99546

Охорона державної таємниці шпаргалка

Шпаргалка

Государство и право, юриспруденция и процессуальное право

Порядок засекречування та розсекречування матеріальних носіїв інформації. Суб’єкти охорони державної таємниці України та їх повноваження. Порядок надання, переоформлення, зупинення дії або скасування дозволу напровадження діяльності, пов’язаної з державною таємницею. Кримінальна відповідальність за злочини у сфері обігу персональних даних

Русский

2016-09-22

620 KB

1 чел.

2. Порядок засекречування та розсекречування матеріальних носіїв інформації.

Матеріальні носії секретної інформації - матеріальні об'єкти, в тому числі фізичні поля, в яких відомості, що становлять державну таємницю, відображені у вигляді текстів, знаків, символів, образів, сигналів, технічних рішень, процесів тощо;

розсекречування матеріальних носіїв секретної інформації - зняття в установленому законодавством порядку обмежень на поширення та доступ до конкретної секретної інформації шляхом скасування раніше наданого грифу секретності документам, виробам або іншим матеріальним носіям цієї інформації;

Стаття 15. Засекречування та розсекречування матеріальних носіїв інформації

Засекречування матеріальних носіїв інформації здійснюється шляхом надання на підставі Зводу відомостей, що становлять державну таємницю (розгорнутих переліків відомостей, що становлять державну таємницю), відповідному документу, виробу або іншому матеріальному носію інформації грифа секретності посадовою особою, яка готує або створює документ, виріб або інший матеріальний носій інформації. Засекречування документів здійснюється лише в частині відомостей, що становлять державну таємницю. У разі подання запиту на документ, частина якого засекречена, доступ до такого документа забезпечується в частині, що не засекречена. { Частина перша статті 15 в редакції Закону N 2432-VI (2432-17 ) від 06.07.2010; із змінами, внесеними згідно із Законом N 1170-VII (1170-18 ) від 27.03.2014 }

Гриф секретності кожного матеріального носія секретної інформації повинен відповідати ступеню секретності інформації, яка у ньому міститься, згідно із Зводом відомостей, що становлять державну таємницю, - "особливої важливості", "цілком таємно" або "таємно".Реквізити кожного матеріального носія секретної інформації складаються із: грифа секретності;

номера примірника;

статті Зводу відомостей, що становлять державну таємницю, на підставі якої здійснюється засекречення;

найменування посади та підпису особи, яка надала гриф секретності.

{ Частина друга статті 15 в редакції Закону N 2432-VI (2432-17 ) від 06.07.2010 }

Якщо реквізити, зазначені у частині другій цієї статті, неможливо нанести безпосередньо на матеріальний носій секретної інформації, вони мають бути зазначені у супровідних документах.

Забороняється надавати грифи секретності, передбачені цим Законом, матеріальним носіям іншої таємної інформації, яка не становить державної таємниці, або конфіденційної інформації.

Перелік посад, перебування на яких дає посадовим особам право надавати матеріальним носіям секретної інформації грифи секретності, затверджується керівником державного органу, органу місцевого самоврядування, підприємства, установи, організації, що провадить діяльність, пов'язану з державною таємницею. {Частина п'ята статті 15 із змінами, внесеними згідно із Законом N 2432-VI (2432-17 ) від 06.07.2010 }

Ступені секретності науково-дослідних, дослідно-конструкторських і проектних робіт, які виконуються в інтересах забезпечення національної безпеки та оборони держави, встановлюються шляхом винесення відповідного висновку державним експертом з питань таємниць, який виконує свої функції у сфері діяльності замовника, разом з підрядником. {Частина шоста статті 15 із змінами, внесеними згідно із Законом N 2432-VI (2432-17 ) від 06.07.2010 }

Після закінчення встановлених строків засекречування матеріальних носіїв інформації та у разі підвищення чи зниження визначеного державним експертом з питань таємниць ступеня секретності такої інформації або скасування рішення про віднесення її до державної таємниці керівники державних органів, органів місцевого самоврядування, підприємств, установ, організацій, у яких здійснювалося засекречування матеріальних носіїв інформації, або керівники державних органів, органів місцевого самоврядування, підприємств, установ, організацій, які є їх правонаступниками, чи керівники вищого рівня зобов'язані протягом шести місяців забезпечити зміну грифа секретності або розсекречування цих матеріальних носіїв секретної інформації та письмово повідомити про це керівників державних органів, органів місцевого самоврядування, підприємств, установ, організацій, яким були передані такі матеріальні носії секретної інформації.

Стаття 16. Строк засекречування матеріальних носіїв інформації

Строк засекречування матеріальних носіїв інформації має відповідати строку дії рішення про віднесення інформації до державної таємниці, встановленого рішенням державного експерта з питань таємниць.

Перебіг строку засекречування матеріальних носіїв інформації починається з часу надання їм грифа секретності.

Гриф повинен відповідати ступеню секретності інформації, яка у ньому міститься.

Реквізити матеріального носія складаються із:

грифа секретності;

номера примірника;

статті Зводу, на підставі якої здійснюється засекречення;

найменування посади та підпису особи, яка надала гриф секретності.

Якщо реквізити неможливо нанести на, вони мають бути зазначені у супровідних документах.

Забороняється надавати грифи носіям іншої таємної інформації, яка не становить дт.

Перелік посад, перебування на яких дає посадовим особам право надавати грифи секретності, затверджується керівником дов, омс, пуо, що провадить діяльність, пов'язану з тд.

Ступені секретності науково-дослідних, дослідно-конструкторських і проектних робіт, які виконуються в інтересах забезпечення національної безпеки та оборони держави, встановлюються шляхом винесення відповідного висновку експертом, який виконує свої функції у сфері діяльності замовника, разом з підрядником.

Після закінчення встановлених строків засекречування та у разі підвищення чи зниження ступеня секретності або скасування рішення про віднесення керівники дов, омс, пуо, у яких здійснювалося засекречування, або керівники дов, омс, пуо, які є їх правонаступниками, чи керівники вищого рівня зобов'язані протягом шести місяців забезпечити зміну грифа або розсекречування цих та письмово повідомити про це керівників дов, омс, пуо, яким були передані такі матеріальні носії.

5. Суб’єкти охорони державної таємниці України та їх повноваження.

1. Уповноважуючі (той, хто утворює с-му):

ВРУ: 1. визначає Держ політику щодо дт як складову засад Внут та зов політики; 2. законами визначає держ політику у сф дт, а також базові риси усієї с-ми ох дт: перелік суб’єктів, що прийм уч в процесах овяз з обігом дт, повноваження цих суб’єктів, порядок взаємодії між ними, врегулювання розуміння змісту дт, порядку віднесення і до дт та позбавлення її такого статусу, визнач види правопорушень в сф дт і види і міри відповідальності.

ПУ: має п визнач перелік посад осіб, що отр статус держ експерта з питань таємниць; мож вст. Більш тривалі строки дії р-нь експертів; дозволяє доступ до дт іноземцям та апатридам, а також санкціонувати передачу інозем стороні і про дт; забезпечує нац. Б-ку і зд управління у сф нац. Б-ки і оборони.РНБОУкоординує та контролює д-ть органів вик вл у сф ох дт.

Рада національної безпеки і оборони України координує та контролює діяльність органів виконавчої влади у сфері охорони державної таємниці.

КМУ: заб реалізацію держ політики щодо ох дт, визнач порядку здійснення держ заходів з ох дт. КМУ спрямовує та координує роботу міністерств, інших органів вик вл щодо заб зд держ політики у сф ох дт. Центральні та місцеві орг вик вл, Рада міністрів АРК та омс зд держ політику у сф ох дт в межах своїх повноважень, передбачених законом..

2. Уповноважені (які мають повноваження міжвідомчого контролю і взаємодії в с-мі):

СБУ – спец уповноважений орг. У сф ох дт; надає дозволи на пров д-ті, пов з дт (при зупинка, скасування); надає допуск громадянам до дт, у зв’язку з чим проводить їх перевірку; зд контроль за станом заб р-му секретності на об’єктах, що пров д-ть повяз з дт (гласний і негласний контроль: гласний – шляхом перевірок – як мін 1 раз на рік: планові/ позапланові, комплексні/тематичні – складається акт, в якому фікс виявлені недоліки, дається час для їх усунення і зд контрольна перевірка; якщо помилки не усунені або гострі – обмеження або скасування дозволу. Негласний контроль – оперативно-розшукові і контр розвідувальні заходи). СБУ проводить дізнання і досудове слідство у крим справах, порушених за ознаками злочинів у сф обігу дт; складає акти про адмін. Правопорушення (склад протокол), вияв та припинення розвідувальних спрямувань служб іноземних д та інших суб’єктів.

ДССЗЗІ – сф тех. Зах дт. На вик повноважень ДССЗЗІ зд експертизу КСЗІ, і яких знах ДТ, з метою визнач відповідності цих с-м встановленим вимогам. Зд контроль за станом тех. Захисту держ і р-сів у тому числі і дт. За результатами перевірок ДССЗЗІ має п складати протоколи про адмін. Правопор у сф ТЗІ; припиняти роботу КСЗІ; клопотати перед СБУ на скасування доступу/допуску; вст. Держ стандарт тех. І крипт. Зах і; ліцензування д-ті у сф дт; стандартизація тех. Засобам захисту і, а також криптогр засобами. Ос ф-я: урядовий зв'язок, його заб.

Держ служба експортного конролю: ліцензув всіх суб’єктів зове к д-ті, що зд торгові операції, повяз з обігом носіїв секр. І. зд підготовку проектів р-нь ПУ щодо передачі іноз стороні секр. Інформації.

Мін інфраструктури: орг. і зд спец зв’язку щодо забезп обігу мат носіїв сек і між об’єктами – фельд’єгерський зв'язок..

3. Базовий (всі об’єкти,на яких знах і зд обіг ДТ)..

6. Порядок надання, переоформлення та скасування допуску та доступугромадянам України до державної таємниці.

ДОПУСК Залежно від ступеня секретності і вс такі форми ДОПУСКУ до державної таємниці:

форма 1 – Т, ЦТ, ОВ(5 р)

форма 2 – Т, ЦТ (7 р)

форма 3 – Т (10 р)

Надається дієздатним громадянам У від 18 років, які потребують його за умовами своєї службової, виробничої, наукової чи науково-технічної діяльності або навчання, органами СБУ після проведення перевірки. В окремих випадках від 16 років може надаватися допуск до дт із ступенями секретності ЦТ, Т, а віком від 17 років - ОВ.

Для розгляду питання дов, омс, п/у/о, де працюють, оформляються документи, які надсилаються до СБУ.

Надання допуску передбачає:

визнач необхідності роботи громадянина із секретною інформацією;

перевірку;

взяття громадянином на себе письмового зобов'язання щодо збереження дт

одержання у письм ф-мі згоди на обмеження п ;

ознайомлення з відповідальностю за порушення.

Перевірка здійснюється СБУ у 2 міс строк. За результатами перевірки СБУ надсилають

протягом 5 роб д з дня її закінчення до установ, що звернулися з приводу надання допуску, повідомлення про надання або відмову в наданні такого допуску.

Відмова:

1) відсутності необхідності в дт;

2) сприяння громадянином д-ті інозем Д,

3) відмови громадянина взяти на себе письм зобов'язання щодо збереження дт

4) наявності судимості за тяжкі або особливо тяжкі злочини, не погашеної чи не знятої

5) наявності психічних розладів

6) повідомлення недостовірних відомостей про себе;

7) постійного проживання громадянина за кордоном або оформлення ним документів на виїзд для постійного проживання за кордоном;

8) невиконання обов'язків щодо збереження дт, яка йому довірена або довірялася раніше.

Стаття 26. Переоформлення допуску до державної таємниці, підвищення або зниження його форми та скасування Переоформлення громадянам допуску до державної таємниці здійснюється:

- у разі закінчення терміну дії допуску до державної таємниці за необхідності подальшої роботи з секретною інформацією;

у разі необхідності підвищення чи зниження громадянину форми допуску для роботи із секретною інформацією вищого чи нижчого ступеня секретності;

- у разі необхідності проведення додаткової перевірки, пов'язаної з можливим виникненням обставин, передбачених пунктами 2 і 4 частини першої та частиною другою статті 23 цього Закону.

Скасування раніше наданого допуску до державної таємниці здійснюється органами Служби безпеки України у разі виникнення або виявлення обставин, передбачених статтею 23 цього Закону, або після припинення громадянином діяльності, у зв'язку з якою йому було надано допуск, втрати ним громадянства або визнання його недієздатним на підставі інформації, здобутої органамиСлужби безпеки України або отриманої від державних органів, органів місцевого самоврядування, підприємств, установ, організацій.

На прохання громадянина його допуск до державної таємниці скасовується протягом трьох днів з часу звернення з приводу скасування допуску.

Повідомлення про скасування громадянину допуску до державної таємниці з посиланням на відповідні положення статті 23 цього Закону орган Служби безпеки України надсилає до державного органу, органу місцевого самоврядування, підприємства, установи, організації, де такий громадянин провадить діяльність, пов'язану з державною таємницею.Громадянин має право оскаржити скасування йому допуску до державної таємниці в порядку, встановленому законом

Громадянина, якому скасовано допуск до державної таємниці, якщо виконання трудових чи службових обов'язків вимагає доступу до державної таємниці, а переміщення на інше робоче місце чи іншу посаду неможливе, може бути в передбаченому законодавством порядку переведено на іншу роботу або службу, не пов'язану з державною таємницею, чи звільнено.

Порядок надання, переоформлення та скасування громадянам допуску до державної таємниці встановлюється КабінетомМіністрів України.

Стаття 27. Доступ громадян до державної таємниці

Доступ до державної таємниці надається дієздатним громадянам України, яким надано допуск до державної таємниці та які потребують його за умовами своєї службової, виробничої, наукової чи науково-дослідної діяльності або навчання.

Рішення про надання доступу до конкретної секретної інформації (категорії секретної інформації) та її матеріальних носіїв приймають керівники державних органів, органів місцевого самоврядування, підприємств, установ та організацій, у яких виконуються роботи, пов'язані з державною таємницею, або зберігаються матеріальні носії секретної інформації.

Керівники державних органів, за винятком осіб, передбачених частиною шостою цієї статті, органів місцевого самоврядування, підприємств, установ та організацій доступ до державної таємниці у сфері, що стосується діяльності державного органу, органу місцевого самоврядування, підприємства, установи та організації, отримують за посадою після надання їм допуску до державної таємниці за відповідною формою.

Порядок надання доступу до державної таємниці особам, залученим до конфіденційного співробітництва з оперативними підрозділами правоохоронних та інших спеціально уповноважених органів, які проводять оперативно-розшукову, розвідувальну або контррозвідувальну діяльність, визначається керівниками зазначених органів за погодженням із Службою безпеки України. У Службі безпеки України такий порядок надання доступу до державної таємниці визначається Головою Служби безпеки України.

Відмова надати громадянинові України доступ до конкретної секретної інформації та її матеріальних носіїв можлива лише у разі відсутності підстав, передбачених частиною першою цієї статті, та може бути оскаржена в порядку, встановленому частиною другою статті 25 цього Закону.

Президентові України, Голові Верховної Ради України, Прем'єр-міністрові України та іншим членам Кабінету Міністрів України, Голові Верховного Суду України, Голові Конституційного Суду України, Генеральному прокурору України, Голові Служби безпеки України, народним депутатам України доступ до державної таємниці усіх ступенів секретності надається за посадою після взяття ними письмового зобов'язання щодо збереження державної таємниці .

Іноземцям та особам без громадянства доступ до державної таємниці (621/2006 ) надається у виняткових випадках на підставі міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України, або письмового розпорядження Президента України з урахуванням необхідності забезпечення національної безпеки України на підставі пропозицій Ради національної безпеки і оборони України.

7. Порядок надання, переоформлення, зупинення дії або скасування дозволу напровадження діяльності, пов’язаної з державною таємницею.

Установи мають П провадити д-ть, пов з ДТ за умови надання їм спецдозволу, який надається органами СБУ (департамент дт та ліцензування) за наявностіумов:

- бер уч у д-ті, пов з ДТ відповідно до своєї компетенції, держ завдань…

- мають приміщення для вик робіт, сховища для зберіг док, які відповідають вимогам і виключають можливість доступу до них

- дотримуються законних вимог щодо заб р-му секретності, порядку допуску, прийому іноземців/апатридів, вик криптогр засобів тощо.

- мають рсо або спец працівника

Для отримання дозволу п-во дає органам СБУ заяву та акт перевірки забезпечення р-му секретності.

Акт перевірки:

- відомості про д-ть , пов з ДТ яку пров п-во, х-ка та обсяг ДТ, стан р-му секретності

- структура РСО, його підпорядкованість, штатну чисельність, обов’язки

- наявність приміщень, сховищ,

- наявність номенклатури посад працівників, які підлягають оф допуску до ДТ, фактична чисельність, яким надано допуск

- І про пропускний р-м, внутрішньообєктовий р-м

- заходи щодо р-му при прийомі іноземців/апатридів, наявність міжнар зв.

- наявність спец засобів зв’язку та шифрувального органу, використання держ шифрив і крипто засобів

- пропозиції щодо надання одр, омс чи п/у/о відповідного дозволу (коли є відомче підпорядкування)

Для провед спец експертизи СБУ утв спец експертну комісію..

На підставі поданих документів і акта спец експертизи СБУ має прийняти р-ня щодо надання дозволу та встановлення категоріх р-му секретності (в межах 1 місяця).

Категорії режимів:

1 – для п/у/о, які пров д-ть з ДТ ОВ

2- ЦТ

3 – Т

Дозвіл має уніфікований вигляд, реєструється в СБУ.

Термін дії – не перевищує 5 років. (для 1 квтегорії – 3 роки, 2-ї-4р.)

Переоформлення: зд у випадку:

- закінчення терміну раніше оформленого дозволу

- реорганізації установи або зміни ф-ми власності, найменування, місця знах.

Скасування: на підставі акту, складеного за р-тами проведеної перевірки стану ох ДТ , в якому зазнач порушення. А також відповідно до заяви п/у/о про припинення своєї д-ті, пов з ДТ.

8. Забезпечення режиму секретності під час прийому іноземних делегацій, групта окремих іноземців.

К-к установи, або за його призначенням к-к РСО завчасно інформує у письм ф-мі СБУ про склад делегації із зазначенням прізвищ, імен та посад її членів, а також про час перебування та мету відвідування. Разом з цією І відсилається копіяпрограми проведення роботи з іноземцями: 1. відомості про іноземні п/у/о, посада, рік народження, громадянство, стать

2. підстава, мета, строк перебування

3. список посад, відповідальних за прийом і проведення роботи з іноземцями, а також зд інших заходів, повяз з візитом

4. переліки: питань, які плануються для обговорення із зазначенням обсягу і х-ру І, що може бути передана; структурних підрозділів,які будуть відвідуватися; місця, де будуть застосовуватись відео-фото апаратура і порядок її застосування; маршрутів і порядок переміщення.

З метою запобігання витоку усі мат носії, які плануються до передачі, попередньо оцінюються експертною комісією, яка надає акт експертизи.

Вхід іноземців до режимної установи повинен зд у супроводі спец призначеного працівника за списком, затв к-ком або одноразовими пропусками.

Відвідуваннч іноземцями службових приміщень, що передбачені програмою візиту, зд тільки в супроводі. Залишати іноземців заборонено.

Запідсумками прийомускладається звіт про виконання програми:

  • відомості щодо іноземців
  • і про виконання програми (стисло викладаються переговори, маршрути, документи)
  • відомості щодо передачі ІЗОД
  • пропозиції та рекомендації.

9. Забезпечення режиму секретності у зв’язку з виїздом за кордон громадян,яким надано чи було надано допуск та доступ до державної таємниці.

Громадянин, якому було надано допуск та доступ до дт і який був обізнаний з нею, може бути обмежений у праві виїзду на постійне місце проживання в іноземну державу до розсекречування інформації, але не більш як на 5 років з часу припинення діяльності, пов'язаної з дт.

Не обмежується виїзд у держави, з якими Україна має міжнародні договори, що передбачають такий виїзд і згода на обов'язковість яких надана ВРУ.

На громадянина поширюються обмеження свободи і діяльності.

Військовослужбовці: Виїзд з України у приватних справах, які обізнані з дт, може бути не дозволений до часткового чи повного розсекречування цих відомостей. Обмеження для виїзду за кордон повинні бути доведені до відома військовослужбовців командуванням військових частин, адміністрацією підприємств, установ, організацій та навчальних закладів вищевказаних відомств при призначенні на посаду, прийнятті на роботу та навчання, зарахуванні на військову службу, пов'язану з доступом до дт.При цьому до допуску до таких відомостей на добровільній основі укладається в письмовій формі необхідний документ (договір, контракт, підписка).

10. Організація та здійснення контролю за станом охорони державної таємниці.

Стаття 37. Контроль за забезпеченням охорони державної таємниці

Керівники державних органів, органів місцевого самоврядування, підприємств, установ і організацій зобов'язані здійснювати постійний контроль за забезпеченням охорони державної таємниці.

Державні органи, органи місцевого самоврядування, підприємства, установи і організації, що розміщують замовлення у підрядників, зобов'язані контролювати стан охорони державної таємниці, яка була передана підрядникам у зв'язку з виконанням замовлення.

Державні органи, яким рішенням державного експерта з питань таємниць було надано право вирішувати питання про доступ державних органів, органів місцевого самоврядування, підприємств, установ, організацій до конкретної секретної інформації, зобов'язані контролювати стан охорони державної таємниці в усіх державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, які виконують роботи, пов'язані з відповідною державною таємницею, або зберігають матеріальні носії зазначеної секретної інформації.

Контроль за додержанням законодавства про державну таємницю в системі Служби безпеки України здійснюється відповідно до Закону України "Про Службу безпеки України" (2229-12 ).

Служба безпеки України має право контролювати стан охорони державної таємниці в усіх державних органах, органахмісцевого самоврядування, на підприємствах, в установах і організаціях, а також у зв'язку з виконанням цих повноважень одержувати безоплатно від них інформацію з питань забезпечення охорони державної таємниці. Висновки Служби безпеки України, викладені в актах офіційних перевірок за результатами контролю стану охорони державної таємниці, є обов'язковими для виконання посадовими особами підприємств, установ та організацій незалежно від їх форм власності.

Стаття 38. Нагляд за додержанням законодавства про державну таємницю

Нагляд за додержанням законодавства про державну таємницю здійснюється у порядку, визначеному законом.

Допуск та доступ посадових осіб, які здійснюють нагляд, до відомостей, що становлять державну таємницю, проводяться відповідно до цього Закону.

На кожному з 3-х рівнів суб’єктів є контроль

Керівники держ органів, омс, п/у/о зобов'язані здійснювати постійний контроль за забезпеченням охорони державної таємниці.

Практичне завдання в такому разі покладається на РСО (к-к і заступник), що реалізується у формі контролю за режимом секретності, процесом документообігу, вияву та локалізації каналів витоку, контролю окремих робітників та їх робочих місць. Також проводиться контроль знань шляхом складання заліків 1 раз на 2 роки зі знання НПА із документальною фіксацією результатів.

У межах своєї компетенції право контролю має державний експерт: контроль обґрунтованості і правильності надання документам грифа, своєчасність зміни такого грифа та розсекречування носіїв; контроль роботи комісії при експертові.

Контроль за додержанням законодавства про державну таємницю в системі Служби безпеки України здійснюється відповідно до Закону України "Про СБУ".

Контроль зд у формі організації та проведення перевірок режиму секретності: планових (1 раз в рік з повідомленням) позапланових, тематичних, комплексних; перевірок у зв’язку з надання права провадити д-ть. Пов з дт, перевірок громадян для надання допуску

СБУ має право одержувати безоплатно від них інформацію з питань забезпечення охорони державної таємниці. Висновки СБУ, викладені в актах офіційних перевірок за результатами контролю стану охорони державної таємниці, є обов'язковими для виконання посадовими особами П/У/О незалежно від їх форм влас.

