Закон Украины О защите информации в информационно-телекоммуникационных системах

Статья 1. Определение терминов

 В этом Законе приведенные ниже термины употребляются в таком значении:
 
блокирование информации в системе - действия, в результате которых исключается доступ к информации в системе;
 
утечка информации - результат действий, в результате которых информация в системе становится известной или доступной физическим и / или юридическим лицам, не имеющим права доступа к ней;
 
владелец информации - физическое или юридическое лицо, которому принадлежат права на информацию; {Абзац четвертый статьи 1 в редакции Закона N 1170-VII от 27.03.2014}
 
владелец системы - физическое или юридическое лицо, которому принадлежит право собственности на систему;
 
доступ к информации в системе - получение пользователем возможности обрабатывать информацию в системе;
 
защита информации в системе - деятельность, направленная на предотвращение несанкционированных действий относительно информации в системе;
 
уничтожение информации в системе - действия, в результате которых информация в системе исчезает;
 
информационная (автоматизированная) система - организационно-техническая система, в которой реализуется технология обработки информации с использованием технических и программных средств;
 
информационно-телекоммуникационная система - совокупность информационных и телекоммуникационных систем, в процессе обработки информации действуют как единое целое;
 
комплексная система защиты информации - взаимосвязанная совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации;
 
пользователь информации в системе (далее - пользователь) - физическое или юридическое лицо, которое в установленном законодательством порядке получила право доступа к информации в системе;
 
криптографическая защита информации - вид защиты информации, реализуется путем преобразования информации с использованием специальных (ключевых) данных с целью сокрытия / восстановление содержания информации, подтверждения ее подлинности, целостности, авторства и тому подобное;
 
несанкционированные действия по информации в системе - действия, осуществляемые с нарушением порядка доступа к этой информации, установленного в соответствии с законодательством;
 
обработка информации в системе - выполнение одной или нескольких операций, в том числе: сбор, введение, записи, преобразования, считывания, хранения, уничтожения, регистрации, приема, получения, передачи, которые осуществляются в системе с помощью технических и программных средств;
 
нарушение целостности информации в системе - несанкционированные действия по информации в системе, в результате которых изменяется ее содержание;
 
порядок доступа к информации в системе - условия получения пользователем возможности обрабатывать информацию в системе и правила обработки этой информации;
 
телекоммуникационная система - совокупность технических и программных средств, предназначенных для обмена информацией путем передачи, излучения или приема ее в виде сигналов, знаков, звуков, подвижных или неподвижных изображений или иным способом;
 
техническая защита информации - вид защиты информации, направленный на обеспечение с помощью инженерно-технических мероприятий и / или программных и технических средств предотвращения утечки, уничтожения и блокирования информации, нарушения целостности и режима доступа к информации.


Статья 2. Объекты защиты в системе

 Объектами защиты в системе есть информация, обрабатываемая в ней, и программное обеспечение, которое предназначено для обработки этой информации.

Статья 3. Субъекты отношений

 Субъектами отношений, связанных с защитой информации в системах, являются:
 
владельцы информации;
 
владельцы системы;
 
пользователи;
 
специально уполномоченный центральный орган исполнительной власти по вопросам организации специальной связи и защиты информации и подчиненные ему региональные органы; {Абзац пятый части первой статьи 3 в редакции Закона N 879-VI от 15.01.2009}
 
 
{Абзац шестой части первой статьи 3 исключено на основании Закона N 767-VII от 23.02.2014}
 
   {Часть вторая статьи 3 исключен на основании Закона N 1170-VII от 27.03.2014}
 
   На основании заключенного договора или по поручению владелец системы может предоставить право распоряжаться системой другому физическому или юридическому лицу - распорядителю системы.


Статья 4. Доступ к информации в системе

 Порядок доступа к информации, перечень пользователей и их полномочия относительно этой информации определяются владельцем информации.
 
Порядок доступа к государственным информационным ресурсам или информации с ограниченным доступом, требование относительно защиты которой установлено законом, перечень пользователей и их полномочия относительно этой информации определяются законодательством.
 
В случаях, предусмотренных законом, доступ к информации в системе может осуществляться без разрешения ее владельца в порядке, установленном законом. {Часть третья статьи 4 с изменениями, внесенными согласно Закону N 1170-VII от 27.03.20


Статья 5. Отношения между владельцем информации и владельцем системы

 Владелец системы обеспечивает защиту информации в системе в порядке и на условиях, определенных в договоре, который заключается им с владельцем информации, если иное не предусмотрено законом.
 
Владелец системы по требованию владельца информации предоставляет сведения по защите информации в системе.


Статья 6. Отношения между владельцем системы и пользователем

 Владелец системы предоставляет пользователю сведения о правилах и режим работы системы и обеспечивает ему доступ к информации в системе в соответствии с определенным порядком доступа.

Статья 7. Отношения между владельцами систем

 Владелец системы, которая используется для обработки информации из другой системы, обеспечивает защиту такой информации в порядке и на условиях, определяемых договором, который заключается между собственниками систем, если иное не установлено законодательством.
 
