ЗАКОН УКРАЇНИ
Про захист iнформацiї в iнформацiйно-комунiкацiйних системах
(назва iз змiнами, внесеними згiдно iз Законом України вiд 16.12.2020р. N 1089-IX) |
Iз змiнами i доповненнями, внесеними
Законами України
вiд 11 травня 2004 року N 1703-IV,
вiд 31 травня 2005 року N 2594-IV
(Законом України вiд 31 травня 2005 року N
2594-IV
цей Закон викладено у новiй редакцiї),
вiд 15 сiчня 2009 року N 879-VI,
вiд 19 березня 2009 року N 1180-VI,
вiд 16 сiчня 2014 року N 721-VII
(змiни, внесенi Законом України вiд 16 сiчня 2014 року
N 721-VII, втратили чиннiсть
у зв'язку з втратою чинностi Законом України вiд 16
сiчня 2014 року N 721-VII
згiдно iз Законом України вiд 28 сiчня 2014 року N 732-VII),
вiд 23 лютого 2014 року N 767-VII,
вiд 27 березня 2014 року N 1170-VII,
вiд 4 червня 2020 року N 681-IX,
вiд 16 грудня 2020 року N 1089-IX
(У текстi Закону: слова "власник iнформацiї" у всiх вiдмiнках i числах замiнено словами "володiлець iнформацiї" у вiдповiдному вiдмiнку i числi; слова "iнформацiя, яка є власнiстю держави" у всiх вiдмiнках замiнено словами "державнi iнформацiйнi ресурси" у вiдповiдному вiдмiнку згiдно iз Законом України вiд 27 березня 2014 року N 1170-VII) |
Цей Закон регулює вiдносини у сферi захисту iнформацiї в iнформацiйних, електронних комунiкацiйних та iнформацiйно-комунiкацiйних системах (далi - система).
(преамбула iз змiнами, внесеними згiдно iз Законом України вiд 16.12.2020р. N 1089-IX) |
Стаття 1. Визначення термiнiв
У цьому Законi наведенi нижче термiни вживаються в такому значеннi:
блокування iнформацiї в системi - дiї, внаслiдок яких унеможливлюється доступ до iнформацiї в системi;
виток iнформацiї - результат дiй, внаслiдок яких iнформацiя в системi стає вiдомою чи доступною фiзичним та/або юридичним особам, що не мають права доступу до неї;
володiлець iнформацiї - фiзична або юридична особа, якiй належать права на iнформацiю;
(абзац четвертий статтi 1 у редакцiї Закону України вiд 27.03.2014р. N 1170-VII) |
власник системи - фiзична або юридична особа, якiй належить право власностi на систему;
доступ до iнформацiї в системi - отримання користувачем можливостi обробляти iнформацiю в системi;
захист iнформацiї в системi - дiяльнiсть, спрямована на запобiгання несанкцiонованим дiям щодо iнформацiї в системi;
знищення iнформацiї в системi - дiї, внаслiдок яких iнформацiя в системi зникає;
iнформацiйна (автоматизована) система - органiзацiйно-технiчна система, в якiй реалiзується технологiя обробки iнформацiї з використанням технiчних i програмних засобiв;
iнформацiйно-комунiкацiйна система - сукупнiсть iнформацiйних та електронних комунiкацiйних систем, якi у процесi обробки iнформацiї дiють як єдине цiле;
(абзац одинадцятий статтi 1 iз змiнами, внесеними згiдно iз Законом України вiд 16.12.2020р. N 1089-IX) |
комплексна система захисту iнформацiї - взаємопов'язана сукупнiсть органiзацiйних та iнженерно-технiчних заходiв, засобiв i методiв захисту iнформацiї;
користувач iнформацiї в системi (далi - користувач) - фiзична або юридична особа, яка в установленому законодавством порядку отримала право доступу до iнформацiї в системi;
криптографiчний захист iнформацiї - вид захисту iнформацiї, що реалiзується шляхом перетворення iнформацiї з використанням спецiальних (ключових) даних з метою приховування/вiдновлення змiсту iнформацiї, пiдтвердження її справжностi, цiлiсностi, авторства тощо;
несанкцiонованi дiї щодо iнформацiї в системi - дiї, що провадяться з порушенням порядку доступу до цiєї iнформацiї, установленого вiдповiдно до законодавства;