Нагляд за додержанням законодавства про державну таємницю здійснюється у порядку, визначеному законом.

Допуск та доступ посадових осіб, які здійснюють нагляд, до відомостей, що становлять державну таємницю, проводяться відповідно до цього Закону.

+ ДССЗЗІ(ТЗІ. КЗІ), +МІНЮСТ - правильність реєстрації НПА та відповідність їх існуючим НПА, + МінІнф – контроль пересування мат носіїв, Служба експ Контролю.

11. Пропускний та внутрішньо-об’єктовий режим на підприємствах, в установахі організаціях, діяльність яких пов’язана з державною таємницею.

Пропускна система та внутрішьооб'єктова повинна унеможливлювати проникнення сторонніх осіб на їх контрольовану територію та винесення секретних документів, а також забезпечити порядок виконання секретних робіт відповідно до вимог законодавстваПропускний режимПропуск осіб на територію здійснюється відповідальним черговим після надання інформації про мету візиту, до якої посадової особи вони прибули.

Перед тим як пропустити черговий уточнює місцезнаходження посадової особи та фіксує у журналі відвідувачів.У разі присутності особи черговий повідомляє про це відвідувача та вказує йому номер службового кабінету.Пропуск у не робочий час забороняється.

Графіки прийому затверджуються к-ком .Винесення внесення майна, здійснюється з дозволу к-ка.

Пропуск працівників аварійно-рятувальних підрозділів, медичних служб, пожежників здійснюється безперешкодно у супроводі чергового.

Пропуск іноземців/апатридів здійснюється у супроводженні осіб, що відповідають за роботу з іноземцями за затвердженими списками.

Постійні працівники – за перепустками з фіксацією у журналі.

Внутрішньооб'єктовий режим

Охорона режимних приміщень, сейфів (сховищ) матеріальних носіїв секретної інформації в неробочий час здійснюється черговим. Порядок прийому (здачі) під охорону режимних приміщень підрозділів та порядок їх зняття (здачі) з під охорони визначається окремою інструкцією.

Дозвіл на здачу режимного приміщення, в яких постійно зберігаються матеріальні носії секретної інформації під охорону та на їх розкриття надається посадовим особам, згідно затверджених списків, які зберігаються у відповідального чергового. Доступ до режимних приміщень особам, які не мають безпосереднього відношення до секретних робіт, що проводяться в них, або яким встановленим порядком не надано допуск до державної таємниці здійснюється в разі службової потреби лише з дозволу відповідальних за ці приміщення (осіб, які виконують їх обов’язки), за умови виконання відповідних заходів режиму секретності, а саме:

- секретні документи мають бути сховані у сейфи (сховища);

- сейфи (сховища) повинні бути закриті та опечатані.

Доступ до режимних приміщень посадових осіб, які прибувають з метою здійснення перевірки (у відрядження) здійснюється відповідальними за дані приміщення (особами, які виконують їх обов’язки) після

надання ними довідки про наявність допуску до

державної таємниці відповідної форми (форма 12), припису на виконання завдання (форма 13) та документа, який посвідчує особу. Приймати відвідувачів та представників сторонніх організацій, а також представників іноземних делегацій, іноземців та осіб без громадянства у режимних приміщеннях суворо забороняється.

Всі особи, які намагаються проникнути на територію, пронести заборонені предмети, а також особи, які їм в цьому сприяють затримуються та встановленим порядком передаються до відповідних державних правоохоронних органів. Про всі випадки порушення внутрішньооб'єктового режиму чергові та відповідальний РСО інформують к-ка.

12. Відповідальність за правопорушення законодавства у сфері охоронидержавної таємниці.

Стаття 39. Відповідальність за порушення законодавства про державну таємницю

Посадові особи та громадяни, винні у:

- розголошенні державної таємниці;

- втраті документів та інших матеріальних носіїв секретної інформації;

- недодержанні встановленого законодавством порядку передачі державної таємниці іншій державі чи міжнародній організації;

- засекречуванні інформації, зазначеної у частинах третій і четвертій статті 8 цього Закону;

- навмисному невіднесенні до державної таємниці інформації, розголошення якої може завдати шкоди інтересам національної безпеки України, а також необгрунтованому заниженні ступеня секретності або необгрунтованому розсекречуванні секретної інформації;

- безпідставному засекречуванні інформації, у тому числі з порушенням вимог Закону України "Про доступ до публічної інформації" (2939-17 ); { Абзац сьомий статті 39 в редакції ЗаконуN 1170-VII (1170-18 ) від 27.03.2014 }

- наданні грифа секретності матеріальним носіям інформації, яка не становить державної таємниці, або ненаданні грифа секретності матеріальним носіям інформації, що становить державну таємницю, а також безпідставному скасуванні чи зниженні грифа секретності матеріальних носіїв секретної інформації; { Абзац восьмий статті 39 із змінами, внесеними згідно із ЗакономN 1170-VII (1170-18 ) від 27.03.2014 }

- порушенні встановленого законодавством порядку надання допуску та доступу до державної таємниці;

- порушенні встановленого законодавством режиму секретності та невиконанні обов'язків щодо збереження державної таємниці;

- невжитті заходів щодо забезпечення охорони державної таємниці та незабезпеченні контролю за охороною державної таємниці; -- провадженні діяльності, пов'язаної з державною таємницею, без одержання в установленому порядку спеціального дозволу на провадження такої діяльності, а також розміщенні державних замовлень на виконання робіт, доведенні мобілізаційних завдань, пов'язаних з державною таємницею, в державних органах, органах місцевого самоврядування, на підприємствах, в установах, організаціях, яким не надано спеціального дозволу на провадження діяльності, пов'язаної з державною таємницею;

- недодержанні вимог законодавства щодо забезпечення охорони державної таємниці під час здійснення міжнародного співробітництва, прийому іноземних делегацій, груп, окремих іноземців та осіб без громадянства і проведення роботи з ними;

- невиконанні норм і вимог технічного захисту секретної інформації, внаслідок чого виникає реальна загроза порушення цілісності цієї інформації або просочення її технічними каналами,

- несуть дисциплінарну, адміністративну та кримінальну відповідальність згідно із законом.

Кримінальна.114 шпигунство. Передача або збирання з метою передачі іноземній державі, іноземній організації або їх представникам відомостей, що становлять дт, якщо ці дії вчинені іноземцем або особою без громадянства, -караються позбавленням волі на строк від восьми до п'ятнадцяти років.Звільняється від кримінальної відповідальності особа, яка припинила діяльність, передбачену частиною першою цієї статті, та добровільно повідомила органи державної влади про вчинене, якщо внаслідок цього і вжитих заходів було відвернено заподіяння шкоди інтересам України.328. Розголошення дт. Розголошення відомостей, що становлять державну таємницю, особою, якій ці відомості були довірені або стали відомі у зв'язку з виконанням службових обов'язків, за відсутності ознак державної зради або шпигунства -карається позбавленням волі на строк від двох до п'яти років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого Те саме діяння, якщо воно спричинило тяжкі наслідки, -карається позбавленням волі на строк від п'яти до восьми років.329 втрата документівВтрата документів або інших матеріальних носіїв секретної інформації, що містять державну таємницю, а також предметів, відомості про які становлять державну таємницю, особою, якій вони були довірені, якщо втрата стала результатом порушення встановленого законом порядку поводження із зазначеними документами та іншими матеріальними носіями секретної інформації або предметами, -карається позбавленням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого.Те саме діяння, якщо воно спричинило тяжкі наслідки, карається позбавленням волі на строк від двох до п'яти років.111. Державна зрада. Державна зрада, тобто діяння, умисно вчинене громадянином України на шкоду суверенітетові, територіальній цілісності та недоторканності, обороноздатності, державній, економічній чи інформаційній безпеці України: перехід на бік ворога в умовах воєнного стану або в період збройного конфлікту, шпигунство, надання іноземній державі, іноземній організації або їх представникам допомоги в проведенні підривної діяльності проти України, -карається позбавленням волі на строк від десяти до п'ятнадцяти років. Звільняється від кримінальної відповідальності громадянин України, якщо він на виконання злочинного завдання іноземної держави, іноземної організації або їх представників ніяких дій не вчинив і добровільно заявив органам державної влади про свій зв'язок з ними та про отримане завдання.Адміністративна. 212-2 КУПАП Порушення законодавства про державну таємницю, а саме:1) недодержання встановленого законодавством порядку передачі державної таємниці іншій державі чи міжнародній організації;2) засекречування інформації:про стан довкілля, про якість харчових продуктів і предметів побуту;про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися або можуть статися та загрожують безпеці громадян;про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти та культури населення;про факти порушень прав і свобод людини і громадянина;про незаконні дії органів державної влади, органів місцевого самоврядування та їх посадових осіб;іншої інформації, яка відповідно до законів та міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, не може бути засекречена;3) безпідставне засекречування інформації;4) надання грифа секретності матеріальним носіям конфіденційної або іншої таємної інформації, яка не становить державної таємниці, або ненадання грифа секретності матеріальним носіям інформації, що становить державну таємницю, а також безпідставне скасування чи зниження грифа секретності матеріальних носіїв секретної інформації;5) порушення встановленого законодавством порядку надання допуску та доступу до державної таємниці;6) невжиття заходів щодо забезпечення охорони державної таємниці та незабезпечення контролю за охороною державної таємниці;7) провадження діяльності, пов'язаної з державною таємницею, без отримання в установленому порядку спеціального дозволу на провадження такої діяльності, а також розміщення державних замовлень на виконання робіт, доведення мобілізаційних завдань, пов'язаних з державною таємницею, в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах, організаціях, яким не надано спеціального дозволу на провадження діяльності, пов'язаної з державною таємницею;8) недодержання вимог законодавства щодо забезпечення охорони державної таємниці під час здійснення міжнародного співробітництва, прийому іноземних делегацій, груп, окремих іноземців та осіб без громадянства та проведення роботи з ними;9) невиконання норм і вимог криптографічного та технічного захисту секретної інформації, внаслідок чого виникає реальна загроза порушення її конфіденційності, цілісності і доступності,-тягне за собою накладення штрафу на громадян від одного до трьох неоподатковуваних мінімумів доходів громадян і на посадових осіб - від трьох до десяти неоподатковуваних мінімумів доходів громадян.Повторне протягом року вчинення порушення з числа передбачених частиною першою цієї статті, за яке особу вже було піддано адміністративному стягненню, -тягне за собою накладення штрафу на громадян від трьох до восьми неоподатковуваних мінімумів доходів громадян і на посадових осіб - від п'яти до п'ятнадцяти неоподатковуваних мінімумів доходів громадян.

13. Порядок проведення службових розслідувань за фактами порушеньзаконодавства у сфері охорони державної таємниці.

Службове розслідування - це комплекс заходів, які здійснюються у межах компетенції, з метою уточнення причин, встановлення обставин та умов, що сприяли вчиненню правопорушення, відповідальність за яке передбачена законодавством України, та ступеня вини особи (осіб), яка вчинила це правопорушення.

Підстави для проведення службового розслідування є недотримання З, що призвело до створення передумов або розголошення ДТ, втрати її носіїв та інших правопорушень.Службові розслідування призначаються керівниками пуо де такі факти виявлені. Наказами створюються комісії для проведення розслідувань.

СБУ за власною ініціативою, має право призначати розслідування фактів розголошення дт або втрати її носіїв.Методичне забезпечення та контроль за ходом розслідувань є однією із важливих функцій СБУ.У разі виявлення факту розголошення або втрати її носіїв керівник після попереднього з'ясування обставин, але не пізніше одної доби з часу виявлення такого факту, повідомляє у письмовій формі СБУ.Повідомлення повинно містити інформацію про час, місце та обставини виявлення факту розголошення або втрати, характер дт, яку розголошено, або тип (вид) носія, назву, гриф, реєстраційні номери, причини та умови, що цьому сприяли (якщо це відомо), вжиті та заплановані заходи для запобігання (локалізації) негативним наслідкам розголошення або втрати, а також розшуку втраченого матеріального носія.Якщо факти розголошення, втрати виявлені під час перевірок - призначення розслідування викладають в акті перевірки.Працівники СБУ можуть брати участь у проведенні розслідувань і зобов’язані здійснювати контроль їх ходом.Після отримання завдання на проведення розслідування голова комісії складає робочий план проведення розслідування з розподілом обов’язків між членами комісії, встановленням строків виконання, обсяги та порядок їх документування.Основними завданнями комісії з проведення службового розслідування є:• організація розшуку втраченого матеріального носія секретної інформації, запобігання винесенню його за межі;• установлення обставин, причин та умов розголошення/втрати;• установлення oci6, які розголосили/втратили, а також кола oci6, яким внаслідок цього інформація стала відома;• проведення попередньої оцінки інформації;• розроблення рекомендацій щодо усунення причин i умов.Члени комісії мають право:o оглядати приміщення, сховища…;o перевіряти кореспонденцію;o перевіряти документацію, облікові форми тощо;o опитувати працівників;o на підставі запиту керівника звертатися до інших пуо;o залучати інших працівників;Термін до 30 днів.висновок складається за довільною формою, однак у ньому необхідно обов’язково викласти наступне:• обсяг заходів;• загальний висновок;• пропозиції.висновок підписують члени комісії і затверджується керівником.Про результати розслідування керівник у 10 д термін письмово інформує СБУ, пуо вищого рівня.може призначатися повторне розслід.

14. РСО: порядок створення, структура, роль, основні завдання та повноваженняв системі охоронидержавної таємниці України.

РСО ствз метою розроблення та здійснення заходів щодо забезпечення режиму секретності, постійного контролю за їх додержанням створюються на правах окремихструктурних , які підпорядковуються безпосередньо керівнику. Створення, реорганізація чи ліквідація РСО здійснюються за погодженням ізСБУ. У своїй роботі РСО взаємодіють з органамиСБУ. До складу РСО входять підрозділи режиму, криптографічного, технічного захисту інформації, секретного діловодства та інші підрозділи.

На п-вах із значним обсягом ДТ вводиться посада керівника з питань режиму, на якого покладається обов’язки к-ка РСО. Якщо обсяг незначний – призначається окрема людина, або ф-ї РСО виконує к-к п-ва. Призначення к-ка РСО та його заступників зд з погодження СБУ. РСО комплектується спеціалістами, яким надано допуск до ДТ.

Завдання:

-недопущення необґрунтованого допуску та доступу до ДТ

-розроблення та реалізація заходів щодо заб ох ДТ

-запобігання розгол ДТ, втрат мат носіїв, заволодіння ДТ іноземцями

-вияв, локалізація та знищення каналів витоку

-запровадження р-му секретності під час дій з ДТ

-організація та ведення секретного діловодства

-контроль за станом р-му секретності

РСО має П:

-вимагати від працівників неухильного виконання вим З

-брати уч у розгляді проектів штатних розписів у частині, що стосується РСО, вносити пропозиції щодо структури і чисельності працівників.

-Брати уч у проведенні атестації працівників, питання компенсацій

-Залучати зовнішніх спеціалістів

-Зд перевірку стану заб р-му на п-ві та робочого місця працівників, давати рекомендації

-Порушувати питання службових розслідувань, ініціатива у притягненні до відповідальності за порушення

-Брати уч у службових розслідуваннях, вимагати письмові пояснення у працівників

-Якщо умови не відповідають, то вносити пропозиції к-ку щодо припинення д-ті

-Мати печатку, одерж анкети від претендентів на допуск.

Передача функцій РСО будь-яким іншим підрозділам державного органу, органу місцевого самоврядування, підприємства, установи та організації не допускається.

15. Поняття і структура інформаційної безпеки банківської установи.

Структурно інформаційну безпеку банківських установ складають: · безпека інформаційних ресурсів; безпека інформаційної інфрастру- ктури та безпека “інформаційного поля” підприємства. Інформаційні ресурси банківської установи – це взаємозв’язана, упорядкована, систематизована і закріплена на матеріальних носіях інформація, яка належить банківській установі. Відповідно безпека інформаційних ресурсів полягає у збереженні такої інформації від неса- нкціонованого розповсюдження, використання і порушення її конфіден- ційності (таємності). Безпека інформаційної інфраструктури полягає у такому стані захищеності електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку банківської устано- ви, яка забезпечує цілісність і доступність інформації, що в них оброб- ляється (зберігається чи циркулює). Безпека “інформаційного поля” банківської установи складається здебільшого з несистематизованих потоків інформації, що оприлюд- нюється різноманітними учасниками інформаційних відносин: телераді- оорганізаціями, друкованими ЗМІ, Інтернет-виданнями, конкурентами, органами державної влади, місцевого самоврядування тощо.

16. Загрози інформаційній безпеці банківської установи та шляхи їх подолання.

Найбільш суттєвими загрозами безпеки інформаційних ресурсів є витік або втрата таких ресурсів (зокрема відомостей, що становлять банківську таємницю). Загрози інформаційним ресурсам можуть бути реалізовані шляхом: · підкупу осіб, які мають безпосередній доступ до банківської таємниці та іншої інформації з обмеженим доступом банківської установи; · необережного, недбалого поводження з банківською таємницею та іншою інформацією з обмеженим доступом; · недотримання вимог збереження інформації з обмеженим доступом, встановлених у банківській установі, при контактах з контролюючими і наглядовими органами внаслідок правової та психологічної непідго- товленості відповідальних працівників банківської установи тощо.

Протидія таким загрозам має полягати, насамперед, у: · визначенні надійності працівників підприємства, які працювати- муть з банківською таємницею та іншою інформацією з обмеженим доступом; · організації спеціального діловодства з відомостями, що становлять та інформацію з обмеженим доступом банківської установи;

обґрунтуванні і закріпленні диференційованого доступу працівників до банківської таємниці та іншої інформації з обмеженим доступом, при якому працівник може ознайомлюватися і вчиняти певні дії з нею виключно для виконання покладених на нього функціональних обов’язків; · закріпленні персональної відповідальності працівника за збереження наданих йому або розроблених ним документів, інших носіїв інфо- рмації, що містять інформацію з обмеженим доступом банківської установи; · обмеженні доступу працівників і сторонніх осіб до приміщень, у яких обробляється (зберігається) інформація з обмеженим доступом банківської установи; · впровадженні заходів контролю за роботою працівників з носіями інформації з обмеженим доступом банківської установи, а також ефективної системи виявлення і фіксації протиправних діянь з такою інформацією; · впровадженні надійної і ефективної системи зберігання носіїв ін- формації, що виключає несанкціоноване ознайомлення з ними, їх знищення чи підробку.

Суттєвими загрозами безпеки інформаційної інфраструктури є: · неофіційний доступ та зняття інформації, що охороняється, техніч- ними засобами; · перехоплення інформації, що циркулює в засобах і системах зв’язку та обчислювальної техніки, за допомогою технічних засобів неглас- ного зняття інформації, несанкціонованого доступу до інформації та навмисних технічних впливів на них в процесі обробки та зберігання; · підслуховування з використанням технічних засобів конфіденційних переговорів, що ведуться в службових приміщеннях, автотранспорті тощо.

Протидія таким загрозам має полягати, насамперед, у широкому і головне економічно доцільному застосуванні технічних засобів безпеки інформаційної інфраструктури.

Конкретними заходами ліквідації загроз безпеці інформаційної інфраструктури банківської установи мають бути: · створення цілісності засобів захисту, технічного і програмного сере- довища, що полягає у фізичному збереженні засобів інформатизації, незмінності програмного середовища, виконанні засобами захисту передбачених функцій, ізольованості засобів захисту від користу- вачів; · захист інформації від витоку внаслідок наявності фізичних полів за рахунок акустичних та побічних електромагнітних випромінювань і наводок на комунікаційні мережі та конструкції будівель;

використання криптографічного захисту найбільш цінної інформації при її обробці в електронно-обчислювальних машинах (комп’ю- терах), системах та комп’ютерних мережах і мережах електрозв’язку підприємства; · надання диференційованого доступу працівникам для здійснення конкретних операцій (створення, читання, запис, модифікація, вида- лення) за допомогою програмно-технічних засобів, а також розмежу- вання доступу користувачів до даних в електронно-обчислювальних машинах (комп’ютерах), системах та комп’ютерних мережах і ме- режах електрозв’язку банківської установи різного рівня та при- значення; · ідентифікація користувачів та здійснюваних ними процесів в елек- тронно-обчислювальних машинах (комп’ютерах), системах та ком- п’ютерних мережах і мережах електрозв’язку установи на основі використання паролів, ключів, магнітних карт, цифрового підпису, а також біометричних характеристик особи як при доступі до інфор- маційно-телекомунікаційних систем; · реєстрація (з фіксацією дати і часу) дій користувачів з інформацій- ними та програмними ресурсами в електронно-обчислювальних ма- шинах (комп’ютерах), системах та комп’ютерних мережах, зокрема протиправних спроб доступу; · попередження передачі інформації з обмеженим доступом по неза- хищених лініях зв’язку; · запобігання впровадженню в інформаційно-телекомунікаційні сис- теми програм-вірусів; · регулярна перевірка технічних засобів і приміщень для виявлення наявності в них пристроїв несанкціонованого доступу до інформації; · обладнання спеціальних приміщень для захисту мовної інформації при проведенні конфіденційних переговорів тощо.

Найбільш суттєвими загрозами безпеки “інформаційного поля” є підрив ділового іміджу банківської установи, виникнення проблем у взаємостосунках з реальними та потенційними клієнтами, конкурента- ми, контролюючими та правоохоронними органами, викликаних насам- перед поширенням недостовірної, заздалегідь неправдивої інформації про банківську установу, здійсненням негативних інформаційних впли- вів на його керівництво, працівників тощо. Конкретними заходами ліквідації загроз безпеці “інформаційного поля” банківської установи мають бути: · створення досконалої інформаційно-аналітичної діяльності; · оперативне реагування на випадки поширення неправдивої інфор- мації про банківську установу;

скоординоване і централізоване поширення рекламної, маркетингової та іншої інформації, що підвищує імідж і сприйняття банківської установи клієнтами; · налагодження у межах чинного законодавства інформаційної спів- праці з органами державної влади і місцевого самоврядування. Таким чином, система забезпечення інформаційної безпеки банків- ської установи полягає у створенні комплексу організаційних, техні- чних, програмних і криптографічних засобів і заходів задля: · захисту інформації з обмеженим доступом банківської установи від несанкціонованого розповсюдження, використання і порушення її конфіденційності (таємності); · забезпечення цілісності і доступності інформації, що обробляється, зберігається, циркулює в електронно-обчислювальних машинах (ком- п’ютерах), системах та комп’ютерних мережах і мережах електро- зв’язку банківської установи; · протидії поширенню недостовірної, заздалегідь неправдивої інфо- рмації про банківську установу, здійсненню негативних інформацій- них впливів на її керівництво.

17. Стандарти інформаційної безпеки в банківській установі.

ГСТУ СУІБ 1.0/ISO/IEC 27001:2010

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ МЕТОДИ ЗАХИСТУ СИСТЕМА УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ

Цей стандарт створений для надання моделі розроблення, впровадження, функціонування, моніторингу, перегляду, підтримування та вдосконалення системи управління інформаційною безпекою (СУІБ). Прийняття СУІБ повинне бути стратегічним рішенням для організації. На проектування та впровадження СУІБ організації впливають потреби та цілі організації, вимоги безпеки, застосовувані процеси, розмір і структура організації. З часом очікуються зміни цих факторів і систем, які їх підтримують. Передбачається, що впровадження СУІБ буде масштабуватися відповідно до потреб організації, наприклад, проста ситуація потребує простого рішення для СУІБ. Цей стандарт може бути використаний зацікавленими внутрішніми та зовнішніми сторонами для оцінки відповідності вимогам.

