ЗАКОН УКРАЇНИ
Про внесення змiн до Закону України "Про захист iнформацiї в автоматизованих системах"
Верховна Рада України постановляє:
Внести змiни до Закону України "Про захист iнформацiї в автоматизованих системах" (Вiдомостi Верховної Ради України, 1994 р., N 31, ст. 286), виклавши його в такiй редакцiї:
"ЗАКОН УКРАЇНИ
Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах
Цей Закон регулює вiдносини у сферi захисту iнформацiї в iнформацiйних, телекомунiкацiйних та iнформацiйно-телекомунiкацiйних системах (далi - система).
Стаття 1. Визначення термiнiв
У цьому Законi наведенi нижче термiни вживаються в такому значеннi:
блокування iнформацiї в системi - дiї, внаслiдок яких унеможливлюється доступ до iнформацiї в системi;
виток iнформацiї - результат дiй, внаслiдок яких iнформацiя в системi стає вiдомою чи доступною фiзичним та/або юридичним особам, що не мають права доступу до неї;
власник iнформацiї - фiзична або юридична особа, якiй належить право власностi на iнформацiю;
власник системи - фiзична або юридична особа, якiй належить право власностi на систему;
доступ до iнформацiї в системi - отримання користувачем можливостi обробляти iнформацiю в системi;
захист iнформацiї в системi - дiяльнiсть, спрямована на запобiгання несанкцiонованим дiям щодо iнформацiї в системi;
знищення iнформацiї в системi - дiї, внаслiдок яких iнформацiя в системi зникає;
iнформацiйна (автоматизована) система - органiзацiйно-технiчна система, в якiй реалiзується технологiя обробки iнформацiї з використанням технiчних i програмних засобiв;
iнформацiйно-телекомунiкацiйна система - сукупнiсть iнформацiйних та телекомунiкацiйних систем, якi у процесi обробки iнформацiї дiють як єдине цiле;
комплексна система захисту iнформацiї - взаємопов'язана сукупнiсть органiзацiйних та iнженерно-технiчних заходiв, засобiв i методiв захисту iнформацiї;
користувач iнформацiї в системi (далi - користувач) - фiзична або юридична особа, яка в установленому законодавством порядку отримала право доступу до iнформацiї в системi;
криптографiчний захист iнформацiї - вид захисту iнформацiї, що реалiзується шляхом перетворення iнформацiї з використанням спецiальних (ключових) даних з метою приховування/вiдновлення змiсту iнформацiї, пiдтвердження її справжностi, цiлiсностi, авторства тощо;
несанкцiонованi дiї щодо iнформацiї в системi - дiї, що провадяться з порушенням порядку доступу до цiєї iнформацiї, установленого вiдповiдно до законодавства;
обробка iнформацiї в системi - виконання однiєї або кiлькох операцiй, зокрема: збирання, введення, записування, перетворення, зчитування, зберiгання, знищення, реєстрацiї, приймання, отримання, передавання, якi здiйснюються в системi за допомогою технiчних i програмних засобiв;
порушення цiлiсностi iнформацiї в системi - несанкцiонованi дiї щодо iнформацiї в системi, внаслiдок яких змiнюється її вмiст;
порядок доступу до iнформацiї в системi - умови отримання користувачем можливостi обробляти iнформацiю в системi та правила обробки цiєї iнформацiї;
телекомунiкацiйна система - сукупнiсть технiчних i програмних засобiв, призначених для обмiну iнформацiєю шляхом передавання, випромiнювання або приймання її у виглядi сигналiв, знакiв, звукiв, рухомих або нерухомих зображень чи в iнший спосiб;
технiчний захист iнформацiї - вид захисту iнформацiї, спрямований на забезпечення за допомогою iнженерно-технiчних заходiв та/або програмних i технiчних засобiв унеможливлення витоку, знищення та блокування iнформацiї, порушення цiлiсностi та режиму доступу до iнформацiї.
Стаття 2. Об'єкти захисту в системi
Об'єктами захисту в системi є iнформацiя, що обробляється в нiй, та програмне забезпечення, яке призначено для обробки цiєї iнформацiї.
Стаття 3. Суб'єкти вiдносин
Суб'єктами вiдносин, пов'язаних iз захистом iнформацiї в системах, є:
власники iнформацiї;
власники системи;
користувачi;
уповноважений орган у сферi захисту iнформацiї в системах.
На пiдставi укладеного договору або за дорученням власник iнформацiї може надати право розпоряджатися iнформацiєю iншiй фiзичнiй або юридичнiй особi i розпоряднику iнформацiї.
На пiдставi укладеного договору або за дорученням власник системи може надати право розпоряджатися системою iншiй фiзичнiй або юридичнiй особi i розпоряднику системи.
Стаття 4. Доступ до iнформацiї в системi
Порядок доступу до iнформацiї, перелiк користувачiв та їх повноваження стосовно цiєї iнформацiї визначаються власником iнформацiї.
Порядок доступу до iнформацiї, яка є власнiстю держави, або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелiк користувачiв та їх повноваження стосовно цiєї iнформацiї визначаються законодавством.
У випадках, передбачених законом, доступ до iнформацiї в системi може здiйснюватися без дозволу її власника в порядку, встановленому законом.