Владелец системы, которая используется для обработки информации из другой системы, сообщает владельца указанной системы о выявленных фактах несанкционированных действий относительно информации в системе.


Статья 8. Условия обработки информации в системе

 Условия обработки информации в системе определяются владельцем системы в соответствии с договором с владельцем информации, если иное не предусмотрено законодательством.
 
Государственные информационные ресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, должны обрабатываться в системе с применением комплексной системы защиты информации с подтвержденной соответствием. Подтверждение соответствия осуществляется по результатам государственной экспертизы в порядке, установленном законодательством. {Часть вторая статьи 8 с изменениями, внесенными согласно Закону N 1170-VII от 27.03.2014}
   Для создания комплексной системы защиты государственных информационных ресурсов или информации с ограниченным доступом, требование относительно защиты которой установлено законом, используются средства защиты информации, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере технической и / или криптографической защиты информации. Подтверждение соответствия и проведение государственной экспертизы этих средств осуществляются в порядке, установленном законодательством.


Статья 9. Обеспечение защиты информации в системе

 Ответственность за обеспечение защиты информации в системе возлагается на владельца системы.
 
Владелец системы, в которой обрабатываются государственные информационные ресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, образует службу защиты информации или назначает лиц, на которых возлагается обеспечение защиты информации и контроля за ним. {Часть вторая статьи 9 с изменениями, внесенными согласно Закону N 1170-VII от 27.03.2014}
   О попытках и / или факты несанкционированных действий в системе относительно государственных информационных ресурсов или информации с ограниченным доступом, требование относительно защиты которой установлено законом, владелец системы сообщает соответственно специально уполномоченный центральный орган исполнительной власти по вопросам организации специальной связи и защиты информации или подчиненный ему региональный орган. {Часть третья статьи 9 с изменениями, внесенными согласно Закону N 879-VI от 15.01.2009}


Статья 10. Полномочия государственных органов в сфере защиты информации в системах

 Требования к обеспечению защиты государственных информационных ресурсов или информации с ограниченным доступом, требование относительно защиты которой установлено законом, устанавливаются Кабинетом Министров Украины.
 
 
{Часть вторая статьи 10 исключен на основании Закона N 879-VI от 15.01.2009}
 
   Специально уполномоченный центральный орган исполнительной власти по вопросам организации специальной связи и защиты информации: {Абзац первый части третьей статьи 10 в редакции Закона N 879-VI от 15.01.2009}
 
разрабатывает предложения относительно государственной политики в сфере защиты информации и обеспечивает ее реализацию в пределах своей компетенции;
 
определяет требования и порядок создания комплексной системы защиты государственных информационных ресурсов или информации с ограниченным доступом, требование относительно защиты которой установлено законом;
 
организует проведение государственной экспертизы комплексных систем защиты информации, экспертизы и подтверждения соответствия средств технической и криптографической защиты информации;
 
осуществляет контроль за обеспечением защиты государственных информационных ресурсов или информации с ограниченным доступом, требование относительно защиты которой установлено законом;
 
осуществляет мероприятия по выявлению угрозы государственным информационным ресурсам от несанкционированных действий в информационных, телекоммуникационных и информационно-телекоммуникационных системах и дает рекомендации по вопросам предотвращения такой угрозы. {Часть третья статьи 10 дополнена абзацем согласно Закону N 1180-VI от 19.03.2009}
 
Государственные органы в пределах своих полномочий по согласованию соответственно со специально уполномоченным центральным органом исполнительной власти по вопросам организации специальной связи и защиты информации или подчиненным ему региональным органом устанавливают особенности защиты государственных информационных ресурсов или информации с ограниченным доступом, требование относительно защиты которой установлено законом. {Часть четвертая статьи 10 с изменениями, внесенными согласно Закону N 879-VI от 15.01.2009}
   Особенности защиты информации в системах, обеспечивающих банковскую деятельность, устанавливаются Национальным банком Украины.


Статья 11. Ответственность за нарушение законодательства о защите информации в системах

 Лица, виновные в нарушении законодательства о защите информации в системах, несут ответственность в соответствии с законом.

Статья 12. Международные договоры

 Если международным договором, согласие на обязательность которого предоставлено Верховной Радой Украины, определены иные правила, чем те, которые предусмотрены настоящим Законом, применяются нормы международного договора.

Статья 13. Заключительные положения

 1. Настоящий Закон вступает в силу с 1 января 2006 года.
 
2. Нормативно-правовые акты до приведения их в соответствие с настоящим Законом действуют в части, не противоречащей настоящему Закону.
 
3. Кабинету Министров Украины и Национальному банку Украины в пределах своих полномочий в течение шести месяцев со дня вступления в силу настоящего Закона:
 
привести свои нормативно-правовые акты в соответствие с настоящим Законом;
 
обеспечить приведение министерствами и другими центральными органами исполнительной власти их нормативно-правовых актов в соответствие с настоящим Законом.
 
 
Президент Украины Л.КУЧМА
м. Киев, 5 июля 1994
N 80/94-ВР