ISO/IEC 27002

Інформаційні технології.Звід правил по управлінню захистом інформації

ІСО (Міжнародна організація по стандартизації) і МЕК (Міжнародна електротехнічна комісія) утворюють спеціалізовану систему всесвітньої стандартизації. Національні організації, які є членами ІСО або МЕК, беруть участь у розробці міжнародних стандартів допомогою технічних комітетів, заснованих відповідною організацією для того, щоб обговорювати певні області технічної діяльності. Технічні комітети ISO та ІЕС співпрацюють в областях взаємного інтересу.

Інформація - це актив, який, подібно іншим значущим активам бізнесу, важливий для ведення справи організації і, отже, необхідно, щоб він відповідним чином захищався.

Захист інформації - це охорона інформації від великої різноманітності загроз, здійснювана з метою забезпечити безперервність бізнесу, мінімізувати ділові ризики і максимізувати повернення з інвестицій та можливості ділової діяльності.

18. Банківська таємниця як вид інформації з обмеженим доступом.

БАНКІВСЬКА ТАЄМНИЦЯ (banksecrecy) – інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку в процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої може завдати матеріальної чи моральної шкоди клієнту. відповідно до законуукраїни«про банки і банківську діяльність» доб.т.відносять відомості та інформацію:

1) про б рах клієнтів, у тому числі кореспондентські рахунки банків у національному банкуукраїни;

2) про операції та здійснені ним угоди;

3) про фінансово-економічний стан клієнтів;

4) про системи охорони банку та клієнтів;

5) про орг-правову структуру юр ос –напрями діяльності;

6) комерційної діяльності клієнтів чи КТ;

7) щодо звітності б, за винятком тієї,що підлягає опуб;

8) про коди банків для захисту інформації.

І НБУ під час нагляду, І НБУ від інозем Д.

Банк має право надавати інформацію, що становитьБ. т., іншим банкам і Національному банку України в обсягах, необхідних при наданнікредитів і банківських гарантій.

19. Система охорони банківської таємниці.

Відповідно до ЗУ про Б і б д-ть, до відомостей, що відносяться до БТ відносять І про с-ми ох Б та клієнтів.

С-ма ох Б може складатися на основі підписання договору з МВС, так і силами самого Б (особливо, якщо це комерційний Б).

До складових такої с-ми відносять:

1. Інженерно-технічна укріпленість будівель і приміщень банку та їх оснащення інженерно-технічними засобами посилення охорони: відео спостереження по периметру та всередині приміщення, замки на вході, паркани, грати на вікнах.

2. С-ми передачі сповіщень, приймально-контрольніПрилади, щомають бути розміщені в приміщеннях охорониабо в не доступних для сторонніх осіб місцях.

3. Приміщення банку мають бути обладнані системами

ТС (тривожна сигналізація) .З урахуванням конструктивних особливостей дверей головноговходу, пожежних виходів, воріт (ролет) та люків допускається їхблокування на пролом за допомогою оптико-електроннисповіщувачів. Вікона і двері, місця вводів комунікацій повинні бути обладнані засобами інженерно-технічного укріплення.

4. Засобами пожежної сигналізації мають бути обладнані всі приміщення незалежно від їхнього призначення, із забезпеченням цілодобового контролю.

5. ручна система тривожної сигналізації.

6. Під рубежем охоронної сигналізації мається на увазі сукупність системи охоронної сигналізації, що контролює певну зону приміщення і видають на окреме вічко (код)сповіщення про проникнення до нього або перебування в ньому сторонніх осіб.

7. Приміщення, де встановлено сервери, що містять бази даних електронних платіжних документів, і приміщення електронних архівів мають бути обладнані засобами інженерно-технічної укріпленості Приміщення, у яких розміщено програмно-технічні комплекси, що обробляють електронні платіжні документи абопрацюють в інформаційно-обчислювальній мережі НБУ, обладнуються не менш ніж трьома рубежами охоронної сигналізації з підключенням кожного рубежу на окремі вічка (коди)ПЦС.

8. Системи ТС та комплекси ТС, що використовуються приоблаштуванні установ банків, повинні забезпечуватись резервнимживленням відповідно до нормативно-правових актів Національногобанку України.

9.. У приміщеннях установи банку слід передбачати

централізовану систему умовно-мовного оповіщення про "тривогу вбанку, пожежу та інші надзвичайні ситуації".

10.Основним завданням пропускного режиму є встановлення порядку,що виключає можливість безконтрольного входу (виходу) на територіюбанку. Для працівників можуть вводитись перепустки різного типу.

11. розробляється план оборони

12. на роботу приймаються охоронники, які мають стаж роботи, пройшли відповідну підготовку у навчальних закладах. Одягнені у відповідну форму, з бронежилетом (при тривозі - каска). 2 типи чергування: за сторожовим розрахунком 8-15 годин, за вартовим – 24 год.

(Інструкція з орг. Ох Б уст МВС).

20. Обов’язки суб’єктів охорони банківської таємниці.

Банки зобов’язані забезпечувати зберігання та захист інформації, яка містить банківську таємницю, з метою недопущення її незаконного розкриття і завдання внаслідок цього матеріальної чи моральної шкоди своїм вкладникам, кредиторам та іншим клієнтам.

Суб’єктивний обов’язок банку по забезпеченню збереження банківської таємниці здійснюється банком встановленими законодавством способами:

  • обмеження кола осіб, що мають доступ до інформації, яка становить банківську таємницю;
  • організації спеціального діловодства з документами, що містять банківську таємницю;
  • застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
  • застосування застережень щодо збереження банківської таємниці та відповідальності за її розголошення у договорах та угодах між банком та клієнтом.

Банки зобов’язані за погодженням з клієнтом відображати в договорах, що укладаються між банком і клієнтом, застереження щодо збереження банківської таємниці та відповідальності за її незаконне розголошення або використання.

Закон України «Про платіжні системи та переказ грошей в Україні» передбачає, що електронні документи на переказ, розрахункові документи та документи за операціями із застосуванням спеціальних платіжних засобів, що містять банківську таємницю, під час їх передавання засобами телекомунікаційного зв’язку повинні бути зашифровані згідно з вимогами відповідної платіжної системи, а за їх відсутності — відповідно до законів України та нормативно-правових актів Національного банку України. Захист інформації забезпечується суб’єктами переказу грошей шляхом обов’язкового впровадження та використання відповідноїсистемизахисту, що складається з:

законодавчих актів України та інших нормативно-правових актів, а також внутрішніх правових актів суб’єктів переказу, що регулюють порядок доступу та роботи з відповідною інформацією, а також відповідальність за порушення цих правил;

  • заходів охорони приміщень, технічного обладнання відповідної платіжної системи та персоналу суб’єкта переказу;
  • технологічних та програмно-апаратних засобів криптографічного захисту інформації, що обробляється в платіжній системі.

Закон України «Про платіжні системи та переказ грошей в Україні» покладає на банк та його клієнтів, які відповідно до статті 5 є суб’єктами переказу, обов’язок по повідомленню платіжної організації відповідної платіжної системи про випадки порушення вимог захисту інформації.

Положення про захист інформації в Національній системі масових електронних платежів (НСМЕГІ) передбачає, що (п. 3.8.) частина інформації, яка використовується та обробляється в НСМЕП, відповідно до статті 61 Закону України «Про банки і банківську діяльність» є банківською таємницею.

Відповідно вимоги Положення про захист інформації в НСМЕП регламентують порядок отримання, обліку, використання, зберігання та виведення з обігу апаратно-програмних засобів захисту інформації НСМЕП та виконання правил інформаційної безпеки членами та учасниками НСМЕП, зокрема і щодо банківської таємниці. Так, наприклад, член/ учасник НСМЕП зобов’язаний негайно (телефоном) інформувати службу захисту інформації територіального управління Національного банку та/або управління захисту інформації Департаменту інформатизації Національного банку в таких випадках:

~ виконання (спроби виконання) несанкціонованої платіжної трансакції;

компрометація засобів захисту інформації НСМЕП;

~ пошкодження модулів безпеки серверів НСМЕП;

~ несанкціоноване проникнення в приміщення серверів НСМЕП (пошкодження вхідних дверей, ґрат на вікнах, спрацювання сигналізації за нез’ясованих обставин тощо); проведення правоохоронними органами та іншими державними установами перевірки комерційної діяльності члена/учасника НСМЕП, якщо виникають умови для компрометації діючих засобів захисту інформації НСМЕП;

— виникнення інших аварійних або надзвичайних ситуацій, що створюють реальні передумови до розкрадання, втрати, пошкодження тощо засобів захисту інформації НСМЕП.

Крім цього, обов’язки банку по вжиттю додаткових заходів по збереженню банківської таємниці можуть бути передбачені локальними нормативними актами банку (зокрема його статутом), а також договором, укладеним між клієнтом і банком.

Виконання банком обов’язків по зберіганню банківської таємниці умовно можна поділити на три рівні. Перший рівень стосується збереження інформації всередині самої банківської установи та полягає у встановленні чіткого переліку осіб-працівників банку, які мають доступ до банківської таємниці. Другий рівень полягає у виконанні банком функцій з недопущення розголошення банківської таємниці всередині банківської системи. При цьому, суб’єктами, що мають право на ознайомлення з інформацією на зазначеному рівні є інші банки, а також службовці Національного банку України або уповноважені ними особи, які в межах повноважень, наданих Законом України «Про Національний банк України», здійснюють функції банківського нагляду або валютного контролю.

До третього рівня взаємовідносин банку з третіми особами слід віднести забезпечення банком збереження банківської таємниці по відношенню до будь-яких інших осіб, не віднесених до перших двох рівнів.

Законодавством також передбачено суб’єктивний обов’язок банку розкрити банківську таємницю посадовим особам та органам, у порядку та в обсягах, визначених у законі.

Юридичні та фізичні особи, а також службові особи, які під час виконання своїх функцій безпосередньо або опосередковано отримали інформацію, що містить банківську таємницю, зобов’язані не розголошувати цю інформацію і не використовувати її на свою користь чи на користь третіх осіб, крім випадків, передбачених законодавством України.

Наприклад, стаття 54 Закону України «Про судоустрій і статус суддів» передбачає, що суддя зобов’язаний не розголошувати відомості, які становлять таємницю, що охороняється законом. До такої категорії інформації відноситься і банківська таємниця.

Працівники банку в разі прийняття їх на роботу підписують зобов’язання щодо збереження банківської таємниці, у тому числі щодо обробки (використання) персональних даних, які належать до банківської таємниці, лише відповідно

О їхніх професійних, службових або трудових обов’язків, недопущення розголошення у будь-який спосіб таких персональних даних. У формі такого зобов’язання має бути передбачено, що зобов’язання залишається чинним після припинення такими працівниками виконання покладених на них обов’язків, крім випадків, установлених законом.

Щодо певних категорій працівників банку законодавець прямо передбачає обов’язковість підписання зобов’язань про збереження банківської таємниці. Працівники служби внутрішнього аудиту при призначенні на посаду дають письмове зобов’язання про нерозголошення інформації щодо діяльності банку та збереження банківської таємниці. Зобов’язання має бути підписане з особою, уповноваженою керівником банку на організацію в банку протидії легалізації (відмиванню) грошей, одержаних злочинним шляхом (Методичні рекомендації з питань розроблення банками України програм з метою протидії легалізації (відмиванню) грошей, отриманих злочинним шляхом, ухвалені Постановою Правління Національного банку України №164 від 30.04.2002 р.)

Закон України «Про платіжні системи та переказ грошей в Україні» також визначає, що працівники суб’єктів переказу повинні виконувати вимоги щодо захисту інформації при здійсненні переказів, зберігати банківську таємницю та підтримувати конфіденційність інформації, що використовується в системі захисту цієї інформації.

Працівники суб’єктів переказу несуть відповідальність за неналежне використання та зберігання засобів захисту інформації, що використовуються при здійсненні переказів, відповідно до закону.

Згідно статті 61 Закону України «Про банки і банківську діяльність» банки зобов’язані забезпечити збереження банківської таємниці шляхом, зокрема, обмеження кола осіб, що мають доступ до інформації, яка становить банківську таємницю; організації спеціального діловодства з документами, що містять банківську таємницю, які зобов’язані виконувати службовці банку.

Підписання зобов’язань службовцями банку може здійснюватись за ініціативою банківської установи в порядку, передбаченому законодавством про працю.

Не повинні підписувати жодних документів щодо збереження банківської таємниці акціонери (учасники) банку, які не перебувають з банком у трудових відносинах. Чинну редакцію Закону України «Про банки і банківську діяльність» доцільно Доповнити обов’язком учасників не розголошувати банківську таємницю, який би вони виконували в силу закону без підписання додаткових документів. На сьогодні такий обов’язок доцільно передбачати у статутних документах банків.

Типового зобов’язання щодо збереження банківської таємниці нормативно-правовими актами не затверджено.

Правила організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України встановлюють зразок зобов’язання для певних категорій працівників банківської установи.

21. Права клієнтів банківської установи щодо банківської таємниці.

Стаття 56.Право клієнта на інформацію

Клієнт має право доступу до інформації щодо діяльності банку. Банки зобов'язані на вимогу клієнта надати таку інформацію:

1) відомості, які підлягають обов'язковій публікації, про фінансові показники діяльності банку та його економічний стан;

2) перелік керівників банку та його відокремлених підрозділів, а також фізичних та юридичних осіб, які мають істотну участь у банку;

3) перелік послуг, що надаються банком;

4) ціну банківських послуг;

5) іншу інформацію та консультації з питань надання банківських послуг;

6) щодо кількості акцій (паїв) банку, які знаходяться у власності членів виконавчого органу банку, та інформацію в обсязі, визначеному Національним банком України, про осіб, частки яких у статутному капіталі банку перевищують 5 відсотків.

{Статтю 56 доповнено пунктом 6 згідно із Законом№ 639-VI від 31.10.2008- зміни діють не пізніше ніж до 1 січня 2011 року; із змінами, внесеними згідно із Законом№ 3024-VI від 15.02.2011; у частину першу статті 56 включено пункт 6 згідно із Законом№ 3394-VI від 19.05.2011}

Банк зобов'язаний на постійній основі розміщувати на веб-сайті банку актуалізовану інформацію про власників істотної участі у банку в обсязі, визначеному Національним банком України.

  1. Виконувати правила використання та зберігання власних таємних ключів і дотримуватися технології оброблення електронних банківських документів.
  2. Не передавати іншим особам власні таємні ключі.
  3. Не розголошувати мережеві паролі, паролі входу до САБ/інших задач і пароль свого таємного ключа.
  4. У разі спроби інших осіб отримати від мене засоби захисту інформації, підозри щодо втрати контролю за своїми таємними ключами або їх втрати негайно повідомити про це адміністратора захисту інформації організації.
  5. У разі звільнення з роботи в останній день роботи повернути адміністратору захисту інформації організації всі засоби захисту інформації, ключі від сейфів, особисті печатки тощо.

Забезпечувати конфіденційність системи захисту інформації

  1. Підтримувати зв’язок з територіальним управлінням/ Центральною розрахунковою палатою Національного банку України з питань захисту інформації.
  2. Передати всі засоби захисту інформації, ключі від сейфів, особисті печатки тощо в установленому порядку в останній день роботи у разі звільнення з роботи.
  3. Забезпечувати конфіденційність системи захисту інформації організації, постійно вживати заходів щодо підвищення рівня захищеності інформації в організації.

Однак це право клієнта є обмеженим в силу встановленого закономправа осіб, зазначених у статті 62 Закону України «Про банки і банківську діяльність», у спосіб та в межах вимагати надання їм інформації, що становить банківську таємницю.

Наступне право клієнта банку, яке передбачене цивільним законодавством, але яке не завжди може бути реалізованим в силу розроблюваних банками типових договорів про надання банківських послуг — це відшкодування збитків, в тому числі моральної шкоди, заподіяних внаслідок розголошення інформації, що становить банківську таємницю.

Клієнт банку має право також за довільною формою сформувати письмовий запит та/або дозвіл про розкриття інформації, що містить банківську таємницю власником якої є такий клієнт. При цьому письмовий запит (дозвіл) фізичної особи — клієнта банку має бути підписаний цією особою. Її підпис має бути засвідчений підписом керівника банку чи вповноваженою ним особою та відбитком печатки банку або нотаріально. Письмовий запит (дозвіл) юридичної особи — клієнта банку має бути підписаний керівником або вповноваженою ним особою та скріплений печаткою юридичної особи.

Клієнт банку також має право на включення до договору про надання банківських послуг, що укладається між клієнтом і банком, положення про запит та/або дозвіл на розкриття інформації. У договорі також можуть бути визначені підстави та межі розкриття банком інформації, що становить банківську таємницю клієнта.

Клієнт банку — фізична особа має право зазначити осіб, яким надаються банком довідки по рахунках (вкладах) у разі смерті в заповідальному розпорядженні банку, державним нотаріальним конторам або приватним нотаріусам, іноземним консульським установам по справах спадщини за рахунками (вкладами) померлих власників рахунків (вкладів).

22. Національний банк України як суб’єкт охорони банківської таємниці.

Національний банк України виконує три основні функції у сфері, правовідносин, пов’язаних із банківською таємницею:

  1. регулююча;
  2. контролююча;
  3. захисна.

Регулююча функція НБУ полягає у прийнятті нормативно-правових актів, спрямованих на охорону банківської таємниці. Прикладами реалізації цієї функції є Правила зберігання, захисту, використання та розкриття банківської таємниці, затверджені Постановою Правління Національного банку України від 14.07.2006 р. № 267; Положення про функціонування інформаційних систем Національного банку України та банків в особливий період, затверджене Постановою НБУ від 02.02.2009 р. № 39.

Національний банк здійснює методологічне забезпечення з питань зберігання, захисту, використання та розкриття інформації, що становить банківську таємницю.

Інструкція про порядок регулювання діяльності банків в Україні, введена з метою забезпечення стабільної діяльності банків та своєчасного виконання ними зобов’язань перед вкладниками, а також запобігання неправильному розподілу ресурсів і втраті капіталу через ризики, що притаманні банківській діяльності, також є прикладом регулюючої функції НБУ.

Контролююча функція НБУ виражається в тому, що у разі порушення банками банківського законодавства, нормативно-правових актів Національного банку України, Національний банк України адекватно вчиненому порушенню має право застосувати заходи впливу відповідно до статті 73 Закону України «Про банки і банківську діяльність».

Захисна функція НБУ реалізується в тому, що працівники Національного банку України також повинні дотримуватися вимог щодо нерозголошення банківської таємниці, отриманої у процесі здійснення наглядової діяльності. Вони є носіями банківської таємниці і у випадку розголошення її можуть бути притягнуті до юридичної відповідальності.

У разі порушення банками або іншими особами, які можуть бути об’єктом перевірки Національного банку України відповідно до банківського законодавства, нормативно-правових актів Національного банку України, Національний банк України адекватно вчиненому порушенню має право застосувати заходи впливу, до яких зокрема за порушення правил поводження з банківською таємницею можна віднести:

  1. письмове застереження щодо припинення порушення та вжиття необхідних заходів для виправлення ситуації;
  2. укладення письмової угоди з банком, за якою банк чи визначена угодою особа зобов’язується вжити заходів для усунення порушень тощо;
  3. видати розпорядження щодо накладення штрафів на:
    • керівників банків у розмірі до ста неоподатковуваних мінімумів доходів громадян;
    • банки відповідно до положень, затверджених Правлінням Національного банку України, але у розмірі не більше одного відсотка від суми зареєстрованого статутного фонду;

- тимчасового, до усунення порушення, відсторонення посадової особи банку від посади у разі грубого чи систематичного порушення цією особою вимог цього Закону або нормативно-правових актів Національного банку України.

23. Правові вимоги до роботи з документами, що містять банківську таємницю.

Вимоги до поводження з інформацією, яка містить банківську таємницю, закріплені у Правилах зберігання, захисту, використання та розкриття банківської таємниці, затверджених Постановою Правління Національного банку України від 14.07.2006 р. № 267.

Під час опрацювання вихідних документів виконавець документа визначає потребу проставляння на ньому грифа «Банківська таємниця».

Необхідність проставляння такого грифа на документі визначається виконавцем з урахуванням вимог статті 1076 Цивільного кодексу України та статті 60 Закону України «Про банки і банківську діяльність». Гриф «Банківська таємниця» проставляється в правому верхньому куті першого аркуша документа. Гриф «Банківська таємниця» не проставляється на документах, які банки надають клієнтам — власникам інформації, що містить банківську таємницю.

Реєстрація вихідних документів, що містять банківську таємницю, здійснюється в спеціальному журналі обліку вихідних документів, що містять банківську таємницю, окремо від реєстрації інших вихідних документів. Вихідні документи реєструються в день їх підписання.

Під час роботи з документами, що містять гриф «Банківська таємниця», працівники банку мають забезпечити зберігання таких документів у сейфах або шафах, які надійно замикаються і до яких не мають доступу треті особи.

Банки зобов’язані під час відправлення (передавання) інформації, що містить банківську таємницю, забезпечити її гарантовану доставку та конфіденційність.

Забороняється відправлення документів з грифом «Банківська таємниця» з використанням факсимільного зв’язку або іншими каналами зв’язку, що не забезпечують захист інформації.

Переліком документів, що утворюються в діяльності Національного банку України та банків України, із зазначенням строків зберігання, затвердженим постановою Правління Національного банку України від 08.12.2004 р. № 601 є основним нормативно-правовим актом, що визначає строки зберігання відповідних категорій документів, які утворюються в процесі діяльності центрального апарату, структурних підрозділів і одиниць, територіальних управлінь, спеціалізованих підприємств, навчальних закладів Національного банку України та банків України, їх філій, представництв та відділень. Однак строків зберігання документів, що становлять банківську таємницю, у цьому нормативно-правовому акті НБУ чітко не визначено.

На підставі зазначеного Переліку здійснюється експертиза цінностей документів з метою внесення їх до Національного архівного фонду (далі — НАФ) або знищення.

Строки зберігання документів, що визначені в Переліку, є мінімальними і зменшенню не підлягають. Банківські установи можуть лише збільшувати строки зберігання документів, якщо це викликано специфічними особливостями їх роботи.

Перелік установлює строки зберігання документів незалежно від виду носія, на якому вони складені (паперовий, електронний, у вигляді мікрофільмів тощо). Для первинної інформації та звітності, що формується на її підставі, установлюється однаковий строк зберігання незалежно від виду носія.

Для документів, що мають тривале практичне значення, встановлюється строк зберігання «доки не мине потреба». Конкретний строк їх зберігання визначає експертна комісія (ЕК) банківської установи.

Документи із зазначенням строку зберігання «до ліквідації організації» підлягають експертизі цінності, окремі з них, що зачіпають права громадян та інтереси держави, передаються у відповідні державні або інші архіви для подальшого зберігання.

Банки України передають документи до державних архівів або інших архівних установ згідно з договором або зберігають їх постійно в своїх архівних підрозділах. Документи, що утворюються в діяльності філій, представництв, відділень банків, інших організацій не відносяться до документів НАФ і не підлягають постійному зберіганню.

Документи НАФ, що належать державі, передаються до відповідних державних архівних установ у строки, передбачені Типовим положенням про архівний підрозділ органу державної влади, органу місцевого самоврядування, державного і комунального підприємства, установи та організації, затвердженим наказом Державного комітету архівів України від 06.08.2002 р. № 58.

Документи НАФ, що не належать державі, передаються до державних архівних установ згідно з договором або зберігаються постійно в архівних підрозділах, враховуючи Примірне положення про архівний підрозділ підприємства, установи та організації, заснованих на приватній формі власності, об’єднання громадян, релігійної організації, затверджене наказом Державного комітету архівів України від 05.06.2002 р. № 42 (зі змінами).

