- бути викладена на бланку державного органу встановленої форми;
- бути надана за підписом керівника державного органу, скріпленого гер-
бовою печаткою;
- містити передбачені цим Законом підстави для отримання цієї інформа-
ції;
- містити посилання на норми закону, відповідно до яких державний ор-
ган має право на отримання такої інформації.
Банку забороняється надавати інформацію про клієнтів іншого банку, на-
віть якщо їх імена зазначені у документах, угодах та операціях клієнта.
Банк має право надавати загальну інформацію, що становить банківську
таємницю, іншим банкам в обсягах, необхідних при наданні кредитів, банківсь-
ких гарантій.
Національний банк України має право відповідно до міжнародного дого-
вору, згода на обов'язковість якого надана Верховною Радою України, або за
принципом взаємності надати інформацію про банк органу банківського нагля-
ду іншої країни, якщо:
- це не порушує державні інтереси та банківську таємницю;
- є гарантії того, що отримана інформація не буде використана виключно
з метою банківського нагляду;
- є гарантія того, що отримана інформація не буде передана за межі орга-
ну банківського нагляду.
Особи, винні в порушенні порядку розкриття та використання банківської
таємниці, несуть відповідальність згідно із законами України.
• Наступним законом у низці законів, що регламентують банківську
діяльність є Закон України "Про платіжні системи та переказ грошей
в Україні". З позиції інформаційної безпеки нас стосується Розділ 8.
"Захист інформації при проведенні переказу". До цього розділу вхо-
дять статті 38, 39 і 40, які встановлюють вимоги щодо захисту інфо-
рмації, відповідальність суб'єктів переказу за забезпечення захисту
інформації та порядок надання інформаційних послуг.
Система захисту інформації повинна забезпечувати безперервний захист
інформації щодо переказу грошей на усіх станах її формування, обробки, пере-
дачі та збереження.
Порядок захисту та використання засобів захисту інформації щодо перека-
зу визначається законами України, нормативно-правовими актами Національ-
ного банку України та правилами платіжних систем.
Захист інформації забезпечується суб'єктами переказу грошей шляхом
обов'язкового впровадження захисту, що складається з:
- законодавчих актів України та інших нормативно-правових актів, а та-
кож внутрішніх нормативних актів суб'єктів переказу, що регулюють
порядок доступу та роботи з відповідною інформацією, а також відпові-
дальність за порушення цих правил;
- заходів охорони приміщень, технічного обладнання відповідної платіж-
ної системи та персоналу суб'єкта переказу;
- технологічних та програмно-апаратних засобів криптографічного захис-
ту інформації, що обробляється в платіжній системі.
Електронні документи, що містять інформацію, яка відноситься до банків-
ської таємниці або є конфіденційною, повинні бути зашифрованими під час пе-
редавання їх за допомогою телекомунікаційних каналів зв'язку.
Система ЗІ повинна забезпечувати:
- цілісність інформації, що передається в платіжній системі, та компонен-
тів платіжної системи;
- конфіденційність відмови ініціатора від факту передавання та утримува-
чем від факту прийняття документа на переказ, документа за операціями
із застосуванням засобів ідентифікації, документа на відкликання;
- забезпечення постійного та безперешкодного доступу до компонентів
платіжної системи особам, які мають на це право або повноваження, ви-
значені законодавством України.
Розробка заходів охорони, технологічних та програмно-апаратних засобів
криптографічного захисту здійснюється платіжною організацією відповідної
платіжної системи або іншою установою на її замовлення відповідно до зако-
нодавства України та вимог, встановлених. Національним банком України.
Суб'єкти переказу зобов'язані виконувати встановлені законодавством
України та правилами платіжних систем вимоги щодо ЗІ, яка обробляється за
допомогою цих платіжних систем. Правила платіжних систем мають передба-
чати відповідальність за порушення цих вимог з урахуванням вимог законодав-
ства України.
При проведенні переказу його суб'єкти мають здійснювати в межах своїх
повноважень захист відповідної інформації від:
- несанкціонованого доступу інформації - доступу до інформації щодо
переказу, що є банківською таємницею або є конфіденційною інформа-
цією, осіб, які не мають на це прав або повноважень, визначених законо-
давством України;
- несанкціонованих змін інформації - внесення змін або чи повного зни-
щення інформації щодо переказу особам, які не мають на це права або
повноважень, визначених законодавством України;
- несанкціонованих операцій з компонентами платіжних систем - викори-
стання або внесення змін до компонентів платіжної системи протягом її
функціонування.
