Юридичне та організаційне забезпечення захисту інформації

Юридичне забезпечення захисту інформації засновано на ряді статей Конституції України (зокрема, ст. 17, 32, 34), які визначають забезпечення інформаційної безпеки як одну з найважливіших функцій держави.

З початку 90-х років минулого століття в Україні діють національні правові норми, що регулюють питання захисту інформації в автоматизованих системах: розділ «Державне управління у сфері телекомунікації» Закону України «Про телекомунікації»від 18 листопада 2003 р.; Закони України «Про інформацію» від 2 жовтня 1992 р., «Про науково-технічну інформацію» від 25 червня 1993 р., «Про захист інформації в інформаційно-телекомунікаційних системах» від 5 липня 1994 р., «Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки» від 9 січня 2007 р., а також Укази Президента України «Про заходи щодо розвитку національної складової глобальної інформаційної мережі Інтернет та забезпечення широкого доступу до цієї мережі в Україні» від 31 липня 2000 р. та «Про заходи щодо захисту інформаційних ресурсів держави» від 10 квітня 2000 р. та інші.

З липня 2003 року в Україні введена кримінальна відповідальність за незаконне втручання в роботу комп’ютерів чи поширення комп’ютерних вірусів, яке призводить до спотворення, зникнення або блокування доступу до інформації чи носіїв. Тому правові проблеми захисту інформації можна також регулювати за шістнадцятим розділом Кримінального кодексу України. Зокрема, ст. 361 Кримінального кодексу України передбачає відповідальність за несанкціоноване втручання у роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку. Ст. 361 п.1 передбачає відповідальність за створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут. Ст. 361 п. 2 встановлює відповідальність за несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації. Ст. 362 передбачає відповідальність за несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї. А ст. 363 передбачає відповідальність за порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється. Ст. 363.1 передбачає відповідальність за перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку.

Слід брати до уваги також морально-етичні проблеми захисту, які реалізуються у вигляді різних норм, що традиційно сформувались в державі і суспільстві.

Організаційне забезпечення захисту інформації включає:

- загальносистемні заходи щодо створення науково-технічних і методологічних основ захисту систем (концепції, керівні документи тощо);

- заходи, що здійснюються при проектуванні, будівництві та обладнанні об’єктів захисту;

- проведення спеціальних перевірок всіх застосовуваних технічних засобів і проведення заходів щодо захисту інформації від витоку по технічним каналам;

- розробку та затвердження функціональних обов'язків посадових осіб служби безпеки;

- визначення порядку призначення, зміни, затвердження та надання конкретним посадовим особам необхідних повноважень з доступу до ресурсів системи;

- організацію надійного пропускного режиму;

- організацію обліку, зберігання, використання і знищення документів і носіїв з інформацією обмеженого доступу;

- створення підрозділів комп'ютерної безпеки або призначення позаштатних спеціалістів із захисту інформації.