Для організації і проведення попередньої експертизи цінності документів, відбору їх для зберігання або знищення створюється ЕК банківської установи. Утворення та діяльність ЕК здійснюються на підставі Типового положення про експертну комісію державного органу, органу місцевого самоврядування, державного та комунального підприємства, установи та організації, затвердженого наказом Державного комітету архівів України від 17.12.2007 р. № 183.

Банківська установа недержавної форми власності здійснює організацію і проведення попередньої експертизи цінності документів відповідно до Примірного положення про експертну комісію об’єднання громадян, релігійної організації, а також підприємства, установи та організації, заснованої на приватній формі власності, затвердженого наказом Державного комітету архівів України від 06.05.2008 р. №83.

Експертиза цінності документів та оформлення її результатів у банківських установах проводиться в порядку, визначеному Правилами роботи архівних підрозділів органів державної влади, місцевого самоврядування, підприємств, установ і організацій, затвердженими наказом Державного комітету архівів України від 16.03.2001 р. № 16.

За результатами експертизи цінності документів складаються описи справ постійного строку зберігання, тривалого (понад 10 років) строку зберігання, з особового складу, а також акти про вилучення для знищення справ, строки зберігання яких закінчилися. Зведені описи та акти розглядаютьсяЕК банківської установи одночасно.

Банківські установи, що зберігають документи НАФ постійно в себе, складають річні розділи зведеного опису справ постійного строку зберігання та з особового складу в двох примірниках. Після погодження ЕК банківської установи описи затверджуються керівником банківської установи.

Банківські установи, у діяльності яких не утворюються документи НАФ, складають річні розділи зведеного опису справ тривалого (понад 10 років) строку зберігання в трьох примірниках, які направляються на погодження ЕК банківської установи вищого рівня.

Банківські установи, у діяльності яких не утворюються документи НАФ, складають акти про вилучення для знищення документів лише після затвердження описів справ тривалого (понад 10 років) строку зберігання та з особового складу. Знищення документів проводиться після затвердження акта керівником банківської установи і його погодження з відповідним державним архівом.

Справи, відібрані для знищення, після погодження та затвердження актів передаються в установленому порядку (з оформленням приймально-передавальних накладних) організаціям, що займаються заготівлею вторинної сировини, з метою перероблення на паперових фабриках. Використання цих документів для господарських потреб забороняється.

Знищення документів без відповідного оформлення і погодження, а також порушення строків їх зберігання забороняється. Посадові особи, винні в недбалому зберіганні, псуванні і знищенні документів, відповідно до Закону України «ГІро Національний архівний фонд та архівні установи» несуть відповідальність згідно із законодавством України.

Контроль за правильністю проведення експертизи цінності і застосуванням Переліку здійснюють Національний банк України та державні архівні установи.

24. Загальний порядок та межі надання банками інформації, що міститьбанківську таємницю, на запит уповноважених органів.

Вимога відповідного державного органу на отримання інформації, яка містить банківську таємницю, повинна:

  1. бути викладена на бланку державного органу встановленої форми;
  2. бути надана за підписом керівника державного органу (чи його заступника), скріпленого гербовою печаткою;
  3. містити передбачені Законом «Про банки і банківську діяльність» підстави для отримання цієї інформації;
  4. містити посилання на норми закону, відповідно до яких державний орган має право на отримання такої інформації.

Довідки по рахунках (вкладах) у разі смерті їх власників надаються банком особам, зазначеним власником рахунку (вкладу) в заповідальному розпорядженні банку, державним нотаріальним конторам або приватним нотаріусам, іноземним консульським установам по справах спадщини за рахунками (вкладами) померлих власників рахунків (вкладів).

Банку забороняється надавати інформацію про клієнтів іншого банку, навіть якщо їх імена зазначені у документах, угодах та операціях клієнта.

Банк має право надавати інформацію, що становить банківську таємницю, іншим банкам та Національному банку України в обсягах, необхідних при наданні кредитів, банківських гарантій.

Банк має право розкривати інформацію, що містить банківську таємницю, особі (в тому числі яка уповноважена діяти від імені держави), на користь якої відчужуються активи та зобов’язання банку при виконанні заходів, передбачених програмою фінансового оздоровлення банку, або під час здійснення процедури ліквідації. Національний банк України (тимчасовий адміністратор) має право надавати Міністерству фінансів України інформацію, яка містить банківську таємницю щодо банків, участь у капіталізації яких бере держава.

Національний банк України відповідно до міжнародного договору України або за принципом взаємності має право надавати інформацію, отриману при здійсненні нагляду за діяльністю банків, органу банківського нагляду іншої держави, а також отримувати від органу банківського нагляду іншої держави таку інформацію. Надана (отримана) інформація може бути використана виключно з метою банківського нагляду або запобігання легалізації (відмиванню) доходів, одержаних злочинним шляхом, чи фінансуванню тероризму.

Положення Закону України «Про банки і банківську діяльність» стосовно вимог до запиту на отримання інформації, яка містить банківську таємницю, а також заборони надавати інформацію про клієнтів іншого банку, не поширюються на випадки надання:

  1. спеціально уповноваженому органу виконавчої влади з питань фінансового моніторингу інформації про фінансові операції у випадках, передбачених законом щодо запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму та
  2. органам державної податкової служби — інформації про відкриття (закриття) рахунків платників податків відповідно до статті 69 Податкового кодексу України, що передбачає вимоги до відкриття та закриття рахунків платників податків у банках та інших фінансових установах.

Зокрема, банки та інші фінансові установи відкривають поточні та інші рахунки платникам податків — юридичним особам (як резидентам, так і нерезидентам) незалежно від організаційно-правової форми, відокремленим підрозділам та представництвам юридичних осіб, фізичним особам — підприємцям та фізичним особам, які провадять незалежну професійну діяльність, лише за наявності документів, виданих органами державної податкової служби, що підтверджують взяття їх на облік у таких органах.

Банки та інші фінансові установи зобов’язані надіслати повідомлення про відкриття або закриття рахунка платника податків — юридичної особи, у тому числі відкритого через його відокремлені підрозділи, чи самозайнятої фізичної особи до органу державної податкової служби, в якому обліковується платник податків, протягом трьох робочих днів з дня відкриття/закриття рахунка (включаючи день відкриття/закриття).

У разі відкриття або закриття рахунка платника податків — банку, у тому числі відкритого через його відокремлені підрозділи, повідомлення надсилається в зазначеному вище порядку, лише в разі відкриття або закриття кореспондентського рахунка.

У разі відкриття або закриття власного кореспондентського рахунка банки зобов’язані надіслати повідомлення до органу державної податкової служби, в якому обліковуються, протягом трьох робочих днів.

Орган державної податкової служби протягом трьох робочих днів з дня отримання повідомлення від фінансової установи про відкриття рахунка зобов’язаний направити повідомлення про взяття рахунка на облік або відмову у взятті органом державної податкової служби рахунка на облік із зазначенням підстав.

Послідовність дій банків та інших фінансових установ при наданні повідомлень про відкриття або закриття рахунків платників податків — юридичних осіб, у тому числі відкритих через їх відокремлені підрозділи, та самозайнятих фізичних осіб до органів державної податкової служби, в яких обліковуються Платники податків, та відкриття або закриття банками власних кореспондентських рахунків, а також форму і зміст повідомлень про відкриття/закриття рахунків платників податків у банках та інших фінансових установах, перелік підстав для відмови органів ДПС у взятті рахунків на облік визначає Наказ Мінфіну України від 02.04.2012 р. № 426 «Про затвердження Порядку подання повідомлень про відкриття/закриття рахунків платників податків у банках та інших фінансових установах до органів державної податкової служби».

Таким чином, законом встановлено виключний перелік суб’єктів, що мають право на одержання банківської таємниці, і цей перелік не підлягає розширеному тлумаченню.

Крім того, законодавство України встановлює різні процедури розкриття банківської таємниці стосовно різних категорій суб’єктів:

  1. фізичних осіб;
  2. юридичної особи або фізичної особи — суб’єкта підприємницької діяльності;
  3. банку.

25. Розкриття банківської таємниці в судовому порядку.

  1. Банки зобов’язані виконувати ухвалені рішення судів про розкриття інформації, яка містить банківську таємницю, у порядку, установленому законодавством України.

За рішенням суду про розкриття інформації, що становить банківську таємницю, банк розкриває інформацію в обсязі, визначеному рішенням суду.

Глава 12 Розділу IV «Окреме провадження» Цивільного процесуального кодексу України визначає порядок розгляду судом справ про розкриття банками інформації, яка містить банківську таємницю, щодо юридичних та фізичних осіб.

Заява про розкриття банком інформації, яка містить банківську таємницю, щодо юридичної або фізичної особи у випадках, встановлених законом, подається до суду за місцезнаходженням банку, що обслуговує таку юридичну або фізичну особу.

У заяві до суду про розкриття банком інформації, яка містить банківську таємницю, щодо юридичної або фізичної особи має бути зазначено:

  1. найменування суду, до якого подається заява;
  2. ім’я (найменування) заявника та особи, щодо якої вимагається розкриття інформації, яка містить банківську таємницю, їх місце проживання або місцезнаходження, а також ім’я представника заявника, коли заява подається представником;
  3. найменування та місцезнаходження банку, що обслуговує особу, щодо якої необхідно розкрити банківську таємницю;
  4. обґрунтування необхідності та обставини, за яких вимагається розкрити інформацію, що містить банківську таємницю, щодо особи, із зазначенням положень законів, які надають відповідні повноваження, або прав та інтересів, які порушено;
  5. обсяги (межі розкриття) інформації, яка містить банківську таємницю, щодо особи та мету ЇЇ використання.

Справа про розкриття банком інформації, яка містить банківську таємницю, розглядається у п’ятиденний строк з дня надходження заяви у закритому судовому засіданні з повідомленням заявника, особи, щодо якої вимагається розкриття банківської таємниці, та банку, а у випадках, коли справа розглядається з метою охорони державних інтересів та національної безпеки, — зповідомленням тільки заявника.

Неявка в судове засідання без поважних причин заявника та (або) особи, щодо якої вимагається розкриття банківської таємниці, чи їх представників або представника банку не перешкоджає розгляду справи, якщо суд не визнав їхню участь обов’язковою.

Якщо під час розгляду справи буде встановлено, що заява ґрунтується на спорі, який розглядається в порядку позовного провадження, суд залишає заяву без розгляду і роз’яснює заінтересованим особам, що вони мають право подати позов на загальних підставах.

У рішенні про розкриття банком інформації, яка містить банківську таємницю, щодо юридичної або фізичної особи зазначаються:

  1. ім’я (найменування) одержувача інформації, його місце проживання або місцезнаходження, а також ім’я представника одержувача, коли інформація надається представникові;
  2. ім’я (найменування) особи, щодо якої банк має розкрити інформацію, яка містить банківську таємницю, місце проживання або місцезнаходження цієї особи;
  3. найменування та місцезнаходження банку, що обслуговує особу, щодо якої необхідно розкрити банківську таємницю;
  4. обсяги (межі розкриття) інформації, яка містить банківську таємницю, що має бути надана банком одержувачу, та мету її використання.

Якщо під час судового розгляду буде встановлено, що заявник вимагає розкрити інформацію, яка містить банківську таємницю, щодо юридичної або фізичної особи без підстав та повноважень, визначених законом, то суд ухвалює рішення про відмову в задоволенні заяви.

Ухвалене судом рішення підлягає негайному виконанню. Копії рішення суд надсилає банку, що обслуговує юридичну або фізичну особу, заявнику та особі, щодо якої надається інформація. Особа, щодо якої банк розкриває банківську таємницю, або заявник мають право у п’ятиденний строк оскаржити ухвалене судом рішення до апеляційного суду в установленому порядку. Оскарження рішення не зупиняє його виконання.

26. Правопорушення у сфері банківської таємниці

27. Протиправні діяння у сфері використання платіжних карток.

Сферу використання платіжних карток можна визначити як сферу переказу коштів за допомогою спеціального платіжного засобу у вигляді емітованої в установленому законодавством порядку пластикової чи іншого виду картки. У зв’язку з тим, що при здійсненні розрахункових операцій з платіжними картками використовуються електронні засоби приймання, оброблення, передавання та захисту інформації про рух коштів, ці розрахунки слід визначити як електронні.

Злочини у сфері використання платіжних карток можна визначити як вчинені умисно, суспільно небезпечні дії, пов’язані з умисним ініціюванням неналежного переказу, що посягають на відносини у сфері переказу коштів з наміром привласнити ці кошти або право на кошти.

Предметом злочину у сфері використання платіжних карток є:

  • інформація, що дозволяє ініціювати переказ коштів;
  • кошти на картковому рахунку держателя платіжної картки;
  • майно та послуги торгівельних та сервісних підприємств, що здійснюють карткові розрахунки — .

Злочини у сфері функціонування платіжних карток є злочинами з матеріальним складом. Настання суспільно небезпечних наслідків є обов’язковою ознакою злочинів з матеріальним складом і їх відсутність не дає змоги кваліфікувати правопорушення як злочин.

Протиправність заволодіння чужим майном визначається:

  • способом, який заборонено законом;
    • особою, яка не має права на таке майно.

Злочин з матеріальним складом визнається закінченим з моменту, коли фактично настали суспільно небезпечні наслідки. Для викрадення — момент, коли винний має реальну можливість розпоряджатись чи користуватись викраденим майном.

Кримінально-процесуальне законодавство передбачає необхідність доведення всіх обставин злочину, у тому числі характеру та розміру заподіяної володільцеві реальної і прямої матеріальної шкоди. Необхідно враховувати також положення ч. 2 ст. 11 КК України, відповідно до якої дія або бездіяльність, яка хоча формально і містить ознаки будь-якого діяння, передбаченого КК України, не буде злочином, якщо через малозначність не становить суспільної небезпеки, тобто не заподіяла і не могла заподіяти істотної шкоди фізичній та юридичній особі, суспільству або державі.

Класифікація протиправних посягань у сфері використання платіжних карток подається на основі розробленої Бутузовим В. М., Гавловським В. Д., Скалозубом Л. П. та іншими науковцями концепції поділу таких правопорушень.

До діянь, пов’язаних з незаконним збиранням інформації про справжні платіжні картки, можна віднести наступні:

  • викрадення платіжної картки у законного держателя;
  • викрадення інформації про справжні платіжні картки (у т. ч. електронних баз даних);
  • створення ситуацій, коли інформація про картку розголошується законним держателем (банківським або торгі- вельним працівником);
  • створення фіктивних підприємств з обслуговування розрахунків з використанням банківських платіжних карток (у т. ч. у мережі Інтернет);
  • одержання справжньої платіжної картки за підробленими документами;
  • злочинна змова з працівниками банківських структур або торгівельних (сервісних) закладів з метою одержання інформації;
  • використання технічних засобів;
  • скуповування викрадених, загублених, неотриманих платіжних карток, інформації про справжні картки (у т. ч. через мережу Інтернет);
  • навмисна передача картки недобросовісним держателем третім особам;
  • використання хакерських програм генерування номерів платіжних карток;
  • різноманітні комбінації вищенаведених діянь. Джерелами витоку інформації про справжні платіжні

картки можуть бути:

  • сама платіжна картка та її законний держатель;
  • комп’ютерні системи, інформаційні та комунікаційні мережі фінансових інститутів (банків-емітентів, еквайрів, клірингових центрів тощо) та їх працівники;
  • технічні засоби процесингових центрів та їх працівники;
  • термінальне обладнання (торгівельні термінали, банко- мати) та особи, які його обслуговують;
  • бази даних підприємств, що здійснюють електронну комерцію в мережі Інтернет, їх працівники;
  • телекомунікаційні системи, які об’єднують вищезазначені елементи, працівники провайдерів та операторів зв’язку;
  • кардерські сайти та форуми Інтернету, на яких розміщені пропозиції щодо продажу викраденої інформації, пропонуються програми генерування номерів платіжних карток, прикладне програмне забезпечення та обладнання для виробництва підробок.

Інформацію щодо платіжних карток або кодів доступу до комп’ютерних мереж, досить часто можна знайти в мережі Інтернет на дошках електронних об’яв (BBS). Хакери, при збиранні інформації про паролі чи ідентифікаційні номери користувачів комп’ютерних систем, використовують такі методи як:

  • «socialengineering» (соціальна інженерія) — різні способи використання людського фактору як найбільш слабкого місця у захисті комп’ютерних систем;
  • «dumpsterdiving» (збір сміття) — пошук кодів, номерів рахунків, інших ідентифікаторів у корзинах для сміття, шухлядах столів, приватних речах, необережно залишених рахунках необачних держателів. У злочинців неодноразово вилучалися бухгалтерські звіти по прийнятим до оплати карткам, цілі мішки копій чеків, сліпів, квитанцій тощо, інформацію з яких вони використовували при виготовленні підроблених карток;

— «shouldersurfing» (серфінг по плечах) — перехоплення паролю, який вводиться з клавіатури користувачем. Вищезазначені протиправні дії можна кваліфікувати за наступними статтями КК України: ст. 231 «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю », ст. 361 «Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку», ст. 362 «Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї», ст. 200 «Незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, обладнанням для їх виготовлення».

28. Кримінальна відповідальність за незаконні діяння з банківською таємницею.

Кримінальний кодекс України (ККУ) передбачає два склади злочину, безпосереднім предметом посягання яких виступає банківська таємниця:231 ККУ. Незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю;232 ККУ. Розголошення комерційної або банківської таємниці.

Стаття 231 ККУ. Незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю

Умисні дії, спрямовані на отримання відомостей, що становлять комерційну або банківську таємницю, з метою розголошення чи іншого використання цих відомостей, а також незаконне використання таких відомостей, якщо це спричинило істотну шкоду суб’єкту господарської діяльності, — караються штрафом від двохсот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до п’яти років, або позбавленням волі на строк до трьох років.

Стаття 232 ККУ. Розголошення комерційної або банківської таємниці

Умисне розголошення комерційної або банківської таємниці без згоди її власника особою, якій ця таємниця відома у зв’язку з професійною або службовою діяльністю, якщо воно вчинене з корисливих чи інших особистих мотивів і завдало істотної шкоди суб’єкту господарської діяльності, — карається штрафом від двохсот до п’ятисот неоподатковуваних мінімумів доходів громадян з позбавленням права обіймати певні посади чи займатися певного діяльністю на строк до трьох років, або виправними роботами на строк до двох років, або позбавленням волі на той самий строк.

Аналіз слідчо-судової практики показує, що зазначені злочини мають підвищену латентність, оскільки підприємства і банківські установи відмовляються подавати заяви до правоохоронних органів, щоб не знизити свій авторитет і не втратити довіру суспільства. За період 2001—2007 рр. порушено лише 18 кримінальних справ за ст. 231 КК України (по дев’яти з них провадження зупинено на підставі п. З ст. 206 КПК, оскільки злочини вчинено за допомогою комп’ ютерних мереж та Інтернету і особу винного встановити не вдалося) і 10 кримінальних справ — за ст. 232 ККУ.

Стаття 200 ККУ передбачає кримінальну відповідальність за незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, обладнанням для їх виготовлення:

  1. Підробка документів на переказ, платіжних карток чи інших засобів доступу до банківських рахунків, а так само придбання, зберігання, перевезення, пересилання з метою збуту підроблених документів на переказ чи платіжних карток або їх використання чи збут — карається штрафом від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років, або позбавленням волі на той самий строк.

Стаття 361 ККУ. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку

1.Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, — карається штрафом від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк від двох до п’яти років, або позбавленням волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до двох років або без такого та з конфіскацією програмних та технічних засобів, за допомогою яких було вчинено несанкціоноване втручання, які є власністю винної особи.

Стаття 361-2 ККУ. Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації

1.Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, — караються штрафом від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян або позбавленням волі на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було здійснено несанкціоновані збут або розповсюдження інформації з обмеженим доступом, які є власністю винної особи.

Стаття 362 ККУ. Н есанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї

1. Несанкціоновані зміна, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах чи комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї, — караються штрафом від шестисот до тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років з конфіскацією програмних або технічних засобів, за допомогою яких було вчинено несанкціоновані зміна, знищення або блокування інформації, які є власністю винної особи.

Стаття 363 ККУ. Порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється

Порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, — караються штрафом від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років з позбавленням права обіймати певні посади чи займатися певною діяльністю на той самий строк.

Стаття 363-1 ККУ. Перешкоджання роботі електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку шляхом масового розповсюдження повідомлень електрозв’язку

1.Умисне масове розповсюдження повідомлень електрозв’язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, — карається штрафом від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років.

29. Цивільно-правова відповідальність у сфері обігу банківської таємниці.

Настає за порушення договірних зобов’язань майнового х-ру або за заподіяння майнової чи моральної шкоди і може виражатися у позбавленні правопорушника певних переваг мат х-ру, у зміні невиконананого обов’язку, у приєднанні до невиконаного обов’язку нового. Захист Ц прав: визнання права; припинення дій, які порушують П чи створюють загрозу його порушення; відновлення становища, яке існувало до порушення; визнання правочину недійсним; примусове виконання обов’язку в натурі; відшкодування моральної шкоди тощо. Ст 19 –самозахист. Можливість застосування у договорах та угодах між Б і клієнтом застережень щодо збер БТ та відповідальності за її розголошення передбачена частиною 1 ст 61 зу «про б і б д-ть» - б та клієнт можуть передбачити. Ц-П санкції – неустойка, штраф, пеня – грошова сума/майно, які боржник повинен передати кредиторові у разі поруш зобов’язання. Штров - % від суми невиконаного зобов’язання. Пеня-% від суми несвоєчасно виконаного зобов’язання).1076 Банк гарантує таємницю банківського рахунка, операцій за рахунком і відомостей про клієнта.Відомості про операції та рахунки можуть бути надані тільки самим клієнтам або їхнім представникам. Іншим особам, у тому числі органам державної влади, їхнім посадовим і службовим особам, такі відомості можуть бути надані виключно у випадках та в порядку, встановлених законом про банки і банківську діяльність.У разі розголошення банком відомостей, що становлять банківську таємницю, клієнт має право вимагати від банку відшкодування завданих збитків та моральної шкоди.

1058 б договір 633 -Публічним є договір, в якому одна сторона - підприємець взяла на себе обов'язок здійснювати продаж товарів, виконання робіт або надання послуг кожному, хто до неї звернеться (роздрібна торгівля, перевезення транспортом загального користування, послуги зв'язку, медичне, готельне, банківське обслуговування тощо).Умови публічного договору встановлюються однаковими для всіх споживачів, крім тих, кому за законом надані відповідні пільги.Підприємець не має права надавати переваги одному споживачеві перед іншим щодо укладення публічного договору, якщо інше не встановлено законом.Підприємець не має права відмовитися від укладення публічного договору за наявності у нього можливостей надання споживачеві відповідних товарів (робіт, послуг).У разі необгрунтованої відмови підприємця від укладення публічногодоговору він має відшкодувати збитки, завдані споживачеві такою відмовою.Якщо особа, яка порушила п, одержала у зв’язку з цим доходи, то розмір упущеної вигоди, що має відшкодовуватися особі, п якої орушено, не може бути меншим від доходів, одержаних особою, яка порушила п. У випадку відсутності угоди між клієнтом і б, б буде нести відповідальність за невиконання ним зобовязань. Відповідальність несе не тільки б, а і держ органи, а також інші юр особи.

30. Поняття «Інженерно-технічний захист інформації», методи та засобиінженерного захисту та технічної охорони об’єктів.

Інженерно-технічний захист інформації (далі ІТЗІ) – це комплекс фізичного захисту джерел інформації , що включає в себе методи інженерного захисту та технічної охорони.