обробка iнформацiї в системi - виконання однiєї або кiлькох операцiй, зокрема: збирання, введення, записування, перетворення, зчитування, зберiгання, знищення, реєстрацiї, приймання, отримання, передавання, якi здiйснюються в системi за допомогою технiчних i програмних засобiв;
порушення цiлiсностi iнформацiї в системi - несанкцiонованi дiї щодо iнформацiї в системi, внаслiдок яких змiнюється її вмiст;
порядок доступу до iнформацiї в системi - умови отримання користувачем можливостi обробляти iнформацiю в системi та правила обробки цiєї iнформацiї;
електронна комунiкацiйна система - сукупнiсть технiчних i програмних засобiв, призначених для обмiну iнформацiєю шляхом передавання, випромiнювання та/або приймання її у виглядi сигналiв, знакiв, звукiв, рухомих або нерухомих зображень чи в iнший спосiб;
(абзац дев'ятнадцятий статтi 1 iз змiнами, внесеними згiдно iз Законом України вiд 16.12.2020р. N 1089-IX) |
технiчний захист iнформацiї - вид захисту iнформацiї, спрямований на забезпечення за допомогою iнженерно-технiчних заходiв та/або програмних i технiчних засобiв унеможливлення витоку, знищення та блокування iнформацiї, порушення цiлiсностi та режиму доступу до iнформацiї.
Iншi термiни вживаються у значеннi, наведеному в законах України "Про iнформацiю" та "Про технiчнi регламенти та оцiнку вiдповiдностi".
(статтю 1 доповнено частиною другою згiдно iз Законом України вiд 04.06.2020р. N 681-IX) |
Стаття 2. Об'єкти захисту в системi
Об'єктами захисту в системi є iнформацiя, що обробляється в нiй, та програмне забезпечення, яке призначено для обробки цiєї iнформацiї.
Стаття 3. Суб'єкти вiдносин
Суб'єктами вiдносин, пов'язаних iз захистом iнформацiї в системах, є:
володiлцi iнформацiї;
власники системи;
користувачi;
спецiально уповноважений центральний орган виконавчої влади з питань органiзацiї спецiального зв'язку та захисту iнформацiї i пiдпорядкованi йому регiональнi органи.
(абзац п'ятий частини першої статтi 3 у редакцiї Закону України вiд 15.01.2009р. N 879-VI) |
абзац шостий частини першої статтi 3 виключено
(частину першу статтi 3 доповнено абзацом шостим згiдно iз Законом України вiд 16.01.2014р. N 721-VII, абзац шостий частини першої статтi 3 втратив чиннiсть у зв'язку з втратою чинностi Законом України вiд 16.01.2014р. N 721-VII згiдно iз Законом України вiд 28.01.2014р. N 732-VII, виключено згiдно iз Законом України вiд 23.02.2014р. N 767-VII) |
Частину другу статтi 3 виключено
(згiдно iз Законом України вiд 27.03.2014р. N 1170-VII) |
Стаття 4. Доступ до iнформацiї в системi
Порядок доступу до iнформацiї, перелiк користувачiв та їх повноваження стосовно цiєї iнформацiї визначаються володiльцем iнформацiї.
Порядок доступу до державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелiк користувачiв та їх повноваження стосовно цiєї iнформацiї визначаються законодавством.
У випадках, передбачених законом, доступ до iнформацiї в системi може здiйснюватися без дозволу її володiльця в порядку, встановленому законом.
(частина третя статтi 4 iз змiнами, внесеними згiдно iз Законом України вiд 27.03.2014р. N 1170-VII) |
Стаття 5. Вiдносини мiж володiльцем iнформацiї та власником системи
Власник системи забезпечує захист iнформацiї в системi в порядку та на умовах, визначених у договорi, який укладається ним iз володiльцем iнформацiї, якщо iнше не передбачено законом.
Власник системи на вимогу володiльця iнформацiї надає вiдомостi щодо захисту iнформацiї в системi.
Стаття 6. Вiдносини мiж власником системи та користувачем
Власник системи надає користувачевi вiдомостi про правила i режим роботи системи та забезпечує йому доступ до iнформацiї в системi вiдповiдно до визначеного порядку доступу.
