворога в умовах воєнного стану або в період збройного конфлікту, шпигунство (передача або збирання з метою передачі іноземній державі, іноземній організації або їх представникам відомостей, що становлять державну таємницю), надання іноземній державі, іноземній організації або їх представникам допомоги в проведенні підривної діяльності проти України.
Стаття 328 Кримінального кодексу України передбачає відповідальність за розголошення відомостей, що становлять державну таємницю, особою, якій ці відомості були довірені або стали відомі у зв'язку з виконанням службових обов'язків, за відсутності ознак державної зради або шпигунства.
Стаття 329 Кримінального кодексу України «Втрата документів, що містять державну таємницю» встановлює такий склад злочину: «Втрата документів або інших матеріальних носіїв секретної інформації, що містять державну таємницю, а також предметів, відомості про які становлять державну таємницю, особою, якій вони були довірені, якщо втрата стала результатом порушення встановленого законом порядку поводження із зазначеними документами та іншими матеріальними носіями секретної інформації або предметами, - карається позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк, до трьох років або без такого».
Стаття 422 Кримінального кодексу України передбачає відповідальність за розголошення відомостей військового характеру, що становлять державну таємницю, або втрату документів чи матеріалів, що містять такі відомості.
Стаття 330 Кримінального кодексу України встановлює відповідальність за передачу або збирання з метою передачі іноземним підприємствам, установам, організаціям або їх представникам економічних, науково-технічних або інших відомостей, що становлять конфіденційну інформацію, яка є власністю держави, особою, якій ці відомості були довірені, або стали відомі у зв'язку з виконанням службових обов'язків, за відсутності ознак державної зради або шпигунства.
Стаття 231 Кримінального кодексу України встановлює кримінальну відповідальність за незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю: «умисні дії, спрямовані на отримання відомостей, що становлять комерційну або банківську таємницю, з метою розголошення чи іншого використання цих відомостей, а також незаконне використання таких відомостей, якщо це спричинило істотну шкоду суб'єкту господарської діяльності, — караються штрафом від двохсот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до п'яти років, або позбавленням волі на строк до трьох років».
Стаття 361-2 Кримінального кодексу України закріплює відповідальність за несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства.
Кримінальний кодекс України доповнено статтею 361-2 Законом України «Про внесення змін до Кримінального та Кримінально-процесуального кодексів України» від 23 грудня 2004 року № 2289-ІV.
Стаття 145 Кримінального кодексу України передбачає відповідальність за незаконне розголошення лікарської таємниці: "Умисне розголошення лікарської таємниці особою, якій вона стала відома у зв'язку з виконанням професійних чи службових обов'язків, якщо таке діяння спричинило тяжкі наслідки, — карається штрафом до п'ятдесяти неоподатковуваних мінімумів доходів громадян або громадськими роботами на строк до двохсот сорока годин, або позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років, або виправними роботами на строк до двох років».
Стаття 163 Кримінального кодексу України встановлює кримінальну відповідальність за порушення таємниці листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв'язку або через комп'ютер.
Стаття 168 Кримінального кодексу України встановлює відповідальність за розголошення таємниці усиновлення (удочеріння).
Стаття 182 Кримінального кодексу України «Порушення недоторканності приватного життя» закріплює, що «незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу без її згоди або поширення цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації, — караються штрафом до п'ятдесяти неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років».
Адміністративна відповідальність настає за вчинення адміністративних проступків, передбачених законодавством про адміністративні правопорушення. Справи про адміністративні правопорушення розглядаються органами внутрішніх справ, інспекціями у справах неповнолітніх, митними органами, судами та іншими державними органами і посадовими особами, уповноваженими законом.
Кодекс України про адміністративні правопорушення (далі - КУпАП) передбачає наступні склади адміністративних проступків, пов'язаних з обігом інформації загалом, і інформації з обмеженим доступом зокрема.
Стаття 212-3 КУпАП була доповнена Законом України «Про внесення змін до деяких законодавчих актів України з питань забезпечення та безперешкодної реалізації права людини на свободу слова» від 3 квітня 2003 року № 676-IV.
Стаття 212-3 КУпАП передбачає адміністративну відповідальність за порушення права на інформацію: «Неправомірна відмова в наданні інформації, несвоєчасне або неповне надання інформації, надання інформації, що не відповідає дійсності, у випадках, коли така інформація підлягає наданню на запит громадянина чи юридичної особи відповідно до законів України «Про інформацію» або «Про звернення громадян», — тягне за собою накладення штрафу на посадових осіб від п'ятнадцяти до двадцяти п'яти неоподатковуваних мінімумів доходів громадян».
У даному випадку неправомірне надання певним відомостям правового статусу «інформації з обмеженим доступом» буде передумовою для неправомірної відмови у наданні інформації і, відповідно, адміністративної відповідальності.
Посадові особи, на яких поширюється дія Закону України «Про боротьбу з корупцією», притягаються до відповідальності за діяння, передбачені статтею 212-3 КУпАП, відповідно до Закону України «Про боротьбу з корупцією.
Стаття 212-2 КУпАП встановлює адміністративну відповідальність за порушення законодавства про державну таємницю. Зазначається, що:
«Порушення законодавства про державну таємницю, а саме:
недодержання встановленого законодавством порядку передачі державної таємниці іншій державі чи міжнародній організації:
засекречування інформації:
про стан довкілля, про якість харчових продуктів і предметів побуту;
про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися та загрожують безпеці громадян;
про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти та культури населення;
-- про факти порушень прав і свобод людини і громадянина;
про незаконні дії органів державної влади, органів місцевого самоврядування та їх посадових осіб;
іншої інформації, яка відповідно до законів та міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, не може бути засекречена;
безпідставне засекречування інформації;
надання грифа секретності матеріальним носіям конфіденційної або іншої таємної інформації, яка не становить державної таємниці, або ненадання грифа секретності матеріальним носіям інформації, що становить державну таємницю, а також безпідставне скасування чи зниження грифа секретності матеріальних носіїв секретної інформації;
порушення встановленого законодавством порядку надання допуску та доступу до державної таємниці;
невжиття заходів щодо забезпечення охорони державної таємниці та незабезпечення контролю за охороною державної таємниці;
провадження діяльності, пов'язаної з державною таємницею, без отримання в установленому порядку спеціального дозволу на провадження такої діяльності, а також розміщення державних замовлень на виконання робіт, доведення мобілізаційних завдань, пов'язаних з державною таємницею, в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах, організаціях, яким не надано спеціального дозволу на провадження діяльності, пов'язаної з державною таємницею;
8). недодержання вимог законодавства щодо забезпечення охорони державної таємниці під час здійснення міжнародного співробітництва, прийому іноземних делегацій, груп, окремих іноземців та осіб без громадянства та проведення роботи з ними;
9). невиконання норм і вимог криптографічного та технічного захисту секретної інформації, внаслідок чого виникає реальна загроза порушення цілісності цієї інформації або просочування її технічними каналами, — тягне за собою накладення штрафу на громадян від одного до трьох неоподатковуваних мінімумів доходів громадян і на посадових осіб — від трьох до десяти неоподатковуваних мінімумів доходів громадян».