До банківської таємниці належить інформація, визначена Законом України
"Про банки і банківську діяльність", а до конфіденційної інформації - інформа-
ція, що визначається іншими законами.
Працівники суб'єктів переказу повинні виконувати вимоги щодо ЗІ при
здійснені переказів, зберігати банківську таємницю та підтримувати конфіден-
ційність інформації, що використовується в системі захисту цієї інформації.
• Закон України "Про електронний цифровий зв'язок" визначає право-
вий статус електронного цифрового підпису та регулює відносини, що
виникають при використання електронного цифрового підпису.
Згідно з цим Законом, суб'єктами правових відносин у сфері послуг елект-
ронного цифрового зв'язку є:
- підписувач;
- користувач;
- центр сертифікації ключів;
- акредитований центр сертифікації ключів;
- центральний засвідчувальний орган;
- засвідчувальний центр органу виконавчої влади або іншого держав-
ного органу (далі - засвідчувальний центр);
- контролюючий орган.
За правовим статусом електронний цифровий підпис прирівнюється до
власноручного підпису (печатки) якщо:
електронний цифровий підпис підтверджено з використанням поси-
леного сертифіката ключа за допомогою надійних засобів цифрового під-
пису;
- під час перевірки використовувався посилений сертифікат ключа,
чинний на момент накладення електронного цифрового підпису;
- особистий ключ підписувача відповідає відкритому ключу, зазна-
ченому у сертифікаті.
Слід зазначити, що електронний цифровий підпис призначений для за-
безпечення діяльності фізичних та юридичних осіб, яка здійснюється з ви-
користанням електронних документів. Він використовується фізичними та
юридичними особами - суб'єктами електронного документообігу для іденти-
фікації підписувача та підтвердження цілісності даних в електронній формі.
Крім того, використання електронного цифрового підпису не змінює порядку
підписання договорів та інших документів, встановленого законом для вчи-
нення правочинів у письмовій формі. Нотаріальні дії із засвідчення справж-
ності електронного цифрового підпису на електронних документах вчиняються
відповідно до порядку, встановленого законом.
Органи державної влади, органи місцевого самоврядування, підприєм-
ства, установи та організації державної форми власності для засвідчення
чинності відкритого ключа використовують лише посилений сертифікат клю-
ча.
Інші юридичні та фізичні особи можуть на договірних засадах засвідчу-
вати чинність відкритого ключа сертифікатом ключа, сформованим
центром сертифікації ключів, а також використовувати електронний цифровий
підпис без сертифіката ключа.
Розподіл ризиків збитків, що можуть бути заподіяні підписувачам,
користувачам та третім особам, які користуються електронними цифровими
підписами без сертифіката ключа, визначається суб'єктами правових ві-
дносин у сфері послуг електронного цифрового підпису на договірних заса-
дах.
Захист прав споживачів послуг електронного цифрового підпису, а також
механізм реалізації захисту цих прав регулюються цим Законом та Законом
України.
Слід відзначити, що порядок застосування електронного цифрового під-
пису визначається кабінетом Міністрів України, а порядок його застосування в
банківській діяльності визначається Національним банком України згідно із За-
коном.
Сертифікат ключа містить такі обов'язкові дані:
- найменування та реквізити центру сертифікації ключів (центра-
льного засвідчувального органу, засвідчувального центру);
- зазначення, що сертифікат виданий в Україні;
- унікальний реєстраційний номер сертифіката ключа;
- основні дані (реквізити) підписувана - власника особистого ключа;
- дату і час початку та закінчення строку чинності сертифіката;
- відкритий ключ; найменування криптографічного алгоритму, що ви-
користовується власником особистого ключа;
- інформацію про обмеження використання підпису.
Посилений сертифікат ключа, крім обов'язкових даних, які містяться в
сертифікаті ключа, повинен мати ознаку посиленого сертифіката ключа.
