Стаття 9. Службова інформація
1. До службової може належати така інформація:
1) що міститься в документах суб'єктів владних повноважень, які становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов'язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню та/або прийняттю рішень;
2) зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці.
2. Документам, що містять інформацію, яка становить службову інформацію, присвоюється гриф «для службового користування».
Закон України «Про захист персональних даних» (2010)
Стаття 5. Об'єкти захисту
1. Об'єктами захисту є персональні дані.
2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
Закон України «Про електронні документи та електронний документообіг» (2003)
Стаття 15. Обіг електронних документів, що містять інформацію з обмеженим доступом
В інформаційних, телекомунікаційних, інформаційно-телекомунікаційних системах, які забезпечують обмін електронними документами, що містять інформацію, яка є власністю держави, або ІзОД, повинен забезпечуватися захист цієї інформації відповідно до законодавства.
Таким чином, потрібно захищати ІзОД та інформацію, що є власністю держави та циркулює в інформаційно-телекомунікаційних системах.
Види захисту інформації
1. Організаційний – попередження доступу на об'єкт інформаційної діяльності сторонніх осіб за допомогою організаційних заходів (охорона, пропускний режим, регламентація доступу тощо).
2. Інженерний – попередження доступу на об'єкт інформаційної діяльності сторонніх осіб та руйнування об’єкту захисту внаслідок навмисних дій або природного впливу інженерно-технічними засобами (обмежуючі конструкції доступу, відеоспостереження, охоронно-пожежна сигналізація тощо).
3. Технічний (ТЗІ) – забезпечення обмеження доступу до інформації апаратно-технічними засобами (зашумлення, маршрутизатори, антивіруси, фаєрволи, смарт-карти тощо):
– захист від витоку технічними каналами;
– захист від НСД.
4. Криптографічний (КЗІ) – попередження доступу до інформації за допомогою математичних перетворень:
– попередження несанкціонованої модифікації;
– попередження несанкціонованого розголошення.
Закон України «Про захист інформації в автоматизованих системах» визначив термін захист інформації: це сукупність організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи АС та осіб, які користуються інформацією. Разом з тим, у законі ще не застосовувалось таке поняття як комплексна система захисту інформації.
Також він визначив термін автоматизована система (далі – АС): це система, що здійснює автоматизовану обробку даних і до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки та зв'язку), а також методи і процедури, програмне забезпечення.
Згідно ДСТУ 2226—93 «Автоматизовані системи. Терміни та визначення»:
АС – організаційно-технічна система, що складається із засобів автоматизації певного виду (чи кількох видів) діяльності людей та персоналу, що здійснює цю діяльність.
Згідно НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу»:
– АС – організаційно-технічна система, що реалізує інформаційну технологію та поєднує у собі: обчислювальну систему, фізичне середовище, персонал та інформацію, яка обробляється.
– захист інформації в АС – діяльність, спрямована на забезпечення безпеки оброблюваної в АС інформації та системи у цілому, що дає змогу запобігти реалізації загроз або унеможливити її, та зменшити ймовірність завдання збитків від реалізації загроз.
– комплексна система захисту інформації (далі – КСЗІ) – це сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.
Наступним етапним документом став Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», який був прийнятий у 2005 році на заміну Закону «Про захист інформації в АС». Він визначив багато нових термінів, зокрема, такі:
– КСЗІ – взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
– захист інформації в системі – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
– інформаційна (автоматизована) система – організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
– телекомунікаційна система – організаційно-технічна система, що реалізує технологію інформаційного обміну за допомогою технічних і програмних засобів шляхом передавання та приймання інформації у вигляді сигналів, знаків, звуків, зображень чи іншим чином;
– інформаційно-телекомунікаційна система (далі – ІТС) – сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
– інформаційний ресурс – будь-які дані в електронному вигляді, які обробляються або зберігаються в інформаційно-телекомунікаційній системі.
Закон України «Про захист інформації в ІТС»
Стаття 2. Об'єкти захисту в системі
Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Стаття 8. Умови обробки інформації в системі
Інформація, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням КСЗІ з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення КСЗІ, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Стаття 9. Забезпечення захисту інформації в системі
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.
Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, власник системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкований йому регіональний орган.
Стаття 10. Повноваження державних органів у сфері захисту інформації в системах
Вимоги до забезпечення захисту інформації, яка є власністю держави, або ІзОД, вимога щодо захисту якої встановлена законом, встановлюються Кабінетом Міністрів України.