Про внесення змін до Закону України ''Про захист інформації в автоматизованих системах" (Друге читання)
| 0. | ЗАКОН УКРАЇНИ |
| 1. | Про внесення змін до Закону України "Про захист інформації в автоматизованих системах" |
| 2. | Верховна Рада України постановляє: |
| 3. | І. Внести зміни до Закону України "Про захист інформації в автоматизованих системах" (Відомості Верховної Ради України, 1994 р., № 31, ст. 286), виклавши його у такій редакції: |
| 4. | "ЗАКОН УКРАЇНИ |
| 5. | Про захист інформації в інформаційно-телекомунікаційних системах |
| 6. | Цей Закон регулює суспільні відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах з метою забезпечення дотримання права власності фізичних і юридичних осіб на інформацію та їх права доступу до неї, а також права власника інформації на її захист. |
| 7. | Розділ І. ЗАГАЛЬНІ ПОЛОЖЕННЯ |
| 8. | Стаття 1. Визначення термінів |
| 9. | У цьому Законі терміни вживаються в такому значенні: |
| 10. | інформаційна система - організаційно-технічна система, в якій реалізується технологія обробки інформації за допомогою технічних і програмних засобів; |
| 11. | телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи іншим способом; |
| 12. | інформаційно-телекомунікаційна система (система) - сукупність взаємопов'язаних інформаційних, телекомунікаційних систем та мереж передачі даних, у тому числі Інтернет, в яких функціонування одних залежить від результатів функціонування інших, і які у процесі обробки інформації діють як єдина система; |
| 13. | інформація в системі - будь-яка інформація, що обробляється в системі незалежно від способу її фізичного і логічного подання та програмного забезпечення її обробки в системі; |
| 14. | обробка інформації в системі - виконання однієї або кількох операцій (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання тощо), які здійснюються в системі за допомогою технічних і програмних засобів; |
| 15. | захист інформації в системі - діяльність, спрямована на запобігання заподіянню шкоди інтересам власників інформації та її користувачів, а також власників системи; |
| 16. | криптографічний захист інформації - вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування (відновлення) змісту інформації, підтвердження її справжності, цілісності, авторства тощо; |
| 17. | технічний захист інформації - вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та (або) програмних і технічних засобів конфіденційності, цілісності та доступності інформації, а також унеможливлення її блокування; |
| 18. | комплексна система захисту інформації - сукупність організаційних, інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації; |
| 19. | власник інформації - фізична або юридична особа, якій належить право власності на інформацію; |
| 20. | власник системи - фізична або юридична особа, якій належить право власності на систему; |
| 21. | розпорядник інформації - фізична або юридична особа, яка на підставі укладеного з власником інформації договору або за його дорученням має право розпоряджатися інформацією; |
| 22. | розпорядник системи - фізична або юридична особа, яка на підставі укладеного з власником системи договору або за його дорученням має право розпоряджатися системою; |
| 23. | користувач інформації в системі - фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі; |
| 24. | доступ до інформації в системі - отримання користувачем можливості обробляти інформацію в системі; |
| 25. | режим доступу до інформації в системі - умови та порядок обробки інформації в системі; |
| 26. | несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням установленого порядку доступу до інформації в системі, режиму доступу до цієї інформації та призвели (можуть призвести) до її просочення, знищення, перекручення або блокування; |
| 27. | просочення інформації в системі - результат дій щодо інформації в системі, внаслідок яких вона стає відомою (доступною) фізичним або юридичним особам, що не мають права доступу до неї; |
| 28. | знищення інформації в системі - дії, внаслідок яких інформація в системі зникає; |
| 29. | перекручення інформації в системі - дії, внаслідок яких змінюється зміст інформації в системі; |
| 30. | блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі. |
| 31. | Стаття 2. Об'єкти захисту в системі |
| 32. | Об'єктами захисту в системі є інформація, що обробляється в ній, права власників і користувачів цієї інформації та права власників системи. |
| 33. | Захисту підлягає будь-яка інформація в системі, необхідність якого визначено законодавством України або її власником. |
| 34. | Стаття 3. Суб'єкти відносин |
| 35. | Суб'єктами відносин, пов'язаних з обробкою інформації в системі, є: |
| 36. | власники інформації; |
| 37. | розпорядники інформації; |
| 38. | власники системи; |
| 39. | розпорядники системи; |
| 40. | користувачі інформації в системі. |
| 41. | Стаття 4. Право власності на інформацію в системі |
| 42. | Право власності на інформацію в системі належить юридичним і фізичним особам, які на законних підставах одержали право на володіння, користування і розпорядження нею. |
| 43. | Право власності на інформацію, створену в системі як вторинну в процесі обробки інформації, визначається з урахуванням норм авторського права відповідно до законодавства України. |
| 44. | Стаття 5. Доступ до інформації в системі |
| 45. | Доступ до інформації в системі здійснюється відповідно до порядку доступу до інформації в системі, режиму доступу до неї та інших умов, що визначаються власником інформації. |
