23 август 2019
Либертариум Либертариум

Украинский законопроект

Поступил в комиссии Верховной Рады Украины.
Цей Закон встановлює правовi та органiзацiйнi основи дiяльностi в сферi контролю за станом iнформацiйно© безпеки в мережах передачi даних, спрямовано© на безпечне передавання i зберiгання iнформацi© в цих мережах.

28.12.1999
Роздiл ". Загальнi положення

Стаття 1. Визначення термiнiв

Термiни, що застосовуються в цьому Законi, мають таке значення:

  • данi -- iнформацiя, подана у формалiзованому виглядi, придатному для зберiгання, оброблення, пересилання й iнтерпретацi" користувачами з використанням технiчних засобiв, у тому числi по"днаних з прикладними процесами;
  • передача даних -- процес, який забезпечу" обмiн даними мiж користувачами з використанням технiчних засобiв, у тому числi по"днаних з прикладними процесами;
  • мережа передачi даних -- сукупнiсть засобiв електрозв'язку, що забезпечу" передачу даних мiж кiнцевим обладнанням користувачiв;
  • iнформацiйна безпека мережi передачi даних -- здатнiсть мережi передачi даних протистояти внутрiшнiм i зовнiшнiм загрозам конфiденцiйностi, цiлiсностi та доступностi iнформацi", яка переда"ться, обробля"ться або зберiга"ться в мережi передачi даних;
  • контроль за станом iнформацiйно" безпеки в мережах передачi даних -- дiяльнiсть операторiв i користувачiв мереж передачi даних та вiдповiдних державних органiв, спрямована на визначення та пiдтримання необхiдного стану iнформацiйно" безпеки мереж передачi даних;
  • контроль забезпечення iнформацiйно" безпеки в мережах передачi даних -- функцiя державних органiв та операторiв мережi, яка поляга" в перевiрцi, облiку або спостереженнi за заходами i процесами захисту мереж передачi даних вiд внутршiнiх i зовнiшнiх загроз;
  • державний орган контролю за станом iнформацiйно" безпеки в мережах передачi даних -- центральний орган виконавчо" влади або його структурний пiдроздiл, визначений Президентом Укра"ни для здiйснення контролю за станом iнформацiйно" безпеки в мережах передачi даних;
  • небезпечний фактор -- фактор, що порушу" або може порушити стан безпеки в мережi передачi даних;
  • монiторинг iнформацi" -- спостереження за певним потоком повiдомлень за допомогою технiчних засобiв, пiд час якого може забезпечуватися доступ до змiсту цих повiдомлень;
  • монiторинг мережi передачi даних -- спостереження за станом iнформацiйно" безпеки в мережах передачi даних шляхом збирання, аналiзу та збереження iнформацi", пiд час якого забезпечу"ться можливiсть доступу i накопичення iнформацi" про характер потокiв даних окремих користувачiв;
  • система монiторингу мереж передачi даних -- сукупнiсть необхiдних органiзацiйних заходiв та технiчних засобiв для забезпечення монiторингу iнформацi" i монiторингу мереж передачi даних;
  • оператор -- фiзична або юридична особа, яка проводить свою виробничу дiяльнiсть для забезпечення функцiонування мережi передачi даних з метою надання послуг з передачi даних користувачам;
  • користувач -- фiзична або юридична особа, яка ма" право користуватися послугами мережi передачi даних за договором з оператором цi"" мережi;
  • послуга передачi даних -- продукт (результат) дiяльностi оператора, спрямований на задоволення потреб користувачiв у вiдправленнi та отриманнi даних.

Стаття 2. Сфера дi" Закону

Дiя цього Закону поширю"ться на вiдносини, що виникають мiж суб'"ктами контролю за станом iнформацiйно" безпеки в мережах передачi даних, крiм спецiальних мереж передачi даних, а також мiж ними та iншими юридичними та фiзичними особами, якi впливають на стан iнформацiйно" безпеки в мережах передачi даних.

Вiдносини щодо контролю за станом iнформацiйно" безпеки спецiальних мереж передачi даних (системи урядового зв'язку, вiдомчих мереж Мiнiстерства оборони Укра"ни, Мiнiстерства внутрiшнiх справ Укра"ни та iншi) регулюються спецiальним законодавством Укра"ни.

