- •Міністерство освіти і науки України Запорізький національний технічний університет
- •Информационное право и информационные отношения
- •1.1 Информационное право
- •1.2 Основные субъекты информационного права
- •1.3 Особенности и юридические свойства информации
- •1.4 Основные принципы информационного права
- •1.5 Понятие законодательного уровня информационной безопасности
- •1.6 Нормативная правовая база в области обеспечения информационной безопасности
- •1.7 Правоприменительная деятельность в сфере обеспечения информационной безопасности
- •2. Правовая защита информационных ресурсов
- •2.1 Виды и свойства информационных ресурсов
- •2.2 Права на доступ к информации из информационных ресурсов
- •2.3 Конфіденційна інформація, що є власністю держави
- •2.4 Конфіденційна інформація про особу
- •2.5 Правовая охрана государственных секретов
- •2.5.1 Правовые основы защиты государственной тайны в Украине
- •2.5.2 Отнесение информации к государственной тайне
- •2.5.3 Порядок засекречивания и рассекречивания сведений и их носителей
- •2.5.4 Охрана государственной тайны
- •2.5.5 Ответственность за совершение правонарушений в сфере деятельности, связанной с государственной тайной
- •2.6 Правовая защита коммерческой и банковской тайны
- •2.7 Правовое регулирование защиты информационных ресурсов информационно-телекоммуникационных систем (итс)
- •2.8 Ответственность за правонарушения в сфере использования компьютерных технологий
- •2.9 Анализ раздела XVI ук Украины "Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей и сетей электросвязи"
- •2.10 Правовое регулирование электронного документооборота
- •2.11 Правовые основы использования электронной цифровой подписи (эцп)
- •3. Лицензирование хозяйственной деятельности в сфере защиты информации
- •3.1 Законодательство Украины о лицензировании хозяйственной деятельности
- •3.2 Особенности лицензирования деятельности в области технической защиты информации
- •3.3 Особенности лицензирования деятельности в области криптографической защиты информации
- •4. Правовые основы Сертификации средств технической и криптографической защиты информации в Украине
- •4.1 Основные принципы и правила системы сертификации средств защиты информации
- •4.2 Организационно-правовая основа стандартизация и сертификация средств технической и криптографической защиты информации
- •4.3 Порядок проведення робіт із сертифікації засобів забезпечення технічного захисту інформації загального призначення
- •5. Гражданско-правовое регулирование отношений, связанных с творческой деятельностью
- •5.1 Творческая деятельность и роль гражданского права в ее организации. Понятие и значение творческой деятельности
- •5.2 Специальные институты гражданского права, опосредующие творческую деятельность
- •5.3 Авторское право
- •5.4 Патентное право
- •Основна література
- •Додаткова література
3.3 Особенности лицензирования деятельности в области криптографической защиты информации
Правовой основой для осуществления хозяйственной деятельности в сфере криптографической защиты информации являются:
Закон України "Про ліцензування певних видів господарської діяльності";
ліцензійні умови провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації (крім послуг електронного цифрового підпису), торгівлі криптосистемами і засобами криптографічного захисту інформації, затверджені наказом Державного комітету України з питань регуляторної політики та підприємництва, Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 29 грудня 2000 року N 88/66;
наказ ДСТСЗІ від 12.12.2001 р. № 151/72 "Про затвердження Порядку контролю за додержанням ліцензійних умов провадження господарської діяльності з розроблення, виробництва, використання, експлуатації, сертифікаційних випробувань, тематичних досліджень, експертизи, ввезення, вивезення криптосистем і засобів криптографічного захисту інформації, надання послуг в галузі криптографічного захисту інформації, торгівлі криптосистемами і засобами криптографічного захисту інформації; розроблення, виробництва, впровадження, обслуговування, дослідження ефективності систем і засобів технічного захисту інформації, надання послуг в галузі технічного захисту інформації".
Роботи, які виконуються у межах господарської діяльності в галузі КЗІ, що підлягає ліцензуванню:
1. Розроблення апаратних, апаратно-програмних засобів КЗІ та криптосистем.
2. Розроблення програмних засобів КЗІ та криптосистем.
3. Виробництво апаратних, апаратно-програмних засобів КЗІ та криптосистем.
4. Виробництво програмних засобів КЗІ та криптосистем.
5. Використання, експлуатація засобів КЗІ та криптосистем.
