Про внесення змін до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" (щодо підтвердження відповідності інформаційної системи вимогам із захисту інформації) (Друге читання)
№ п.п. | Редакція, прийнята в першому читанні | Пропозиції | Висновки | Остаточна редакція |
0. |
ЗАКОН УКРАЇНИ |
ЗАКОН УКРАЇНИ |
||
1. |
Про внесення змін до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" (щодо підтвердження відповідності інформаційної системи вимогам із захисту інформації) |
Про внесення змін до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" щодо підтвердження відповідності інформаційної системи вимогам із захисту інформації |
||
2. |
Верховна Рада України п о с т а н о в л я є: |
Верховна Рада України п о с т а н о в л я є: |
||
3. |
І. Внести такі зміни до законів України: |
І. Внести до Закону України "Про захист інформації в інформаційно-телекомунікаційних системах" (Відомості Верховної Ради України, 1994 р., №31, ст. 286) такі зміни: |
||
4. |
1. У Законі України "Про захист інформації в інформаційно-телекомунікаційних системах" ( Відомості Верховної Ради України (ВВР), 1994, N 31, ст.286 із наступними змінами): |
|||
5. |
1) статтю 1 доповнити частиною другою такого змісту: |
1. Статтю 1 доповнити частиною другою такого змісту: |
||
6. |
"Інші терміни вживаються у значенні, наведеному в Законах України "Про інформацію" та "Про технічні регламенти та оцінку відповідності"."; |
"Інші терміни вживаються у значенні, наведеному в законах України "Про інформацію" та "Про технічні регламенти та оцінку відповідності". |
||
7. |
2) у статті 8: |
-1- Рудик К.О. 1.Підпункт 2 пункту 1 розділу І викласти у такій редакції: "У статті 8: а) частину другу після слів "Підтвердження відповідності" доповнити словами "комплексної системи захисту інформації"; б) частину третю викласти в такій редакції: "Підтвердження відповідності та проведення державної експертизи засобів технічного та криптографічного захисту інформації здійснюються в порядку, встановленому законодавством. Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації, та засоби технічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації або сертифікат відповідності, виданий органом з оцінки відповідності, який акредитовано: національним органом України з акредитації; чи національним органом з акредитації іншої держави, якщо як національний орган України з акредитації, так і національний орган з акредитації такої держави є членами міжнародної або регіональної організації з акредитації чи уклали угоду про взаємне визнання з такою організацією стосовно оцінки відповідності". в) частину четверту викласти в такій редакції: "Державні інформаційні ресурси та інформація з обмеженим доступом, окрім державної таємниці, службової інформації та державних і єдиних реєстрів, створення та забезпечення функціонування яких передбачено законами, можуть оброблятись у системі без застосування комплексної системи захисту інформації за виконання всіх нижчеперелічених умов: підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо систем управління інформаційною безпекою, яка проведена органом з оцінки відповідності, акредитованим національним органом України з акредитації чи національним органом з акредитації іншої держави, якщо як національний орган України з акредитації, так і національний орган з акредитації такої держави є членами міжнародної або регіональної організації з акредитації та/або уклали угоду про взаємне визнання з такою організацією стосовно оцінки відповідності; використання для захисту інформації в системі засобів криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації; жоден з елементів системи не може бути розташований на територіях України, де органи державної влади України тимчасово не здійснюють свої повноваження, на територіях держав, які визнані Верховною Радою України державами-агресорами, на територіях держав, щодо яких застосовані санкції відповідно до Закону України "Про санкції" та на територіях держав, які входять до митних союзів з такими державами; виконання особливих вимог, встановлених Кабінетом Міністрів України до забезпечення захисту інформації в системах в залежності від категорії державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, що обробляються". | Враховано |
2. У статті 8: |
8. |
а) у частині другій останнє речення викласти у такій редакції: "Підтвердження відповідності здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством."; |
1) друге речення частини другої викласти в такій редакції: "Підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством"; |
||
9. |
б) у частині третій слова "сертифікат відповідності або" виключити, слова "Підтвердження відповідності та проведення" замінити словом "Проведення"; |
2) частину третю викласти в такій редакції: "Підтвердження відповідності та проведення державної експертизи засобів технічного і криптографічного захисту інформації здійснюються в порядку, встановленому законодавством. Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації, та засоби технічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації або сертифікат відповідності, виданий органом з оцінки відповідності, який акредитовано: національним органом України з акредитації; чи національним органом з акредитації іншої держави, якщо і національний орган України з акредитації, і національний орган з акредитації такої держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності"; |
||
10. |
в) доповнити статтю частиною четвертою такого змісту: "Відкрита або конфіденційна інформація, вимога щодо захисту якої встановлена законом або яка належить до державних інформаційних ресурсів, може оброблятись у системі без застосування комплексної системи захисту інформації, але за умов: підтвердження відповідності системи управління інформаційної безпекою за результатами здійснення процедури з оцінки відповідності, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством; використання для захисту інформації в системі засобів з підтвердженою відповідністю у сфері технічного та/або криптографічного захисту інформації; розташування усіх елементів системи на контрольованих Україною територіях.". |
3) доповнити частиною четвертою такого змісту: "Державні інформаційні ресурси та інформація з обмеженим доступом, крім державної таємниці, службової інформації та державних і єдиних реєстрів, створення та забезпечення функціонування яких визначено законами, можуть оброблятися в системі без застосування комплексної системи захисту інформації у разі виконання всіх таких умов: підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо систем управління інформаційною безпекою, яка проведена органом з оцінки відповідності, акредитованим національним органом України з акредитації чи національним органом з акредитації іншої держави, якщо і національний орган України з акредитації, і національний орган з акредитації такої держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності; використання для захисту інформації в системі засобів криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації; жоден з елементів системи не може бути розташований на територіях України, на яких органи державної влади України тимчасово не здійснюють своїх повноважень, на територіях держав, визнаних Верховною Радою України державами-агресорами, на територіях держав, щодо яких застосовані санкції відповідно до Закону України "Про санкції", та на територіях держав, які входять до митних союзів з такими державами; виконання особливих вимог, встановлених Кабінетом Міністрів України до забезпечення захисту інформації в системах залежно від категорії державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, що обробляються". |
||
11. |
ІІ. Прикінцеві положення |
ІІ. Прикінцеві положення |
||
12. |
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування. |
-2- Рудик К.О. Розділ ІІ. Прикінцеві положення доповнити частиною другою такого змісту: "2. Кабінету Міністрів України у тримісячний строк з дня набрання чинності цим Законом: привести свої нормативно-правові акти у відповідність із цим Законом; забезпечити перегляд та приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом". | Враховано |
1. Цей Закон набирає чинності з дня, наступного за днем його опублікування. 2. Кабінету Міністрів України у тримісячний строк з дня набрання чинності цим Законом: привести свої нормативно-правові акти у відповідність із цим Законом; забезпечити перегляд та приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом. |
13. |
Голова |
Голова |
||
14. |
Верховної Ради України |
Верховної Ради України |