При цьому слід враховувати, що зберігання особистих ключів підписува-
чів та ознайомлення з ними в центрі сертифікації ключів забороняється; поря-
док акредитації та вимоги, яким повинен відповідати акредитований цент сер-
тифікації ключів, встановлюється Кабінетом Міністрів України; Кабінет Мініс-
трів України за необхідності визначає засвідчувальний центр центрального ор-
гану виконавчої влади для забезпечення реєстрації, засвідчення чинності від-
критих ключів та акредитації групи центрів сертифікації ключів, які надають
послуги цифрового підпису цього органу і підпорядкованим йому підприємст-
вам та організаціям. Функції контролюючого органу здійснює спеціально упов-
новажений центральний орган виконавчої влади у сфері криптографічного ЗІ, а
центральний засвідчу вальний орган визначається Кабінетом Міністрів Украї-
ни.
Акредитований центр сертифікації ключів негайно скасовує сформова-
ний ним посилений сертифікат ключа у разі:
- закінчення строку чинності сертифіката ключа;
- подання заяви власника ключа або його уповноваженого представ-
ника;
- припинення діяльності юридичної особи - власника ключа;
- смерті фізичної особи - власника ключа або оголошення його помер-
лим за рішенням суду;
- визнання власника ключа недієздатним за рішенням суду;
- надання власником ключа недостовірних даних;
- компрометації особистого ключа.
Слід також враховувати, що центральний засвідчувальний орган негайно
скасовує посилений сертифікат ключа центру сертифікації ключів, засвідчу-
вального центру у разі:
- припинення діяльності з надання послуг електронного цифрового під-
пису;
- компрометації особистого ключа.
Центральний засвідчувальний орган, засвідчувальний центр, акредито-
ваний центр сертифікації ключів негайно блокують посилений сертифікат клю-
ча:
- у разі подання заяви власника ключа або його уповноваженого пред-
ставника;
- за рішенням суду, що набрало законної сили;
- у разі компрометації особистого ключа.
Блокований посилений сертифікат ключа поновлюється:
- у разі подання заяви власника ключа або його уповноваженого пред-
ставника;
- за рішенням суду, що набрало законної сили;
у разі встановлення недостовірності даних про компрометацію особи-
стого ключа.
Скасування і блокування посиленого сертифіката ключа набирає чинності
з моменту внесення до реєстру чинних, скасованих і блокованих посиле-
них сертифікатів із зазначенням дати та часу здійснення цієї операції. Цен-
тральний засвідчувальний орган, засвідчувальний центр, акредитований
центр сертифікації ключів негайно повідомляють про скасування або блоку-
вання посиленого сертифіката ключа його власника.
Центр сертифікації ключів припиняє свою діяльність відповідно до зако-
нодавства. Про рішення щодо припинення діяльності центр сертифікації
ключів повідомляє підписувачів за три місяці, якщо інші строки не визначено
законодавством. Підписувачі мають право обирати за власним бажанням
будь-який центр сертифікації ключів для подальшого обслуговування,
якщо інше не передбачено законодавством. Після повідомлення про при-
пинення діяльності центр сертифікації ключів не має права видавати нові сер-
тифікати ключів. Усі сертифікати ключів, що були видані центром сертифі-
кації ключів, після припинення його діяльності скасовуються.
Центр сертифікації ключів, що повідомив про припинення своєї діяльнос-
ті, зобов'язаний забезпечити захист прав споживачів шляхом повернення гро-
шей за послуги, що не можуть надаватися в подальшому, якщо вони були
попередньо оплачені.
Акредитований центр сертифікації ключів додатково повідомляє про рі-
шення щодо припинення діяльності центральний засвідчувальний орган або ві-
дповідний засвідчувальний центр.
Акредитований центр сертифікації ключів протягом доби, визначеної
як дата припинення його діяльності, передає посилені сертифікати ключів,
відповідні реєстри посилених сертифікатів ключів та документовану інфор-
мацію, яка підлягає обов'язковій передачі, відповідному засвідчувальному
центру або центральному засвідчувальному органу.
Порядок передачі акредитованим центром сертифікації ключів посиле-
них сертифікатів ключів, відповідних реєстрів посилених сертифікатів клю-
чів та документованої інформації, яка підлягає обов'язковій передачі, встано-
влюється Кабінетом Міністрів України.
• Закон України "Про електронні документи та електронний документо-
обіг" встановлює основні організаційно-правові засади електронного
документообігу та використання електронних документів.