Стаття 3. Законодавство з питань контролю за станом iнформацiйно" безпеки в мережах передачi даних

Вiдносини у сферi контролю за станом iнформацiйно" безпеки в мережах передачi даних регулюються Конституцi"ю Укра"ни, Законами Укра"ни "Про iнформацiю", "Про зв'язок", "Про захист iнформацi" в автоматизованих системах", цим Законом та iншими нормативно-правовими актами Укра"ни.

Стаття 4. Види контролю за станом iнформацiйно" безпеки в мережах передачi даних

Контроль за станом iнформацiйно" безпеки в мережах передачi даних здiйсню"ться за трьома видами: державний, операторський та контроль користувача.

Державний контроль здiйсню"ться державними органами контролю за станом iнформацiйно" безпеки в мережах передачi даних для виявлення, розслiдування i попередження випадкiв порушення iнформацiйно" безпеки в мережах передачi даних з метою гарантування нацiонально" безпеки, забезпечення законних iнтересiв користувачiв, держави i суспiльства. Державний контроль здiйсню"ться у таких випадках:

  • за планами державних органiв контролю за станом iнформацiйно" безпеки в мережах передачi даних;
  • за зверненням операторiв;
  • за зверненням користувачiв.

Операторський контроль здiйсню"ться оператором мережi передачi даних для виявлення та розслiдування випадкiв порушень стану iнформацiйно" безпеки з метою пiдтримання стану iнформацiйно" безпеки в експлуатованiй ним мережi. Операторський контроль провадиться згiдно з вiдповiдними нормативними документами, якi не повиннi суперечити державним i галузевим стандартам у сферi контролю за станом iнформацiйно" безпеки в мережах передачi даних. Цей контроль здiйсню"ться у таких випадках:

  • за планами оператора;
  • за зверненням операторiв сумiжних мереж;
  • за зверненням користувачiв;
  • зверненням державних органiв контролю за станом iнформацiйно" безпеки в мережах передачi даних.

Контроль користувача здiйсню"ться згiдно з умовами договору користування послугами мережi передачi даних з оператором у випадках виникнення у користувача необхiдностi такого контролю.

Стаття 5. Державна полiтика у сферi контролю за станом iнформацiйно" безпеки в мережах передачi даних

Державна полiтика у сферi контролю за станом iнформацiйно" безпеки в мережах передачi даних визнача"ться виходячи з прiоритетностi захисту iнтересiв громадянина, суспiльства i держави вiд загроз цим iнтересам в результатi порушення конфiденцiйностi, цiлiсностi й доступностi iнформацi" пiд час користування мережами передачi даних. Вона " напрямом державно" полiтики нацiонально" безпеки Укра"ни в iнформацiйнiй сферi щодо захисту свого iнформацiйного простору i здiйсню"ться шляхом створення державно" системи контролю за станом iнформацiйно" безпеки в мережах передачi даних, розроблення нормативно-правових актiв з регулювання дiяльностi в цiй сферi, а також щодо адмiнiстративно", кримiнально" вiдповiдальностi за порушення стану iнформацiйно" безпеки в мережах передачi даних.

Роздiл II. Дiяльнiсть у сферi контролю за станом iнформацiйно" безпеки в мережах передачi даних

Стаття 6. Мета контролю за станом iнформацiйно" безпеки в мережах передачi даних

Метою контролю за станом iнформацiйно" безпеки в мережах передачi даних " забезпечення додержання вимог законодавства з питань iнформацiйно" безпеки в мережах передачi даних операторами та користувачами, якi здiйснюють передачу даних засобами електрозв'язку, незалежно вiд форм власностi та пiдпорядкування.

Стаття 7. Об'"кти контролю за станом iнформацiйно" безпеки в мережах передачi даних

Об'"ктами контролю за станом iнформацiйно" безпеки в мережах передачi даних " мережi передачi даних рiзних форм власностi та iнформацiя, що переда"ться, обробля"ться або зберiга"ться у цих мережах.

Стаття 8. Суб'"кти контролю за станом iнформацiйно" безпеки в мережах передачi даних

Суб'"ктами контролю за станом iнформацiйно" безпеки в мережах передачi даних ":

  • державнi органи, що здiйснюють контроль за станом iнформацiйно" безпеки в мережах передачi даних;
  • оператори, якi надають послуги з використанням цих мереж;
  • користувачi.

