ВЕРХОВНЫЙ СОВЕТ УКРАИНЫ

ЗАКОН

О защите информации в автоматизированных системах

Целью настоящего Закона является установление основ регулирования правовых отношений по защите информации в автоматизированных системах при условии соблюдения права собственности граждан Украины и юридических лиц на информацию и права доступа к ней, права владельца информации на ее защиту, а также установленного действующим законодательством ограничения на доступ к информации.

Действие Закона распространяется на любую информацию, обрабатываемую в автоматизированных системах.

Раздел I

Общие положения

Статья 1. Определение терминов

В настоящем Законе термины употребляются в следующем значении:

Автоматизированная система (АС) - система, осуществляющая автоматизированную обработку данных и в состав которой входят технические средства их обработки (средства вычислительной техники и связи), а также методы и процедуры, программное обеспечение;

информация в АС - совокупность всех данных и программ, используемых в АС независимо от средств их физического и логического представления;

обработка информации - вся совокупность операций (сбор, ввод, запись, преобразование, считывание, хранение, уничтожение, регистрация), осуществляемых при помощи технических и программных средств, включая обмен по каналам передачи данных;

защита информации - совокупность организационно-технических мероприятий и правовых норм для предотвращения ущерба интересам владельца информации или АС и лиц, пользующихся информацией;

несанкционированный доступ - доступ к информации, осуществляемый с нарушением установленных в АС правил разделения доступа;

распорядитель АС - физическое или юридическое лицо, имеющее право распоряжаться АС по соглашению с ее владельцем или по его поручению;

персонал АС - физические лица, которых владелец АС или уполномоченное им лицо или распорядитель АС определили для осуществления функций управления и обслуживания АС;

нарушитель - физическое или юридическое лицо, которое умышленно или неумышленно осуществляет неправомерные действия относительно АС и информации в ней;

утечка информации - результат действий нарушителей, вследствие которых информация становится известной (доступной) субъектам, не имеющим права доступа к ней;

потеря информации - действие, вследствие которого информация в АС перестает существовать для физических или юридических лиц, имеющих право собственности на нее, в полном или ограниченном объеме;

подделка информации - умышленные действия, приводящие к искажению информации, которая должна обрабатываться или храниться в АС;

блокировка информации - действия, следствием которых является приостановка доступа к информации;

нарушение работы АС - действия или обстоятельства, приводящие к искажению процесса обработки информации.

Стать 2. Объекты защиты

Объектами защиты являются информация, обрабатываемая в АС, права владельцев этой информации и владельцев АС, права пользователя.

Защите подлежит любая информация в АС, необходимость защиты которой определяется ее владельцем или действующим законодательством.

Статья 3. Субъекты отношений

Субъектами отношений, связанных с обработкой информации в АС являются:

- владельцы информации или уполномоченные ими лица;

- владельцы АС или уполномоченные ими лица;

- пользователи информации;

- пользователи АС;

Статья 4. Право собственности на информацию
во время ее обработки

Право собственности на информацию, созданную как вторичную в процессе обработки в АС, устанавливается с учетом авторского права на основании соглашения между владельцем входной информации и пользователем АС. Если такого соглашения нет, то такая информация принадлежит пользователю АС, который осуществил эту обработку. Пользователь АС может проводить обработку информации только при наличии соглашения на то ее владельца или уполномоченного им лица, если эта информация не отнесена к категории общедоступной.

Статья 5. Гарантии юридической защиты

Субъекты права собственности, определенные авторским правом или договорными отношениями, имеют право на юридическую защиту от причинения ущерба владельцу информации или АС вследствие умышленной или неумышленной потери, уничтожения, подделки, искажения, блокировки информации и других неправомерных действий.

Статья 6. Доступ к информации

Доступ к информации, которая хранится, обрабатывается и передается в АС, осуществляется только согласно правилам разделения доступа, установленным владельцем информации или уполномоченным им лицом.