Стаття 212-6 КУпАП встановлює відповідальність за порушення порядку обліку, зберігання і використання документів та інших носіїв інформації, які містять конфіденційну інформацію, що є власністю держави. Адміністративна відповідальність за такі діяння наступає лише у випадках, якщо воно призвело до розголошення такої інформації.
Статті 212-2 і 212-5 Кодексу України про адміністративні правопорушення були змінені Законом України «Про внесення змін до деяких законодавчих актів України» від 11 травня 2004 року № 1703-IV
3. Цивільна відповідальність у сфері обігу інформації з обмеженим доступом
Цивільно-правова відповідальність настає за порушення договірних зобов'язань майнового характеру або за заподіяння майнової чи немайнової (моральної) шкоди, тобто за скоєння цивільно-правового делікту, і може виражатись у позбавленні правопорушника певних благ матеріального характеру, у зміні невиконаного обов'язку новим, у приєднанні до невиконаного обов'язку нового, додаткового.
Цивільний кодекс України (далі - ЦК України) відносить інформацію до об'єктів цивільних прав. Стаття 200 ЦК України зокрема визначає, що «суб'єкт відносин у сфері інформації може вимагати усунення порушень його права та відшкодування майнової і моральної шкоди, завданої такими правопорушеннями».
Крім того, ст. 49 Закону України «Про інформацію» закріплює, що матеріальна чи моральна шкода, завдана фізичним або юридичним особам правопорушенням, вчиненим суб'єктом інформаційної діяльності, відшкодовується добровільно або на підставі рішення суду.
Оскільки інформація з обмеженим доступом є одним із видів інформації, то вона також є об'єктом цивільних прав. І хоча відносно того, чи може бути інформація об'єктом права власності серед науковців єдиної точки зору немає1, однак можна стверджувати, що інформація з обмеженим доступом однозначно за своєю природою є об'єктом права власності. Саме тому більшість способів захисту права власності і цивільної відповідальності є актуальними і для такого об'єкта як інформація з обмеженим доступом.
Відповідно до ст. 55 Конституції України, ст. 15 ЦК України, кожен має право на судовий захист. При цьому основна маса цивільно-правових спорів розглядається судами загальної юрисдикції. Не є винятком і цивільно-правові спори з приводу інформації з обмеженим доступом. Судова влада здійснюється також господарськими судами, які вирішують спори, що виникають у процесі підприємницької діяльності, а також адміністративними судами. Спір між ними може бути переданий на вирішення третейського суду за згодою учасників цивільного правовідношення.
Під час розгляду позову про захист прав власника інформації з обмеженим доступом в цивільному судочинстві потерпілий вправі використовувати практично всі основні способи захисту цивільних прав, передбачені у ст. 16 ЦК України, в тому числі вимагати визнання права; припинення дій, які порушують право чи створюють загрозу його порушення; визнання правочину недійсним; відновлення становища, яке існувало до порушення; примусове виконання обов'язку в натурі; визнання недійсним акта органу державної влади чи органу місцевого самоврядування, відновлення права; відшкодування збитків; відшкодування (компенсації) моральної шкоди; іншими способами, передбаченими законом.
Важливою гарантією реалізації та захисту прав власника інформації з обмеженим доступом є те, що після використання всіх національних засобів правового захисту учасник інформаційних цивільних відносин може звертатися за захистом своїх прав і свобод до міжнародних судових установ, наприклад, до Європейського суду з прав людини.
У статті 19 ЦК України вказані дії, які охоплюються поняттям “самозахист цивільних прав» і є одним із способів захисту цивільних прав. Під самозахистом розуміється застосування особою засобів протидії, які не заборонені законом та не суперечать моральним засадам суспільства.
Не є винятком і сфера обігу інформації з обмеженим доступом для застосування самозахисту відповідних прав. Способи самозахисту можуть обиратися самою особою чи встановлюватися договором або актами цивільного законодавства.
Крім того, окремі види інформації з обмеженим доступом (наприклад, комерційна таємниця) віднесено цивільним законодавством до об'єктів права інтелектуальної власності. Відповідно ж до статті 431 ЦК України порушення права інтелектуальної власності, в тому числі невизнання цього права чи посягання на нього, тягне за собою відповідальність, встановлену ЦК України, іншим законом чи договором.
Так, можливість застосування у договорах і угодах між банком і клієнтом застережень щодо збереження банківської таємниці та відповідальності за її розголошення передбачена частиною першою статті 61 Закону України «Про банки і банківську діяльність». Зі змісту статті вбачається, що банк і клієнт можуть передбачити відповідні застереження щодо збереження банківської таємниці як в окремій угоді, укладеній між клієнтом і банком, так і окремим положенням в будь-якому іншому договорі, що між ними укладається (договір про розрахунково-касове обслуговування, кредитний договір тощо). Разом з тим, не зовсім нормативно обґрунтованим, є укладення договору (а, отже, і подальше притягнення до відповідальності за його невиконання) про захист банківської таємниці між банком та особою, яка не відповідає визначенню його клієнта, наведеному у статті 1 зазначеного Закону.
4. Особливості матеріальної та дисциплінарної відповідальності у сфері обігу інформації з обмеженим доступом
Дисциплінарна відповідальність застосовується за скоєння дисциплінарних проступків, які виявляються в порушенні трудової, навчальної, службової та військової дисципліни і завдають шкоди внутрішньому порядку діяльності підприємств, установ, організацій тощо. До правопорушників можуть застосовуватись стягнення, передбачені правилами внутрішнього розпорядку, дисциплінарними статутами і положеннями: зауваження, попередження, догана, переведення на іншу роботу, звільнення, пониження у званні тощо.
