Про внесення змін до Закону України ''Про захист інформації в автоматизованих системах" (Друге читання)
0. | ЗАКОН УКРАЇНИ |
1. | Про внесення змін до Закону України "Про захист інформації в автоматизованих системах" |
2. | Верховна Рада України постановляє: |
3. | І. Внести зміни до Закону України "Про захист інформації в автоматизованих системах" (Відомості Верховної Ради України, 1994 р., № 31, ст. 286), виклавши його у такій редакції: |
4. | "ЗАКОН УКРАЇНИ |
5. | Про захист інформації в інформаційно-телекомунікаційних системах |
6. | Цей Закон регулює суспільні відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах з метою забезпечення дотримання права власності фізичних і юридичних осіб на інформацію та їх права доступу до неї, а також права власника інформації на її захист. |
7. | Розділ І. ЗАГАЛЬНІ ПОЛОЖЕННЯ |
8. | Стаття 1. Визначення термінів |
9. | У цьому Законі терміни вживаються в такому значенні: |
10. | інформаційна система - організаційно-технічна система, в якій реалізується технологія обробки інформації за допомогою технічних і програмних засобів; |
11. | телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи іншим способом; |
12. | інформаційно-телекомунікаційна система (система) - сукупність взаємопов'язаних інформаційних, телекомунікаційних систем та мереж передачі даних, у тому числі Інтернет, в яких функціонування одних залежить від результатів функціонування інших, і які у процесі обробки інформації діють як єдина система; |
13. | інформація в системі - будь-яка інформація, що обробляється в системі незалежно від способу її фізичного і логічного подання та програмного забезпечення її обробки в системі; |
14. | обробка інформації в системі - виконання однієї або кількох операцій (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання тощо), які здійснюються в системі за допомогою технічних і програмних засобів; |
15. | захист інформації в системі - діяльність, спрямована на запобігання заподіянню шкоди інтересам власників інформації та її користувачів, а також власників системи; |
16. | криптографічний захист інформації - вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування (відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо; |
17. | технічний захист інформації - вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та (або) програмних і технічних засобів конфіденційності, цілісності та доступності інформації, а також унеможливлення її блокування; |
18. | комплексна система захисту інформації - сукупність організаційних, інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації; |
19. | власник інформації - фізична або юридична особа, якій належить право власності на інформацію; |
20. | власник системи - фізична або юридична особа, якій належить право власності на систему; |
21. | розпорядник інформації - фізична або юридична особа, яка на підставі укладеного з власником інформації договору або за його дорученням має право розпоряджатися інформацією; |
22. | розпорядник системи - фізична або юридична особа, яка на підставі укладеного з власником системи договору або за його дорученням має право розпоряджатися системою; |
23. | користувач інформації в системі - фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі; |
24. | доступ до інформації в системі - отримання користувачем можливості обробляти інформацію в системі; |
25. | режим доступу до інформації в системі - умови та порядок обробки інформації в системі; |
26. | несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням установленого порядку доступу до інформації в системі, режиму доступу до цієї інформації та призвели (можуть призвести) до її просочення, знищення, перекручення або блокування; |
27. | просочення інформації в системі - результат дій щодо інформації в системі, внаслідок яких вона стає відомою (доступною) фізичним або юридичним особам, що не мають права доступу до неї; |
28. | знищення інформації в системі - дії, внаслідок яких інформація в системі зникає; |
29. | перекручення інформації в системі - дії, внаслідок яких змінюється зміст інформації в системі; |
30. | блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі. |
31. | Стаття 2. Об'єкти захисту в системі |
32. | Об'єктами захисту в системі є інформація, що обробляється в ній, права власників і користувачів цієї інформації та права власників системи. |
33. | Захисту підлягає будь-яка інформація в системі, необхідність якого визначено законодавством України або її власником. |
34. | Стаття 3. Суб'єкти відносин |
35. | Суб'єктами відносин, пов'язаних з обробкою інформації в системі, є: |
36. | власники інформації; |
37. | розпорядники інформації; |
38. | власники системи; |
39. | розпорядники системи; |
40. | користувачі інформації в системі. |
41. | Стаття 4. Право власності на інформацію в системі |
42. | Право власності на інформацію в системі належить юридичним і фізичним особам, які на законних підставах одержали право на володіння, користування і розпорядження нею. |
43. | Право власності на інформацію, створену в системі як вторинну в процесі обробки інформації, визначається з урахуванням норм авторського права відповідно до законодавства України. |
44. | Стаття 5. Доступ до інформації в системі |
45. | Доступ до інформації в системі здійснюється відповідно до порядку доступу до інформації в системі, режиму доступу до неї та інших умов, що визначаються власником інформації. |
