asyan.org
добавить свой файл
  1 2 3 4

^ 5.Нормативно-правове забезпечення

На сьогоднішній день інформація відіграє ключову роль в функціонуванні суспільних і державних інститутів, а також в житті кожної людини. Ефект, який досягається за рахунок впровадження інформаційних технологій, зростає при збільшенні масштабів обробки інформації, включаючи обчислювальні мережі та

автоматизовані системи управління

Дослідження українського законодавства в сфері інформаційних правовідносин, тобто суспільних відносин щодо володіння, користування і розпорядження інформацією, констатує, що нормативне забезпечення цієї галузі має невисокий загальний рівень розробленості.

Як позитивне, слід насамперед зазначити визнання державою права власності на інформацію. Тому, відповідно до ст.41 Конституції, інформація є предметом державної охорони, яка забезпечується Законом “Про інформацію” від 2 жовтня 1992 року, Законом “Про захист інформації в автоматизованих системах” та ст. 198-1 кримінального кодексу. Крім цих документів до нормативно-правової бази, яка регулює інформаційні правовідносини треба віднести наступні:

Положення про Державний комітет України з питань державних секретів та технічного захисту інформації. Затверджено Указом Президента України від 05.11.96р. №1047\96.

Положенням визначено основні завдання Держкомсекретів України, його обов’язки та права щодо реалізації державної політики у сфері забезпечення охорони державної таємниці та технічного захисту інформації у межах, встановлених законами України, а також щодо координації режимно-секретної діяльності та функціонування інфраструктури системи технічного захисту інформації центральних та місцевих органів виконавчої влади, підприємств, установ і організації усіх форм власності, дипломатичних представництв та інших об’єктів України за кордоном.

Положення про технічний захист в Україні. Затверджено постановою КМУ від 09.09.94р. №632.

Положення визначає об’єкт захисту та мету ТЗІ, структуру та основні завдання складових частин системи ТЗІ, порядок та організацію комплексного технічного захисту інформації з обмеженим доступом на об’єктах різного призначення і організацію контролю за ефективністю ТЗІ.

Постанова КМУ від 13.01.95р. №24. “Про заходи щодо виконання постанови Верховної Ради України від 05.07.94р. №80”. “Про введення в дію Закону України “Про захист інформації в автоматизованих системах” та статті 34 Закону України “Про державну таємницю”.

Цією Постановою також схвалена “Програма робіт з організації стандартизації та сертифікації в галузі технічного захисту інформації на 1995-1998 роки”.

Положення про порядок видачі суб’єктам підприємницької діяльності спеціальних дозволів (ліцензій) на здійснення окремих видів діяльності. Затверджено Постановою КМУ від 17.05.94р. №316.

Положення визначає види діяльності, на які передбачена законодавчими актами України видача спеціальних дозволів (ліцензій), в тому числі виробництво та сервісне обслуговування систем і засобів виконання робіт, надання послуг, що забезпечують технічний захист інформації. Положення також визначає умови і правила одержання ліцензій.

Інструкція щодо умов і правил здійснення діяльності у галузі технічного захисту інформації та контролю за її дотриманням. Затверджено наказом ДСТЗІ від 26.05.94р. №46, зареєстровано в Мінюсті України 01.06.94р. №120\329.

Інструкція визначає умови і правила здійснення діяльності у галузі ТЗІ по виробництву та сервісному обслуговуванню систем і засобів, виконання робіт, наданню послуг, що забезпечують технічний захист інформації.

Положення про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації. Розроблено згідно з Постановою КМУ від 26.06.96р. №667. Затверджено наказом ДСТЗІ від 01.07.96р. №44, зареєстрованого в Мінюсті України 18.07.96р. №366\1391.

Положення визначає порядок розроблення, погодження, затвердження, реєстрацію та виконання нових, перегляду та скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного захисту інформації, що не належать до нормативних документів із стандартизації, але з обов’язковим для виконання всіма центральними і місцевими органами виконавчої влади, Урядом Автономної Республіки Крим, органами місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов’язана з технічним захистом інформації.