Як правило, обіг видів інформації з обмеженим доступом на підприємстві, установі, організації регламентується нормативно- правовими актами державних органів та індивідуалізується локальними нормативними актами (положеннями, інструкціями, порядками тощо). Виконання саме локальних нормативних актів, прийнятих уповноваженими органами підприємств, установ, організацій є необхідним елементом забезпечення трудової дисципліни, дотримання правил внутрішнього трудового розпорядку.
Відповідно до статті 140 Кодексу законів про працю України (далі - КЗпП України) «у трудових колективах створюється обстановка нетерпимості до порушень трудової дисципліни, суворої товариської вимогливості до працівників, які несумлінно виконують трудові обов'язки. Щодо окремих несумлінних працівників застосовуються в необхідних випадках заходи дисциплінарного і громадського впливу».
Стаття 130 КЗпП України закріплює загальні підстави і умови матеріальної відповідальності працівників.
Працівники несуть матеріальну відповідальність за шкоду, заподіяну підприємству, установі, організації внаслідок порушення покладених на них трудових обов'язків.
При покладенні матеріальної відповідальності права і законні інтереси працівників гарантуються шляхом встановлення відповідальності тільки за пряму дійсну шкоду, лише в межах і порядку, передбачених законодавством, і за умови, коли така шкода заподіяна підприємству, установі, організації винними протиправними діями (бездіяльністю) працівника. Ця відповідальність, як правило, обмежується певною частиною заробітку працівника і не повинна перевищувати повного розміру заподіяної шкоди, за винятком випадків, передбачених законодавством.
За наявності зазначених підстав і умов матеріальна відповідальність може бути покладена незалежно від притягнення працівника до дисциплінарної, адміністративної чи кримінальної відповідальності.
На працівників не може бути покладена відповідальність за шкоду, яка відноситься до категорії нормального виробничо-господарського риску, а також за неодержані підприємством, установою, організацією прибутки і за шкоду, заподіяну працівником, що перебував у стані крайньої необхідності.
Працівник, який заподіяв шкоду, може добровільно покрити її повністю або частково. За згодою власника або уповноваженого ним органу працівник може передати для покриття заподіяної шкоди рівноцінне майно або поправити пошкоджене.
Стаття 147 КЗпП України встановлює, що «за порушення трудової дисципліни до працівника може бути застосовано тільки один з таких заходів стягнення:
догана;
звільнення.
Законодавством, статутами і положеннями про дисципліну можуть бути передбачені для окремих категорій працівників й інші дисциплінарні стягнення».
Особливості застосування матеріальної та дисциплінарної відповідальності працівника за правопорушення у сфері обігу інформації з обмеженим доступом можна проаналізувати на прикладі відповідальності за порушення режиму комерційної таємниці підприємства .
Відповідно ч. 2 ст. 130 КЗпП України працівник відшкодовує тільки пряму дійсну шкоду, а це в умовах оцінки збитків підприємства внаслідок розкриття його комерційної таємниці не враховує упущену вигоду. Проте відповідно до ч. 4 ст. 135-3 КЗпП України дається альтернатива: «законодавством може бути встановлено окремий порядок визначення розміру шкоди, що підлягає покриттю, в тому числі у кратному обчисленні, заподіяної підприємству, установі, організації розкраданням, умисним зіпсуттям, недостачею або втратою окремих видів майна та інших цінностей, а також у тих випадках, коли фактичний розмір шкоди перевищує її номінальний розмір».
На жаль, чинне законодавство поки що не встановило окремого порядку визначення розміру збитків підприємства, нанесених внаслідок розкриття його комерційної таємниці.
Варто зазначити, що за загальним правилом розмір матеріальної відповідальності працівника обмежується певною частиноюйого заробітку і не повинен перевищувати повного розміру заподіяної шкоди, за винятком випадків, передбачених законодавством. Крім того, відповідно до п. 3 ст. 134 КЗпП України працівник притягається до повної матеріальної відповідальності, коли «шкоди завдано діями працівника, які мають ознаки діянь, переслідуваних у кримінальному порядку». Для застосування цього положення потрібно, щоб був наявний склад злочину передбачений Кримінальним кодексом України, а саме ст. 232 «Розголошення комерційної або банківської таємниці», коли працівнику було довірено комерційну таємницю, або ст. 231 «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю», коли працівник не був допущений до комерційної таємниці.
Питання про звільнення працівника у зв'язку із недотриманням ним режиму комерційної таємниці також стоїть гостро, адже така підстава звільнення прямо не передбачена КЗпП України. Проте відповідно до положень чинного КЗпП України працівника можна звільнити у зв'язку із порушенням ним режиму комерційної таємниці підприємства на підставі наступних статей.
на підставі п. 7 ст. 36 КЗпП України — набрання законної сили вироком суду, яким працівника засуджено до позбавлення волі або іншого покарання, яке виключає можливість продовження даної роботи. Наприклад, за ст. 231 або 232 КК України (відповідно до ст. 43 КЗпП України без попередньої згоди профспілкового органу),
на підставі п. З ст. 40 КЗпП України за систематичне невиконання працівником службових обов'язків без поважних причин (відповідно до ст. 43 КЗпП України за попередньою згодою профспілкового органу),
на підставі п. 8 ст. 36 КЗпП України — з підстав, передбачених контрактом. Зрозуміло, що умови контракту мають зобов'язувати керівника та працівника підприємства дотримуватись режиму комерційної таємниці (відповідно до ст. 43 КЗпП України без попередньої згоди профспілкового органу).1
Зазначений алгоритм дисциплінарної відповідальності є актуальним і для інших видів інформації з обмеженим доступом, що функціонує на підприємстві, установі, організації.
Висновок
Юридична відповідальність є важливим елементом правового регулювання суспільних відносин у сфері обігу інформації з обмеженим доступом, суть якого полягає в цілеспрямованому впливі на поведінку індивідів за допомогою юридичних засобів з метою впорядкування зазначених суспільних відносин, надання їм системності і стабільності, уникнення різких загострень соціальних конфліктів, втілення принципів соціальної справедливості тощо. Саме існування права як регулятора суспільних відносин обумовлене необхідністю підтримувати соціальний порядок у неоднорідному суспільстві, попереджаючи будь-які відхилення від встановлених правил поведінки. За допомогою юридичної відповідальності встановлюються механізми охорони і захисту суспільних відносин від неправомірних посягань шляхом покарання діянь, які порушують умови нормального розвитку суспільства, суперечать інтересам держави, суспільства в цілому і окремих індивідів.
