Закон України «Про захист інформації в інформаційно-комунікаційних системах»
Коротко про закон
Закон України про захист інформації в інформаційно телекомунікаційних системах визначає базові правила охорони інформації, яка обробляється в інформаційно-комунікаційних системах. Йдеться не лише про технічну кібербезпеку, а й про юридичний режим доступу, повноваження власників інформації та систем, обов'язки користувачів і вимоги до захисту державних інформаційних ресурсів.
Акт застосовується до систем, у яких створюють, збирають, зберігають, передають або обробляють інформацію за допомогою технічних і програмних засобів. Він особливо важливий для державних органів, підприємств, операторів інформаційних ресурсів, розробників ІТ-рішень та осіб, які працюють із персональними, службовими або іншими обмеженими даними.
Що регулює закон
Закон встановлює правові засади захисту інформації в інформаційно-комунікаційних системах: хто відповідає за безпеку даних, як визначається режим доступу, які дії вважаються несанкціонованими та які вимоги висуваються до систем, що обробляють інформацію з обмеженим доступом. У центрі регулювання перебувають власник інформації, власник системи, користувачі та уповноважені органи у сфері технічного і криптографічного захисту інформації.
Окреме місце займає захист державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом. Для таких ресурсів застосовуються спеціальні організаційні й технічні заходи, зокрема створення комплексної системи захисту інформації та проходження оцінювання її відповідності у випадках, передбачених законодавством. Закон також пов'язаний із правилами доступу до публічної інформації, захистом персональних даних, електронними довірчими послугами, кібербезпекою та функціонуванням державних реєстрів.
Для кого закон є важливим
Насамперед закон стосується державних органів, органів місцевого самоврядування та установ, які ведуть електронні реєстри, бази даних, інформаційні портали або внутрішні системи документообігу. Для них він визначає не лише потребу технічного захисту, а й обов'язок правильно встановлювати режим доступу до інформації та контролювати дії користувачів.
Для бізнесу закон має значення тоді, коли підприємство створює або експлуатує інформаційну систему, обробляє конфіденційні дані, бере участь у державних ІТ-проєктах чи надає послуги з адміністрування інформаційних ресурсів. Він також важливий для розробників програмного забезпечення, системних інтеграторів, фахівців із кіберзахисту, адміністраторів мереж і посадових осіб, які відповідають за інформаційну безпеку.
Практичне застосування
На практиці закон застосовується під час створення електронного реєстру, запуску інформаційної системи державного органу, організації доступу працівників до службової бази даних, передачі інформації між установами або підключення зовнішніх користувачів до системи. Він допомагає визначити, хто має право обробляти інформацію, які дії потребують авторизації, як фіксувати доступ і хто відповідає за порушення встановленого режиму.
Типова ситуація — державний орган впроваджує систему, у якій обробляються персональні дані громадян або службова інформація. У такому разі недостатньо лише придбати програмне забезпечення: потрібно визначити категорії інформації, права користувачів, порядок адміністрування, заходи технічного захисту та відповідальних осіб. Якщо система обробляє державні інформаційні ресурси або інформацію з обмеженим доступом, можуть застосовуватися спеціальні вимоги Держспецзв'язку та пов'язані підзаконні акти.
Які питання виникають найчастіше
Під час застосування закону найчастіше виникають питання не про сам факт існування системи, а про правильний розподіл відповідальності між власником інформації, власником системи та користувачами. Також важливо розмежовувати вимоги цього закону і суміжних актів про персональні дані, публічну інформацію та кібербезпеку.
- які системи вважаються інформаційно-комунікаційними для цілей цього закону;
- хто відповідає за захист інформації, якщо власник даних і власник системи не збігаються;
- коли потрібна комплексна система захисту інформації;
- як визначається режим доступу до конфіденційної, службової або відкритої інформації;
- які дії користувача можуть вважатися несанкціонованим доступом;
- як закон співвідноситься із захистом персональних даних і кібербезпекою.