ДСТУ 3396 0-96. Захист інформації. Технічний захист інформації. Основні положення. Затверджено наказом Держстандарту України від 11.10.96р. №423 введено в дію 01.0197р.

Стандарт визначає об’єкт захисту та мету ТЗІ, чотири основні етапи побудови системи ТЗІ та склад основних нормативних документів, що забезпечують функціонування системи ТЗІ. Вимоги вказаного стандарту обов’язкові для підприємств, організацій та установ всіх форм власності, які володіють, користуються або розпоряджаються інформацією, що підлягає технічному захисту.

ДСТУ 1.3-93. Порядок розроблення, побудови, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов. Затверджено та введено в дію наказом Держстандарту України від 29.07.93 р. №116.

Стандарт встановлює порядок розроблення, побудови, викладу, оформлення, узгодження, затвердження, позначання та державної реєстрації технічних умов на продукцію (послуги), що виготовляються у всіх галузях народного господарства України, крім розроблюваної та виготовленої на замовлення Міністерства оброни, а також змін до них.

Вимоги цього стандарту є обов’язковими для підприємств, установ і організацій, що діють на території України, а також для громадян-суб’єктів підприємницької діяльності незалежно від форм власності і видів діяльності.

ДБН А.2.2-2-96. Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та документації для будівництва. Наказом Держкоммістобудування України від 02.09.96 р. №156 введено в дію 01.01.97р.

Стандарт встановлює норми та вимоги до організації проектування, проектної документації для нового будівництва, розширення, реконструкції підприємств та капітального ремонту будівель та споруд об’єктів, де є необхідність проведення робіт з ТЗІ. Заходи з ТЗІ можуть виконуватися організаціями, які мають відповідні ліцензії Держкоммістбудування України або іншими організаціями, які мають ліцензії Держкомсекретів України відповідно до Завдання замовника. Положення норм обов’язкові для застосування суб’єктами інвестиційної діяльності України та представництвами України за кордоном при виконанні проектних та будівельних робіт з урахуванням вимог технічного захисту інформації, які містять відомості, що становлять державну або іншу передбачену законодавством України таємницю, а також конфіденційну інформацію, що є державною власністю.

Норми можуть бути використані суб’єктами, пофесійна діяльність яких пов’язана з захистом конфіденційної інформації, що не є власністю держави.

КНД 50-009-93. Типова побудова технічних умов. Методичні вказівки. Затверджено та введено в дію наказом Держстандарту України від 29.07.93р. №116.

Керівний нормативний документ з стандартизації поширюється на методи та зміст робіт з розроблення технічних умов, правила викладу їхніх розділів. Положення цього керівного нормативного документу можуть використовуватись підприємствами, установами і організаціями, що діють на території України, а також громадянами-суб’єктами підприємницької діяльності незалежно від форм власності і видів діяльності.

Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ЕОТ-95). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 09.06.95р. №25.

Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ТЗІ-ПЕМВН-95). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 09.06.95р. №25.

Тимчасові рекомендації щодо розроблення розділу із захисту інформації в технічному завданні на створення автоматизованої системи. (ТРАС-96). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 03.07.96р. №47.

Правила побудови, викладення, оформлення та позначення нормативних документів системи ТЗІ.НД ТЗІ 1.6-001-96. Нормативний документ системи ТЗІ затверджено наказом ДСТЗІ від 26.07.966р. №51.

Інструкція про порядок надання дозволу на використання імпортних засобів ТЗІ, а також продукції, яка містить їх у своєму складі. Нормативний документ системи ТЗІ затверджено наказом ДСТЗІ від 31.05.95р. №13 і зареєстровано в Мінюсті України 12.07.95р. №215\751.

На цей час більшу частину нормативно-технічних документів (НТД) ТЗІ в Україні складають НТД Держтехкомісії (ДТК) колишнього СРСР, які рекомендовані до використання керівним листом ДСТЗІ від 01.03.94р. на основі Постанови Верховної Ради України №1545-12 від 12.09.91р. “Про порядок тимчасової дії на території України окремих актів законодавства Союзу РСР”.