У сфері обігу інформації з обмеженим доступом нерідко вчиняються правопорушення, що зумовлюють юридичну відповідальність винних суб'єктів.
Сучасне інформаційне суспільство характеризується високим динамізмом розвитку інформаційних технологій, їх складністю та безмежною сферою використання. Це обумовлює недостатню науково теоретичну розробленість чинної законодавчої бази щодо встановлення і притягнення до відповідальності за «комп'ютерні злочини», призводить до труднощів у практичній діяльності правоохоронних, судових органів, суб'єктів господарювання-роботодавців щодо встановлення юридичної відповідальності у сфері обігу інформації з обмеженим доступом.
Тема № 12.
МІЖНАРОДНО-ПРАВОВІ ОСНОВИ ЗАХИСТУ ІНФОРМАЦІЇ З ОБМЕЖЕНИМ ДОСТУПОМ
ПИТАННЯ ЛЕКЦІЇ:
Положення договорів (угод) про взаємний захист секретної інформації.
Міжнародно-правові основи захисту персональних даних.
Зростання загрози для глобальної і регіональної безпеки з боку міжнародного тероризму, екстремізму із застосуванням насильства, організованої злочинності та інші масштабні зміни, що відбулися в міжнародній системі, висунули на перший план проблеми становлення і формування нової системи міжнародної безпеки. Мова передусім іде як про її теоретичні аспекти, які торкаються необхідності переусвідомити поняття самої міжнародної безпеки та проблеми джерел сучасних загроз, так і про роль тих міжнародних інститутів, статутним і пріоритетним завданням яких є інсти- туціонально-функціональне зміцнення безпеки.
Одним із напрямів становлення системи міжнародної безпеки є встановлення міжнародно-правових стандартів захисту інформації з обмеженим доступом, що має супроводжуватися імплементацією відповідних міжнародних договорів у систему національного права.
Однак на сьогодні системного підходу до міжнародно-правового регулювання проблематики захисту інформації з обмеженим доступом немає. Не існує поки що стандартизованих міжнародно-правових угод (окрім хіба що стосовно захисту персоніфікованої інформації про особу), які б визначали основні принципи захисту інформації з обмеженим доступом.
Натомість розвивається система міждержавних двосторонніх відносин v сфері взаємного захисту інформації з обмеженим доступом, Це обумовлено насамперед необхідністю гарантування захисту інформаційних ресурсів на двосторонньому, як правило, міжурядовому рівні.
1. Положення договорів (угод) про взаємний захист секретної інформації
Для розкриття змісту договорів (угод) про взаємний захист секретної інформації розглянемо деякі «найновіші» угоди. Так, звернемо увагу на Угоду між Кабінетом Міністрів України та Урядом Республіки Казахстан про взаємний захист секретної інформації
( Угоду подано на ратифікацію Постановою KM № 465 від 07.04.2006 р.).
Для цілей цієї Угоди використовуються терміни, у такому значенні:
«секретна інформація» — відомості, які становлять державну таємницю, виражені в будь-якій формі, що захищаються відповідно до законодавств держав Сторін, передані в порядку, встановленому кожною із Сторін і цією Угодою, а також створені в процесі співробітництва Сторін, несанкціоноване поширення яких може завдати шкоди безпеці й інтересам України і Республіки Казахстан ;
«носії секретної інформації» — матеріальні об'єкти, у тому числі фізичні поля, на/в яких секретна інформація, що захищається, відображена у вигляді символів, образів, сигналів, технічних рішень і процесів;
«ступінь секретності» — категорія, що характеризує важливість секретної інформації, ступінь обмеження доступу до неї і рівень її охорони державами Сторін, на підставі якої проставляється гриф секретності;
«гриф секретності» - реквізит носія секретної інформації, що засвідчує ступінь секретності даної інформації, який проставляється на носії секретної інформації або вказується в супровідній документації до нього, що свідчить про ступінь секретності відомостей, які містяться в носії секретної інформації;
«договір» — договір, угода або контракт, що укладається між організаціями держав Сторін, у рамках якого утворюється або передається секретна інформація;
«допуск до секретної інформації» — процедура оформлення права фізичних осіб на доступ до секретної інформації, а організацій — на проведення робіт із використанням такої інформації;
«доступ до секретної інформації» — надання дозволу фізичній або юридичній особі на ознайомлення із секретною інформацією;
«організація» — державний орган або інша юридична особа, що уповноважені Сторонами одержувати, зберігати, передавати, захищати, використовувати передану або створену в процесі співробітництва Сторін секретну інформацію;
"уповноважений орган" — державний орган, відповідальний за координацію діяльності по реалізації цієї Угоди при здійсненні міждержавного співробітництва.
Угодою також порівнюються ступені секретності, встановлені відповідно до законодавств держав Сторін, а також закріплені заходи охорони секретної інформації.
Так, відповідно до національних законодавств своїх держав Сторони зобов'язуються:
захищати секретну інформацію, передану або створену в процесі співробітництва Сторін;
не змінювати гриф секретності, наданий організацією держави Сторони, що здійснила передачу, без письмової її згоди;
у поводженні з отриманою секретною інформацією вживати такі ж заходи захисту, що використовуються по відношенню до власної секретної інформації, ступені секретності якої порівняні відповідно до статті 2 цієї Угоди;
користуватися секретною інформацією, отриманою від організації держави іншої Сторони, винятково в передбачених при її передачі цілях;
не надавати третій стороні доступ до секретної інформації без попередньої письмової згоди Сторони, що її передала.
Важливим принципом двосторонніх угод про взаємний захист інформації є наступний: «доступ до секретної інформації дозволяється тільки особам, яким ознайомлення з даною інформацією необхідне для виконання службових обов'язків з метою, передбаченою при її передачі або її спільному створенні».
Доступ до секретної інформації надасться .інше особам, які мають відповідний допуск до секретної інформації. У разі потреби, додаткові вимоги щодо захисту секретної інформації включаються в договори на визначений вид діяльності, у яких викладаються зобов'язання щодо поводження з секретною інформацією і заходи щодо її захисту.
Стосовно передачі секретної інформації закріплено такі нормативи. У разі наміру організації держави однієї Сторони передати секретну інформацію організації держави іншої Сторони, вона попередньо запитує в уповноваженого органу держави своєї Сторони письмове підтвердження про те, що організація, яка отримує секретну інформацію, має відповідний допуск.