На що звернути увагу
Актуальна редакція закону враховує оновлену термінологію у сфері електронних комунікацій та інформаційних систем. Тому в практичному використанні варто орієнтуватися на чинну назву і сучасні поняття інформаційно-комунікаційних систем, навіть якщо в старих документах або технічній документації ще трапляється формулювання про інформаційно-телекомунікаційні системи.
Важливо враховувати, що закон не замінює спеціальні правила щодо державної таємниці, персональних даних, доступу до публічної інформації, електронних документів або кіберзахисту критичної інфраструктури. Він створює загальну правову рамку для захисту інформації в системах, а конкретні технічні процедури часто деталізуються підзаконними актами, стандартами технічного захисту та внутрішніми положеннями власника системи.
Висновок
Закон формує юридичну основу для безпечної обробки інформації в електронних системах: від визначення доступу користувачів до відповідальності за порушення режиму захисту. Його практична цінність полягає в тому, що він поєднує правові, організаційні та технічні вимоги до інформаційної безпеки, особливо коли йдеться про державні ресурси, службові дані або інформацію з обмеженим доступом.
Часті питання щодо закону
Які інформаційні системи підпадають під дію закону?
Закон поширюється на інформаційно-комунікаційні системи, у яких інформація створюється, зберігається, обробляється, передається або використовується за допомогою технічних і програмних засобів. Це можуть бути державні реєстри, відомчі бази даних, корпоративні системи, електронні сервіси та інші цифрові середовища, де є визначені користувачі й режим доступу.
Хто відповідає за захист інформації в системі?
Відповідальність залежить від ролей учасників: власник інформації визначає правовий режим даних, а власник системи забезпечує умови їх обробки та захисту. Якщо система використовується кількома суб’єктами, порядок доступу, адміністрування і відповідальності має бути врегульований організаційними документами або договорами.
Чи стосується закон персональних даних?
Так, якщо персональні дані обробляються в інформаційно-комунікаційній системі, вимоги цього закону застосовуються разом із законодавством про захист персональних даних. При цьому спеціальний закон про персональні дані визначає підстави та правила їх обробки, а цей акт встановлює загальні вимоги до захисту інформації в системі.
Коли потрібна комплексна система захисту інформації?
Комплексна система захисту інформації зазвичай потрібна для систем, у яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом. Її створення, перевірка та підтвердження відповідності регулюються не лише цим законом, а й підзаконними актами у сфері технічного захисту інформації.
Що вважається несанкціонованим доступом?
Несанкціонованим є доступ до інформації або системи без належних прав, з перевищенням наданих повноважень або з порушенням встановленого порядку використання. Це може стосуватися перегляду, копіювання, зміни, знищення чи передачі даних, якщо такі дії не дозволені власником інформації або системи.
Яка відповідальність можлива за порушення вимог захисту інформації?
Залежно від наслідків і характеру порушення може наставати дисциплінарна, цивільна, адміністративна або кримінальна відповідальність. Наприклад, незаконне втручання в роботу систем, розголошення інформації з обмеженим доступом або порушення правил обробки даних оцінюються з урахуванням інших законів і кодексів.
Чому в назві іноді вживають інформаційно-телекомунікаційні системи?
Таке формулювання використовувалося в попередніх редакціях і досі трапляється в старих документах, технічних завданнях або пошукових запитах. В актуальній редакції закон оперує сучаснішою термінологією інформаційно-комунікаційних систем, що відповідає оновленому законодавству про електронні комунікації.
Як закон пов’язаний із кібербезпекою?
Закон визначає загальні правила захисту інформації в системах, а законодавство про кібербезпеку деталізує питання захисту кіберпростору, критичної інфраструктури та реагування на кіберінциденти. На практиці ці акти застосовуються разом, особливо для державних ресурсів, реєстрів і систем, від стабільної роботи яких залежать публічні послуги.