Метою ІТЗІ є запобігання проникненню до джерел конфіденційної інформації потенційного противника та стихійних лих природи. Тобто інженерне та технічне забезпечення режиму контрольованої зони.

Фізичний захист джерел інформації не відрізняється від фізичного захисту інших матеріальних цінностей і людей, тому він має універсальний характер. Інженерні конструкції створюють перешкоди, які затримують джерела загроз на шляху їх руху (розповсюдження) до джерел інформації.

Інженерний захист: системи охоронної та пожежної сигналізації,системи цифрового відео спостереження, огороджувальні пристрої, пристрої загородження(паркани), засоби контролю і управління доступом, інженерні конструкції,системи охорони периметру.

І тех. Охорону-1)засоби виявлення загроз (пожежно-охоронна сигналізація,засоби передачі тривожних сигналів,фізична охорона,засоби пожежогасіння,с-ма охорони периметру) ;2)нагляд за джерелами загроз (відеокамери,моніторинг,засоби перетворення та запису відеосигналу. Засоби: 1)засоби пошуку і знищення технічних засобів розвідки(металодитектори, рентгенометри);2) пасивні засоби захисту приміщень і апаратури(пристрої спостереження,пристрої постановки перешкод,екранування приміщень);3)технічні засоби розпізнавання користувачів(магнітні картки,електронні ключі та картки, біометрія).

31.Розкрити поняття «Об’єкт інформаційної діяльності»,

«Інформаційно-телекомунікаційна система», «Комплекс технічного

захисту інформації» та «Комплексні системи захисту інформації».

інформаційно-телекомунікаційна система - сукупність

інформаційних та телекомунікаційних систем, які у процесі обробки

інформації діють як єдине ціле;

комплексна система захисту інформації - взаємопов'язана

сукупність організаційних та інженерно-технічних заходів, засобів

і методів захисту інформації;

Комплексна система захисту інформації (КСЗІ) - сукупність організаційних і інженерно-технічних заходів, які спрямовані на забезпечення захисту інформації від розголошення, витоку і несанкціонованого доступу. Організаційні заходи є обов'язковою складовою побудови будь КСЗІ. Інженерно-технічні заходи здійснюються в міру необхідності.

32. Канали витоку інформації. Вияв і локалізація можливих і реальних каналіввитоку інформації.

Каналыутечкиинформации, — методы и путиутечки информации изинформационной системы; паразитная (нежелательная) цепочканосителейинформации, один илинесколькоизкоторыхявляются (могутбыть)правонарушителем или егоспециальнойаппаратурой. Играютосновную роль в защитеинформации, какфакторинформационной безопасности.

Каналыутечкиинформацииможнотакжеразделить по физическимсвойствам и принципам функционирования:

-акустические — запись звука, подслушивание и прослушивание;

-акустоэлектрические - получениеинформации через звуковыеволны с дальнейшейпередачейее через сети электропитания;

-виброакустические - сигналы, возникающиепосредствомпреобразованияинформативногоакустическогосигнала при воздействииего на строительныеконструкции и инженерно-техническиекоммуникациизащищаемыхпомещений;

-оптические — визуальныеметоды, фотографирование, видеосъемка, наблюдение;

-электромагнитные — копированиеполейпутемснятияиндуктивных наводок;

-радиоизлученияилиэлектрические сигналы от внедренных в техническиесредства и защищаемыепомещенияспециальныхэлектронныхустройствсъемаречевойинформации “закладныхустройств”, модулированныеинформативным сигналом;

-материальные — информация на бумагеили других физическихносителяхинформации

Акустические

Методысъемаинформации:

· Установка радио-закладок в стенах и мебели;

· Съеминформации по системевентиляции;

· Съеминформации с использованиемдиктофонов;

· Съеминформациинаправленныммикрофоном.

Способысъемаинформации:

· Подслушивание;

· Диктофон;

· Микрофон;

· Направленныймикрофон.

Методы и средствазащитыинформации:

· Шумовыегенераторы;

· Поиск закладок;

· Ограничениедоступа.

Вибрационные

Методысъемаинформации:

· За счет структурного звука в стенах и перекрытиях;

· Утечка по сети отопления, газо - и водоснабжения.

Способысъемаинформации:

· Вибродатчики.

Методы и средствазащитыинформации:

· Защитныефильтры.

Электроакустические

Методысъемаинформации:

· Съеминформации за счет наводок и "навязывания";

· Съеминформации за счетиспользования "телефонного уха";

· Утечка по охранно-пожарнойсигнализации.

Способысъемаинформации:

· Подключение к вспомогательнымтехническимсредствам и системам (телефон, датчики пожарнойсигнализации, громкоговорителиретрансляционной сети).

Методы и средствазащитыинформации:

· Использованиеспециальныхустройств;

· Отключениетелефонныхаппаратов от линии при ведении в помещенииконфиденциальныхразговоров;

· установка в телефоннойлинииспециальногоустройствазащиты, автоматически (без участия оператора) отключающеготелефонныйаппарат от линии при положеннойтелефоннойтрубке;

· Использование метода "выжигания" закладныхустройствилиихблоковпитанияпутемподачи в линиювысоковольтныхимпульсов.

Оптико-электронные

Методысъемаинформации:

· Лазерныйсъемакустическойинформации с окон.

Способысъемаинформации:

· С помощью "лазерныхмикрофонов".

Методы и средствазащитыинформации:

· Звукоизоляцияокон;

· Установка на стекла окон "виброгенераторов".

Параметрические

Методысъемаинформации:

· Высокочастотный канал утечки в бытовойтехнике.

Способысъемаинформации:

· С помощью спец. оборудования.

Методы и средствазащитыинформации:

· Шумовыегенераторы;

· Не устанавливатьэлементывысокочастотныхгенераторов (например: телевизор);

· Поиск закладок.

Визуально-оптические

Методысъемаинформации:

· Наблюдение, фотографирование, видеосъемкаобъекта.

Способысъемаинформации:

· Съеминформации с использованиемвидео-закладок;

· Использованиезакамуфлированнойтехники (фотоаппарата, видеокамеры);

· Наблюдение за объектомвнеегозоны (изсоседних зданий).

Методы и средствазащитыинформации:

· Поиск закладок;

· Экранировкапомещения;

· Использованиежалюзиили штор.

Электромагнитные

Методысъемаинформации:

· Утечка за счетпобочногоизлучениятерминала;

· Съеминформации с дисплея;

· Утечка по цепямзаземления;

· Утечка по трансляционной цепи и громкоговорящейсвязи;

· Утечка по охранно-пожарнойсигнализации;

· Утечка по сети электропитания.

Способысъемаинформации:

· электромагнитный датчик;

Методы и средствазащитыинформации:

· Экранирование.

Компьютерные

Этотуникальныйэлектронноймеханизм для хранения и обработкиинформацииимеется в каждойделовойорганизации. Более того, онизачастуюсвязаны с внешним миром с помощьюмодемов и телефонныхлиний, выделенныхсетей. Связькомпьютера с внешним миром является каналом обмена, отправки и полученияинформации, благодарякоторомуорганизацияможетболее оперативно работать, ноданнаясвязьтакжеявляется каналом заполученияинформации, которойобладаеторганизация.

Методысъемаинформации:

· Программно-аппаратные закладки;

· Компьютерныевирусы, логическиебомбы, троянскиекони и т.п.;

· Подключение к удаленномукомпьютеру.

Методы и средствазащитыинформации:

· Использованиесертифицированного ПО;

· Установка FireWall’ов;

· Использованиеантивирусов.

Материально-вещественныеканалыутечкиинформации

К материально-вещественному каналу утечкиинформацииотносится

относитсяснятиеинформациинепосредственно с носителяинформации.

Методысъемаинформации:

· несанкционированноеразмножение, копированияилихищенияносителейинформации;

· Визуальныйсъеминформации с дисплея илидокументов;

· Использованиепроизводственных и технологическихотходов.

Способысъемаинформации:

· Наблюдение;

· Обработкамусора;

· Копированиедокументов;

· Хищениеносителейинформации.

Методы и средствазащитыинформации:

· Ограничениедоступа;

· Использование "уничтожителейдокументов";

· Физическаязащита.

Легальные

Подлегальными каналами утечкиинформациипонимаетсяпереработкаоткрытойинформации для выявленияизнеезакрытыхсведений.

Методысъемаинформации:

· Литература;

· Периодическиеиздание;

· Выведываниеподблаговиднымпредлогоминформации у лиц, располагающихинтересующейинформацией;

· СМИ;

· Интернет.

Методы и средствазащитыинформации:

· Работа с персоналом;

· Постановления о неразглашенииконфиденциальнойинформации;

· Фильтрацияданныхпредоставляемых для опубликования.

Агентурные

Агентурныеканалыутечкиинформацииэтоиспользование противником тайныхагентов для получениязакрытойинформации.

В данномканалеутечкиинформациииспользуютсяследующиеметоды:

· Внедрениесвоихагентов в организацию;

· Проведениебеседы (анкетирования) с агентами находящимися (работающими) в организации;

· Вербовка агентов уже находящихся (работающих) в организации.

Методы и средствазащитыинформации:

· Работа с персоналом.

Для телекомунікаційної І –електромагнітні, електричні та параметричні. Для мовної: прямі акустичні (повітнряні)), віброакустичні, електроакустичні, оптико-електронні і параметричні.

33. Акустичний канал витоку інформації на об’єктах інформаційної діяльності.

Акустичний канал витоку інформації - фізичний шлях від джерела акустичних сигналів (людина, техніка) до зловмисника за рахунок механічних коливань середовища розповсюдження (повітря, жорсткі середовища, вода, рідини).

Джерелом утворення акустичного каналу витоку інформації є коливні тіла або механізми що вібрують, такі як голосові зв’язки людини, елементи машин що рухаються, телефонні апарати, звукопідсилювальні системи, засоби оперативного зв’язку, засоби звукозапису і звуковідтворення і навіть ПЕОМ, що працюють у режимі введення, виводу та обробки звукової інформації.

Акустичні канали витоку конфіденційної інформації утворюються за рахунок:

- поширення акустичних коливань у вільному повітряному просторі;

- впливи звукових коливань на елементи і конструкції будинків, викликаючи їхньої вібрації;

- впливи звукових коливань на технічні засоби обробки інформації ;

Акустичні канали витокуінформаціїутворюються за рахунок:

Поширенняакустичнихколиваньувільномуповітряномупросторі;

Впливузвуковихколивань на елементи й конструкціїбудинків;

Впливузвуковихколивань на технічнізасобиобробкиінформації.

Канали формуються за рахунок:

у першомувипадку: переговорів на відкритомупросторі; відкритихвікон, дверей, кватирок, вентиляційнихканалів;

у другому випадку: стін, стель, підлог, вікон, дверей, коробіввентиляційних систем, труб водопостачання, систем підігріву та кондиціонуваннятощо;

у третьомувипадку: мікрофонногоефекту, акустичноїмодуляції волоконно-оптичнихлінійпередачіінформації.

Акустичнарозвідказдійснюєтьсяперехопленнямвиробничихшумівоб’єкта й перехопленняммовленнєвоїінформації.

За способом застосуваннятехнічнізасобизніманняакустичноїінформаціїможнакласифікувати

Для перехопленняакустичної (мовної) інформаціївикористовуютьтакіпристрої:

Засоби, щовстановлюютьсязаходовими (вимагаютьфізичногопроникненняня об’єкт) методами:

  • Акустичнірадіо-закладки (передача по радіоканалу);
  • закладки з передачею акустичної інформації в інфрачервоному діапазоні – акустичн іінфрачервоні - закладки
  • закладки з передачею інформації за допомогою мережі 220 В-акустичні мережеві закладки
  • Акустичні телефонні закладки - закладки з передачею акустичної інформації за допомогою телефонної лінії;
  • Портативні диктофони і провідні мікрофонні системи прихованого звукозапису;
  • Акустичні телефонні закладки типу "телефонневухо" (передача інформації по телефонній лінії на низькій частоті ).

Засоби, щовстановлюютьсябеззаходовими методами:

апаратура, щовикористовуємікрофоннийефект;

високочастотненав’язування;

стетоскопи;

лазерністетоскопи;

спрямованімікрофони.

34. Віброакустичний канал витоку інформації на об’єктах інформаційноїдіяльності.

Вібраційні канали витокуінформації

У вібраційних (віброакустичних) технічних каналах витоку інформації середовищем поширення акустичних сигналів є елементи конструкцій будівель, споруд (стіни, стелі, підлоги), труби водопостачання , каналізації та інші тверді тіла. Повітряні хвилі людської мови впливають на будівельні конструкції і призводять до коливань стін, скла, батарей і т.д. Для знімання інформації зі стін використовується електронні стетоскопи для знімання інформації зі скла – лазерні системи, для знімання інформації з води трубопроводів - гідроакустичні перетворювачі. Розпізнавання інформації залежить від матеріалу конструкцій, товщини конструкцій, від шумів, що утворюються в конструкції, від руху людей, транспорту, вібрації.

Даний канал витоку не має деконспіраційних (явних) ознак, і, отже, є складно технічно визначити, чи відбувається витік інформації з цього каналу. Фахівці здійснюють оцінку можливості витоку інформації на підставі вивчення архітектурно-будівельної документації на певну частинуоб'єкта з подальшою перевіркою висновків за допомогою стетоскопів. Якщовиявляється, що такий канал витоку можливий, то постає завдання закриття цього каналу. Для закриття каналу доцільнозастосовуватиштучніджерелаперешкод – системивіброакустичногозашумлення.

Пристроївіброакустичногозахистувикористовуються для захиступриміщень, призначених для проведенняконфіденційнихзаходів, відзніманняінформації через шибки, стіни, системивентиляції, труби опалення, двері і т.д.Цяаппаратурадозволяєзапобігтиможливепрослуховування за допомогоюпровіднихмікрофонів, звукозаписноїапаратури, радіомікрофонів і електроннихстетоскопів, лазерного зніманняакустичноїінформації з вікон і т.д.Протидіяпрослуховуваннязабезпечуєтьсявнесеннямвіброакустичнихшумовихколивань в елементиконструкціїбудівлі.

Конструктивно аппаратуравключає блок формування і посилення шумового сигналу і кількаакустичних і віброакустичнихвипромінювачів.Генератор формує «білий» шум в діапазонізвукових частот.

(Білий шумпостійний шум, спектральні складові якого рівномірно розподілені по всьому діапазону частот. Прикладами білого є шум водоспаду[1] )Білий шум широко використовується вфізиційтехніці, зокрема вархітектурній акустиці — для того, щоб сховати небажані шуми у внутрішніх просторах будинків, генерується постійнийбілий шум низької амплітуди.

Пасивнізасобизахистуакустичного і віброакустичногоканаліввитокумовноїінформації.

Для запобіганнявитокумовноїінформації з акустичним і віброакустичним каналами здійснюються заходи щодовиявленняканаліввитоку. У більшостівипадків для несанкціонованогозніманняінформації з приміщення супротивник застосовуєвідповіднізадумомзаставніпристрої.

Всю процедуру пошукуЗУможнаумовно розбити накількаетапів:

• фізичнийпошук і візуальнийогляд;

• виявленнярадіозаставнихпристроїв як електроннихзасобів;

• перевірканаявностіканаліввитокуінформації.

Для активногозахистумовноїінформаціївідневиявленихзакладнихпристроїв і знімання по інших каналах використовуєтьсяапаратура активного захисту:

  • Технічнізасобипросторовогозашумлення;
  • Пристроївіброакустичногозахисту;
  • Технічнізасоби ультразвукового захисту.

35. Електроакустичний канал витоку інформації на об’єктах інформаційноїдіяльності.

Електроакустичні канали

Електроакустичні канали витоку інформації зазвичай утворюються за рахунок електроакустичних перетворень акустичних сигналів в електричні за двома основними напрямками: шляхом «високочастотного нав'язування» і шляхом перехоплення через додаткові технічні засоби і системи. Технічний канал витоку інформації шляхом високочастотного нав'язування утворюється шляхом несанкціонованого контактного введення струмів високої частоти від ВЧ - генераторів в лінії, що мають функціональні зв'язки з елементами допоміжних технічних засобів і систем, на яких відбувається модуляція ВЧ - сигналу інформаційним. Найчастіше подібний канал витоку інформації використовують для перехоплення розмов, що ведуться в приміщенні, через телефонний апарат, що має вихід за межі контрольованої зони. З іншого боку, допоміжні технічні засоби та системи можуть самі містити електроакустичні перетворення. До таких допоміжним технічних засобів і систем відносяться деякі датчики пожежної сигналізації, гучномовці ретрансляції мережі і т.д. Використаний у них ефект звичайно називають мікрофонним ефектом.

Перехоплення акустичних коливань у цьому випадку здійснюється виключно просто. Наприклад, підключаючи розглянуті кошти до з'єднувальних ліній телефонних апаратів з електромеханічними дзвінками, можна за покладеної трубці прослуховувати розмови, що ведуться в приміщеннях, де встановлені ці телефони.

36. Канал побічних електромагнітних випромінювань та наведень вінформаційно-телекомунікаційних системах.

ПЕМВНЕлектромагнітне випромінення та навід, що є побічним результатом функціонування технічного засобу і може бути носієм інформації ( визначення зДСТУ 3396.2-97)

канал витокуінформації– сукупність носія інформації, середовища його поширення та засобу технічної розвідки

Перехоплення електромагнітних випромінювань базується на широкому використанні найрізноманітніших радіоприймальних засобів, засобів аналізу і реєстрації інформації та інших (антенні системи, широкосмугові антенні підсилювачі, панорамні аналізатори та ін.), які як правило розміщені за межами контрольованого периметра, що створює проблеми з виявлення таких пристроїв.Слід зазначити, що перехоплення інформації має ряд наступних особливостей в порівнянні з іншими способами добування інформації:

• інформація видобувається без безпосереднього контакту з джерелом;

• на прийом сигналів не впливають ні час року, ні час доби;

• інформація виходить в реальному масштабі часу, в момент її передачі та випромінювання;

• добування ведеться аємно, джерело інформації часто і не підозрює, що його прослуховують;

• дальність прослуховування обмежується тільки особливостями поширення радіохвиль відповідних діапазонів.

Електромагнітне екранування приміщень у широкому діапазоні частот є складним технічним завданням, вимагає значних капітальних витрат, постійного контролю і не завжди можливо з естетичним та ергономічним міркувань. Для здійснення активного радіотехнічногомаскування ПЕМВН використовуютьсяпристрої, щостворюютьшумовеелектромагнітне поле в діапазоні частот віддекількох кГц до 1000 МГц. Для цихцілейвикористовуютьсянадширокосмугові передавачі Базальт-5ГЕШ та ВОЛНА-4Р, якімаютьсертифікатвідповідності ДССЗЗІ України . До недавнього часу на вітчизняному ринку та ринку країн СНД були представлені такі комплекси для вимірювання ПЕМВН: ЕЛМАС,ESH-3,ESVP,SMV-41, АКОР-2ПК

37.Охарактеризувати канали перехоплення інформації в лініях передачі інформації інформаційно-телекомунікаційних систем.

38.Методи несанкціонованого доступу до інформації в комп’ютерних системах.

Терміннесанкціонований доступ до інформації(НСД) визначений як доступ до інформації, що порушує правила розмежування доступу з використанням штатних засобів обчислювальної техніки або автоматизованих систем.

Підправилами розмежування доступу розуміється сукупність положень, що регламентують права доступу осіб або процесів (суб'єктів доступу) до одиниць інформації (об'єктів доступу).

Право доступу до ресурсів інформаційних систем визначається керівництвом для кожного співробітника відповідно до його функціональних обов'язків.

Процеси ініціюються в інформаційних системах в інтересах певних осіб, тому й на них накладаються обмеження по доступу до ресурсів.

Виконання встановлених правил розмежування доступу в інформаційних системах реалізується за рахунок створення системи розмежування доступу (СРД).

Несанкціонований доступ до інформації з використанням штатних апаратних і програмних засобів можливий, як правило, тільки в наступних випадках:

• відсутня система, розмежування доступу;

• збій або відмова в інформаційній системі;

• помилкові дії користувачів або обслуговуючого персоналу інформаційних систем;

• помилки в СРД;

• фальсифікація повноважень.

Якщо СРД відсутня, то зловмисник, що має навички роботи в інформаційній системі, може одержати без обмежень доступ до будь-якої інформації.

У результаті збоїв або відмов засобів системи, а також помилкових дій обслуговуючого персоналу й користувачів можливі стани системи, при яких спрощується НСД. Зловмисник може виявити помилки в СРД і використовувати їх для НСД.

Фальсифікація повноважень є одним з найбільш імовірних шляхів (каналів) НСД.

В автоматизованих системах, залежно від особливостей їх реалізації застосовуються до організації розмежування доступу:

• матричний;

• повноважний (мандатний).

Матричне керуваннядоступом припускає використання матриць доступу. Матриця доступу являє собою таблицю, у якій об'єкту доступу відповідає стовпець, а суб'єктові доступу рядок. На перетинанні стовпців і рядків записуються операції, які допускається виконувати суб'єктові доступу з об'єктом доступу.Однак у реальних системах через велику кількість суб'єктів і об'єктів доступу матриця доступу досягає таких розмірів, при яких складно підтримувати її в адекватному стані.

Повноважнийабомандатнийметод базується на багаторівневій моделі захисту. Документу присвоюється рівень конфіденційності і мітку категорії осіб.Суб'єктам доступу встановлюється рівень допуску, що визначає максимальний для даного суб'єкта рівень конфіденційності документа, до якого дозволяється допуск. Суб'єктові доступу встановлюються також категорії, які пов'язані з мітками документа.

Правило розмежування доступу полягає в наступному: особа допускається до роботи з документом тільки в тому випадку, якщо рівень допуску суб'єкта доступу рівний або вище рівня конфіденційності документа, а в наборі категорій, привласнених даному суб'єктові доступу, утримуються всі категорії, певні для даного документа.

Система розмежування доступу до інформації може містити чотири функціональні блоки:блок ідентифікації й автентифікації суб'єктів доступу;диспетчер доступу;блок криптографічного перетворення інформації при її зберіганні й передачі;лок очищення пам'яті.

Диспетчер доступуреалізується у вигляді апаратно-програмних механізмів і забезпечує необхідну дисципліну розмежування доступу суб'єктів до об'єктів (у тому числі й до апаратних блоків, вузлів, пристроїв).

Якщо число спроб суб'єкта допуску одержати доступ до заборонених для нього об'єктам перевищить певну границю (звичайно 3-5 разів), то блок ухвалення рішення на підставі даних блоку реєстрації видає сигнал адміністраторові системи безпеки. Адміністратор може блокувати роботу суб'єкта, що порушує правила доступу в системі та з'ясувати причину порушень.

Крім навмисних спроб НСД диспетчер фіксує порушення правил розмежування, що з'явилися слідством відмов, збоїв апаратних і програмних засобів, а також викликаних помилками персоналу й користувачів.

39.Охарактеризувати методи та засоби захисту інформації в автоматизованих системах класу 1, 2 та 3.

40. Методи та засоби захисту інформаційно-телекомунікаційних систем відвитоку інформації каналами побічних електромагнітних випромінювань танаведень.

Захист інформації від витоку за рахунок ПЕМВН це комплекс заходів, що виключає або суттєво знижує вірогідність витоку інформації з обмеженим доступом за межи контрольованої зони.

Усі методи захисту від ПЕМВН можна розділити напасивні й активні.

Пасивні методи забезпечують зменшення рівня небезпечного (інформативного) сигналу або зниження його інформативності.

Активні методи захисту спрямовані на створення електромагнітних завад, що утрудняють приймання й виділення корисної інформації з перехоплених порушником сигналів.

