Закон Украины О защите информации в информационно-коммуникационных системах

Этот Закон регулирует отношения в сфере защиты информации в информационных, электронных коммуникационных и информационно-коммуникационных системах (далее – система).

Статья 1. Определение терминов
В настоящем Законе следующие термины употребляются в следующем значении:

блокирование информации в системе - действия, в результате которых невозможен доступ к информации в системе;

утечка информации - результат действий, в результате которых информация в системе становится известной или доступной физическим и/или юридическим лицам, не имеющим права доступа к ней;

владелец информации – физическое или юридическое лицо, которому принадлежат права на информацию;

владелец системы – физическое или юридическое лицо, которому принадлежит право собственности на систему;

доступ к информации в системе – получение пользователем возможности обрабатывать информацию в системе;

защита информации в системе - деятельность, направленная на предотвращение несанкционированных действий по информации в системе;

уничтожение информации в системе – действия, в результате которых информация в системе исчезает;

информационная (автоматизированная) система – организационно-техническая система, в которой реализуется технология обработки информации с использованием технических и программных средств;

информационно-коммуникационная система – совокупность информационных и электронных коммуникационных систем, которые в процессе обработки информации действуют как единое целое;

комплексная система защиты информации – взаимосвязанная совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации;

пользователь информации в системе (далее – пользователь) – физическое или юридическое лицо, которое в установленном законодательством порядке получило право доступа к информации в системе;

криптографическая защита информации – вид защиты информации, реализуемый путем преобразования информации с использованием специальных (ключевых) данных с целью сокрытия/восстановления содержания информации, подтверждения ее подлинности, целостности, авторства и т.п.;

несанкционированные действия по информации в системе – действия, совершаемые с нарушением порядка доступа к этой информации, установленного в соответствии с законодательством;

обработка информации в системе - выполнение одной или нескольких операций, в частности: сбор, ввод, записи, преобразования, считывания, хранения, уничтожения, регистрации, приемки, получения, передачи, осуществляемые в системе с помощью технических и программных средств;

нарушение целостности информации в системе - несанкционированные действия по информации в системе, в результате которых изменяется ее содержание;

порядок доступа к информации в системе – условия получения пользователем возможности обрабатывать информацию в системе и правила обработки этой информации;

электронная коммуникационная система - совокупность технических и программных средств, предназначенных для обмена информацией путем передачи, излучения и/или приема ее в виде сигналов, знаков, звуков, движущихся или неподвижных изображений или иным способом;

Техническая защита информации - вид защиты информации, направленный на обеспечение с помощью инженерно-технических мероприятий и/или программных и технических средств предотвращения утечки, уничтожения и блокирования информации, нарушения целостности и режима доступа к информации.

Другие термины употребляются в значении, приведенном в законах Украины "Об информации" и "О технических регламентах и оценке соответствия".

Статья 2. Объекты защиты в системе
Объектами защиты в системе является информация, обрабатываемая в ней, и программное обеспечение, которое предназначено для обработки этой информации.

Статья 3. Субъекты отношений
Субъектами отношений, связанных с защитой информации в системах, являются:

владельцы информации;

владельцы системы;

пользователи;

специально уполномоченный центральный орган исполнительной власти по вопросам организации специальной связи и защиты информации и подчиненные ему региональные органы;

{Абзац шестой части первой статьи 3 исключен на основании Закона № 767-VII от 23.02.2014}

{Часть вторая статьи 3 исключена на основании Закона № 1170-VII от 27.03.2014}

На основании заключенного договора или по поручению владелец системы может предоставить право распоряжаться системой другому физическому или юридическому лицу - распорядителю системы.

Статья 4. Доступ к информации в системе
Порядок доступа к информации, перечень пользователей и их полномочия относительно этой информации определяются владельцем информации.

Порядок доступа к государственным информационным ресурсам или информации с ограниченным доступом, требование относительно защиты которой установлено законом, перечень пользователей и их полномочия относительно этой информации определяются законодательством.

В случаях, предусмотренных законом, доступ к информации в системе может осуществляться без разрешения ее владельца в порядке, установленном законом.

Статья 5. Отношения между владельцем информации и владельцем системы
Владелец системы обеспечивает защиту информации в системе в порядке и на условиях, определенных в договоре, который заключается ним с владельцем информации, если иное не предусмотрено законом.

Владелец системы по требованию владельца информации предоставляет сведения по защите информации в системе.

Статья 6. Отношения между собственником системы и пользователем
Владелец системы предоставляет пользователю сведения о правилах и режим работы системы и обеспечивает ему доступ к информации в системе в соответствии с определенным порядком доступа.

Статья 7. Отношения между собственниками систем
Владелец системы, которая используется для обработки информации из другой системы, обеспечивает защиту такой информации в порядке и на условиях, определяемых договором, который заключается между собственниками систем, если иное не установлено законодательством.

Владелец системы, которая используется для обработки информации из другой системы, сообщает владельца указанной системы о выявленных фактах несанкционированных действий относительно информации в системе.

Статья 8. Условия обработки информации в системе
Условия обработки информации в системе определяются собственником системы в соответствии с договором с владельцем информации, если иное не предусмотрено законодательством.

Государственные информационные ресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, должны обрабатываться в системе с применением комплексной системы защиты информации с подтвержденной соответствием. Подтверждение соответствия комплексной системы защиты информации осуществляется по результатам государственной экспертизы, которая проводится с учетом отраслевых требований и норм информационной безопасности в порядке, установленном законодательством.