Стаття 9. Забезпечення дiяльностi у сферi контролю за станом iнформацiйно" безпеки в мережах передачi даних

Державний контроль за станом iнформацiйно" безпеки в мережах передачi даних здiйсню"ться iз застосуванням систем монiторингу мереж передачi даних.

Державний контроль забезпечення iнформацiйно" безпеки в мережах передачi даних здiйсню"ться уповноваженим Кабiнетом Мiнiстрiв Укра"ни органом з метою перевiрки, облiку, спостереження за впровадженням заходiв захисту мереж передачi даних вiд iнформацiйних загроз.

Усi види забезпечення, необхiднi для здiйснення державного контролю згiдно з планами державних органiв контролю за станом iнформацiйно" безпеки в мережах передачi даних, надаються за рахунок коштiв операторiв, якщо iнше не передбачено законодавством.

Державний контроль за станом iнформацiйно" безпеки в мережах передачi даних та розслiдування порушень стану iнформацiйно" безпеки в цих мережах виконуються державним органом контролю за станом шформацiйно" безпеки в мережах передачi даних за зверненням операторiв та користувачiв за "х рахунок.

Роздiл III. Права та обов'язки суб'"ктiв контролю за станом iнформацiйно" безпеки в мережах передачi даних

Стаття 10. Права державних органiв контролю за станом iнформацiйно" безпеки в мережах передачi даних

Державнi органи контролю за станом iнформацiйно" безпеки в мережах передачi даних у межах наданих повноважень мають право:

  • контролювати стан шформацiйно" безпеки в мережах передачi даних будьяко" форми власностi;
  • здiйснювати монiторинг мережi передачi даних та монiторинг iнформацi", яка переда"ться, обробля"ться та зберi"а"ться у мережах передачi даних, з дотриманням вимог статей 31, 32, 34 Конституцi" Укра"ни у порядку, визначеному цим та i"шiими законами Укра"ни;
  • проводити розслiдування випадкiв порушень стану iнформацiйно" безпеки в мережах передачi даних;
  • обмежувати використання мереж передачi даних у випадках виявлення порушень стану iнформацiйно" безпеки в порядку, встановленому Кабiнетом Мiнiстрiв Укра"ни.

Стаття 11. Обов'язки державних органiв контролю за станом iнформацiйно" безпеки в мережах передачi даних

До обов'язкiв державних органiв контролю за станом iнформацiйно" безпеки в мережах передачi даних належить:

  • здiйснення державного контролю за станом iнформацiйно" безпеки в мережах передачi даних;
  • координацiя робiт iз здiйснення операторського контролю за станом iнформацiйно" безпеки в мережах передачi даних;
  • прийняття рiшень щодо введення обмежень на використання мереж передачi даних у випадках порушення показникiв стану "х iнформацiйно" безпеки у разi передачi iнформацi" з обмеженим доступом;
  • узагальнення iнформацi" про випадки порушення iнформацiйно" безпеки в мережах передачi даних, розроблення рекомендацiй щодо усунення порушень iнформацiйно" безпеки та мiнiмiзацiя наслiдкiв таких порушень;
  • iншi обов'язки, передбаченi цим Законом.

Стаття 12. Права операторiв

Оператори мають право:

  • розробляти та впроваджувати засоби i заходи контролю за станом iнформацiйно" безпеки для мереж передачi даних, якi ними експлуатуються, вiдповiдно до законодавства та нормативних документiв;
  • вiдключати вiд мереж передачi даних користувачiв, якi порушують норми цього Закону та правила користування цими мережами у частинi забезпечення iнформацiйно" безпеки;
  • здiйснювати монiторинг мережi передачi даних.