Уповноважений орган держави однієї Сторони запитує в уповноваженого органу держави іншої Сторони письмове підтвердження наявності в організації держави іншої Сторони відповідного допуску, а також необхідних можливостей для забезпечення належного захисту секретної інформації.
Рішення про передачу конкретної секретної інформації приймається Сторонами в кожному окремому випадку відповідно до національного законодавства держав Сторін.
Передача секретної інформації з однієї держави в іншу здійснюється дипломатичними каналами, каналами документального шифрованого зв'язку, фельд'єгерською службою або військово- кур'ерською службою відповідно до діючих між державами Сторін міжнародних договорів. Відповідна організація через уповноважений орган своєї держави підтверджує одержання секретної інформації.
Для передачі великогабаритних носіїв секретної інформації уповноважені органи у кожному окремому випадку встановлюють засоби перевезення, маршрут і форму супроводу. Організації держав Сторін обмінюються відповідною інформацією про кожний окремий випадок таких перевезень.
Угодою закріплюються правила поводження з секретною інформацією і носіями секретної інформації. Організація, відповідальна за одержання переданої секретної інформації, додатково позначає носії секретної інформації грифами секретності, порівняними відповідно до стандартів іншої сторони.
Необхідність позначення грифами секретності також поширюється на носії секретної інформації, створеної в процесі співробітництва Сторін, у результаті перекладу, тиражування або розмноження.
Секретна інформація, створена на основі переданої секретної інформації, повинна мати ступінь секретності не нижче ступеня секретності переданої секретної інформації. Передана або створена секретна інформація зберігається і обліковуєься відповідно до вимог, що діють стосовно власної секретної інформації держав Сторін.
Ступінь секретності секретної інформації може змінюватися або скасовуватися організацією держави Сторони, якій вона була передана, тільки за письмовим дозволом відповідної організації держави Сторони, що її передала.
Ступінь секретності секретної інформації, створеної в процесі співробітництва Сторін, визначається, змінюється або скасовується за взаємним погодженням організацій держав Сторін.
Організація держави Сторони, що передала секретну інформацію, своєчасно повідомляє відповідну організацію іншої Сторони про зміну або зняття ступеня секретності даної секретної інформації. Носії секретної інформації повертаються або знищуються за письмовим запитом або повідомленням організації держави Сто рони, що її передала.
Тиражування або розмноження секретної інформації та її носіїв здійснюється з письмового дозволу організації держави Сторони, що її передала. Знищення секретної інформації провадиться у встановленому в державах Сторін порядку, а самий процес знищення повинен гарантувати неможливість її відтворення надалі.
У договори, що укладаються організаціями держав Сторін, включається окремий розділ, у якому відповідно до національних законодавств держав Сторін визначаються умови передачі і поводження з отриманою секретною інформацією, у тому числі:
перелік секретної інформації, що передається і (або) створюється, і ступені її секретності;
особливості захисту секретної інформації, що передається та (або) створюється;
порядок вирішення спірних питань і відшкодування можливого збитку від несанкціонованого поширення переданої і (або) секретної інформації, що створюється.
Уповноваженими органами, відповідальними за координацію діяльності щодо реалізації Угоди, є:
в Україні. — Служба безпеки України;
у Республіці Казахстан — Канцелярія Прем'єр-міністра Республіки Казахстан.
Залежно від характеру співробітництва Сторони можуть визначити інші уповноважені органи, відповідальні за реалізацію цієї Угоди, про що вони повідомляють одна одну дипломатичними каналами.
Уповноважені органи держав Сторін обмінюються відповідними законодавчими й іншими підзаконними актами держав Сторін у сфері захисту секретної інформації в обсязі, необхідному для виконання Угоди.
З метою забезпечення співробітництва при виконанні Угоди уповноважені органи держав Сторін проводять спільні консультації.
Візити представників організацій держави однієї Сторони, що передбачають їхній доступ до секретної інформації держави іншої Сторони, здійснюються з дозволу уповноваженого органу держави Сторони, що приймає. До візиту організації держав Сторін повідомляють одна одну про ступінь секретності інформації, передача якої або ознайомлення з якою передбачені під час візиту.
Звернення щодо можливості таких візитів направляється компетентним органом держави направляючої Сторони компетентному органу держави Сторони, що приймає, складається відповідно до процедур, прийнятих у державі Сторони, що приймає, і містить такі відомості:
прізвище та ім'я відвідувача, дата і місце народження,
громадянство і номер паспорта;
професія і посада відвідувача, назва організації, у якій він працює;
наявність допуску до секретної інформації відповідного ступеня секретності;
передбачувана дата відвідування та запланована тривалість візиту, назви організацій, відвідування яких планується;
перелік посадових осіб, з якими відвідувачі передбачають зустрітися.
Представники організації держави однієї Сторони знайомляться з правилами роботи із секретною інформацією відповідного ступеня секретності іншої Сторони і додержуються цих правил в ході візиту.
Безпосередній доступ представників організацій держави однієї
Сторони до секретної інформації держави іншої Сторони здійснюється відповідно до вимог національного законодавства Сторони, що приймає.
Витрати організацій держави однієї Сторони, що виникають у зв'язку із вживанням заходів по захисту секретної інформації, не підлягають відшкодуванню організаціями держави іншої Сторони.
Угодою встановлюється, що у разі порушення вимог щодо охорони секретної інформації, що призвело до несанкціонованого поширення переданої секретної інформації, або до виникнення загрози такого несанкціонованого поширення, уповноважений орган держави відповідної Сторони негайно сповіщає уповноважений орган держави іншої Сторони, проводять необхідне розслідування й інформує уповноважений орган держави Сторони, що передала секретну інформацію, про результати розслідування та про заходи, вжиті відповідно до законодавства державної Сторони, на території якої відбулися порушення.
У разі виникнення спорів або розбіжностей щодо тлумачення або застосування Угоди Сторони будуть вирішувати їх шляхом консультацій і переговорів між компетентними органами держав Сторін. Під час таких переговорів Сторони продовжують виконувати свої зобов'язання відповідно до Угоди.
Ця Угода набуває чинності з дати отримання останнього письмового повідомлення про виконання Сторонами внутрішньодержавних процедур, необхідних для набуття нею чинності (ратифікації - авт.), і діє необмежений час.