Дія цього Закону поширюється на відносини, що виникають у процесі
створення, відправлення, передавання, одержання, зберігання, оброблення,
використання та знищення електронних документів.
При цьому електронний документ - документ, інформація в якому
зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити
документа. Склад та порядок розміщення обов'язкових реквізитів
електронних документів визначається законодавством. Електронний документ
може бути створений, переданий, збережений і перетворений електронними
засобами у візуальну форму.
Візуальною формою подання електронного документа є відобра-
ження даних, які він містить, електронними засобами або на папері у формі,
придатній для приймання його змісту людиною.
Електронний підпис є обов'язковим реквізитом електронного
документа, який використовується для ідентифікації автора та/або підписувача
електронного документа іншими суб'єктами електронного документообігу.
Накладанням електронного підпису завершується створення електро-
нного документа. Оригіналом електронного документа вважається електро-
нний примірник документа з обов'язковими реквізитами, у тому числі з елек-
тронним цифровим підписом автора.
У разі надсилання електронного документа кільком адресатам або його
зберігання на кількох електронних носіях інформації кожний з електро-
нних примірників вважається оригіналом електронного документа. Оригі-
нал електронного документа повинен давати змогу довести його цілісність
та справжність у порядку, визначеному законодавством; у визначених за-
конодавством випадках може бути пред'явлений у візуальній формі відо-
браження, в тому числі у паперовій копії.
Електронна копія електронного документа засвідчується у порядку,
встановленому законом. Копією документа на папері для електронного до-
кумента є візуальне подання електронного документа на папері, яке засвідчене
в порядку, встановленому законодавством.
Юридична сила електронного документа не може бути заперечена виклю-
чно через те, що він має електронну форму. Допустимість електронного доку-
мента як доказу не може заперечуватися виключно на підставі того, що він
має електронну форму.
Електронний документообіг (обіг електронних документів) - сукупність
процесів створення, оброблення, відправлення, передавання, одержання,
зберігання, використання та знищення електронних документів, які викону-
ються із застосуванням перевірки цілісності та у разі необхідності з підтвер-
дженням факту одержання таких документів.
Порядок електронного документообігу визначається державними органа-
ми, органами місцевого самоврядування, підприємствами, установами та
організаціями всіх форм власності згідно з законодавством.
Відправлення та передавання електронних документів здійснюються ав-
тором або посередником в електронній формі за допомогою засобів ін-
формаційних, телекомунікаційних, інформаційно-телекомунікаційних систем
або шляхом відправлення електронних носіїв, на яких записано цей документ.
Електронний документ вважається одержаним адресатом з часу надхо-
дження авторові повідомлення в електронній формі від адресата про одержання
цього електронного документа автора, якщо інше не передбачено законодав-
ством або попередньою домовленістю між суб'єктами електронного докуме-
нтообігу.
У разі ненадходження до автора підтвердження про факт одержання
цього електронного документа вважається, що електронний документ не одер-
жано адресатом договірних засадах, самостійно визначають режим доступу
до електронних документів, що містять конфіденційну інформацію, та вста-
новлюють для них систему (способи) захисту.
В інформаційних, телекомунікаційних, інформаційно-телекомунікаційних
системах, які забезпечують обмін електронними документами, що містять ін-
формацію, яка є власністю держави, або інформацію з обмеженим досту-
пом, повинен забезпечуватися захист цієї інформації відповідно до
законодавства.
Суб'єкти електронного документообігу користуються правами та мають
обов'язки, які встановлено для них законодавством.
Якщо в процесі організації електронного документообігу виникає не-
обхідність у визначенні додаткових прав та обов'язків суб'єктів електронного
документообігу, що не визначені законодавством, такі права та обов'язки
можуть встановлюватися цими суб'єктами на договірних засадах.
Вирішення спорів між суб'єктами електронного документообігу здійсню-
ється в порядку, встановленому законом.
Останнім законом у низці законів є Закон України "Про основні засади ро-
звитку інформаційного суспільства в Україні на 2007-2015 роки ".
Закон має 5 розділів: загальні положення; завдання, цілі та напрямки роз-
витку інформаційного суспільства в Україні; національна політика розвитку ін-
формаційного суспільства в Україні; організаційно-правові основи розвитку ін-
формаційного суспільства в Україні; очікувані результати.