6. Сертифікаційні випробування, експертиза криптосистем та засобів КЗІ.
7. Тематичні дослідження засобів КЗІ та криптосистем.
8. Надання послуг в галузі КЗІ.
9. Ввезення, вивезення засобів КЗІ та криптосистем.
10. Торгівля засобами КЗІ та криптосистемами.
У разі забезпечення суб'єктом господарювання криптографічного захисту інформації клієнтів (юридичних або фізичних осіб) шляхом надання послуг з шифрування, дія ліцензійних умов поширюється на суб'єкт господарювання, який організовує використання, експлуатацію засобів КЗІ, та встановлює відповідний режим безпеки і порядок доступу до засобів захисту інформації. Клієнти, які отримують послуги з шифрування, ліцензію на право здійснення діяльності в галузі КЗІ не одержують.
Вимоги для провадження господарської діяльності у галузі КЗІ, які визначені ліцензійними умовами, складаються з кваліфікаційних, організаційних, технологічних та особливих.
Важливійшими з них є такі:
суб’єкт господарювання має бути укомплектований штатними спеціалістами, які відповідають заявленому виду діяльності та обсягу робіт (за кількістю, освітою, професійною підготовкою, кваліфікацією, досвідом роботи).
для провадження господарської діяльності у галузі КЗІ суб’єкт господарювання повинен мати затверджені керівником:
- документи, у яких визначені:
підрозділ (підрозділи) або група співробітників, які безпосередньо організовуватимуть та забезпечуватимуть проведення робіт у галузі КЗІ, його структура (склад) та завдання;
інструкції щодо порядку проведення робіт у галузі КЗІ;
функціональні обов’язки та кваліфікаційні вимоги до спеціалістів, які залучаються до виконання робіт у галузі КЗІ;
відповідальність спеціалістів, які забезпечуватимуть проведення робіт у галузі КЗІ, за забезпечення збереження інформації з обмеженим доступом при виконанні робіт;
-документ, який встановлює режим безпеки при провадженні робіт у галузі КЗІ, у тому числі порядок отримання, обліку, зберігання, транспортування, знищення засобів КЗІ та ключових документів.
Ці документи можуть бути поєднані в один.
Кожен спеціаліст, що залучається до провадження господарської діяльності у галузі КЗІ, повинен бути ознайомлений під розписку із зазначеними документами у частині, що його стосується.
Суб’єкт господарювання повинен мати визначений у документальному вигляді перелік відомостей, які відносяться до інформації з обмеженим доступом.
В установчих документах суб’єкта господарювання повинно бути передбачено здійснення господарської діяльності у галузі КЗІ (крім банківських установ).
Порядок розроблення суб’єктом господарювання криптосистем і засобів КЗІ повинен відповідати вимогам державних стандартів, інших нормативних документів та нормативно-правових актів.
Порядок виробництва криптосистем і засобів КЗІ повинен відповідати вимогам стандартів системи розроблення і поставлення продукції на виробництво (у частині, що стосується виробництва), інших нормативних документів та нормативно-правових актів.
Суб’єкти господарювання ввозять на територію України, вивозять з території України засоби КЗІ та криптосистеми за погодженням з ДССЗЗІ (для робіт, які визначені пунктом 9).
Для провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, спеціалісти повинні мати допуск до державної таємниці, оформлений у встановленому законодавством України порядку.
Виконання робіт у галузі КЗІ за замовленнями (в інтересах) інших суб’єктів господарювання, органів державної влади, органів місцевого самоврядування або в кооперації з іншими ліцензіатами повинно бути оформлено документально.
Вибір постачальника окремих комплектуючих виробів для криптосистем та засобів КЗІ, співвиконавців робіт у галузі КЗІ, здійснюється ліцензіатом за погодженням із замовником цих робіт (для провадження господарської діяльності в галузі криптографічного захисту інформації, що становить державну таємницю, конфіденційної інформації, що є державною власністю).
Суб’єкт господарювання повинен мати власні (або такі, що використовуються на інших законних підставах) приміщення, виробничі потужності (зокрема, дослідне виробництво, випробувальну базу, обладнані робочі місця для збирання та налагодження макетів розроблених криптосистем і засобів КЗІ, налагоджувальні стенди, призначені для здійснення моделювання роботи апаратури, інформаційно-обчислювальні комплекси, оснащені сучасними апаратними та програмними засобами, перевірені згідно з діючими нормативними вимогами технічні засоби вимірювання і контролю, інструмент, оснащене виробництво, ліцензійне програмне забезпечення), потрібні для провадження господарської діяльності у галузі КЗІ.