Інший вид угод це міжурядові Угоди про співробітництво в галузі технічного захисту інформації. Подібна Угода про співробітництво в галузі технічного захисту інформації була укладена між Кабінетом Міністрів України та Урядом Республіки Таджикистан (Угоду ратифіковано Законом України № 2829-IV від 07.09.2005 р.),
Основна причина укладення подібних угод - це усвідомлення договірними Сторонами того, що неврегульованість відносин у галузі захисту інформації з обмеженим доступом за допомогою інженерно-технічних заходів, зокрема, шляхом запобігання витоку інформації технічними каналами, несанкціонованому доступу до неї, порушенню її цілісності або блокуванню, може завдати шкоди державам Сторін.
В Угоді між Кабінетом Міністрів України та Урядом Республіки Таджикистан про співробітництво в галузі технічного захисту інформації терміни вживаються у таких значеннях:
"уповноважені органи" - Служба безпеки України та Головне управління із захисту державних секретів при Уряді Республіки Таджикистан;
«технічний захист інформації» — діяльність, спрямована на запобігання витоку інформації технічними каналами, несанкціонованому доступу до неї, порушенню її цілісності або блокуванню;
«засоби захисту інформації» — технічні, програмні та інші засоби, які використовуються для захисту інформації, а також засоби контролю ефективності захисту інформації;
«інформація з обмеженим доступом» — інформація, право доступу до якої обмежено відповідно до національних законодавств держав Сторін.
В Угоді зазначено, що Сторони будують свої відносини в галузі технічного захисту інформації на основі взаємної поваги, рівності Сторін, їхніх інтересів і визнання прав у сфері національної безпеки. Питання, не врегульовані цією Угодою, а також міжнародними договорами, учасниками яких є держави Сторін, будуть вирішуватися відповідно до законодавств України і Республіки Таджикистан.
Кожна Сторона вживає необхідних заходів для забезпечення захисту інформації з обмеженим доступом, яка передана їй іншою Стороною, відповідно до національного законодавства своїх держав. Сторони зобов'язуються не передавати інформацію з обмеженим доступом іншим державам, юридичним і фізичним особам без письмової згоди Сторони, від якої ця інформація отримана.
Сторони доручають Уповноваженим органам проводити консультації й обмінюватися досвідом роботи з удосконалення забезпечення технічного захисту інформації з обмеженим доступом, створення і гармонізації національних систем стандартизації, метрології, сертифікації, ліцензування і страхування в частині технічного захисту інформації, формування єдиної термінології у цій галузі.
Сторони доручають Уповноваженим органам здійснювати співробітництво в галузях:
розробки і використання нормативно-правових актів у галузі технічного захисту інформації;
підготовки, використання і підвищення кваліфікації кадрів на основі узгоджених кваліфікаційних вимог до випускників відповідних вищих навчальних закладів, фахівців із технічного захисту інформації;- розробки, виробництва, поставок науково-технічної продукції і засобів захисту інформації та їх використання;
- надання послуг з питань технічного захисту інформації;
- проведення спільних наукових конференцій, симпозіумів і виставок У галузі технічного захисту інформації.
Сторони визнають дійсними видані в установленому порядку на територіях держав Сторін документи про освіту і кваліфікацію спеціалістів у галузі технічного захисту інформації, підготовлених відповідно до узгоджених кваліфікаційних вимог.
Сторони надають Уповноваженим органам право на проведення переговорів (консультацій), створення робочих груп з метою вирішення питань, які випливають з Угоди.
Фінансування заходів, які проводяться у рамках цієї Угоди, здійснюється Сторонами в порядку і на умовах, передбачених законодавствами держав Сторін.
Усі спірні питання щодо тлумачення або застосування положень Угоди вирішуються шляхом переговорів між Сторонами. Під час вирішення спірних питань Сторони продовжують виконувати свої зобов'язання відповідно до Угоди.
За погодженням між Сторонами до Угоди можуть вноситися зміни і доповнення, які оформлюються окремими протоколами і будуть становити невід'ємну частину Угоди.
Угода набуває чинності з моменту одержання останнього письмового повідомлення про виконання Сторонами внутрішньодержавних процедур, необхідних для набуття нею чинності. Угода діє протягом п'яти років. Термін дії автоматично продовжується на наступні п'ятирічні періоди, якщо жодна зі Сторін не заявить про свій намір припинити дію цієї Угоди шляхом направлення письмового повідомлення не пізніш, ніж за шість місяців до закінчення відповідного періоду її дії. Припинення дії Угоди не перешкоджає реалізації угод і контрактів, підписаних в рамках Угоди під час періоду її дії, якщо Сторони не домовилися про інше.
Подібні положення містяться і в інших двосторонніх міжурядових угодах про взаємний захист (у тому числі технічний) інформації з обмеженим доступом (або лише секретної інформації).
2. Міжнародно-правові основи захисту персональних даних
Страсбурзька Конвенція про захист осіб стосовно автоматизованої обробки даних особистого характеру від 28 січня 1981 року має на меті забезпечення на території кожної Сторони для кожної особи незалежно від її національності або помешкання поважання її прав і основних свобод, і, зокрема, її права на недоторканність особистого життя, стосовно автоматизованої обробки даних особистого характеру, що її стосуються («захист даних»).
У цій Конвенції терміни вживаються у наступному значенні:
«дані особистого характеру» означають будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною («суб'єкт даних»);
«файл даних для автоматизованої обробки» означає будь-який масив даних, що піддаються автоматизованій обробці;
«автоматизована обробка» включає такі операції, що здійснюються повністю або частково за допомогою автоматизованих засобів: зберігання даних, виконання логічних і/або арифметичних операцій з цими даними, змінення, знищення, вибірка або поширення даних;
«контролер файлу» означає фізичну чи юридичну особу, державний орган, установу або будь-який інший орган що має повноваження відповідно до внутрішнього права вирішувати щодо цілі файлу даних для автоматизованої обробки, категорій даних особистого характеру, що мають зберігатися, та операцій, які мають здійснюватися з ними.
Сторони (держави — учасниці) зобов'язалися застосовувати цю Конвенцію до файлів даних особистого характеру для автоматизованої обробки та до автоматизованої обробки даних особистого характеру у державному та приватному секторах.
Обов'язками Сторін за Конвенцією є наступні.
Кожна Сторона в межах свого внутрішнього права вживає необхідних заходів з метою запровадження основоположних принципів захисту даних, викладених у цій главі. Такі заходи вживаються не пізніше моменту набрання чинності цією Конвенцією стосовно відповідної Сторони.