Стаття 7. Вiдносини мiж власниками систем
Власник системи, яка використовується для обробки iнформацiї з iншої системи, забезпечує захист такої iнформацiї в порядку та на умовах, що визначаються договором, який укладається мiж власниками систем, якщо iнше не встановлено законодавством.
Власник системи, яка використовується для обробки iнформацiї з iншої системи, повiдомляє власника зазначеної системи про виявленi факти несанкцiонованих дiй щодо iнформацiї в системi.
Стаття 8. Умови обробки iнформацiї в системi
Умови обробки iнформацiї в системi визначаються власником системи вiдповiдно до договору з володiльцем iнформацiї, якщо iнше не передбачено законодавством.
Державнi iнформацiйнi ресурси або iнформацiя з обмеженим доступом, вимога щодо захисту якої встановлена законом, повиннi оброблятися в системi iз застосуванням комплексної системи захисту iнформацiї з пiдтвердженою вiдповiднiстю. Пiдтвердження вiдповiдностi комплексної системи захисту iнформацiї здiйснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм iнформацiйної безпеки у порядку, встановленому законодавством.
(частина друга статтi 8 iз змiнами, внесеними згiдно iз Законами України вiд 27.03.2014р. N 1170-VII, вiд 04.06.2020р. N 681-IX) |
Пiдтвердження вiдповiдностi та проведення державної експертизи засобiв технiчного i криптографiчного захисту iнформацiї здiйснюються в порядку, встановленому законодавством. Для створення комплексної системи захисту державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби криптографiчного захисту iнформацiї, якi мають позитивний експертний висновок за результатами державної експертизи у сферi криптографiчного захисту iнформацiї, та засоби технiчного захисту iнформацiї, якi мають позитивний експертний висновок за результатами державної експертизи у сферi технiчного захисту iнформацiї або сертифiкат вiдповiдностi, виданий органом з оцiнки вiдповiдностi, який акредитовано:
нацiональним органом України з акредитацiї;
чи нацiональним органом з акредитацiї iншої держави, якщо i нацiональний орган України з акредитацiї, i нацiональний орган з акредитацiї такої держави є членами мiжнародної або регiональної органiзацiї з акредитацiї та/або уклали з такою органiзацiєю угоду про взаємне визнання щодо оцiнки вiдповiдностi.
(частина третя статтi 8 у редакцiї Закону України вiд 04.06.2020р. N 681-IX) |
Державнi iнформацiйнi ресурси та iнформацiя з обмеженим доступом, крiм державної таємницi, службової iнформацiї та державних i єдиних реєстрiв, створення та забезпечення функцiонування яких визначено законами, можуть оброблятися в системi без застосування комплексної системи захисту iнформацiї у разi виконання всiх таких умов:
пiдтвердження вiдповiдностi системи управлiння iнформацiйною безпекою за результатами процедури з оцiнки вiдповiдностi нацiональним стандартам України щодо систем управлiння iнформацiйною безпекою, яка проведена органом з оцiнки вiдповiдностi, акредитованим нацiональним органом України з акредитацiї чи нацiональним органом з акредитацiї iншої держави, якщо i нацiональний орган України з акредитацiї, i нацiональний орган з акредитацiї такої держави є членами мiжнародної або регiональної органiзацiї з акредитацiї та/або уклали з такою органiзацiєю угоду про взаємне визнання щодо оцiнки вiдповiдностi;
використання для захисту iнформацiї в системi засобiв криптографiчного захисту iнформацiї, якi мають позитивний експертний висновок за результатами державної експертизи у сферi криптографiчного захисту iнформацiї;
жоден з елементiв системи не може бути розташований на територiях України, на яких органи державної влади України тимчасово не здiйснюють своїх повноважень, на територiях держав, визнаних Верховною Радою України державами-агресорами, на територiях держав, щодо яких застосованi санкцiї вiдповiдно до Закону України "Про санкцiї", та на територiях держав, якi входять до митних союзiв з такими державами;
виконання особливих вимог, встановлених Кабiнетом Мiнiстрiв України до забезпечення захисту iнформацiї в системах залежно вiд категорiї державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, що обробляються.
(статтю 8 доповнено частиною четвертою згiдно iз Законом України вiд 04.06.2020р. N 681-IX) |
Стаття 9. Забезпечення захисту iнформацiї в системi
Вiдповiдальнiсть за забезпечення захисту iнформацiї в системi покладається на власника системи.