Для провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, суб’єкт господарювання повинен мати спеціальний дозвіл на провадження діяльності, пов’язаної з державною таємницею, атестовані на відповідність вимогам нормативних документів з питань технічного захисту інформації приміщення та (або) об’єкти електронно-обчислювальної техніки.
Для проведення тематичних досліджень криптосистем і засобів КЗІ необхідно мати спеціалізовані приміщення.
Виробниче обладнання повинно:
відповідати стандарту або технічній документації на обладнання (паспорт, формуляр, технічні умови тощо);
бути перевірене (атестоване) або каліброване (для обладнання, що має метрологічні характеристики);
бути укомплектоване експлуатаційною документацією;
мати сертифікат відповідності системи державної сертифікації УкрСЕПРО (якщо продукція підлягає обов’язковій сертифікації в Україні).
Суб’єкт господарювання повинен проводити роботи в галузі КЗІ за умови обов’язкової відповідності засобів КЗІ та криптосистем вимогам щодо їх сертифікації, експертизи або допуску до експлуатації (для робіт, які визначені пунктами 1-10).
Суб’єкт господарювання повинен виконувати при провадженні господарської діяльності в галузі КЗІ вимоги нормативно-правових актів і нормативних документів та мати (у друкованому вигляді) інформаційну базу (нормативно-правових актів і нормативних документів, у тому числі внутрішніх інструкцій та положень):
з питань ліцензування господарської діяльності;
з питань порядку проведення заявлених робіт;
технічну та експлуатаційну документацію на криптосистеми і засоби КЗІ, інструкції та графіки проведення технічного обслуговування апаратури, що потребує періодичного технічного обслуговування (для робіт, які визначені пунктом 5);
інструкції щодо забезпечення безпеки експлуатації криптосистем і засобів КЗІ та порядку постачання, обліку, зберігання та використання ключових документів, затверджені керівником організації, а також топологію мережі, де планується використання, експлуатація криптосистем і засобів КЗІ (для робіт, які визначені пунктом 5);
методики проведення досліджень (для робіт, які визначені пунктами 6, 7);
нормативні документи щодо підготовки договорів на ввезення, вивезення криптосистем і засобів КЗІ (для робіт, які визначені пунктом 9);
з питань здійснення міжнародних передач товарів подвійного використання та військового призначення (для робіт, які визначені пунктом 9);
щодо забезпечення режиму секретності та порядку поводження з інформацією, що становить державну таємницю (у разі отримання ліцензії на провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю);
щодо забезпечення режиму безпеки та порядку поводження з конфіденційною інформацією (у разі отримання ліцензії на провадження робіт у галузі криптографічного захисту конфіденційної інформації, у тому числі, тієї що є державною власністю).
Залежно від важливості інформації для особистості, суспільства, держави та правового режиму доступу до інформації встановлюються особливі умови провадження робіт у межах господарської діяльності у галузі КЗІ, які відображаються у ліцензії, що видається суб’єкту господарювання:
з наданням права провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю;
з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації, що є державною власністю;
з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації.
Отримання суб’єктом господарювання ліцензії з наданням права провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, також надає право провадження робіт у галузі криптографічного захисту конфіденційної інформації, у тому числі тієї, що є державною власністю.
Отримання суб’єктом господарювання ліцензії з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації, що є державною власністю, також надає право провадження робіт у галузі криптографічного захисту конфіденційної інформації.
Отримання суб’єктом господарювання ліцензії з наданням права провадження робіт у галузі криптографічного захисту конфіденційної інформації надає право провадження робіт тільки у галузі криптографічного захисту конфіденційної інформації.
Для провадження робіт у галузі криптографічного захисту інформації, що становить державну таємницю, суб’єкти господарювання повинні забезпечити встановлений режим секретності, а також мати матеріали, які відповідно до завдань, програм та замовлень державних органів підтверджують залучення заявника до їх виконання. Провадження цих робіт дозволяється лише в межах терміну дії дозволу на здійснення діяльності, пов’язаної з державною таємницею.
Для провадження робіт у галузі криптографічного захисту конфіденційної інформації, у тому числі тієї, що є державною власністю, суб’єкти господарювання повинні забезпечити встановлений режим безпеки.