Стаття 5. Вiдносини мiж власником iнформацiї та власником системи
Власник системи забезпечує захист iнформацiї в системi в порядку та на умовах, визначених у договорi, який укладається ним iз власником iнформацiї, якщо iнше не передбачено законом.
Власник системи на вимогу власника iнформацiї надає вiдомостi щодо захисту iнформацiї в системi.
Стаття 6. Вiдносини мiж власником системи та користувачем
Власник системи надає користувачевi вiдомостi про правила i режим роботи системи та забезпечує йому доступ до iнформацiї в системi вiдповiдно до визначеного порядку доступу.
Стаття 7. Вiдносини мiж власниками систем
Власник системи, яка використовується для обробки iнформацiї з iншої системи, забезпечує захист такої iнформацiї в порядку та на умовах, що визначаються договором, який укладається мiж власниками систем, якщо iнше не встановлено законодавством.
Власник системи, яка використовується для обробки iнформацiї з iншої системи, повiдомляє власника зазначеної системи про виявленi факти несанкцiонованих дiй щодо iнформацiї в системi.
Стаття 8. Умови обробки iнформацiї в системi
Умови обробки iнформацiї в системi визначаються власником системи вiдповiдно до договору з власником iнформацiї, якщо iнше не передбачено законодавством.
Iнформацiя, яка є власнiстю держави, або iнформацiя з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системi iз застосуванням комплексної системи захисту iнформацiї з пiдтвердженою вiдповiднiстю. Пiдтвердження вiдповiдностi здiйснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення комплексної системи захисту iнформацiї, яка є власнiстю держави, або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту iнформацiї, якi мають сертифiкат вiдповiдностi або позитивний експертний висновок за результатами державної експертизи у сферi технiчного та/або криптографiчного захисту iнформацiї. Пiдтвердження вiдповiдностi та проведення державної експертизи цих засобiв здiйснюються в порядку, встановленому законодавством.
Стаття 9. Забезпечення захисту iнформацiї в системi
Вiдповiдальнiсть за забезпечення захисту iнформацiї в системi покладається на власника системи.
Власник системи, в якiй обробляється iнформацiя, яка є власнiстю держави, або iнформацiя з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту iнформацiї або призначає осiб, на яких покладається забезпечення захисту iнформацiї та контролю за ним.
Про спроби та/або факти несанкцiонованих дiй у системi щодо iнформацiї, яка є власнiстю держави, або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повiдомляє уповноважений орган у сферi захисту iнформацiї.
Стаття 10. Повноваження державних органiв у сферi захисту iнформацiї в системах
Вимоги до забезпечення захисту iнформацiї, яка є власнiстю держави, або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, встановлюються Кабiнетом Мiнiстрiв України.
Обов'язки уповноваженого органу у сферi захисту iнформацiї в системах виконує центральний орган виконавчої влади у сферi криптографiчного та технiчного захисту iнформацiї.
Уповноважений орган у сферi захисту iнформацiї в системах:
розробляє пропозицiї щодо державної полiтики у сферi захисту iнформацiї та забезпечує її реалiзацiю в межах своєї компетенцiї;
визначає вимоги та порядок створення комплексної системи захисту iнформацiї, яка є власнiстю держави, або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом;
органiзовує проведення державної експертизи комплексних систем захисту iнформацiї, експертизи та пiдтвердження вiдповiдностi засобiв технiчного i криптографiчного захисту iнформацiї;
здiйснює контроль за забезпеченням захисту iнформацiї, яка є власнiстю держави, або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Державнi органи в межах своїх повноважень за погодженням з уповноваженим органом у сферi захисту iнформацiї встановлюють особливостi захисту iнформацiї, яка є власнiстю держави, або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Особливостi захисту iнформацiї в системах, якi забезпечують банкiвську дiяльнiсть, встановлюються Нацiональним банком України.
Стаття 11. Вiдповiдальнiсть за порушення законодавства про захист iнформацiї в системах
Особи, виннi в порушеннi законодавства про захист iнформацiї в системах, несуть вiдповiдальнiсть згiдно iз законом.
Стаття 12. Мiжнароднi договори
Якщо мiжнародним договором, згода на обов'язковiсть якого надана Верховною Радою України, визначено iншi правила, нiж тi, що передбаченi цим Законом, застосовуються норми мiжнародного договору.
Стаття 13. Прикiнцевi положення
1. Цей Закон набирає чинностi з 1 сiчня 2006 року.
2. Нормативно-правовi акти до приведення їх у вiдповiднiсть iз цим Законом дiють у частинi, що не суперечить цьому Закону.
3. Кабiнету Мiнiстрiв України та Нацiональному банку України в межах своїх повноважень протягом шести мiсяцiв з дня набрання чинностi цим Законом:
привести свої нормативно-правовi акти у вiдповiднiсть iз цим Законом;
забезпечити приведення мiнiстерствами та iншими центральними органами виконавчої влади їх нормативно-правових актiв у вiдповiднiсть iз цим Законом".
Президент України | В.ЮЩЕНКО |
м. Київ
31 травня 2005 року
N 2594-IV