Власник системи, в якiй обробляються державнi iнформацiйнi ресурси або iнформацiя з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту iнформацiї або призначає осiб, на яких покладається забезпечення захисту iнформацiї та контролю за ним.
(частина друга статтi 9 iз змiнами, внесеними згiдно iз Законом України вiд 27.03.2014р. N 1170-VII) |
Про спроби та/або факти несанкцiонованих дiй у системi щодо державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повiдомляє вiдповiдно спецiально уповноважений центральний орган виконавчої влади з питань органiзацiї спецiального зв'язку та захисту iнформацiї або пiдпорядкований йому регiональний орган.
(частина третя статтi 9 iз змiнами, внесеними згiдно iз Законом України вiд 15.01.2009р. N 879-VI) |
Стаття 10. Повноваження державних органiв у сферi захисту iнформацiї в системах
Вимоги до забезпечення захисту державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом, встановлюються Кабiнетом Мiнiстрiв України.
Частину другу статтi 10 виключено
(згiдно iз Законом України вiд 15.01.2009р. N 879-VI) |
Спецiально уповноважений центральний орган виконавчої влади з питань органiзацiї спецiального зв'язку та захисту iнформацiї:
(абзац перший частини третьої статтi 10 у редакцiї Закону України вiд 15.01.2009р. N 879-VI) |
розробляє пропозицiї щодо державної полiтики у сферi захисту iнформацiї та забезпечує її реалiзацiю в межах своєї компетенцiї;
визначає вимоги та порядок створення комплексної системи захисту державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом;
органiзовує проведення державної експертизи комплексних систем захисту iнформацiї, експертизи та пiдтвердження вiдповiдностi засобiв технiчного i криптографiчного захисту iнформацiї;
здiйснює контроль за забезпеченням захисту державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом;
здiйснює заходи щодо виявлення загрози державним iнформацiйним ресурсам вiд несанкцiонованих дiй в iнформацiйних, електронних комунiкацiйних та iнформацiйно-комунiкацiйних системах та дає рекомендацiї з питань запобiгання такiй загрозi.
(частину третю статтi 10 доповнено абзацом згiдно iз Законом України вiд 19.03.2009р. N 1180-VI, абзац шостий частини третьої статтi 10 iз змiнами, внесеними згiдно iз Законом України вiд 16.12.2020р. N 1089-IX) |
Державнi органи в межах своїх повноважень за погодженням вiдповiдно iз спецiально уповноваженим центральним органом виконавчої влади з питань органiзацiї спецiального зв'язку та захисту iнформацiї або пiдпорядкованим йому регiональним органом встановлюють особливостi захисту державних iнформацiйних ресурсiв або iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена законом.
(частина четверта статтi 10 iз змiнами, внесеними згiдно iз Законом України вiд 15.01.2009р. N 879-VI) |
Особливостi захисту iнформацiї в системах, якi забезпечують банкiвську дiяльнiсть, встановлюються Нацiональним банком України.
Стаття 11. Вiдповiдальнiсть за порушення законодавства про захист iнформацiї в системах
Особи, виннi в порушеннi законодавства про захист iнформацiї в системах, несуть вiдповiдальнiсть згiдно iз законом.
Стаття 12. Мiжнароднi договори
Якщо мiжнародним договором, згода на обов'язковiсть якого надана Верховною Радою України, визначено iншi правила, нiж тi, що передбаченi цим Законом, застосовуються норми мiжнародного договору.
Стаття 13. Прикiнцевi положення
1. Цей Закон набирає чинностi з 1 сiчня 2006 року.
2. Нормативно-правовi акти до приведення їх у вiдповiднiсть iз цим Законом дiють у частинi, що не суперечить цьому Закону.
3. Кабiнету Мiнiстрiв України та Нацiональному банку України в межах своїх повноважень протягом шести мiсяцiв з дня набрання чинностi цим Законом:
привести свої нормативно-правовi акти у вiдповiднiсть iз цим Законом;
забезпечити приведення мiнiстерствами та iншими центральними органами виконавчої влади їх нормативно-правових актiв у вiдповiднiсть iз цим Законом.
Президент України | Л. КУЧМА |
м. Київ
5 липня 1994 року
N 80/94-ВР