Стаття 13. Обов'язки операторiв

Оператори зобов'язанi:

  • вживати всi доступнi "м заходи i застосовувати засоби для забезпечення належного стану iнформацiйно" безпеки в мережах передачi даних, якi ними експлуатуються;
  • запобiгати спробам несанкцiонованого доступу до сво"х мереж передачi даних, якi ними експлуатуються, та до iнформацi", яка переда"ться, циркулю" або зберiга"ться в цих мережах;
  • повiдомляти державнi органи контролю за станом iнформацiйно" безпеки в мережах передачi даних про виявленi випадки порушень стану iнформацiйно" безпеки в мережах передачi даних;
  • забезпечувати можливiсть здiйснення державного контролю за станом iнформацiйно" безпеки в мережах передачi даних шляхом запровадження системи монiторингу мереж передачi даних;
  • для використання мережi передачi даних з метою передачi iнформацi" з обмеженим доступом отримати вiд уповноваженою Кабiнетом Мiнiстрiв Укра"ни державного органу атестат, який засвiдчу" вiдповiднiсть рiвня захищеностi iнформацi", яка переда"ться, циркулю" або зберiга"ться в мережi передачi даних, вимогам нормативних документiв з питань захисту iнформацi";
  • на вимогу державних органiв контролю за станом iнформацiйно" безпеки в мережах передачi даних iнформувати користувачiв про випадки порушення стану iнформацiйно" безпеки в мережах передачi даних.

Стаття 14. Права користувачiв

Користувачi мають право на:

  • здiйснення засобами та методами, що не забороненi законом, особистого контролю:
    • цiлiсностi надiслано" ними та до них iнформацi";
    • захищеностi iнформацi", власником яко" вони ", вiд несанкцiонованого доступу в мережах передачi даних;
  • одержання достовiрних i сво"часних вiдомостей про стан захищеностi iнформацi" в мережах передачi даних та про порушення iнформацiйно" безпеки мереж передачi даних у разi, коли цi порушення впливають безпосередньо на iнтереси користувача;
  • оскарження в установленому порядку дiй державних органiв та операторiв мереж передачi даних у сферi контролю за станом iнформацiйно" безпеки мереж передачi даних, а також на вiдшкодування збиткiв, заподiяних внаслiдок "х дiй.
Стаття 15. Гарантi" прав користувачiв

Права користувачiв щодо контролю за станом iнформацiйно" безпеки в мережах передачi даних забезпечуються:

  • зобов'язаннями операторiв здiйснювати технiчнi та iншi заходи для забезпечення належного стану iнформацiйно" безпеки в мережах передачi даних;
  • компенсацi"ю згiдно iз законодавством шкоди, заподiяно" внаслiдок порушень вимог нормативно-правових актiв, що регулюють вiдносини у сферi забезпечення та контролю за станом iнформацiйно" безпеки в мережах передачi даних;
  • забезпечувати захист iнформацi", що "м належить, цiлiснiсть, достовiрнiсть i необхiдний рiвень доступностi тако" iнформацi" в мережах передачi даних у порядку передбаченому цим Законом та iншими нормативно-правовими актами.

Стаття 16. Обов'язки користувачiв

Користувачi пiд час користування послугами мереж передачi даних зобов'язанi:

  • не порушувати законних iнтересiв та iнформацiйних прав iнших користувачiв, операторiв мереж передачi даних;
  • не допускати витоку, втрати та пiдроблення iнформацi", довiрено" "м на вiдповiдних умовах, не створювати умов для несанкцiонованого доступу до iнформацi" та мереж передачi даних;
  • не впливати на роботу мережi передачi даних сво"ми дiями чи бездiяльнiстю, що може призвести до порушення стану iнформацiйно" безпеки;
  • не створювати та не розповсюджувати засоби i методи несанкцiонованого проникнення в мережi передачi даних та не iнформувати iнших про таку можливiсть або про створення iнших небезпечних факторiв;
  • у разi отримання науково-технiчно" продукцi" (методiв, програм, проектiв технiчних заходiв тощо), яка може бути використана для створення небезпечних факторiв у мережах передачi даних, негайно вживати всiх необхiдних заходiв для обмеження доступу доцi"" продукцi";
  • повiдомляти державний орган контролю за станом iнформацiйно" безпеки у мережах передачi даних або оператора про випадки порушень безпеки в цих мережах;
  • сприяти дiяльностi контролюючих органiв пiд час проведення контролю за станом iнформацiйно" безпеки в мережах передачi даних.