Пасивні методи захисту від ПЕМВН можуть бути розбиті на три групи:

екранування;

зниження потужності випромінювань і наведень;

зниження інформативності сигналів.

Під екрануваннямрозуміється розміщення елементів автоматизованої системи, що створюють електричні, магнітні й електромагнітні поля, у просторово замкнених конструкціях.Тобто екранування це локалізація електромагнітного поля в межах певного простору, шляхом перешкоджання його розповсюдження.Способи екранування залежать від особливостей полів, що створюються елементами системи при протіканні в них електричного струму.

Залежно від типу створюваного електромагнітного поля розрізняють наступні види екранування:

екранування електричного поля (електростатичне);

екранування магнітного поля (магнітостатичне);

екранування електромагнітного поля. (електромагнітне)

Екранування дозволяє не тільки захистити обладнання автоматизованих систем від випромінювання власних небезпечних сигналів, а й зменшити ризик небажаного впливу зовнішніх електромагнітних та акустичних полів.

Електростатичне екрануваннязводиться до замикання електростатичного поля на поверхню металевого екрану та відводу електричних зарядів на землю. Екрануюча дія металевого екрана істотно залежить від якость зєднання складовх елементів екрану та екрана з корпусом. Ефективність екранування залежить від довжини хвилі. Із збільшення частоти ефективність екранування зменшується

Магнітостатичне екранування використовується при необхідності придушити наведення на низьких частотах (10 кГц). Є багатошаровим, віхреві струми, заземлення не потрібне, бо нема чого відводити (Ікомпенс – І зубджуюче =0.На ефективність магністостат.екранування впливає киористання багатошарових екранів. базується на замиканні силових ліній магнітного поля небезпечного сигналу у матеріалі екрана, що має малий магнітний опір для постійного струму або коливань низьких частот.

З підвищенням частоти сигналу застосовується виключно електромагнітне екранування, що основане на ослабленні високочастотного електромагнітного поля полем протилежного напряму, що утворене у матеріалі екрану так званими вихровими струмами.

Електромагнітне екранування використовується на високих частотах

Матеріали для екранування: *сталь листова *сітка сталева тка. Листи екрана зварюються. Відстань між точками зварки не повинно превишать 15 мм

До групи, що забезпечує зниження потужності випромінювань і наведень, ставляться наступні методи:

зміна електричних схем пристроїв;

використання оптичних інтерфейсів – оптичних перетворювачів сигналів;

зміна конструкції пристроїв;

використання фільтрів;

Зменшення потужності побічних випромінювань шляхомзмін електричних схемпередбачає використання електро- і радіоелементів з меншим випромінюванням, уникнення регулярності повторень в інформаційних сигналах, зміна форми (крутизни фронтів) сигналів, запобігання виникненню паразитної генерації.

Ефективним напрямом подолання ПЕМВН є використанняоптичних каналівзв'язку. Волоконно-оптичні кабелі успішно використовуються для передачі інформації на великі відстані, практично не маючі (у разі правильної прокладки) каналів витоку. Вони забезпечують високу швидкість передачі й не піддані впливу електромагнітних перешкод. Крім того, передачу інформації в межах одного приміщення, навіть великих розмірів, можна здійснювати за допомогою бездротових систем, що використовують випромінювання в інфрачервоному діапазоні.

Зміни конструкціїпристроїв зводяться до змін взаємного розташування окремих вузлів, блоків, кабелів, скороченню довжини електричних з’єднань.

Використання фільтрівє одним з основних способів захисту від ПЕМВН. Фільтри є пристроями на основі різних електричних компонентів, які встановлюються або усередині пристроїв та систем для усунення поширення й можливого посилення наведених побічних електромагнітних сигналів, або на виході у напряму ліній зв'язку, сигналізації та електроживлення. Фільтри розраховуються таким чином, щоб вони забезпечували зниження сигналів у діапазоні побічних наведень до безпечного рівня й не вносили істотних викривлень корисного сигналу.Види: *фільтр нижчих частот (пропускает низкочастотніе составляющие спектра сигнала), *фільтр вищих частот (подавляет в спектре сигнала все компоненті с частотой от 0 до частоті среза. Виші частоті среза пропускает без искажений), *смуговий фільтр (пропускает в пределах заданой полосі частот і подавляет все компоненнті вне ее), *загороджувальні фільтри (подавляет компоненті спектра внутр. Заданой полосі, и пропускает без искажений частоті вне єтой полосі)

Зниження інформативності сигналів ПЕМВН, що утрудняє їхнє використання при перехопленні, реалізується шляхом застосування:

• спеціальних схемних рішень;

• кодування інформації.

У якості прикладів зниження інформативності сигналів можна привести такі, як заміна послідовного коду оброблення інформації паралельним, збільшення розрядності паралельних кодів, зміна черговості розгорнення рядків на моніторі тощо. Ці заходи утрудняють процес одержання інформації з перехопленого зловмисником сигналу.

Активні методи захисту від ПЕМВН передбачають застосування електромагнітних генераторів випадкових або псевдовипадкових шумів, які маскують небезпечний сигнал.Використовуєтьсяпросторове й лінійне зашумлення.

Просторове зашумленняздійснюється за рахунок випромінювання за допомогою антен електромагнітних сигналів у простір. Застосовуєтьсялокальне просторове зашумленнядля захисту конкретного елемента системи йоб'єктове просторове зашумленнядля захисту від побічних електромагнітних випромінювань усього об'єкта.

Прилокальному просторовому зашумленнівикористовуються прицільні перешкоди. Антена перебуває поруч із елементом, що захищається.Об'єктове просторове зашумленняздійснюється, як правило, декількома генераторами зі своїми антенами, що дозволяє створювати перешкоди у всіх діапазонах побічних електромагнітних випромінювань усіх випромінюючих пристроїв об'єкта.

Просторове зашумленняповинне забезпечувати неможливість виділення побічних випромінювань на тлі створюваних перешкод у всіх діапазонах випромінювання й, разом з тим, рівень створюваних перешкод не повинен перевищувати санітарних норм і норм по електромагнітній сумісності радіоелектронної апаратури.

При використаннілінійного зашумленнягенератори прицільних перешкод підключаються до струмопровідних ліній для створення в них електричних перешкод, які не дозволяють зловмисникам виділяти наведені сигнали.

Слід звернути увагу, що екранування засобів, які обробляють та зберігають критичну інформації, застосовується також для їх захисту від зовнішньої загрози блокування зловмисного впливу на електронні блоки й магнітні запам'ятовувальні пристрої потужними зовнішніми електромагнітними імпульсами й високочастотними випромінюваннями, що приводять до несправності електронних блоків, що й стирають інформацію з магнітних носіїв інформації.

41. Методи та засоби пошуку закладних пристроїв на об’єктах інформаційноїдіяльності.

закладний пристрій – потай встановлений на об’єкті інформаційної діяльності технічний засіб негласного отримання інформації, який створює загрозу її витоку;

Виявлення закладних пристроїв зд за їхдемаскуючими ознаками – овластивість обєкта відрізнятися по яких-

небудь характеристиках від інших обєктів навколишнього середовища. Відмінні характеристики можуть мати кількісну та якісну міру.

Групи демаскуючих ознак:

  • Розташування – визначає положення обєкта відносно інших обєктів в просторі,
  • структурно видова – визначає структуру і видові х-ки,
  • ознака діяльності – розкриває д-ть стз через фізичні поля.

Технічні демаскуючі ознаки:

  • прямі – прояв фізичних полів
  • непрямі – ознаки, на основі яких лежать наслідки зміни навколишнього середовища.

Демаскуючі ознаки провідної мікросхеми:

1.Тонкий провідник невідомого призначення, що виходить в інше приміщення

2.наявність у лінії або провіднику невідомого призначення постійної напруги та інформаційного сиглалу.

Демаскуючі ознаки автономних незакомуфльованих акустичних закладок:

1.зовнішній вигляд – малогабаритний предмет невідомого походження

2.один або кілька отворів

3.наявність автономного джерела живлення

4. наявність напівпровідникових елементів, що виявляються при опроміненні нелінійним локатором

5. наявність у пристрої провідників або деталей, виявлених при просвічування рентгенівськими променями.

Спеціальна перевірка. Види:

спецобстеження, візуальний огляд – без тех засобів (перед і після засідань)

- комплексна спецперевірка

-візуальний огляд і спецперевірка нових предметів

- спецперевірка радіоелектронної апаратури

-періодичний радіоконтроль

- спецперевірка провідних ліній

-тестовий продзвон телефонних апаратів.

-спец перевірка відвідувачів, апаратури при закупівлі.

Етапи спецперевірки:

1.підготовчий: обстеження ОІД (вивчення та попередній огляд);визначення заходів і способів з активації ЗП і вимог до тестових сигналів, вибір (розробку) тестових сигналів;вибір технічних засобів, приладів та обладнання, необхідних для проведення робіт;розробку плану проведення робіт, у тому числі (за необхідності здійснення прихованого виявлення ЗП) розробку легенди прикриття робіт з виявлення ЗП (план проведення робіт розробляється виконавцем робіт спільно із замовником);

2.основний: заходи з активації ЗП, що, можливо, встановлені на ОІД;заходи з виявлення прихованих систем відеоспостереження;аналіз (контроль) радіочастотної обстановки в межах ОІД (у тому числі випромінювань в оптичному діапазоні частот) та ідентифікацію виявлених сигналів;заходи з локалізації виявлених на ОІД джерел радіовипромінювання;пошук ЗП, встановлених (підключених) на проводових (дротових) комунікаціях, що розташовані на ОІД (проходять через ОІД);пошук ЗП методами неруйнівного контролю (за допомогою нелінійних локаторів, металошукачів, рентгенівських комплексів, тепловізорів, ультразвукових та інших приладів неруйнівного контролю);пошук ЗП, встановлених на (у) будівельних, огороджувальних та оздоблювальних конструкціях (матеріалах), меблях, предметах інтер’єру, сувенірах, технічних засобах тощо, які розміщені на ОІД, шляхом визначення оригінальності і цілісності СЗЗ і візуального обстеження (візуальний пошук), розбирання та огляду (фізичний пошук); заходи з верифікації “підозрілих” місць на ОІД методами руйнівного контролю.попередній аналіз радіочастотної обстановки (в тому числі, за можливості, випромінювань в оптичному діапазоні частот) за межами (в оточенні) ОІД;розподіл сил пошукової групи, технічних засобів, приладів та обладнання за місцем і часом проведення робіт.

3. заключний: оброблення результатів пошуку ЗП;встановлення СЗЗ (за необхідності);оформлення акта (звіту) за результатами робіт з виявлення закладних пристроїв на (нд тзі 2.7-011-2012)

42. Методи та засоби протидії прослуховуванню на об’єктах інформаційноїдіяльності.

Методи протидії підслуховуванню інформації з обмеженим доступом можна розділити на два класи. Такими є:

• методи захисту мовної інформації при передачі її по каналах зв'язку.

• методи захисту від прослуховування акустичних сигналів у приміщеннях.

Для захисту від прослуховування мовної інформації, під час її передачі по каналах зв'язку, використовуються методи зашумлення кабелів, аналогове скремблювання або шифрування. Принципи останнього розглядаються при обговоренні методів криптографічного захисту інформації.

Підскремблюваннямрозуміється така зміна характеристик мовного сигналу, що перетворений сигнал займає таку ж смугу частот, як і відкритий, але зміст переговорів для сторонньої особи нерозбірливий та учасники розмови залишаються невпізнаними.

Аналогові скремблери перетворюють вихідний мовний сигнал шляхом зміни його частотних і часових характеристик.

Застосовуються кількаспособів частотного перетвореннясигналу:

• частотна інверсія (обернення) спектра сигналу;

• частотна інверсія спектра сигналу зі зсувом несучої частоти;

• поділ смуги частот мовного сигналу на піддиапазони з наступною перестановкою й інверсією.

Дискретизація мовної інформації з наступним шифруваннямзабезпечує найвищий ступінь захисту. У процесі дискретизації мовна інформація представляється в цифровій формі. У такому виді вона перетвориться відповідно до обраних алгоритмів шифрування, які застосовуються для перетворення даних у телекомунікаційній системі.

Захист акустичної інформації у виділених приміщеннях є важливим напрямком протидії підслуховуванню. Існує декілька методів захисту від прослуховування акустичних сигналів:

• звукоізоляція й звукопоглинання акустичного сигналу;

• зашумлення приміщень або твердого середовища для маскування акустичних сигналів;

• захист від несанкціонованого запису мовної інформації на диктофон;

• виявлення й вилучення заставних пристроїв.

Разом з тим, основними заходами при захисті від підслуховування й запису конфіденційних переговорів виступають організаційно й технічні заходи.

Організаційні заходипередбачають проведення архітектурно-планувальних і режимних заходів.

Архітектурно-планувальнізаходи ґрунтуються на висуненні та реалізації певних вимог на етапі проектування приміщень, що захищаються, або в період їх реконструкції з метою виключення або ослаблення неконтрольованого поширення звукових полів.

Режимні заходипередбачають строгий контроль перебування в охоронній зоні співробітників і відвідувачів.

Організаційно-технічні заходиприпускають проведення заходів двох видів – пасивних (забезпечення звукоізоляції) і звукопоглинання) і активних (забезпечення звукопридушення), а також їх комбінації.

Проведенняпасивнихзаходів спрямоване на зменшення величини акустичного сигналу в місцях передбачуваного розташування технічних засобів зловмисника до рівня, що гарантує неможливість перехоплення такого сигналу.

Активніспособи захисту, засновані на звукопридушенні, дозволяють збільшити шуми на частоті приймання інформативного сигналу до значення, що забезпечує гарантоване порушення акустичного каналу витоку інформації.

Технічні заходимістять у собі проведення заходів із залученням спеціальних засобів захисту конфіденційних переговорів.

До спеціальних засобів і систем протидії підслуховування й запису належать: засоби й системи для виявлення електромагнітних полів моторів, що забезпечують просування записуючого носія; програмно-апаратні комплекси для виявлення диктофонів із флеш-пам'яттю; пристрої придушення диктофонів (високочастотний генератор, генератор потужних груп ультразвукових сигналів); системи протидії мобільним телефонам, що використовуються як підслуховуючи пристрої.

Для захисту акустичної інформації від несанкціонованого запису необхідно виявити роботу записуючого пристрою й вжити ефективних заходів протидії його використанню (локатор, пристрій

43. Методи та засоби руйнування інформації в інформаційно-телекомунікаційних системах.

1. Перешкоди (небажаний електричний і/або магнітний вплив на систему бо її частину, який може призвести до спотворення інформації, що зберігається, перетворюється, передається чи обробляється):

- Навмисний силовий вплив(створення різкого сплеску напруги в мережі електроживлення, по комунікаційним мережам і каналам, по ефіру з використанням потужних коротких електромагнітних імпульсів)

2. Вірусні методи руйнування інформації (комп.вірус – це програма, яка може «заражати» інші програми, додаючи до них свою, можливо модифіковану, копію. Ця копія здатна до подальшого розмноження)

- Програмне придушення обчислювальних систем ( комплекс організаційно-технічних заходів, направлених на порушення нормального функціонування обчисл.систем шляхом створення їм навмисних програмних перешкод)

3. Руйнуючі програмні засоби (програмні закладки – це своєрідні програми, що використовують вірусну технологію скритного впровадження, розповсюдження і активізації на прикладні програми)

- Закладки, асоційовані з програмно-апаратним середовищем

- Закладки, асоційовані з програмами первинної загрузки

- Закладки, асоційовані з загрузкою драйверів

- Закладки, асоційовані з прикладним програмним забезпеченням загального призначення

- Використовувані модулі, що містять тільки код закладки

- Модулі-імітатори, що співпадають з деякими програмами, і що потребують вводу конфіденційної інформації

- Закладки, що маскуються під програмні засоби оптимізаційного призначення (архіватори)

- Закладки, що маскуються під програмні засоби ігрового і розважального призначення

- Закладки, що здійснюють перехват виводу інформації на екран, перехват з клавіатури, перехват і обробка файлових операцій, руйнування програми захисту і схем контролю.

Засоби руйнування:

- програмно-математичні (запуск програм-вірусів; установка програмних і апаратних ЗП; знищення і модифікація даних в ІС)

- фізичні (знищення або руйнування засобів обробки інф і зв’язку; знищення, руйнування чи викрадення оригінальних носіїв інф; викрадення програмних чи апаратних ключів і засобів криптографічного захисту; вплив на персонал; поставка «інфікованих» компонентів ІС)

- радіоелектронні (перехоплення інф в ТКВ; будова електронних пристроїв перехоплення інф в тех.. засобах і приміщеннях; перехоплення, дешифрування та подання хибної інф в мережах передачі даних і мережах зв’язку; вплив на парольно-ключові системи; радіоелектронне придушення мереж зв’язку і систем керування)

- організаційно-правові (закупівля недосконалих або застарілих інф-х технологій та засобів інформатизації; невиконання вимог зак-ва та затримка прийняття необхідних нормативно-правових положень в інф. сфері).

44.Охарактеризувати порядок створення комплексної системи захисту інформації в інформаційно-телекомунікаційних системах.

45.Охарактеризувати порядок створення комплексу технічного захисту інформації на об’єкті інформаційної діяльності.

46. Сучасні види захисту інформації. Розкрити поняття комплексного захистуінформації.

Залежно від можливих порушень у роботі системи та загроз несанкціонованого доступу до інформації численні види захисту можна об’єднати у такі групи: морально-етичні, правові, адміністративні (організаційні), технічні (фізичні), програмні.Зазначимо, що такий поділ є досить умовним. Зокрема, сучасні технології розвиваються в напрямку сполучення програмних та апаратних засобів захисту.

Морально-етичні засоби. До цієї групи належать норми поведінки, які традиційно склались або складаються з поширеннямЕОМ, мереж і т. ін. Ці норми здебільшого не є обов’язковими і не затверджені в законодавчому порядку, але їх невиконання часто призводить до падіння авторитету та престижу людини, групи ociб, організації або країни. Морально-етичні норми бувають як неписаними, так і оформленими в деякий статут. Найбільш характерним прикладом є Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США.

Правові засоби захисту— чинні закони, укази та інші нормативні акти, які регламентують правила користування інформацією і відповідальність за їх порушення, захищають авторські права програмістів та регулюють інші питання використання ІТ.

Перехід до інформаційного суспільства вимагає удосконалення карного і цивільного законодавства, а також судочинства. Сьогодні спеціальні закони ухвалено в усіх розвинених країнах світу та багатьох міжнародних об’єднаннях, і вони постійно доповнюються. Порівняти їх між собою практично неможливо, оскільки кожний закон потрібно розглядати у контексті всього законодавства. Наприклад, на положення про забезпечення секретності впливають закони про інформацію, процесуальне законодавство, кримінальні кодекси та адміністративні розпорядження. До проекту міжнародної угоди про боротьбу з кіберзлочинністю, розробленого комітетом з економічних злочинів Ради Європи, було внесено зміни, оскільки його розцінили як такий, що суперечить положенням про права людини і надає урядам і поліцейським органам зайві повноваження.

Загальною тенденцією, що її можна простежити, є підвищення жорсткості кримінальних законів щодо комп’ютерних злочинців. Так, уже сьогодні у Гонконгу максимальним покаранням за такий злочин, якщо він призвів до виведення з ладу ІС або Web-сайту, є 10 років позбавлення волі. Для порівняння, у Кримінальному кодексі України незаконне втручання в роботу комп’ютерів та комп’ютерних мереж карається штрафом до сімдесяти неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або обмеженням волі на той самий строк.

Адміністративні(організаційні) засоби захисту інформації регламентують процеси функціонування ІС, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів із системою таким чином, щоб найбільшою мірою ускладнити або не допустити порушень безпеки. Вони охоплюють:

1 заходи, які передбачаються під час проектування, будівництва та облаштування об’єктів охорони (врахування впливу стихії, протипожежна безпека, охорона приміщень, пропускний режим, прихований контроль за роботою працівників і т. iн.);

2 заходи, що здійснюються під час проектування, розробки, ремонту й модифікації обладнання та програмного забезпечення (сертифікація всіх технічних і програмних засобів, які використовуються; суворе санкціонування, розгляд і затвердження всіх змін тощо);

3 заходи, які здійснюються під час добору та підготовки персоналу (перевірка нових співробітників, ознайомлення їх із порядком роботи з конфіденційною інформацією i ступенем відповідальності за його недодержання; створення умов, за яких персоналу було б невигідно або неможливо припускатися зловживань і т. ін.);

4 розробку правил обробки та зберігання інформації, а також стратегії її захисту (організація обліку, зберігання, використання і знищення документа і носіїв з конфіденційною інформацією; розмежування доступу до інформації за допомогою паролів, профілів повноважень і т. ін.; розробка адміністративних норм та системи покарань за їх порушення тощо).

Адміністративні засоби є неодмінною частиною захисту інформації. Їх значення зумовлюється тим, що вони доступні і здатні доповнити законодавчі норми там, де це потрібно організації, а особливістю є те, що здебільшого вони передбачають застосування інших видів захисту (технічного, програмного) і тільки в такому разі забезпечують достатньо надійний захист. Водночас велика кількість адміністративних правил обтяжує працівників і насправді зменшує надійність захисту (інструкції просто не виконуються).

Засоби фізичного (технічного) захисту інформації— це різного роду механічні, електро- або електронно-механічні пристрої, а також спорудження і матеріали, призначені для захисту від несанкціонованого доступу і викрадень інформації та попередження її втрат у результаті порушення роботоздатності компонентів ІС, стихійних лих, саботажу, диверсій і т. ін. До цієї групи відносять:

1 засоби захисту кабельної системи. За даними різних досліджень саме збої кабельної системи спричиняють більш як половину відказівЛОМ. Найкращим способом попередити подібні збої є побудова структурованої кабельної системи (СКС), в якій використовуються однакові кабелі для організації передавання даних вІС, сигналів від датчиків пожежної безпеки, відеоінформації від охоронної системи, а також локальної телефонної мережі. Поняття«структурованість»означає, що кабельну систему будинку можна поділити на кілька рівнів залежно від її призначення і розміщення. Для ефективної організації надійноїСКСслід додержувати вимог міжнародних стандартів;

2 засоби захисту системи електроживлення. Американські дослідники з компанії Best Power після п’яти років досліджень проблем електроживлення зробили висновок: на кожному комп’ютері в середньому 289 раз на рік виникають порушення живлення, тобто частіш ніж один раз протягом кожного робочого дня. Найбільш надійним засобом попередження втрат інформації в разі тимчасових відімкнень електроенергії або стрибків напруги в електромережі є установка джерел безперебійного живлення. Різноманітність технічних і споживацьких характеристик дає можливість вибрати засіб, адекватний вимогам. За умов підвищених вимог до роботоздатності ІС можливе використання аварійного електрогенератора або резервних ліній електроживлення, підімкнених до різних підстанцій;

3 засоби архівації та дублювання інформації. За значних обсягів інформації доцільно організовувати виділений спеціалізований сервер для архівації даних. Якщо архівна інформація має велику цінність, її варто зберігати у спеціальному приміщенні, що охороняється. На випадок пожежі або стихійного лиха варто зберігати дублікати найбільш цінних архівів в іншому будинку (можливо, в іншому районі або в іншому місті);

4 засоби захисту від відпливу інформації по різних фізичних полях, що виникають під час роботи технічних засобів, — засоби виявлення прослуховувальної апаратури, електромагнітне екранування пристроїв або приміщень, активне радіотехнічне маскування з використанням широкосмугових генераторів шумів тощо.

До цієї самої групи можна віднести матеріали, які забезпечують безпеку зберігання і транспортування носіїв інформації та їх захист від копіювання. Переважно це спеціальні тонкоплівкові матеріали, які мають змінну кольорову гамму або голографічні мітки, що наносяться на документи і предмети (зокрема й на елементи комп’ютерної техніки) і дають змогу ідентифікувати дійсність об’єкта та проконтролювати доступ до нього.