Дані особистого характеру, що піддаються автоматизованій обробці:
отримуються та обробляються сумлінно та законно;
зберігаються для визначених і законних цілей та не використовуються у спосіб несумісний з цими цілями;
мають бути адекватними, відповідними і ненадмірними з точки зору цілей, заради яких вони зберігаються;
мають бути точними та у разі необхідності мають поновлюватися;
- зберігаються у форматі, який дозволяє ідентифікувати суб'єктів даних не довше, ніж це необхідно для мети, заради якої такі дані зберігаються.
Дані особистого характеру, що свідчать про расову приналежність, політичні або релігійні чи інші переконання, а також дані особистого характеру, що стосуються здоров'я або статевого життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє право не забезпечує відповідних гарантій. Це правило застосовується також до даних особистого характеру, що стосуються засудження у кримінальному порядку.
Для захисту даних особистого характеру, що зберігаються у файлах даних для автоматизованої обробки, вживаються відповідні заходи захисту, спрямовані на запобігання випадковому чи несанкціонованому знищенню або випадковій втраті, а також на запобігання несанкціонованому доступу, зміненню або поширенню.
Конвенція передбачає, що будь-якій особі має бути надана можливість:
встановлювати існування файлу даних особистого характеру
для автоматизованої обробки, його головні цілі, а також особистість та постійне помешкання чи місце знаходження головної штаб-квартири контролера файлу;
- отримувати через розумні проміжки часу та без надмірної
затримки або витрат підтвердження або спростування зберігання даних особистого характеру, що її стосуються, у файлі даних для автоматизованої обробки, а також отримувати такі дані у доступній для розуміння формі,
вимагати у відповідних випадках виправлення або знищення таких даних, якщо вони оброблялися на порушення положень внутрішнього права;
-- використовувати засоби правового захисту у разі невиконання прохання про підтвердження або у відповідних випадках про надання, виправлення або знищення даних.
Відступ від вище викладених демократичних положень Конвенції дозволяється у випадках, коли такий відступ передбачається законодавством Сторони та є у демократичному суспільстві необхідним заходом, спрямованим на:
- захист державної та громадської безпеки, валютно-кредитних інтересів держави або на боротьбу із кримінальними правопорушеннями ;
захист суб'єкта даних або прав і свобод інших людей.
Обмеження на здійснення прав, визначених Конвенцією, можуть запроваджуватися законодавством стосовно файлів даних особистого характеру для автоматизованої обробки, що використовуються для цілей статистики або наукових досліджень, у випадках явної відсутності небезпеки порушення недоторканності особистого життя суб'єктів даних.
Кожна Сторона зобов'язується передбачити відповідні санкції та засоби правового захисту від порушень положень внутрішнього права, що запроваджують основоположні принципи захисту даних.
Стосовно передачі через національні кордони за допомогою будь- яких засобів даних особистого характеру, що піддаються автоматизованій обробці або зібрані з метою їхньої автоматизованої обробки, застосовуються такі положення.
Сторона не може лише з метою захисту недоторканності особистого життя забороняти або зумовлювати спеціальними дозволами транскордонні потоки даних особистого характеру, що передаються на територію іншої Сторони. Однак кожна Сторона має право відступати від зазначеного положення:
якщо її законодавство містить конкретні положення для деяких категорій даних особистого характеру або файлів даних особистого характеру для автоматизованої обробки, у зв'язку із характером цих даних або цих файлів, за винятком випадків, коли положення іншої Сторони забезпечують аналогічний захист;
якщо передача даних здійснюється з її території на територію держави, що не є Договірною, через територію іншої Сторони, для запобігання порушенню такою передачею законодавства Сторони, що не є Договірною.
Сторони погодилися надавати одна одній взаємну допомогу з метою виконання цієї Конвенції.
Для цього:
кожна Сторона призначає один або більше органів, назву та адресу яких вона повідомляє Генеральному секретарю Ради Європи;
кожна Сторона, яка призначила більше одного органу зазначає у своєму повідомленні, згаданому в попередньому підпункті, сферу повноважень кожного з них.
Орган, призначений Стороною, на прохання органу, призначеного іншою Стороною:
надає інформацію про свої законодавство та адміністративну практику у галузі захисту даних;
відповідно до свого внутрішнього права та з метою виключно захисту недоторканності особистого життя вживає всіх відповідних заходів для надання достовірної інформації, що стосується конкретної автоматизованої обробки, яка здійснюється на його території, за винятком даних особистого характеру, що обробляються.
Кожна Сторона надає допомогу будь-якій особі, що мешкає за кордоном, у здійсненні прав, наданих її внутрішнім законодавством, що запроваджує принципи, визначені у Конвенції. Якщо така особа мешкає на території іншої Сторони, їй надається можливість подати своє прохання через посередництво органу, призначеного цією Стороною.
Прохання про надання допомоги має містити всі необхідні відомості, що стосуються, крім іншого:
--- прізвища, адреси та будь-яких інших відповідних відомостей, які визначають особу, що звертається із проханням;
--- файлу даних особистого характеру для автоматизованої обробки, якого стосується прохання, або його контролера;
--- мети прохання.
Орган, призначений Стороною, який отримав від органу, призначеного іншою Стороною, інформацію що супроводжує прохання про надання допомоги або у відповідь на його власне прохання про надання допомоги, використовує цю інформацію тільки для цілей, зазначених у проханні про надання допомоги.
Кожна Сторона забезпечує, щоб особи, які працюють у призначеному органі або діють від його імені, мали відповідні зобов'зання щодо збереження таємності або конфіденційності такої інформації.
Призначеному органу на свій власний розсуд і без чітко вираженої згоди суб'єкта даних, що мешкає за кордоном, у жодному випадку не дозволяється звертатися із проханням про надання допомоги від імені заінтересованої особи.
Призначений орган, до якого звернене прохання про надання допомоги, може відмовитися задовольняти таке прохання, якщо: прохання є несумісним із повноваженнями, якими наділені у галузі захисту даних органи, що відповідають за виконання прохання;
прохання по відповідає положенням цієї Конвенції;
виконання прохання може порушити суверенітет, безпеку або громадський порядок Сторони, якою він був призначений, або права та основні свободи осіб, що знаходяться під юрисдикцією цієї Сторони.