Роздiл IV. Вiдповiдальнiсть за порушення стану iнформацiйно" безпеки в мережах передачi даних

Стаття 17. Види порушень стану iнформацiйно" безпеки в мережах передачi даних

Порушеннями стану iнформацiйно" безпеки в мережах передачi даних ":

  • самовiльне пiдключення до мереж передачi даних з метою використання "х ресурсiв;
  • спроби доступу до iнформацi" без згоди користувачiв;
  • самовiльне оволодiння вiдомостями про чужi адреси, номери, паролi тощо з метою доступу до мереж передачi даних та отримання "х послуг;
  • передача реквiзитiв доступу користувача без його згоди iншим особам;
  • спроби вплинути без вiдома оператора на роботу системи керування мережею;
  • змiна, знищення, блокування, спотворення iнформацi" в мережах передачi даних або використання без згоди користувачiв,
  • дi", що призвели до виходу з ладу або сутт"вого порушення роботи мережi передачi даних, а також оволодiння iнформацi"ю користувачiв без "х згоди.

Рiшення про проведення розслiдування порушення стану iнформацiйно" безпеки в мережах передачi даних за власною iнiцiативою або за зверненням операторiв чи користувачiв прийма" державний орган контролю стану iнформацiйно" безпеки в мережах передачi даних.

Факти порушень стану iнформацiйно" безпеки в мережах передачi даних розслiдуються державними органами контролю стану iнформацiйно" безпеки в мережах передачi даних з виявленням причин, наслiдкiв i винуватцiв порушень. До проведення розслiдування можуть залучатися за "х згодою оператори чи користувачi.

На пiдставi матерiалiв розслiдування порушень стану iнформацiйно" безпеки в мережах передачi даних державнi органи контролю за станом iнформацiйно" безпеки в мережах передачi даних розробляють та доводять до операторiв обов'язковi для виконання заходи, щодо усунення та запобiгання таким порушенням у майбутньому, здiйснюють iншi заходи, передбаченi цим Законом, а також встановлюють строк для усунення порушень.

Матерiали розслiдування порушень стану iнформацiйно" безпеки в мережах передачi даних за результатами контролю на запит користувачiв надаються "м у 10-денний строк з дня закiнчення розслiдування.

Стаття 18. Вiдповiдальнiсть за порушення стану iнформацiйно" Безпеки в мережах передачi даних

Особи, визнанi винними в порушеннi стану iнформацiйно" безпеки, несуть дисциплiнарну, адмiнiстративну, кримiнальну та цивiльно-правову вiдповiдальнiсть залежно вiд наслiдкiв, що виникли або могли виникнути вiд впливу на мережу передачi даних, згiдно iз законодавством.

Роздiл V. Мiжнародне спiвробiтництво в сферi контролю за станом iнформацiйно" безпеки в мережах передачi даних

Стаття 19. Мiжнародне спiвробiтництво в сферi контролю за станом iнформацiйно" безпеки в мережах передачi даних

Мiжнародне спiвробiтництво в сферi контролю за станом iнформацiйно" безпеки в мережах передачi даних здiйсню"ться вiдповiдно до мiжнародних договорiв з питань забезпечення iнформацiйно" безпеки в мережах передачi даних.

Координацiю дiяльностi центральних органiв виконавчо" влади з питань мiжнародного спiвробiтництва у сферi контролю стану iнформацiйно" безпеки в мережах передачi даних здiйсню" уповноважений Кабiнетом Мiнiстрiв Укра"ни центральний орган виконавчо" влади.

Експлуатацiя мереж передачi даних, якi дозволяють здiйснювати мiжнародний iнформацiйний обмiн, проводиться оператором, уповноваженим центральним органом виконавчо" влади з питань зв'язку та iнформатизацi" для надання послуг передачi даних на територi" Укра"ни iз забезпеченням iнформацiйно" безпеки мереж передачi даних.

Контроль за станом iнформацiйно" безпеки в мережах передачi даних, де вiдбува"ться мiжнародний iнформацiйний обмш, здiйсню"ться вiдповiдно до мiжнародних договорiв.

Роздiл VI. Прикiнцевi положення

  1. Цей Закон набира" чинностi з дня опублiкування.
  2. Кабiнету Мiнiстрiв Укра"ни протягом шести мiсяцiв з дня набрання чинностi цим Законом:
    • подати на розгляд Верховно" Ради Укра"ни пропозицi" щодо приведення законiв Укра"ни у вiдповiднiсть iз Законом Укра"ни "Про контроль за станом iнформацiйно" безпеки в мережах передачi даних";
    • розробити та затвердити нормативно-правовi акти, передбаченi цим Законом.
liberty@ice.ru Московский Либертариум, 1994-2019