Без разрешения владельца доступ к информации, которая обрабатывается в АС, осуществляется только в случаях, предусмотренных действующим законодательством.

Раздел II
Отношения между субъектами в процессе
обработки информации в АС

Статья 7. Отношения между владельцем информации и
владельцем АС

Владелец АС должен обеспечить защиту информации согласно требованиям и правилам, которые обуславливаются соглашением с владельцем информации или уполномоченным им лицом, и обязан уведомить его о всех фактах нарушения ее защиты.

Если информация является собственностью государства или относится к государственной тайне или отдельным видам информации, защита которых гарантируется государством, то владелец АС должен обеспечить защиту информации согласно требованиям и правилам, которые определяет уполномоченный Кабинетом Министров Украины орган.

Владелец АС не несет ответственность за ущерб, причиненный владельцу информации, если при этом не были нарушены установленные владельцем информации правила ее защиты.

В соответствии с заключенным соглашением владелец информации или уполномоченное им лицо имеет право осуществлять контроль за соблюдением требований по защите информации и запрещать или прекращать обработку информации в случае нарушения этих требований.

Статья 8. Отношения между владельцем информации
и пользователем

Владелец информации, уполномоченные им на это лица определяют пользователей принадлежащей ему информации и устанавливают их полномочия.

Статья 9. Отношения между владельцем АС и
пользователем АС

Владелец или распорядитель АС предоставляет пользователям возможность доступа к информации, которая обрабатывается в АС, согласно полномочиям, установленным владельцем информации.

Владелец или распорядитель АС регламентирует порядок взаимодействия пользователей с АС по согласованию с владельцем информации.

Владелец или распорядитель АС должен информировать владельца и пользователя информации об особенностях методов обработки информации и пределе их использования, а владелец и пользователь информации должны подтвердить свое согласие на применение предложенных методов обработки и отсутствие претензий.

Распорядитель АС в обязательном порядке информирует владельца информации о технических возможностях защиты информации в его АС, типовых правилах, установленных для персонала АС.

Раздел III
Общие требования по защите информации

Статья 10. Обеспечение защиты информации в АС

Защита информации в АС обеспечивается путем:

соблюдения субъектами правовых отношений норм, требований и правил организационного и технического характера по защите обрабатываемой информации;

использования средств вычислительной техники, программного обеспечения, средств связи и АС в целом, средств защиты информации, которые отвечают установленным требованиям по защите информации (имеют соответствующий сертификат);

проверки соответствия средств вычислительной техники, программного обеспечения, средств связи и АС в целом установленным требованиям по защите информации (сертификация средств вычислительной техники, средств связи и АС);

осуществления контроля по защите информации.

Статья 11. Установление требований и правил
по защите информации

Требования и правила по защите информации, являющейся собственностью государства, или информации, защита которой гарантируется государством, устанавливаются государственным органом, уполномоченным Кабинетом Министров Украины. Эти требования и правила являются обязательными для владельцев АС, где такая информация обрабатывается, и имеют рекомендательный характер для иных субъектов прав собственности на информацию.

Статья 12. Условия обработки информации

информация, являющаяся собственностью государства, или информация, защита которой гарантируется государством,должна обрабатываться в АС, имеющей государственный сертификат (аттестат) защищенности, в порядке, определяемом уполномоченным Кабинетом Министров Украины органом.

В процессе сертификации (аттестации) этих АС осуществляются также проверка, сертификация (аттестация) разработанных средств защиты информации.

Информация,являющаяся собственностью других субъектов, может обрабатываться в указанных АС по усмотрению владельца информации. Владелец информации может обратиться в органы сертификации с ходатайством о проведении анализа возможностей АС по надлежащей защите его информации и получении соответствующих консультаций.

Раздел IV
Организация защиты информации в АС

Статья 13 Политика в области защиты информации

Политика в области защиты информации в АС определяется Верховным Советом Украины.