Одним з головних пріоритетів України є прагнення побудувати орієнтовне
на інтересі людей, відкрите для всіх і спрямоване на розвиток інформаційного
суспільства, в якому кожен міг би створювати і накопичувати інформацію та
знання, мати до них вільний доступ, користуватися і обмінюватися ними, щоб
надати можливість кожній людині повною мірою реалізувати свій потенціал,
сприяючи суспільному і особистому розвиткові та підвищуючи якість життя.
Ступінь побудови інформаційного суспільства в Україні порівняно із сві-
товими тенденціями є недостатніми і не відповідає потенціалу та можливостя-
ми України, оскільки:
- відсутня координація зусиль державного і приватного секторів економі-
ки з метою ефективного використання наявних ресурсів;
- наявне відстанню у впровадженні технологій електронного бізнесу, еле-
ктронних бірж та аукціонів, електронних депозитаріїв, використання
безготівкових розрахунків за товари і послуги, тощо;
- рівень інформатизації окремих галузей економіки, деяких регіонів дер-
жави є низьким;
- розвиток нормативно-правової бази інформаційної сфери недостатній;
- створення інфраструктури для надання органами державної влади та ор-
ганами місцевого самоврядування юридичними і фізичними особами
інформаційних послуг з використанням мережі Інтернет відбувається
повільно;
- рівень комп'ютерної та інформаційної грамотності населення є недоста-
тнім, впровадження нових методів навчання із застосуванням сучасних
ІКТ -повільним;
- рівень інформаційної представленості України в Інтернет - просторі є
низьким, а присутність україномовних інформаційних ресурсів - недо-
статньою;
- не вирішуються у повному обсязі питання захисту авторських прав на
комп'ютерні програми, відсутні системні державні рішення, спрямовані
на створення національних інноваційних структур (центрів, технополі-
сів і технопарків) з розробки конкурентоспроможного програмного за-
безпечення;
Основні стратегічні цілі розвитку інформаційного суспільства в Україні:
- прискорення розробки та впровадження новітніх конкурентоспроможних
ІКТ в усі сфери суспільного життя, зокрема в економіку України і в дія-
льність органів державної влади та органів місцевого самоврядування;
- забезпечення комп'ютерної та інформаційної грамотності населення на-
самперед шляхом створення системи освіти, орієнтованої на використан-
ня новітніх ІКТ у формуванні всебічної розвиненої особистості;
- розвиток національної інфраструктури та її інтеграція із світовою інфра-
структурою;
- створення загальнодержавних інформаційних систем, насамперед у сфері
охорони здоров'я, освіти, науки, культури, охорони довкілля;
- використання ІКТ для вдосконалення державного управління, відносин
між державою і громадянами, становлення електронних форм взаємодії
між органами державної влади та органами місцевого самоврядування і
фізичними та юридичними особами;
- захист інформаційних прав громадян, насамперед щодо доступності ін-
формації, захисту інформації про особу, підтримки демократичних інсти-
тутів та мінімізації ризику "інформаційної нерівності ";
- покращення стану інформаційної безпеки в умовах використання новітніх
ІКТ.
За умов швидкого розвитку глобального інформаційного суспільства, ши-
рокого використання ІКТ у всіх сферах життя особливого значення набувають
проблеми інформаційної безпеки.
Вирішення проблеми інформаційної безпеки має здійснюватися шляхом:
- створення повно функціональної інформаційної інфраструктури держа-
ви та забезпечення захисту її критичних елементів;
- підвищення рівня координації діяльності державних органів щодо вияв-
лення, оцінки і прогнозування загроз інформаційній безпеці, запобіган-
ня таким загрозам та забезпечення ліквідації їх наслідків, здійснення
міжнародного співробітництва з цих питань;
- вдосконалення нормативно-правової бази щодо забезпечення інформа-
ційної безпеки, зокрема захисту інформаційних ресурсів, протидії ком-
п'ютерній злочинності, захисту персональних даних, а також, правоохо-
ронної діяльності в інформаційній сфері;
- розгортання та розвитку Національної системи конфіденційного зв'язку
як сучасної захищеної транспортної основи, здатної інтегрувати терито-
ріально розподілені інформаційні системи, в яких обробляється конфі-
денційна інформація.
Таким чином, розглянуті всі Закони України щодо інформаційної безпеки.
Глава III