До загальнодержавних нормативним актам з питань захистуінформації треба додати відомчі накази та інструкції МВС України.

^ Наказ №07 від 06.03.97р. Наказ про оголошення “Розгорнутого переліку відомостей, що становлять державну таємницю в системі МВС України”. Відповідно до ст.10 Закону України від 21 січня 1994р. “Про державну таємницю”, визначає розгорнутий перелік відомостей, що становлять державну таємницю у системі МВС України:

- відомості про охорону військових, особливо важливих, режимних об’єктів, технічний захист інформації, забезпечення пожежної охорони, зв’язку;

- відомості оперативно-службового характеру.

^ Наказ №08 від 06.03.97р. Наказ “Про заходи щодо забезпечення режиму секретності у системі МВС України та затвердження Тимчасової інструкції”.

Наказ вимагає забезпечення режиму секретності у системі МВС України відповідно до законів України, постанов Уряду та інших чинних нормативних документів з питань захисту секретів та Тимчасової інструкції.

Ця інструкція розроблена відповідно до вимог законів України “Про державну таємницю”, “Про інформацію”, “Про порядок виїзду з України і в’їзду в Україну громадян України”, “Про захист інформації в автоматизованих системах”, затверджених Кабінетом Міністрів України положень “Про державного експерта з питань таємниць”, “Про порядок і умови надання органам державної виконавчої влади, підприємствам, установам і організаціям дозволу (ліцензії) на здійснення діяльності, пов’язаної з державною таємницею, та про особливий режим цієї діяльності”, “Про технічний захист інформації в Україні”, “Про режимно-секретні органи в міністерствах, відомствах, Уряді Автономної Республіки Крим, місцевих органах виконавчої влади, виконкомах Рад, на підприємствах, в установах і організаціях”, “Про Держкомітет України з питань державних секретів та технічного захисту інформації”, інших чинних нормативних актів з питань захисту державних секретів. Вона визначає режим секретності, є основним керівним документом, обов’язковим для виконання в МВС України, головних управліннях МВС України в Криму, в місті Києві та Севастополі, управліннях МВС України в областях і на транспорті, міських, районних та лінійних управліннях, міськрайлінорганах, установах виконання покарань, навчальних закладах, науково-дослідних установах, інших підрозділах системи МВС України, діяльність яких пов’язана з державною таємницею.

^ Наказ №059 від 14.07.98р. Цей наказ вводить “Положення про встановлення, обслуговування технічних засобів зв’язку, слабкострумового обладнання та засобів технічного захисту інформації з обмеженим доступом у виділених приміщеннях центрального апарату МВС України”.

Це Положення визначає єдиний порядок виконання робіт з обстеження, планування, монтажу, регламентованого технічного обслуговування та ремонту технічних засобів зв’язку, слабкострумового обладнання та засобів технічного захисту інформації з обмеженим доступом у виділених атестованих приміщеннях центрального апарату МВС України.

Саме цими усіма нормами забезпечується легітимність введення статті 198' кримінального кодексу (далі – КК), якою здійснюється кримінально-правова охорона зазначеного кола суспільних відносин.

Стаття 198' КК передбачає відповідальність за дві самостійні форми злочинних дій:

1) умисне втручання у роботу автоматизованих систем, що призвело до перекручення чи знищення інформації або носіїв інформації;

2) розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи то носіїв інформації.

Предметом цих злочинів є:

1) автоматизовані системи (АС) — системи, що здійснюють автоматизовану обробку даних і до складу яких входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення (ст. І Закону від 5 липня 1994 р. "Про захист інформації в автоматизованих системах");

2) носії інформації — фізичні об'єкти, поля і сигнали, хімічні середовища, накопичувачі даних в інформаційних системах (ст. 24 Положення про технічний захист інформації в Україні, затвер­дженого постановою Кабінету Міністрів України від 9 вересня 1994 р. );

3) інформація, яка використовується в АС, — сукупність усіх даних і програм, які використовуються в АС незалежно від способу їх фізичного та логічного представлення (ст. 1 Закону від 5 липня 1994 р.);

4) програмні і технічні засоби, призначені для незаконного проникнення в автоматизовані системи.