46. | У випадках, передбачених законодавством України, доступ до інформації в системі може здійснюватися без дозволу її власника. |
47. | Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, та режим доступу до неї визначаються Кабінетом Міністрів України. |
48. | Розділ ІІ. ВІДНОСИНИ МІЖ СУБ'ЄКТАМИ В ПРОЦЕСІ ОБРОБКИ ІНФОРМАЦІЇ В СИСТЕМІ |
49. | Стаття 6. Відносини між власником інформації та власником системи |
50. | Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, що укладається ним з власником інформації. |
51. | Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі, встановлюються уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
52. | Власник системи на вимогу власника інформації надає відомості про правила та режим роботи системи, способи і методи обробки інформації в ній, технічні дані та можливості захисту інформації в системі. |
53. | Про будь-які виявлені спроби або факти несанкціонованих дій в системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, власник системи повинен повідомляти в установленому порядку уповноважений центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації. |
54. | Стаття 7. Відносини між власником інформації та її користувачем |
55. | Власник інформації в установленому законодавством України порядку визначає перелік користувачів своєї інформації, порядок і режим доступу до неї, а також інші повноваження користувачів стосовно цієї інформації. |
56. | Стаття 8. Відносини між власником системи та користувачем інформації |
57. | Власник системи забезпечує користувачеві доступ до інформації в системі відповідно до порядку і режиму доступу до неї та інших умов, визначених власником інформації. |
58. | Власник системи на вимогу користувача інформації надає йому відомості про правила і режим роботи системи, способи і методи обробки інформації в ній. |
59. | Стаття 9. Відносини між власниками систем |
60. | Власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем. |
61. | Власник системи забезпечує захист інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що використовується з інших систем, у порядку, визначеному уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
62. | Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі. |
63. | Розділ ІІІ. ОРГАНІЗАЦІЯ ЗАХИСТУ ІНФОРМАЦІЇ В СИСТЕМІ |
64. | Стаття 10. Забезпечення захисту інформації в системі |
65. | Захист інформації в системі забезпечується: |
66. | запровадженням комплексної системи захисту інформації; |
67. | дотриманням суб'єктами відносин, пов'язаних з обробкою інформації в системі, законодавства України та нормативних документів у сфері захисту інформації в системі; |
68. | використанням засобів електронно-обчислювальної техніки, програмного забезпечення, телекомунікаційного обладнання, а також засобів захисту інформації у системі, які відповідають вимогам законодавства України щодо захисту інформації (наявність сертифіката, експертного висновку тощо). |
69. | Стаття 11. Умови обробки інформації в системі |
70. | Інформація, яка є власністю держави, або інформація з обмеженим доступом, захист якої гарантується державою, повинна оброблятися в системі з обов'язковим застосуванням комплексної системи захисту інформації. |
71. | Комплексна система захисту інформації повинна забезпечувати захист від несанкціонованого доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі, в тому числі у мережі передачі даних, зокрема Інтернет. |
72. | Комплексна система захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, повинна мати атестат відповідності вимогам захисту інформації, який видається за результатами державної експертизи. Порядок проведення державної експертизи визначається уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
73. | Інформація, що становить державну таємницю, обробляється в системі з дотриманням вимог режиму секретності, визначених законодавством України про державну таємницю. |
74. | Відповідальність за забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі, покладається на власника чи розпорядника системи. |
75. | Відповідальність за ризик, пов'язаний з обробкою інформації в системі, яка не забезпечена комплексною системою захисту інформації або комплексна система захисту інформації якої не має атестата відповідності вимогам захисту інформації, покладається на власника інформації. |
76. | Відповідальність за ризик, пов'язаний з використанням інформації, отриманої із системи, яка не забезпечена комплексною системою захисту інформації або комплексна система захисту інформації якої не має атестата відповідності вимогам захисту інформації, покладається на користувача інформації. |
77. | Стаття 12. Порядок створення та вимоги до комплексної системи захисту інформації |
78. | Порядок створення та вимоги до комплексної системи захисту інформації визначаються уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
79. | Для створення комплексної системи захисту інформації використовуються засоби, які мають відповідний сертифікат чи експертний висновок або дозвіл на їх застосування, виданий уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
80. | Комплексна система захисту інформації повинна забезпечувати облік та реєстрацію дій користувачів інформації, пов'язаних з доступом (спробами доступу) до інформації в системі та її обробкою, а також захист від несанкціонованого перекручення або знищення даних про реєстрацію таких дій. |