Як було вже сказано, найчастіше технічні засоби захисту реалізуються в поєднанні з програмними.

Програмні засоби захисту забезпечують ідентифікацію та аутентифікацію користувачів, розмежування доступу до ресурсів згідно з повноваженнями користувачів, реєстрацію подій в ІС, криптографічний захист інформації, захист від комп’ютерних вірусів тощо (див. докладніше далі).

Розглядаючи програмні засоби захисту, доцільно спинитись на стеганографічних методах. Слово «стеганографія» означає приховане письмо, яке не дає можливості сторонній особі взнати про його існування. Одна з перших згадок про застосування тайнопису датується V століттям до н. е. Сучасним прикладом є випадок роздрукування на ЕОМ контрактів з малопомітними викривленнями обрисів окремих символів тексту — так вносилась шифрована інформація про умови складання контракту.

Комп’ютерна стеганографія базується на двох принципах. По-перше, аудіо- і відеофайли, а також файли з оцифрованими зображеннями можна деякою мірою змінити без втрати функціональності. По-друге, можливості людини розрізняти дрібні зміни кольору або звуку обмежені. Методи стеганографії дають можливість замінити несуттєві частки даних на конфіденційну інформацію. Сімейна цифрова фотографія може містити комерційну інформацію, а файл із записом сонати Гайдна — приватний лист.

Але найчастіше стеганографія використовується для створення цифрових водяних знаків. На відміну від звичайних їх можна нанести і відшукати тільки за допомогою спеціального програмного забезпечення — цифрові водяні знаки записуються як псевдовипадкові послідовності шумових сигналів, згенерованих на основі секретних ключів. Такі знаки можуть забезпечити автентичність або недоторканість документа, ідентифікувати автора або власника, перевірити права дистриб’ютора або користувача, навіть якщо файл був оброблений або спотворений.

Щодо впровадження засобів програмно-технічного захисту в ІС, розрізняють два основні його способи:

додатковий захист— засоби захисту є доповненням до основних програмних і апаратні засобів комп’ютерної системи;

вбудований захист— механізми захисту реалізуються у вигляді окремих компонентів ІС або розподілені за іншими компонентами системи.

Перший спосіб є більш гнучким, його механізми можна додавати і вилучати за потребою, але під час його реалізації можуть постати проблеми забезпечення сумісності засобів захисту між собою та з програмно-технічним комплексом ІС. Вмонтований захист вважається більш надійним і оптимальним, але є жорстким, оскільки в нього важко внести зміни. Таким доповненням характеристик способів захисту зумовлюється те, що в реальній системі їх комбінують.

Комплексна система захисту інформації– сукупність організаційних і інженерно-технічних заходів, які спрямовані на забезпечення захисту інформації від розголошення, витоку і несанкціонованого доступу. Організаційні заходи є обов'язковою складовою побудови будь-якої КСЗІ. Інженерно-технічні заходи здійснюються в міру необхідності.

Організаційні заходи

Організаційні заходи включають в себе створення концепції інформаційної безпеки, а також:

- складання посадових інструкцій для користувачів та обслуговуючого персоналу;

- створення правил адміністрування компонент інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;

- розробка планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;

- навчання правилам інформаційної безпеки користувачів.

У разі необхідності, в рамках проведення організаційних заходів може бути створена служба інформаційної безпеки, проведена реорганізація системи діловодства та зберігання документів.

Інженерно-технічні заходи

Інженерно-технічні заходи – сукупність спеціальних технічних засобів та їх використання для захисту інформації. Вибір інженерно-технічних заходів залежить від рівня захищеності інформації, який необхідно забезпечити.

Інженерно-технічні заходи, що проводяться для захисту інформаційної інфраструктури організації, можуть включати використання захищених підключень, міжмережевих екранів, розмежування потоків інформації між сегментами мережі, використання засобів шифрування і захисту від несанкціонованого доступу.

У разі необхідності, в рамках проведення інженерно-технічних заходів, може здійснюватися установка в приміщеннях систем охоронно-пожежної сигналізації, систем контролю і управління доступом.

Окремі приміщення можуть бути обладнані засобами захисту від витоку акустичної (мовної) інформації.

47. Поняття, завдання, права та обов’язки СЗІ підприємства.

СЗІ є штатним підрозділом організації (АС).

Або:

СЗІ є позаштатним підрозділом організації (АС).

СЗІ є самостійним структурним підрозділом з безпосередньою підпорядкованістю керівнику (заступнику керівника) організації.

Або:

СЗІ є структурною одиницею ( підрозділу ТЗІ, служби безпеки, …) організації.

В організаціях, де штатним розкладом не передбачено створення СЗІ, заходи щодо забезпечення захисту інформації в АС здійснюють призначені наказом керівника організації працівники. У цьому випадку посадові (функціональні) обов’язки цих працівників повинні включати положення, які б передбачали виконання ними вимог щодо діяльності СЗІ.

Завданнями СЗІ є:

  • захист законних прав щодо безпеки інформації організації, окремих її структурних підрозділів, персоналу в процесі інформаційної діяльності та взаємодії між собою, а також у взаємовідносинах з зовнішніми вітчизняними і закордонними організаціями;
  • дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;
  • організація та координація робіт, пов’язаних з захистом інформації в АС, необхідність захисту якої визначається її власником або чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;
  • розроблення проектів нормативних і розпорядчих документів, чинних у межах організації, згідно з якими повинен забезпечуватися захист інформації в АС;
  • організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу АС;
  • участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів АС з питань захисту інформації;
  • формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів, що стосуються сфери захисту інформації;

-організація забезпечення виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів з захисту інформації в АС та проведення контрольних перевірок їх виконання.

ЗІ має право:

-здійснювати контроль за діяльністю будь-якого структурного підрозділу організації (АС) щодо виконання ним вимог нормативно-правових актів і нормативних документів з захисту інформації;

  • подавати керівництву організації пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки, тощо у випадку виявлення порушень політики безпеки або у випадку виникнення реальної загрози порушення безпеки;
  • складати і подавати керівництву організації акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення;
  • проводити службові розслідування у випадках виявлення порушень;
  • отримувати доступ до робіт та документів структурних підрозділів організації (АС), необхідних для оцінки вжитих заходів з захисту інформації та підготовки пропозицій щодо їхнього подальшого удосконалення;
  • готувати пропозиції щодо залучення на договірній основі до виконання робіт з захисту інформації інших організацій;
  • готувати пропозиції щодо забезпечення АС (КСЗІ) необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації;
  • виходити до керівництва організації з пропозиціями щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації;
  • узгоджувати умови включення до складу АС нових компонентів та подавати керівництву пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів АС;
  • надавати висновки з питань, що належать до компетенції СЗІ, які необхідні для здійснення виробничої діяльності організації, особливо технологій, доступ до яких обмежено, інших проектів, що потребують технічної підтримки з боку співробітників СЗІ;
  • виходити до керівництва організації з пропозиціями щодо узгодження планів і регламенту відвідування АС сторонніми особами;
  • інші права, які надані СЗІ у відповідності з специфікою та особливостями діяльності організації (АС).

СЗІ зобов’язана:

  • організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів з захисту інформації в АС;
  • вчасно і в повному обсязі доводити до користувачів і персоналу АС інформацію про зміни в галузі захисту інформації, які їх стосуються;
  • перевіряти відповідність прийнятих в АС (організації) правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог;
  • здійснювати контрольні перевірки стану захищеності інформації в АС;
  • забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС (організації);
  • сприяти і, у разі необхідності, брати безпосередню участь у проведенні вищими органами перевірок стану захищеності інформації в АС;
  • сприяти (технічними та організаційними заходами) створенню і дотриманню умов збереження інформації, отриманої організацією на договірних, контрактних або інших підставах від організацій-партнерів, постачальників, клієнтів та приватних осіб;
  • періодично, не рідше одного разу на місяць (інший термін), подавати керівництву організації звіт про стан захищеності інформації в АС і дотримання користувачами та персоналом АС встановленого порядку і правил захисту інформації;
  • негайно повідомляти керівництво АС (організації) про виявлені атаки та викритих порушників;
  • Інші обов’язки, покладені на керівника та співробітників СЗІ у відповідності з специфікою та особливостями діяльності АС (організації).

48. Функції СЗІ підприємства.

8.1 Функції під час створення комплексної системи захисту інформації:

  • визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об’єктів захисту в АС, класифікація інформації за вимогами до її конфіденційності або важливості для організації, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в АС;
  • розробка та коригування моделі загроз і моделі захисту інформації в АС, політики безпеки інформації в АС;
  • визначення і формування вимог до КСЗІ;
  • організація і координація робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ;
  • підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;
  • організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи;
  • вибір організацій-виконавців робіт з створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт з захисту інформації, у взаємодії з підрозділом ТЗІ (РСО, службою безпеки організації) погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт та ін.);
  • участь у розробці нормативних документів, чинних у межах організації і АС, які встановлюють дисциплінарну відповідальність за порушення вимог з безпеки інформації та встановлених правил експлуатації КСЗІ;
  • участь у розробці нормативних документів, чинних у межах організації і АС, які встановлюють правила доступу користувачів до ресурсів АС, визначають порядок, норми, правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій та ін.).

8.2 Функції під час експлуатації комплексної системи захисту інформації:

  • організація процесу керування КСЗІ;
  • розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій;
  • вжиття заходів у разі виявлення спроб НСД до ресурсів АС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;
  • забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;
  • організація керування доступом до ресурсів АС (розподілення між користувачами необхідних реквізитів захисту інформації – паролів, привілеїв, ключів та ін.);
  • супроводження і актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об’єктів, ідентифікатори користувачів тощо);
  • спостереження (реєстрація і аудит подій в АС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;
  • підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в АС, впровадження нових технологій захисту і модернізації КСЗІ;
  • організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій АС або КСЗІ;
  • участь в роботах з модернізації АС - узгодженні пропозицій з введення до складу АС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;
  • забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;
  • проведення аналітичної оцінки поточного стану безпеки інформації в АС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.);
  • інформування власників інформації про технічні можливості захисту інформації в АС і типові правила, встановлені для персоналу і користувачів АС;
  • негайне втручання в процес роботи АС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника;
  • регулярне подання звітів керівництву організації-власника (розпорядника) АС про виконання користувачами АС вимог з захисту інформації;
  • аналіз відомостей щодо технічних засобів захисту інформації нового покоління, обгрунтування пропозицій щодо придбання засобів для організації;
  • контроль за виконанням персоналом і користувачами АС вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі контроль за забезпеченням режиму секретності у разі обробки в АС інформації, що становить державну таємницю;
  • контроль за забезпеченням охорони і порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту;
  • розробка і реалізація спільно з РСО (підрозділом ТЗІ, службою безпеки) організації комплексних заходів з безпеки інформації під час проведення заходів з науково-технічного, економічного, інформаційного співробітництва з іноземними фірмами, а також під час проведення нарад, переговорів та ін., здійснення їхнього технічного та інформаційного забезпечення.

8.3 Функції з організації навчання персоналу з питань забезпечення захисту інформації:

  • розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу АС;
  • розроблення спеціальних програм навчання, які б враховували особливості технології обробки інформації в організації (АС), необхідний рівень її захищеності та ін.;
  • участь в організації і проведенні навчання користувачів і персоналу АС правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами;
  • взаємодія з державними органами, учбовими закладами, іншими організаціями з питань навчання та підвищення кваліфікації;
  • участь в організації забезпечення навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, нормативними документами, методичною літературою та ін.

49. Структура та організація роботи СЗІ підприємства.

Структура СЗІ, її склад і чисельність визначається фактичними потребами АС для виконання вимог політики безпеки інформації та затверджується керівництвом організації. Чисельність і склад СЗІ мають бути достатніми для виконання усіх завдань з захисту інформації в АС.

* З метою ефективного функціонування і керування захистом інформації в АС СЗІ має штатний розклад, який включає перелік функціональних обов’язків усіх співробітників, необхідних вимог до рівня їхніх знань та навичок.

* Безпосереднє керівництво роботою СЗІ здійснює її керівник. У випадку, коли СЗІ є структурною одиницею підрозділу ТЗІ (служби безпеки організації) – керівник цього підрозділу (заступник керівника). Призначення і звільнення з посади керівника СЗІ здійснюється керівництвом організації за узгодженням з особами, що відповідають за забезпечення безпеки інформації (керівник підрозділу ТЗІ, керівник служби безпеки та ін.).

На час відсутності керівника СЗІ (у зв’язку з відпусткою, службовим відрядженням, хворобою тощо) його обов’язки тимчасово виконує заступник керівника СЗІ, а у разі відсутності такої посади – керівник одного з підрозділів або інший кваліфікований співробітник СЗІ. Призначення на цю посаду позаштатних або тимчасово працюючих співробітників забороняється.

* Штат СЗІ комплектується спеціалістами, які мають спеціальну технічну освіту (вищу, середню спеціальну, спеціальні курси підвищення кваліфікації у галузі ТЗІ тощо) та практичний досвід роботи, володіють навичками з розробки, впровадження, експлуатації КСЗІ і засобів захисту інформації, а також реалізації організаційних, технічних та інших заходів з захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту інформації.

* Функціональні обов’язки співробітників визначаються переліком і характером завдань, які покладаються на СЗІ керівництвом АС (організації).

* В залежності від обсягів і особливостей завдань СЗІ до її складу можуть входити спеціалісти (групи спеціалістів, підрозділи та ін.) різного фаху:

  • спеціалісти з питань захисту інформації від витоку технічними каналами;
  • спеціалісти з питань захисту каналів зв’язку і комутаційного обладнання, налагодження і керування активним мережевим обладнанням;
  • спеціалісти з питань адміністрування засобів захисту, керування базами даних захисту;
  • спеціалісти з питань захищених технологій обробки інформації.

* За посадами співробітники СЗІ поділяються на такі категорії (за рівнем ієрархії):

  • керівник СЗІ;
  • адміністратори захисту АРМ (безпеки баз даних, безпеки системи тощо);
  • спеціалісти служби захисту.

*Зміна структури СЗІ здійснюється за рішенням загальних зборів акціонерів або керівництва організації і затверджується наказом (розпорядженням) керівника організації.

Організація робіт служби захисту інформації:

* Трудові відносини в СЗІ будуються на основі законодавства України з урахуванням положень статуту організації, правил внутрішнього трудового розпорядку та встановлених в організації норм техніки безпеки праці, гігієни і санітарії, інших розпорядчих документів організації.

* СЗІ здійснює свою роботу з реалізації основних організаційних та організаційно-технічних заходів з створення і забезпечення функціонування КСЗІ у відповідності з планами робіт. Підставою для розроблення планів робіт є “План захисту інформації в АС” (див. додаток).

До планів включаться наступні основні заходи:

  • разові (одноразово виконувані, необхідність у повторенні яких виникає за умови повного перегляду прийнятих рішень з захисту інформації);
  • постійно виконувані (заходи, що потребують виконання неперервно або дискретно у випадковий чи заданий час);
  • періодично виконувані (з заданим інтервалом часу);
  • виконувані за необхідності (заходи, що потребують виконання під час здійснення або виникнення певних змін в АС чи зовнішньому середовищі).

Основними видами планів робіт СЗІ можуть бути:

  • календарний план робіт (щодо реалізації заходів з проектування, реалізації, оцінювання, впровадження, технічного обслуговування, експлуатації КСЗІ та інших питань);
  • план заходів з оперативного реагування на непередбачені ситуації (в тому числі надзвичайні та аварійні) та поновлення функціонування АС;
  • поточний план робіт (на місяць, квартал, рік);
  • перспективний план розвитку та удосконалення діяльності СЗІ з питань захисту інформації (до 5 років);
  • план заходів з забезпечення безпеки інформації під час виконання окремих важливих робіт, при проведенні нарад, укладенні договорів, угод тощо;
  • бізнес-план створення і функціонування СЗІ.

Плани робіт складаються керівником СЗІ після обговорення на виробничій нараді СЗІ організаційно-технічних питань, що належать до її компетенції, і затверджуються керівником організації або керівником підрозділу, до складу якого входить СЗІ.

* Реорганізація або ліквідація СЗІ здійснюється за рішенням загальних зборів акціонерів або керівництва організації. Реорганізаційна або ліквідаційна процедура здійснюється відповідною комісією, яка створюється за наказом (розпорядженням) керівника організації.

* З метою забезпечення конфіденційності робіт, які виконуються співробітниками СЗІ, при прийомі на роботу (звільненні з роботи) вони дають письмові зобов’язання щодо нерозголошення відомостей, що становлять службову, комерційну або іншу таємницю, і які стали їм відомими в період роботи в організації.

* Матеріально-технічну базу для забезпечення діяльності СЗІ складають належні їй на правах власності (оперативного управління, повного господарського відання) засоби захисту інформації, ПЗ, технічне і інженерне обладнання, засоби вимірювань і контролю, відповідна документація, а також інші засоби і обладнання, які необхідні для виконання СЗІ покладених на неї завдань.

Співробітники СЗІ відповідають за збереження майна, що є власністю або знаходиться у розпорядженні служби.

Засоби захисту інформації та захищені засоби, що використовуються співробітниками СЗІ при виконанні своїх службових обов’язків, повинні мати, одержаний у встановленому порядку документ, що засвідчує їхню відповідність вимогам нормативних документів.

Матеріально–технічне та інше спеціальне забезпечення СЗІ здійснюється відповідними підрозділами організації у встановленому порядку.

50.Структура Плану захисту інформації в автоматизованій системі.

51. Поняття та структура технічного завдання на створення системи захистуінформації в автоматизованій системі

Технічне завдання на створення КСЗІ в АС (ТЗ на КСЗІ) є засадничим організаційно-технічним документом для виконання робіт щодо забезпечення захисту інформації в системі.

Технічне завдання на КСЗІ розробляється у разі необхідності розробки або модернізації КСЗІ існуючої (що функціонує) АС. В разі розробки КСЗІ в процесі проектування АС допускається оформлення вимог з захисту інформації в АС у вигляді окремого (часткового) ТЗ, доповнення до загального ТЗ на АС або розділу загального ТЗ на АС.

Технічне завдання на КСЗІ повинно розроблятись з урахуванням комплексного підходу до побудови КСЗІ, який передбачає об'єднання в єдину систему всіх необхідних заходів і засобів захисту від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу АС.

В технічному завданні на КСЗІ викладаються вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, що забезпечують безпеку інформації в процесі її оброблення в обчислювальній системі АС. Додатково треба викласти вимоги до організаційних, фізичних та інших заходів захисту, що реалізуються поза обчислювальною системою АС у доповнення до комплексу програмно-технічних засобів захисту інформації.

Технічне завдання на КСЗІ оформлюється відповідно до того ж самого ДСТУ, що і основне ТЗ на АС, і в загальному випадку повинно містити такі основні підрозділи:

загальні відомості;

мета і призначення комплексної системи захисту інформації;

загальна характеристика автоматизованої системи та умов її функціонування;

вимоги до комплексної системи захисту інформації;

вимоги до складу проектної та експлуатаційної документації;

етапи виконання робіт;

порядок внесення змін і доповнень до ТЗ;

порядок проведення випробувань комплексної системи захисту інформації.

  1. PR-напади. Інформаційний захист від PR-нападів.

«PR - цеуправлінська діяльність, спрямована на встановлення взаємовигідних гармонійних відносин між організацією та громадськістю, від якої залежить успіх функціонування цієї організації.»

Піар-напад - це піар, націлений на дискредитацію конкурента. Причому способи дискредитації можуть бути різними - законними й незаконними, але саме дискредитація є основним показником "чорності" піаркампанії незалежно від того, наскільки наведена інформація відповідає істині.до чорного піару варто відносити надання свідомо помилкової інформації або поширення інтимних подробиць про приватне життя людини, її психосоматичні особливості незалежно від того, наскільки достовірні ці відомості.

Існує 4 базові різновиди інформаційних атак:

· Професійна інформаційна атака.

· Непрофесійна атака.

· Спонтанна атака.

· Спонтанна атака, підтримана зацікавленими особами.

Професійна атака припускає, що проти вас працюють професійні PR-менеджери або навіть ціле PR-агентство. Вона вибудовується за всіма правилами чорного PR і ефективно використовує всі доступні ресурси. Відбити таку атаку дуже складно і часто практично не можливо. Дуже часто даний вид атак замаскований під громадські організації і замовник не помітний.

Непрофесійна атака зазвичай починається з того, що хтось із ваших конкурентів вирішив, що з вами треба боротися інформаційними методами і почав це робити самостійно. Часто в цьому випадку з'являється замовна стаття або замовний телерепортаж. Публікацій, як правило, не багато і по їх стилю можна побачити, що це саме замовні статті. Як правило, ці атаки безпечні і не здатні завдати сильної шкоди. Їх можна ігнорувати і ні як на них не реагувати. Іноді відбивати їх не має сенсу, а поширеною помилкою є публікація спростувань, так як спростування можуть підсилити атаку і надати їй вагу.

Спонтанна атака виникає тоді, коли ваш бізнес торкнувся чиїсь інтереси. Будівельна компанія може зіткнутися з інтересами жителів біля лежачих районів. Нафтовидобувна компанія зіткнутися з інтересами жителів знаходяться поруч міст. Ви також можете зачепити інтереси дипломатичних місій, національних громад і т.п. Торкаючись чиїсь інтереси треба чекати відповідну реакцію і готуватися до неї, а ще краще проводити профілактику перед початком дій у вибухонебезпечному середовищі.

Часто спонтанні атаки підтримуються зацікавленими особами. Це можуть бути громадські організації, зацікавлені у внесках і популярності серед населення. Це можуть бути політичні структури і окремі політичні діячі, а також просто ваші конкуренти. Слід також мати увазі, що незадоволене населення активно скаржиться в усі інстанції і десь можуть знайтися і ваші особисті недоброзичливці. При отримання підтримки дана подія може стати дуже небезпечним і перерости в професійний чорний PR (якщо ворожа сторона залучить фахівців). Класичним прикладом цього виду PR-атак є ущільнювальна забудова в Санкт-Петербурзі.

принцип брудного канта(обмовити, опорочити когось, поширити чутку, що ганьбить, звинуватити у фінансових порушеннях, плагіаті тощо);принцип дестабілізації(перервати нормальний перебіг подій);принцип закріплення функції(навішення негативних ярликів, тиражування негативних номінацій і формулювань у ЗМІ);принцип запам'ятовування (втрутитися в душу й пам'ять людини, підкорити її енергії та волі маніпулятора);принцип заплямування (публічне приниження, уміло розраховане неправдиве звинувачення);принцип каруселі(втягнути особу, групу осіб, усе суспільство в стрімку карусель, викликати втому, привернути увагу до другорядного, відволікти від головного); принцип капості (знайти "бруд", "забруднити" і нехай потім відмиваються);принцип "понту"(навіяти неправдиве уявлення про себе);принцип павукової поведінки(сплести павутину, розставити сіті, затаїтися й чекати);принцип Аль Каноне (за допомогою доброго слова й погроз можна домогтися більшого, ніж за допомогою тільки одного доброго слова);принцип атакуючої патетики(енергійним пафосним натиском поміняти один знак на інший, протилежний, викликати апатію);принцип внесеного занепокоєння (нагадати людині про ситуації, здатні викликати несвідомий страх).