| 46. | У випадках, передбачених законодавством України, доступ до інформації в системі може здійснюватися без дозволу її власника. |
| 47. | Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, та режим доступу до неї визначаються Кабінетом Міністрів України. |
| 48. | Розділ ІІ. ВІДНОСИНИ МІЖ СУБ'ЄКТАМИ В ПРОЦЕСІ ОБРОБКИ ІНФОРМАЦІЇ В СИСТЕМІ |
| 49. | Стаття 6. Відносини між власником інформації та власником системи |
| 50. | Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, що укладається ним з власником інформації. |
| 51. | Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі, встановлюються уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
| 52. | Власник системи на вимогу власника інформації надає відомості про правила та режим роботи системи, способи і методи обробки інформації в ній, технічні дані та можливості захисту інформації в системі. |
| 53. | Про будь-які виявлені спроби або факти несанкціонованих дій в системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, власник системи повинен повідомляти в установленому порядку уповноважений центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації. |
| 54. | Стаття 7. Відносини між власником інформації та її користувачем |
| 55. | Власник інформації в установленому законодавством України порядку визначає перелік користувачів своєї інформації, порядок і режим доступу до неї, а також інші повноваження користувачів стосовно цієї інформації. |
| 56. | Стаття 8. Відносини між власником системи та користувачем інформації |
| 57. | Власник системи забезпечує користувачеві доступ до інформації в системі відповідно до порядку і режиму доступу до неї та інших умов, визначених власником інформації. |
| 58. | Власник системи на вимогу користувача інформації надає йому відомості про правила і режим роботи системи, способи і методи обробки інформації в ній. |
| 59. | Стаття 9. Відносини між власниками систем |
| 60. | Власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем. |
| 61. | Власник системи забезпечує захист інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що використовується з інших систем, у порядку, визначеному уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
| 62. | Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі. |
| 63. | Розділ ІІІ. ОРГАНІЗАЦІЯ ЗАХИСТУ ІНФОРМАЦІЇ В СИСТЕМІ |
| 64. | Стаття 10. Забезпечення захисту інформації в системі |
| 65. | Захист інформації в системі забезпечується: |
| 66. | запровадженням комплексної системи захисту інформації; |
| 67. | дотриманням суб'єктами відносин, пов'язаних з обробкою інформації в системі, законодавства України та нормативних документів у сфері захисту інформації в системі; |
| 68. | використанням засобів електронно-обчислювальної техніки, програмного забезпечення, телекомунікаційного обладнання, а також засобів захисту інформації у системі, які відповідають вимогам законодавства України щодо захисту інформації (наявність сертифіката, експертного висновку тощо). |
| 69. | Стаття 11. Умови обробки інформації в системі |
| 70. | Інформація, яка є власністю держави, або інформація з обмеженим доступом, захист якої гарантується державою, повинна оброблятися в системі з обов'язковим застосуванням комплексної системи захисту інформації. |
| 71. | Комплексна система захисту інформації повинна забезпечувати захист від несанкціонованого доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі, в тому числі у мережі передачі даних, зокрема Інтернет. |
| 72. | Комплексна система захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, повинна мати атестат відповідності вимогам захисту інформації, який видається за результатами державної експертизи. Порядок проведення державної експертизи визначається уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
| 73. | Інформація, що становить державну таємницю, обробляється в системі з дотриманням вимог режиму секретності, визначених законодавством України про державну таємницю. |
| 74. | Відповідальність за забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі, покладається на власника чи розпорядника системи. |
| 75. | Відповідальність за ризик, пов'язаний з обробкою інформації в системі, яка не забезпечена комплексною системою захисту інформації або комплексна система захисту інформації якої не має атестата відповідності вимогам захисту інформації, покладається на власника інформації. |
| 76. | Відповідальність за ризик, пов'язаний з використанням інформації, отриманої із системи, яка не забезпечена комплексною системою захисту інформації або комплексна система захисту інформації якої не має атестата відповідності вимогам захисту інформації, покладається на користувача інформації. |
| 77. | Стаття 12. Порядок створення та вимоги до комплексної системи захисту інформації |
| 78. | Порядок створення та вимоги до комплексної системи захисту інформації визначаються уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
| 79. | Для створення комплексної системи захисту інформації використовуються засоби, які мають відповідний сертифікат чи експертний висновок або дозвіл на їх застосування, виданий уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації. |
| 80. | Комплексна система захисту інформації повинна забезпечувати облік та реєстрацію дій користувачів інформації, пов'язаних з доступом (спробами доступу) до інформації в системі та її обробкою, а також захист від несанкціонованого перекручення або знищення даних про реєстрацію таких дій. |