81. | Комплексна система захисту інформації створюється власником системи самостійно за наявності у нього відповідних ліцензій на провадження господарської діяльності у галузі криптографічного та технічного захисту інформації або із залученням суб'єктів господарювання, які мають такі ліцензії. |
82. | Комплексна система захисту інформації створюється органами державної влади та органами місцевого самоврядування для власних потреб за дозволом, що надається уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації, або із залученням суб'єктів господарювання, які мають відповідні ліцензії. |
83. | Стаття 13. Служба захисту інформації в системі |
84. | Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, захист якої гарантується державою, утворює підрозділ або призначає осіб, на яких покладається забезпечення захисту такої інформації в системі та контролю за ним. |
85. | Завдання, обов'язки і права осіб, відповідальних за забезпечення захисту інформації, яка є власністю держави, або інформації, захист якої гарантується державою, що обробляється в системі, визначаються положеннями та посадовими інструкціями з урахуванням вимог нормативно-правових актів і нормативних документів з питань охорони державної таємниці, технічного та криптографічного захисту інформації. |
86. | Стаття 14. Повноваження уповноваженого центрального органу виконавчої влади у сфері криптографічного та технічного захисту інформації |
87. | Уповноважений центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації: |
88. | бере участь у формуванні державної політики у сфері захисту інформації та забезпечує її реалізацію; |
89. | визначає порядок і вимоги до комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою; |
90. | забезпечує реалізацію єдиної технічної політики щодо захисту інформації в системі; |
91. | розробляє та погоджує програми, проекти концепцій, науково-методичні рекомендації щодо захисту інформації в системі; |
92. | організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та сертифікації засобів захисту інформації; |
93. | видає відповідно до законодавства ліцензії на право провадження окремих видів господарської діяльності у сфері криптографічного та технічного захисту інформації та здійснює контроль за виконанням ліцензійних умов; |
94. | здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі. |
95. | Стаття 15. Контроль за забезпеченням захисту інформації в системі |
96. | Власник системи забезпечує захист інформації в системі та здійснює у межах своїх повноважень контроль за ним. |
97. | Державний контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі, здійснює уповноважений центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації. |
98. | Порядок організації та здійснення державного контролю за забезпеченням захисту інформації в системі визначається Кабінетом Міністрів України. |
99. | Власник системи створює необхідні умови та сприяє здійсненню державного контролю за забезпеченням захисту інформації в системі. |
100. | Стаття 16. Фінансування робіт, пов'язаних із захистом інформації в системі |
101. | Фінансування робіт, пов'язаних із захистом інформації в системі, здійснюється власником системи. |
102. | Розділ ІV. ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЇ В СИСТЕМІ |
103. | Стаття 17. Відповідальність за порушення порядку і правил захисту інформації в системі |
104. | Особи, винні в порушенні норм і вимог до захисту інформації в системі, несуть дисциплінарну, адміністративну, кримінальну та матеріальну відповідальність згідно із законодавством України. |
105. | Стаття 18. Відшкодування збитків |
106. | Збитки, завдані власнику чи розпоряднику інформації, власнику чи розпоряднику системи, користувачеві інформації внаслідок просочення, несанкціонованого знищення чи перекручення інформації в системі, незаконного створення перешкод для доступу до інформації, відшкодовуються особами, яких визнано винними в цьому. |
107. | Розділ VІ. МІЖНАРОДНЕ СПІВРОБІТНИЦТВО У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЇ В СИСТЕМІ |
108. | Стаття 19. Міжнародне співробітництво |
109. | Якщо міжнародними договорами, учасником яких є Україна і згода на обов'язковість яких надана Верховною Радою України, встановлені інші правила, ніж ті, що передбачені законодавством України у сфері захисту інформації в системі, застосовуються правила міжнародних договорів. |
110. | Держава сприяє міжнародному співробітництву у сфері захисту інформації в системі та здійснює заходи щодо розвитку і зміцнення взаємовигідного міжнародного співробітництва у цій сфері в рамках двосторонніх і багатосторонніх міжнародних договорів і угод. |
111. | Уповноважений центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації у межах своїх повноважень бере участь у співробітництві з органами захисту інформації, в тому числі науково-технічному, відповідно до державних програм і законодавства України". |
112. | ІІ. ПРИКІНЦЕВІ ПОЛОЖЕННЯ |
113. | 1. Цей Закон набирає чинності з дня його опублікування. |
114. | 2. Закони України, інші нормативно-правові акти до приведення у відповідність із цим Законом діють у частині, що не суперечить цьому Закону. |
115. | 3. Кабінетові Міністрів України протягом шести місяців з дня набрання чинності цим Законом: |
116. | привести свої нормативно-правові акти у відповідність із цим Законом; |
117. | забезпечити приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом. |