Об'єктивна сторона злочинів характеризується двома видами дій:

1) втручанням в роботу АС;

2) розповсюдженням програмних і технічних засобів, призначених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації.

Втручання у роботу автоматизованих систем є матеріальним складом злочину, оскільки, крім різноманітних дій у вигляді різного впливу на роботу автоматизованої системи, обов'язковими ознаками його об'єктивної сторони є також наслідки у вигляді перекручення чи знищення інформації, тобто порушення її ціліс­ності (руйнування, спотворення, модифікація і знищення) (абз. 2 п. 2 Положення про технічний захист інформації в Україні); і причинний зв'язок між вчиненими діями і наслідками. Відсутність наслідків у вигляді перекручення або знищення інформації чи носіїв інформації при втручанні у роботу АС, залежно від мети такого втручання, може кваліфікуватися:

1) як замах на вчинення злочину, передбаченого ст. 198', якщо метою втручання було спотворити або знищити інформацію, її носії;

2) за статтями 56, 57, 148 КК (при наявності ознак цих злочинів), якщо метою втручання в роботу АС було незаконне ознайомлення з інформа­цією, яка в ній обробляється чи зберігається;

3) за іншими статтями КК, які передбачають відповідальність за злочини, спосіб вчинення яких може виражатись в незаконному втручанні в роботу АС, наприклад, як розкрадання майна, виготовлення з метою збуту чи використання підроблених недержавних цінних паперів (ч. З чи ч. 4 ст. 148 КК).

Розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи носіїв інформації, відноситься до формальних складів злочинів, оскільки об'єктивна сторона цього злочину виражається в самих діях, незалежно від того, спричинили вони чи ні наслідки у вигляді перекручення або знищення інформації чи носіїв інформації.

Під втручанням у роботу АС законодавець пропонує розуміти будь-які дії винного, що впливають на обробку АС інформації, яка в ній зберігається, або яка вводиться чи передається для обробки в АС, тобто дії, що впливають на всю сукупність операцій (зберігання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних. При втручанні в роботу АС здійснюється порушення її роботи, яке спричиняє спотворення процесу обробки інформації, внаслідок чого перекручується або знищується сама інформація чи її носії.

^ Знищення інформації — це її втрата, коли інформація в АС перестає існувати для фізичних і юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі. Як знищення, втрату інформації треба розглядати і її блокування, тобто припи­нення доступу до інформації користувачам АС. Втручання в роботу АС може бути і в формі впливу на канали передачі інформації як між технічними засобами їх обробки і зберігання всередині АС, так і між окремими АС, внаслідок чого інформація, що передається для обробки, знищується чи перекручується. Такі дії можуть виража­тись, наприклад, в електромагнітному, лазерному і іншому впливі на носії інформації, в яких вона матеріалізується, або по яких вона передається; в формуванні сигналів полів засобів і блоків програм, вплив яких на інформацію, її носії і засоби технічного захисту викликає порушення цілісності інформації, її знищення чи спот­ворення; у включенні до бібліотек програм спеціальних програм­них блоків, зміни програмного забезпечення і інших подібних діях, що призводять до порушення цілісності інформації.

^ Перекручення інформації — це зміна її змісту, порушення її цілісності, в тому числі і часткове знищення.

Під розповсюдженням програмних і технічних засобів, при­значених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації треба розуміти:

1) їх передачу будь-яким способом і на будь-яких підставах (продаж, дарування, обмін, надання можливості скопіювати тощо) з метою їх використання для несанкціонованого досту­пу до інформації особами, які згідно з правилами розмежування доступу до інформації, встановленими власником інформації чи уповноваженою ним особою, не мають права доступу до такої інформації;

2) їх "закладку" в АС на стадії її виготовлення, ремонту, реалізації, користування з метою використання в майбут­ньому для здійснення несанкціонованого доступу до інформації;

3) ознайомлення інших осіб із змістом програмних засобів чи технічними характеристиками або технологією виготовлення та використання технічних засобів для незаконного проникнення в АС.