Статья 14. Государственное управление защитой
информации в АС

Уполномоченный Кабинетом Министров Украины орган осуществляет управление защитой информации путем:

проведения единой технической политики по защите информации;

разработки концепции, требований, нормативно-технических документов и научно-методических рекомендаций по защите информации в АС;

утверждения порядка организации, функционирования и контроля за выполнением мероприятий, направленных на защиту обрабатываемой в АС информации, являющейся собственностью государства, а также рекомендаций по защите информации - собственности юридических и физических лиц;

организации испытаний и сертификации средств защиты информации в АС, в которой осуществляется обработка информации, являющейся собственностью государства;

создания соответствующих структур для защиты информации в АС;

проведения аттестации сертификационных (испытательных) органов, центров и лабораторий, выдачи лицензии на право проведения сервисных работ в области защиты информации в АС;

осуществления контроля защищенности обрабатываемой в АС информации, являющейся собственностью государства;

определения порядка доступа лиц и организаций зарубежных государств к информации в АС, являющейся собственностью государства, или к информации - собственности физических и юридических лиц, по распространению и использованию которой государство установило ограничения.

Министерства, ведомства и другие центральные органы государственной исполнительной власти обеспечивают решение вопросов защиты информации в АС в пределах своих полномочий.

Статья 15. Службы защиты информации в АС

В государственных учреждениях и организациях могут создаваться подразделения, службы, организующие работу, связанную с защитой информации, поддержанием уровня защиты информации в АС и несут ответственность за эффективность защиты информации в соответствии с требованиями настоящего Закона.

Статья 16. Финансирование работ

Финансирование работ, связанных с защитой информации, обрабатываемой в АС, осуществляется владельцем АС.

Работы, связанные с выполнением дополнительных требований по защите информации, отличающихся от сертификационных, финансируются физическим или юридическим лицом, определившим их, или на договорной основе.

Раздел V
Ответственность сторон за нарушение закона по
защите информации

Статья 17. Ответственность за нарушение порядка
и правил защиты информации

Лица,виновные в нарушении порядка и правил защиты обрабатываемой в АС информации, несут дисциплинарную, административную, уголовную или материальную ответственность в соответствии с действующим законодательством Украины.

Статья 18. Возмещение ущерба

Ущерб, причиненный субъектам отношений, определенный статьей 3 настоящего Закона, вследствие незаконно созданного препятствия для доступа к информации, утечки или потери информации в АС, возмещается лицами, которые признаны виновными в этом.

Раздел VI
Международная деятельность в области защиты
информации в АС

Статья 19. Взаимодействие в вопросах защиты
информации в АС

С целью обеспечения межгосударственного взаимодействия вычислительных сетей и АС уполномоченные Кабинетом Министров Украины органы координируют свою работу по защите информации с органами защиты информации других государств.

Статья 20. Обеспечение информационных прав Украины

Физические и юридические лица в Украине на основании Закона Украины об информации целью обработки, обмена, продажи, купли открытой информации. Такие взаимосвязи должны исключать возможность несанкционированного доступа со стороны других государств или их представителей - резидентов Украины или лиц без гражданства к информации, имеющейся в АС Украины, независимо от форм собственности и подчинения, относительно которой установлены требования нераспространения ее за пределы Украины без специального разрешения.

Иностранные государства, иностранные физические и юридические лица могут выступать владельцами АС в Украине, владельцами информации, которая распространяется и обрабатывается в АС Украины, или основывать совместные с украинскими юридическими и физическими лицами предприятия с целью создания АС, предоставления информации в АС Украины, обмена информацией между АС Украины и АС других государств. Отдельные виды такой деятельности осуществляются на основе специального разрешения (лицензии), выдаваемого уполномоченным на это органом.

Президент Украины Л.КУЧМА

г. Киев,5 июля 1994 года
N 80/94-ВР