Взаємна допомога, яку Сторони надають одна одній згідно з зазначеними вище положеннями суб'єктам даних, що мешкають за кордоном, не може бути підставою для сплати жодних витрат або зборів, за винятком тих, що сплачуються на експертів і усних перекладачів. Витрати або збори на експертів і усних перекладачів сплачуються Стороною, яка призначила орган, що звертається із проханням про надання допомоги. На суб'єкта даних не може покладатися сплата витрат або зборів, пов'язаних із заходами, що були вжиті від його імені на території іншої Сторони, крім витрат або зборів, які на законних підставах сплачуються мешканцями цієї Сторони.
Інші подробиці надання допомоги, що стосуються, зокрема, форм і процедур, а також використання мов, визначаються безпосередньо відповідними Сторонами.
Після набрання чинності цією Конвенцією створено Консультативний комітет. Кожна Сторона призначає в Комітет одного представника та заступника представника. Будь-яка держава — член Ради Європи, яка не є Стороною Конвенції, має право бути представленою в Комітеті спостерігачем.
Консультативний комітет одностайним рішенням може запропонувати будь-якій державі, що не є членом Ради Європи і не бере участі в Конвенції, бути представленою на тому чи іншому засіданні спостерігачем.
Консультативний комітет:
може вносити пропозиції з метою сприяння застосуванню Конвенції або його поліпшення;
може вносити пропозиції про внесення поправок до цієї Конвенції;
надає свій висновок щодо будь-якої пропозиції про внесення поправок до цієї Конвенції, яка передається йому на розгляд;
може на прохання Сторони робити висновок з будь-якого питання, що стосується застосування цієї Конвенції.
Консультативний комітет скликається Генеральним секретарем Ради Європи. Його перше засідання відбувається упродовж дванадцяти місяців після набрання цією Конвенцією чинності. В подальшому він збирається якнайменш один раз на два роки і у будь-якому випадку, коли одна третина представників Сторін вимагає його скликання. Кворум засідання Консультативного комітету становить більшість представників Сторін.
Після кожного свого засідання Консультативний комітет подає Комітету міністрів Ради Європи доповідь про свою роботу та про стан виконання Конвенції. З урахуванням положень цієї Конвенції Консультативний комітет складає свої власні правила процедури.
Після набрання цією Конвенцією чинності Комітет міністрів Ради Європи може запропонувати будь-якій державі, яка не є членом Ради, приєднатися до цієї Конвенції у рішенні, що приймається більшістю голосів, передбаченою у статті 20d Статуту Ради Європи, і одностайним голосуванням представників Договірних Держав, які мають право засідати в Комітеті. Стосовно будь-якої держави, що приєдналася до цієї Конвенції, Конвенція набирає чинності в перший день місяця, що настає після закінчення тримісячного періоду від дати здачі на зберігання документа про приєднання Генеральному секретарю Ради Європи.
Будь-яка держава під час підписання або здачі на зберігання своєї ратифікаційної грамоти або свого документа про прийняття, затвердження чи приєднання може визначити територію (території), до якої застосовуватиметься ця Конвенція. Будь-яка Держава може в будь-який інший час після цього заявою на ім'я Генерального секретаря Ради Європи поширити дію цієї Конвенції на будь- яку іншу територію, визначену в цій заяві. Щодо такої території Конвенція набирає чинності в перший день місяця, що настає після закінчення тримісячного періоду від дати отримання такої заяви Генеральним секретарем.
Будь-яка заява, зроблена відповідно до двох попередніх пунктів, може стосовно будь-якої території, визначеної в цій заяві, бути відкликана шляхом подання відповідного повідомлення на ім'я Генерального секретаря. Відкликання набирає чинності в перший день місяця, що настає після закінчення шестимісячного періоду від дати отримання такого повідомлення Генеральним секретарем.
Будь-яка Сторона може в будь-який час денонсувати цю Конвенцію шляхом подання відповідного повідомлення на ім'я Генерального секретаря Ради Європи. Така денонсація набирає чинності в перший день місяця, що настає після закінчення шестимісячного періоду від дати отримання такого повідомлення Генеральним секретарем.
Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних підписано у Страсбурзі 8 листопада 2001 року. Сторони в цьому Додатковому протоколі до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних, відкритої для підписання в Страсбурзі 28 січня 1981 року погодились із наступним:
кожна Сторона призначає один або більше органів нагляду, відповідальні за забезпечення принципів, які містяться у її внутрішньодержавному праві, що втілюють принципи, викладені у Розділах II та III Конвенції та в цьому Протоколі.
З цією метою вищезазначений орган нагляду має, зокрема, повноваження щодо розслідування та втручання, а також право брати участь у судовому розгляді або повідомляти компетентні судові органи про порушення умов внутрішньодержавного права. Кожний орган нагляду розглядає та приймає рішення щодо заяв будь- якої особи стосовно захисту його/її прав і основних свобод стосовно обробки персональних даних, в межах своєї компетенції.
Органи нагляду виконують свої функції у повній незалежності. Рішення органу нагляду можна оскаржити у суді у разі, якщо вони викликали скарги.
Органи нагляду співробітничають між собою в тій мірі, наскільки це необхідно для виконання їхніх обов'язків, зокрема, шляхом обміну будь-якою корисною інформацією.
Кожна Сторона передбачає, що передача персональних даних користувачеві, що знаходиться під юрисдикцією держави чи організації, які не є Стороною Конвенції, може відбуватися, тільки якщо така держава чи організація забезпечує адекватний рівень захисту відповідної передачі даних.
Кожна Сторона може дозволити передачу персональних даних:
якщо внутрішньодержавне право забезпечує це у зв'язку з:
специфічними інтересами суб'єкта даних,
перевагою законних інтересів, в особливості важливих суспільних інтересів,
якщо гарантії, що, зокрема, можуть походити з договірних положень, надаються контролером, відповідним за передачу, та визнаються достатніми компетентними органами відповідно до внутрішньодержавного прав.
Висновок
Система міждержавних двосторонніх відносин у сфері взаємного захисту інформації з обмеженим доступом розвивається доволі швидко. У таких угодах договірні Сторони створюють правові гарантії взаємного захисту інформаційних ресурсів на двосторонньому, як правило, міжурядовому рівні.
У зв'язку з демократичним принципом верховенства прав людини розвиваються на міжнародному рівні переважно норми щодо захисту персоніфікованої інформації про особу, які визначають основні принципи захисту такої інформації з обмеженим доступом.
Доцільність систематизації міжнародно-правового регулювання проблематики захисту інформації з обмеженим доступом вивчається науковцями. Хоча цілком логічним на сучасному етапі є регулювання відповідних відносин національними правовими системами.