Програмні засоби, призначені для незаконного проникнення в АС, — це спеціальні комп'ютерні програми (програмні блоки, програмне забезпечення), з допомогою яких можна здійснити несанкціонований доступ до інформації, яка зберігається чи оброб­ляється в АС, і які здатні спотворити або знищити інформацію (її носії) шляхом спотворення процесу обробки інформації.

Технічні засоби, призначені для незаконного проникнення в АС, — це різного роду прилади, обладнання, устаткування тощо, з допомогою яких можливе або безпосереднє під"єднання до АС чи каналів передачі даних, або які здатні шляхом формування сигналів, полів, середовищ створити умови для несанкціонованого доступу до інформації з метою ознайомлення з такою інформацією особами, які не мають права доступу до неї, або з метою впливу на процес обробки інформації в АС, порушення роботи АС, перекручення або знищення інформації чи її носіїв.

Обов'язковою ознакою (властивістю) програмних і технічних засобів, призначених для незаконного проникнення в АС, для визнання їх предметом коментованого злочину, є їх здатність впливати на процес обробки інформації, його спотворення, в результаті чого інформація (її носії) може бути знищена чи перекручена. Якщо ж такі засоби за своїми технічними характе­ристиками не мають такої властивості, їх розповсюдження складу злочину, передбаченого ст. 198' не утворює. Використання таких програмних і технічних засобів, наприклад, для незаконного оз­найомлення з інформацією, яка обробляється чи зберігається в АС, може кваліфікуватися за статтями 56, 57 чи 148.

Суб'єктом злочину може бути будь-яка фізична осудна особа, що досягла 16-річного віку. Ним можуть бути і особи з персоналу АС — фізичні особи, яких власник АС чи уповнова­жена ним особа чи розпорядник АС визначили для здійснення функцій управління та обслуговування АС, і сторонні особи.

Суб'єктивна сторона злочинів, передбачених ч. І ст. 198', характеризується умислом щодо вчинюваних винним дій, а пси­хічне відношення винного до наслідків у вигляді перекручення чи знищення інформації або її носіїв може характеризуватись як прямим чи непрямим умислом, так і необережністю в обох видах. При розповсюдженні програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи, умисел лише прямий, оскільки суб'єктивну сторону цього злочину визна­чає психічне відношення винного до вчинюваних ним дій. Мотиви і мета вчинення злочинів можуть бути різними і свідчити про те, що робота автоматизованої системи порушена, наприклад, з метою вчинення інших злочинів.

В ч. 2 ст. 198' передбачена відповідальність за два кваліфікованих склади злочинів:

2) вчинення злочину повторно;

3) вчинення злочину за попереднім зговором групою осіб.

Проведений аналіз стану чинного українського законодавства з питань правового регулювання відносин, пов’язаних з використанням ЕОТ, взагалі та засобів кримінально-правової охорони зокрема з усією наочністю викриває його недосконалість та невисокий рівень розробленості.

Вражає, насамперед, надзвичайно вузьке коло діянь, що визначаються суспільно небезпечними, отже є кримінально карними, недостатньо точне та повне визначення термінів, використаних при формулюванні диспозиції. Також, незрозумілою лишається ідея законодавця об’єднати однією статтею такі різні за рівнем суспільної небезпечності дії, як “умисне втручання в роботу автоматизованих систем” та “розповсюдження програмних і технічних засобів, призначених для незаконного проникнення до автоматизованих систем”, а також, встановлення для такого специфічного виду злочинних дій ортодоксальних кваліфікуючих ознак.

Все це переконливо вказує на термінову необхідність реформування даного розділу кримінального законодавства.


<< предыдущая страница   следующая страница >>