Подтверждение соответствия и проведение государственной экспертизы средств технической и криптографической защиты информации осуществляются в порядке, установленном законодательством. Для создания комплексной системы защиты государственных информационных ресурсов или информации с ограниченным доступом, требование относительно защиты которой установлено законом, используются средства криптографической защиты информации, которые имеют положительное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации, и средства технической защиты информации, которые имеют положительное экспертное заключение по результатам государственной экспертизы в сфере технической защиты информации или сертификат соответствия, выданный органом по оценке соответствия, аккредитовано:

национальным органом Украины по аккредитации;

или национальным органом по аккредитации другого государства, если и национальный орган Украины по аккредитации, и национальный орган по аккредитации такого государства являются членами международной или региональной организации по аккредитации и / или заключили с такой организацией соглашение о взаимном признании в оценке соответствия.

Государственные информационные ресурсы и информация с ограниченным доступом, кроме государственной тайны, служебной информации и государственных и единых реестров, создание и обеспечение функционирования которых определены законами, могут обрабатываться в системе без применения комплексной системы защиты информации в случае выполнения всех следующих условий:

подтверждение соответствия системы управления информационной безопасностью по результатам процедуры оценки соответствия национальным стандартам Украины относительно систем управления информационной безопасностью, проведенной органом по оценке соответствия, аккредитованным национальным органом Украины по аккредитации или национальным органом по аккредитации другого государства, если и национальный орган Украины по аккредитации, и национальный орган по аккредитации такого государства являются членами международной или региональной организации по аккредитации и / или заключили с такой организацией соглашение о взаимном признании в оценке соответствия;

использование для защиты информации в системе средств криптографической защиты информации, которые имеют положительное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации;

ни один из элементов системы не может быть расположен на территориях Украины, на которых органы государственной власти Украины временно не осуществляют своих полномочий, на территориях государств, признанных Верховным Советом Украины государствами-агрессорами, на территориях государств, в отношении которых применены санкции в соответствии с Законом Украины "О санкциях", и на территориях государств, входящих в таможенные союзы с такими государствами;

выполнение особых требований, установленных Кабинетом Министров Украины к обеспечению защиты информации в системах в зависимости от категории государственных информационных ресурсов или информации с ограниченным доступом, требование относительно защиты которой установлено законом, обрабатываются.

Статья 9. Обеспечение защиты информации в системе
Ответственность за обеспечение защиты информации в системе возлагается на владельца системы.

Владелец системы, в которой обрабатываются государственные информационные ресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, образует службу защиты информации или назначает лиц, на которых возлагается обеспечение защиты информации и контроля за ним.

О попытках и / или факты несанкционированных действий в системе о государственных информационных ресурсов или информации с ограниченным доступом, требование относительно защиты которой установлено законом, владелец системы сообщает соответственно специально уполномоченный центральный орган исполнительной власти по вопросам организации специальной связи и защиты информации или подчиненный ему региональный орган.

Статья 10. Полномочия государственных органов в сфере защиты информации в системах
Требования к обеспечению защиты государственных информационных ресурсов или информации с ограниченным доступом, требование защиты которой установлено законом, устанавливаются Кабинетом Министров Украины.

{Часть вторая статьи 10 исключена на основании Закона № 879-VI от 15.01.2009}

Специально уполномоченный центральный орган исполнительной власти по вопросам организации специальной связи и защиты информации:

разрабатывает предложения по государственной политике в сфере защиты и обеспечивает ее реализацию внутри своей компетенции;

определяет требования и порядок создания комплексной системы защиты государственных информационных ресурсов или информации с ограниченным доступом, требование защиты которой установлено законом;

организует проведение государственной экспертизы комплексных систем защиты информации, экспертизы и подтверждение соответствия средств технической и криптографической защиты;

осуществляет контроль за обеспечением защиты государственных информационных ресурсов или информации с ограниченным доступом, требование защиты которой установлено законом;

осуществляет меры по выявлению угрозы государственным информационным ресурсам от несанкционированных действий в информационных, электронных коммуникационных и информационно-коммуникационных системах и дает рекомендации по предотвращению такой угрозы.

Государственные органы в пределах своих полномочий по согласованию в соответствии со специально уполномоченным центральным органом исполнительной власти по организации специальной связи и защиты информации или подчиненным ему региональным органом устанавливают особенности защиты государственных информационных ресурсов или информации с ограниченным доступом, требование по защите которой установлено законом.

Особенности защиты информации в системах, обеспечивающих банковскую деятельность, устанавливаются Национальным банком Украины.

Статья 11. Ответственность за нарушение законодательства о защите информации в системах
Лица, виновные в нарушении законодательства о защите информации в системах, несут ответственность согласно закону.

Статья 12. Международные договоры
Если международным договором, согласие на обязательность которого предоставлено Верховной Радой Украины, определены иные правила, чем те, которые предусмотрены настоящим Законом, применяются нормы международного договора.

Статья 13. Заключительные положения
1. Настоящий Закон вступает в силу с 1 января 2006 года.

2. Нормативно-правовые акты до приведения их в соответствие с настоящим Законом действуют в части, не противоречащей настоящему Закону.

3. Кабинету Министров Украины и Национальному банку Украины в пределах своих полномочий в течение шести месяцев со дня вступления в силу настоящего Закона:

привести свои нормативно-правовые акты в соответствие с настоящим Законом;

обеспечить приведение министерствами и другими центральными органами исполнительной власти их нормативно-правовых актов в соответствие с настоящим Законом.




Президент Украины

Л.КУЧМА

г. Киев

5 июля 1994

№ 80/94-ВР


Закон действующий. Актуальность проверена 10.02.2021