| 81. | Комплексна система захисту інформації створюється власником системи самостійно за наявності у нього відповідних ліцензій на провадження господарської діяльності у галузі криптографічного та технічного захисту інформації або із залученням суб'єктів господарювання, які мають такі ліцензії. |
| 82. | Комплексна система захисту інформації створюється органами державної влади та органами місцевого самоврядування для власних потреб за дозволом, що надається уповноваженим центральним органом виконавчої влади у сфері криптографічного та технічного захисту інформації, або із залученням суб'єктів господарювання, які мають відповідні ліцензії. |
| 83. | Стаття 13. Служба захисту інформації в системі |
| 84. | Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, захист якої гарантується державою, утворює підрозділ або призначає осіб, на яких покладається забезпечення захисту такої інформації в системі та контролю за ним. |
| 85. | Завдання, обов'язки і права осіб, відповідальних за забезпечення захисту інформації, яка є власністю держави, або інформації, захист якої гарантується державою, що обробляється в системі, визначаються положеннями та посадовими інструкціями з урахуванням вимог нормативно-правових актів і нормативних документів з питань охорони державної таємниці, технічного та криптографічного захисту інформації. |
| 86. | Стаття 14. Повноваження уповноваженого центрального органу виконавчої влади у сфері криптографічного та технічного захисту інформації |
| 87. | Уповноважений центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації: |
| 88. | бере участь у формуванні державної політики у сфері захисту інформації та забезпечує її реалізацію; |
| 89. | визначає порядок і вимоги до комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою; |
| 90. | забезпечує реалізацію єдиної технічної політики щодо захисту інформації в системі; |
| 91. | розробляє та погоджує програми, проекти концепцій, науково-методичні рекомендації щодо захисту інформації в системі; |
| 92. | організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та сертифікації засобів захисту інформації; |
| 93. | видає відповідно до законодавства ліцензії на право провадження окремих видів господарської діяльності у сфері криптографічного та технічного захисту інформації та здійснює контроль за виконанням ліцензійних умов; |
| 94. | здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі. |
| 95. | Стаття 15. Контроль за забезпеченням захисту інформації в системі |
| 96. | Власник системи забезпечує захист інформації в системі та здійснює у межах своїх повноважень контроль за ним. |
| 97. | Державний контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, захист якої гарантується державою, що обробляється в системі, здійснює уповноважений центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації. |
| 98. | Порядок організації та здійснення державного контролю за забезпеченням захисту інформації в системі визначається Кабінетом Міністрів України. |
| 99. | Власник системи створює необхідні умови та сприяє здійсненню державного контролю за забезпеченням захисту інформації в системі. |
| 100. | Стаття 16. Фінансування робіт, пов'язаних із захистом інформації в системі |
| 101. | Фінансування робіт, пов'язаних із захистом інформації в системі, здійснюється власником системи. |
| 102. | Розділ ІV. ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЇ В СИСТЕМІ |
| 103. | Стаття 17. Відповідальність за порушення порядку і правил захисту інформації в системі |
| 104. | Особи, винні в порушенні норм і вимог до захисту інформації в системі, несуть дисциплінарну, адміністративну, кримінальну та матеріальну відповідальність згідно із законодавством України. |
| 105. | Стаття 18. Відшкодування збитків |
| 106. | Збитки, завдані власнику чи розпоряднику інформації, власнику чи розпоряднику системи, користувачеві інформації внаслідок просочення, несанкціонованого знищення чи перекручення інформації в системі, незаконного створення перешкод для доступу до інформації, відшкодовуються особами, яких визнано винними в цьому. |
| 107. | Розділ VІ. МІЖНАРОДНЕ СПІВРОБІТНИЦТВО У СФЕРІ ЗАХИСТУ ІНФОРМАЦІЇ В СИСТЕМІ |
| 108. | Стаття 19. Міжнародне співробітництво |
| 109. | Якщо міжнародними договорами, учасником яких є Україна і згода на обов'язковість яких надана Верховною Радою України, встановлені інші правила, ніж ті, що передбачені законодавством України у сфері захисту інформації в системі, застосовуються правила міжнародних договорів. |
| 110. | Держава сприяє міжнародному співробітництву у сфері захисту інформації в системі та здійснює заходи щодо розвитку і зміцнення взаємовигідного міжнародного співробітництва у цій сфері в рамках двосторонніх і багатосторонніх міжнародних договорів і угод. |
| 111. | Уповноважений центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації у межах своїх повноважень бере участь у співробітництві з органами захисту інформації, в тому числі науково-технічному, відповідно до державних програм і законодавства України". |
| 112. | ІІ. ПРИКІНЦЕВІ ПОЛОЖЕННЯ |
| 113. | 1. Цей Закон набирає чинності з дня його опублікування. |
| 114. | 2. Закони України, інші нормативно-правові акти до приведення у відповідність із цим Законом діють у частині, що не суперечить цьому Закону. |
| 115. | 3. Кабінетові Міністрів України протягом шести місяців з дня набрання чинності цим Законом: |
| 116. | привести свої нормативно-правові акти у відповідність із цим Законом; |
| 117. | забезпечити приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом. |