Методи захисту: хибної цілі (напад на самого себе при чому не тонко, а в абсурдно грубому виді – таке собі щеплення аудиторії), методи вибуху (подія, яка затьмарює пр.-атаку, наприклад, фільм хвост виляет собакой),хвост виляет собакой), профілактики конфлікту (постійна підтримка пр.-камнанії, аналіз настрої клієнтів і конкурентів), створення компромісу для подолання конфлікту, який виник через пр.-напад,, метод контратаки, дискредитації нападника та його партнерів, метод двоякого роз тлумачення термінів, введення нових

  1. Види впливів на інформацію. Класифікація загроз.

прямий іопосередкований впливи. Прямий вплив характеризується тим, що суб'єкт відкрито пред'являє об'єктові впливу свої претензії і вимоги, а непрямий — полягає в тому, шо вплив безпосередньо спрямований не на об'єкт, а на середовище, яке його оточує. Також розрізняють навмисний і ненавмисний впливи, де перший визначається наявністю мети, а другий — причини.

За результатом впливу на інформацію та систему її обробки загрози підрозділяються на чотири класи:

  • порушення конфіденційності інформації (отримання інформації користувачами або процесами всупереч встановленим правилам доступу);
  • порушення цілісності інформації (повне або часткове знищення, викривлення, модифікація, нав’язування хибної інформації);
  • порушення доступності інформації (втрата часткова або повна працездатності системи, блокування доступу до інформації);
  • втрата спостереженості або керованості системи обробки (порушення процедур ідентифікації та автентифікації користувачів та процесів, надання їм повноважень, здійснення контролю за їх діяльністю, відмова від отримання або пересилання повідомлень).

За можливими способами здійснення:

  • технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо та радіотехнічні, хімічні та інші канали;
  • каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
  • несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.

За природою виникнення:

  • об'єктивні чи природні загрози (загрози, що викликані впливами на АС та її компоненти об’єктивних фізичних процесів або стихійних природних явищ, що не залежать від людини);
  • суб’єктивні загрози (загрози, що викликані діяльністю людини).

Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та навмисні.

Випадковими загрозами суб’єктивної природи (дії, які здійснюються персоналом або користувачами по неуважності, недбалості, незнанню тощо, але без навмисного наміру) можуть бути:

  • дії, що призводять до відмови АС (окремих компонентів), руйнування апаратних, програмних, інформаційних ресурсів (обладнання, каналів зв’язку, видалення даних, програм та ін.);
  • ненавмисне пошкодження носіїв інформації;
  • неправомірна зміна режимів роботи АС (окремих компонентів, обладнання, ПЗ тощо), ініціювання тестуючих або технологічних процесів, які здатні призвести до незворотних змін у системі (наприклад, форматування носіїв інформації);
  • неумисне зараження ПЗ комп’ютерними вірусами;
  • невиконання вимог до організаційних заходів захисту чинних в АС розпорядчих документів;
  • помилки під час введення даних в систему, виведення даних за невірними адресами пристроїв, внутрішніх і зовнішніх абонентів тощо;
  • будь-які дії, що можуть призвести до розголошення конфіденційних відомостей, атрибутів розмежування доступу, втрати атрибутів тощо;
  • неправомірне впровадження і використання забороненого політикою безпеки ПЗ (наприклад, навчальні та ігрові програми, системне і прикладне забезпечення та ін.);
  • наслідки некомпетентного застосування засобів захисту, та інші.

Навмисними загрозами суб’єктивної природи, спрямованими на дезорганізацію роботи АС (окремих компонентів) або виведення її з ладу, проникнення в систему і одержання можливості несанкціонованого доступу до її ресурсів, можуть бути:

  • порушення фізичної цілісності АС (окремих компонентів, пристроїв, обладнання, носіїв інформації);
  • порушення режимів функціонування (виведення з ладу) систем життєзабезпечення АС (електроживлення, уземлення, охоронної сигналізації, вентиляції та ін.);
  • порушення режимів функціонування АС (обладнання і ПЗ);
  • впровадження і використання комп’ютерних вірусів, закладних (апаратних і програмних) і підслуховуючих пристроїв, інших засобів розвідки;
  • використання засобів перехоплення побічних електромагнітних випромінювань і наводів, акусто-електричних перетворень інформаційних сигналів;
  • використання (шантаж, підкуп тощо) з корисливою метою персоналу АС;
  • крадіжки носіїв інформації, виробничих відходів (роздруків, записів, тощо);
  • несанкціоноване копіювання носіїв інформації;
  • читання залишкової інформації з оперативної пам’яті ЕОМ, зовнішніх накопичувачів;
  • одержання атрибутів доступу з наступним їх використанням для маскування під зареєстрованого користувача (“маскарад”);
  • неправомірне підключення до каналів зв’язку, перехоплення даних, що передаються, аналіз трафіку тощо;
  • впровадження і використання забороненого політикою безпеки ПЗ або несанкціоноване використання ПЗ, за допомогою якого можна одержати доступ до критичної інформації (наприклад, аналізаторів безпеки мереж), та інші.

За місцем розміщення джерела загроз відносно автоматизованої системи навмисні загрози поділяються:

  • дистанційні загрози – джерело яких знаходиться за межами контрольованої території.
  • контактні загрози – які здійснюються в межах контрольованої зони, як правило при проникненні у приміщення, де розташовано засоби обробки та збереження інформації.

54. Дезінформація, як один з видів інформаційного впливу.

Дезінформація –заздалегідь неправдива І, що преподноситься супротивнику для більш ефективного ведення бойових дій, співпраці, перевірки на витік інформації тощо. Також дезінформацією називають сам процес маніпулювання інформацією: введення когось в оману шляхом передачі неповної інформації чи повної, але вже непотрібної, неактуальної, викривлення контексту. Таким чином суттю дезінформації є створення продукту людської діяльності, спроба створити хибне уявлення і підштовхнути до бажаних дій або бездіяльності.

Суб’єктами дезінформуваннянайчастіше є держави (спеціальні служби, дипломатичні установи) чи потужні недержавні компанії (що мають власну економічну розвідку), які, з урахуванням фахового рівня виконавців, значних фінансових та ресурсних можливостей, є “найвідомішими гравцями” у цій сфері. Проте унаслідок поширення застосування дезінформації як форми СІО на сьогодні такими суб’єктами можуть виступати (щоправда, не завжди так само успішно) політичні й громадські організації, різноманітні бізнес-структи тощо.

Об’єктами дезінформування(оскільки це інформаційно-психологічний вплив, спрямований на свідомість людини) є особи (групи осіб), уповноважені приймати рішення (далі – ОУПР) на рівні своєї компетенції та передбачених повноважень, – президент держави, парламент, прем’єр-міністр, міністр, уряд, командувач військами, генеральний штаб, рада директорів, особа (грома-дянин) як споживач або виборець тощо. Утім, зважаючи на рівень повноважень безпосередніх об’єктів впливу (та, відповідно, рівень їх рішень), кінцевими об’єктами СІО можуть виступати держави (щодо їх політики у різних сферах), корпорації, значні групи населення тощо, а операції з дезінформування за рівнем впливу можуть набувати тактичного або стратегічного характеру.

види дезінформації: 1.Уведення в омануконкретної ОУПР (групи осіб) шляхом надання завідомо хибної інформації (застарілої, неповної, спотвореної, перекрученої) як підстави для прийняття відповідного рішення.

Основним способом при цьому виступає уведення об’єкта в оману щодо потенціалу суб’єкта (або третьої сторони) та його (її) намірів. Залежно від частки достовірних відомостей, використаних при підготовці інформаційного забезпечення СІО, розрізняють “сіре” (передбачає використання синтезу правдивої та неправдивої інформації) та “чорне” (переважає неправдива інформація) дезінформування.

2.Модифікація інформаційного потоку. Полягає у вибірковому поданні інформації (неповнота, напівправда, дозованість, замовчування певної частини інформації) або в тенденційному викладенні чи упередженому висвітленні фактів чи іншої інформації щодо подій за допомогою спеціально підібраних правдивих даних. Як правило, спеціально сформована інформація доводиться об’єкту дозовано, для підтримання постійно зростаючого напруження, передбачає систематичне “підкидання” нових порцій відповідно обмежених і дозованих даних у середовище інформаційного дефіциту.

3. “Білий шумтехнологія оточення правдивої інформації її неправдивими версіями, що так само підтверджені певними доказами, фактами, свідками. Такі версії диверсифікують справжню версію, розчиняють її в загальному потоці, який у сприйнятті людини зливається в один “білий шум”, і вона швидко втрачає до нього інтерес. Цей спосіб застосовується переважно в комплексі заходів локалізації витоку інформації.

4.Дезінформуваннявід зворотного відбувається шляхом надання правдивих відомостей у перекрученому вигляді чи в такій ситуації, коли вони сприймаються об’єктом спрямувань як неправдиві. Внаслідок застосування подібних заходів виникає ситуація, коли об’єкт знає правдиву інформацію про наміри чи конкретні дії протилежної сторони, але сприймає її неадекватно й не готовий протистояти негативному впливу.

5.Термінологічне “мінування”полягає у викривленні (підміні, спотворенні) первинної істинної суті принципово важливих, ба-зових термінів, понять і тлумачень загальносвітоглядного та оперативно-прикладного характеру. Деякі дослідники відносять до видів дезінформування такожманіпулюваннядіями особи (групи осіб), спрямоване на зміну напрямів її діяльності чи ступеня зусиль (активності) у цій діяльності, яке передбачає:

– посилення наявних у свідомості людей вигідних маніпулятору цінностей (ідей, установок); – часткову зміну поглядів на певну подію (обставину); – кардинальну зміну життєвих (світо-глядних) установок.

55. Інформаційна загроза, інформаційна небезпека. Явні та неявні загрози.

Процедура появи інформаційноїзагрози. Інформаційна загроза виникає тоді, коли реалізується відносно конкретного обєкта інформаційна небезпека, яка в своєму роді складається із сукупності ризиків на підприємстві, що не направлені на конкретний обєктІнформаційну небезпеку створюють інформаційні загрози, що поширюються в інформаційному просторі.Інформаційні загрози (у вузькому розумінні)– це сукупність умов і факторів, що створюють небезпеку життєво важливим інтересам особистості, суспільства, держави в інформаційній сфері.Інформаційні загрози (у широкому розумінні):

  • це такий інформаційний вплив (внутрішній або зовнішній), при якому створюється потенційна або актуальна (реальна) небезпека зміни напрямку або темпів прогресивного розвитку держави, суспільства, індивідів;
  • небезпека заподіяння шкоди життєво важливим інтересам особистості, суспільства, держави шляхом інформаційного впливу на свідомість, інформаційні ресурси та інфосферу машинно-технічних систем;
  • сукупність чинників, що перешкоджають розвитку і використанню інформаційного середовища в інтересах особистості, суспільства й держави.

Унікальною особливістю інформаційних загроз є те, що вони виступають як самостійні загрози і поряд з цим – є реалізаційною основою інших видів загроз на інформаційному рівні, а часто і їх першопричиною.

Явна загроза- тероризм

Неявна- кібертероризм.

Прихована загроза- це неусвідомлювані системою в режимі реального часу вхідні дані, які загрожують її безпеці.

56. Інформаційні війни. Види інформаційних війн.

ІВ- форма ведення ІП між різними суб'єктами (державами, неурядовими, економічними або іншими структурами), який передбачає проведення комплексу заходів з нанесення шкоди інформаційній сфері конфронтуючої сторони і захисту власної інформаційної безпеки.

Основне завдання ІВ (між державами) - здійснення безпосереднього негативного руйнівного впливу на сукупну політичну могутність держави шляхом послаблення її реальних і потенційних можливостей щодо забезпечення власної безпеки, створення труднощів у внутрішньому розвитку й проведенні активної зовнішньої діяльності, а

також у підтриманні міжнародних зв'язків, завдання шкоди політичному іміджу, тобто ослаблення правлячої еліти, встановленого нею соціально-політичного режиму чи навіть сприяння усуненню останньої від влади.

Об’єкти посягань ІВ поділяються на:

загальні об'єкти -правопорядок, нормальне функціонування органів влади та управління, мобілізаційну готовність і боєздатність збройних сил, органів безпеки та правоохоронних структур, налагоджені зовнішньополітичні зв'язки, міжнародний авторитет держави;

спеціальні об'єкти -суспільство загалом та окремі його верстви, прошарки, групи осіб, окремих їх представників. Це може бути той чи інший етнічний або соціальний прошарок чи навіть специфічні групи осіб, приміром, представники маргінальних елементів, зокрема засуджені, безпритульні, сектанти, політизовані радикали з числа націоналістів, анархістів тощо; об'єкти розвідувальних спрямувань (ЗМІ, держ органи)

три форми ІВ:

-вплив на форму повідомлень, механізми їх передачі, зберігання, обробки даних тощо;

- блокування передавання повідомлень;

-вплив на зміст повідомлень шляхом проведення СІО та АІА. Інститут національно-стратегічних досліджень США та деякі західні експерти і вчені виділяють сім складових елементів ІВ:

1. Стратегія і тактика нейтралізації органів управління противника (командна війна).2. Розвідувальна війна. 3. Електронна війна. 4. Психологічна війна. 5. Комп'ютерна війна. 6. ІВ в економічній сфері. 7. Інформаційний тероризм.

57. Визначте поняття безпеки підприємницької діяльності.

Безпека – це стан захищеності особи, суспільства, держави від зовнішніх та внутрішніх небезпек та загроз, що грунтується на діяльності людей, суспільства, держави, світової спільноти з виявлення, ослаблення, усунення небезпек і загроз, здатних знищити їх, позбавити фундаментальних, матеріальних і духовних цінностей, завдати збитку.

Безпека підприємства – це стан захищеності життєво важливих і законних інтересів підприємства від зовнішніх та внутрішніх небезпек та загроз у різних протиправних формах, що забезпечують його стабільний розвток відповідно до статутних завдань.

Підприємництво - це безпосередня самостійна, систематична, на власний ризик діяльність по виробництву продукції, виконанню робіт, наданню послуг з метою отримання прибутку, яка здійснюється фізичними та юридичними особами, зареєстрованими як суб'єкти підприємницької діяльності у порядку, встановленому законодавством.

Під безпекою підприємства (фірми) слід розуміти стан його стабільної діяльності, за якого реалізуються програми, забезпечується прибуток і захист від зовнішніх і внутрішніх дестабілізуючих чинників.

Основні положення поняття "безпека":

• наявність загроз — зовнішніх та внутрішніх;

• наявність життєво важливих інтересів об'єктів захисту;

• баланс інтересів між ними.

При цьому безпека підприємства (фірми) повинна забезпечуватися за такими напрямами:

• економічна, у тому числі комерційна;

• науково-технічна;

• інформаційна;

• кадрова;

• фізична;

• соціальна.

58. Правова основа забезпечення безпеки підприємницької діяльності.

Насамперед треба зазначити, що в Україні немає окремого Закону, який би регулював відносини між суб'єктами права по підношенню до захисту бізнесу від зазіхань, як з боку злочинних угруповань, так і з боку корумпованих владних структур.Тож норми права, які регулюють вказані відносини знаходяться в окремих Законах України та в підзаконних нормативних актах.

1. К У ст 24 Кожен має П на підприємницьку діяльність, яка не заборонена законом. Д забезпечує захист конкуренції. Не допускається зловживання монопольним становищем на ринку, неправомірне обмеження конкуренції та недобросовісна конкуренція. Ще раніше ст. 41 зазначає, що ніхто не може бути протиправно позбавлений права власності (у тому числі і юр ос), а конфіскація може бути зд виключно за р-ням суду.

2.ККУ 176 Порушення авторського П і суміжних П, 177 Порушення П н обєкти промислової власності – незаконнк використання винаходу.ю корисної моделі, промислового зразка, 202 порушення порядку зайняття господарською та б д-тю – без держ реєстрації, 203 зайняття забороненими видами госп д-ті, 205 фіктивне п-во – зметою прикриття незаконної д-ті, 206 протидія законній госп д-ті,212 ухилення від сплати податків, 220 приховування стійкої фінансової неспроможності, 22 шахрайство з фінансовими ресурсами, 227 випуск та реалізація недоброякісної продукції, 229 незаконне використання товарного знака, 231-232 збирання та розголошення КТ.

Крим-Процес.КУ

3. Кодекс адміністративних правопорушень

4. Господарськийта Цивільний, Господарсько-процесуальний та Цивільно-процесуальний кодекси України.

5. Закони України:

• "Про банки і банківську діяльність";

• "Про цінні папери і фондову біржу";

• "Про акціонерні товариства ";

• "Про інформацію";

• "Про захист від недобросовісної конкуренції";

• "Про захист інформації в автоматизованих системах";

• "Про державну контрольно-ревізійну службу в Україні";

• "Про відновлення платоспроможності боржника або визнання його банкрутом";

• " Про інвестиційну діяльність";

• "Про державну податкову службу в Україні";

• "Про підприємства в Україні";

• "Про аудиторську діяльність";

• "Про оперативно-розшукову діяльність";

• "Про організаційно-правові основи боротьби з організованою злочинністю".

Перелік законів може бути суттєво доповнений, бо майже в кожному з них є норми, які, регулюючи діяльність суб'єктів права, обмежуючи його права у вчиненні протизаконних дій, тим самим забезпечують безпеку підприємницької діяльності законослухняного суб'єкта права.

  1. Декрети Кабінету Міністрів, постанови Кабінету Міністрів, положення Національного банку України, інші підзаконні нормативні акти виконавчої влади та відомчі накази та інструкції.

59. Основні напрями забезпечення безпеки підприємницької діяльності.

Ефективна безпека підприємницької діяльності забезпечується на таких взаємопов'язаних напрямах:

• захист від злочинного світу;

• захист від порушень закону з тим, щоб самим не потрапити під його санкції;

• захист від недобросовісної конкуренції;

• захист від протиправних дій власних співробітників.

Щодо останнього напряму, то цей напрям дій реалізується на таких ділянках:

• виробничій (збереження матеріальних цінностей);

• комерційній (оцінювання партнерів, юридичний захист інтересів);

• інформаційній (визначення значущості інформації, порядку надходження, використання, передання, захисту від викрадення)

• кадрового забезпечення.

Оскільки чинників, що становлять загрозу для фірми, достатньо багато, доцільно всю роботу із забезпечення безпеки координувати з єдиного виконавчо-розпорядницького органу, який називають "службою (відділом) безпеки". Ця служба "тримає руку на пульс практично всіх ланок фірми і вживає ефективні заходи протидії дестабілізуючим чинникам, використовуючи для цього, у разі необхідності, не тільки власні сили, але й сили усієї фірми, а в окремих випадках — і сили зовнішніх організацій.

Безпека сучасного комерційного підприємства забезпечується за допомогою таких режимів: конфіденційності і захисту об'єктів інтелектуальної власності, що формують інформаційну безпеку; фізичної охорони, тобто забезпечення фізичної безпеки майна і персоналу фірми.

60. Складові частини безпеки підприємницької діяльності.

Безпека п-ва – це стан захищ життєво важливих і законних інтересів п-ва від зов і внут загроз у різних протип формах, що заб його стаб розвиток.

Складові б-ки підприємництва:

фінансова – відображає фін стан п-ва, який характ ступенем його прибутковості та оборотності капіталу. У процесі оцінки поточного рівня заб фін складової підлягають аналізу: фін звітність і р-ти роб п-ва, конкурентний стан п-ва на ринку.

Інтелектуально-кадрова – включає процес план та уп персоналом, роботу, що спрям на підвищ продуктивності, збереж і розвиток інтелек потенціалу. Осн показники: чисельність і склад персоналу та динаміка, кваліфікація та інтелектуальний потенціал, ефективність вик персоналу, якість мотивації.

Інформаційна– поляг у зд ефективного інф-аналіт забезпечення госп д-ті. До ф-й належать: збирання всіх видів І,що має віднош до д-ті суб’єкта госп, аналіз та систематизація одержуваної і, прогнозування тенденцій розвитку п-ва, оцінка рівня б-ки п-ва за всіма складовими вцілому, інші види д-ті: зв’язки з гром, форм іміджу

Техніко-технологічна – включає етапи: аналіз ринку технології стосовно в-ва продукції, аналогічної профілю п-ва; аналіз конкретних технологічних продуктів і пошук внут резервів, поліпшення технологій, що використовуються; розробка технологічної стратегії розвитку п0ва; аналіз р-тів практичної реалізації заходів.

Політико-правова – стан захищеності п-ва від надмірного податкового тиску, нестабільного законодавства. Поляг у всебічному правовому забезпеченні д-ті п-ва, дотримання чинного законодавства.

Екологічна – стан зах п-ва від загроз, виклик об’єкт природними явищами

Силова-захист матеріальних цінностей, а також життя і здоровя працівників та власників бізнесу.

61. Підготовка співробітників служби безпеки підприємства.

На першому етапі відбувається підбір кандидатів для роботи в службі безпеки, їхня перевірка, проходження ними спеціальної підготовки й стажування на посаді. Якщо в процесі перевірки встановлена придатність кандидата для роботи в службі безпеки, то його направляють на навчання в спеціалізовану освітню установу (за винятком осіб, що мають стаж роботи за основним профілем не менш трьох років). При цьому особлива увага звертається на наявність ліцензії в цієї

установи і якість програми навчання. Після проходження спеціальної підготовки доцільно організувати стажування під керівництвом наставника на відповідній посаді (від 1 до 6 місяців відповідно до кзот) і лише після цього доручати самостійне виконання службових завдань. Якщо підготовка песоналу відбувається безпосередньо на підприємстві, то практика показала, що поточна професійна підготовка співробітників повинна здійснюватися постійно, системно і на основі чіткого планування.Свою практичність і результативність показала наступна система планування та проведення навчальних занять з професійної підготовки співробітників служби безпеки: 1. Тематичний план на півріччя - це програма навчання співробітників сб, що містить в собі різні теми, що підлягають вивченню співробітниками СБ як у формі групового навчання, так і у формі самопідготовки. Основною метою тематичного плану є систематизація знань і досвіду а також підвищення професійного рівня На основі тематичного плану 2.к-к сб Розробляє власні плани на квартал, в яких повинні бути відображені всі пункти плану на півріччя, конкретні дата і час проведення занять. 3.Навчання може проводити як фаховий співробітник СБ, так і співробітник аутсорсингової компанії.Тематичний план містить теми та питання, що підлягають розгляду та вивчення на проведених заняттях з співробітниками сб, а також, регламентує час необхідний для вивчення кожної теми, визначає питання, які підлягають розгляду при її вивченні. 4. При завершенні навчання співробітники складають залік у тій формі, що визначить відповідальна за це особа (письмова. усна)

62. Розробка стратегії інформаційної безпеки на підприємстві.

Інформаційна безпека -це комплекс заходів що гарантують безпеку інформаційних активів підприємства.Найголовніше уцьому визначенні те, щоІБ можна забезпечити лише тоді комплексного підходу. Дозвіл якихось окремих питань (технічних чи організаційних) не вирішить проблеми ВБ загалом, та як раз цього головного принципу більшість сьогоднішніх керівників не розуміють і унаслідок чого є жертвами зловмисників.

Страте́гія — (дав.-гр. στρατηγία — мистецтво полководця) — загальний, недеталізований план певної діяльності, який охоплює тривалий період, спосіб досягнення складної цілі.

Розробка стратегії ІБ включає такі види робіт:

аналіз стратегії бізнесу, кадрової стратегії та стратегії ІТ;

аналіз законодавчих вимог і вимог регулюючих органів, що діють у відношенні компанії, в області інформаційної безпеки;

розробка, оцінка та вибір стратегічних альтернатив;

визначення основних стратегічних цілей ІБ;

визначення завдань, вирішення яких необхідне для реалізації поставлених цілей;

формування плану реалізації стратегічних завдань і бюджетна оцінка вартості їх виконання.

тощо

63. Характеристика загроз безпеці підприємницької діяльності.

Загрози безпеці підприємства можна класифікувати за наступними критеріями:

За місцем виникнення: внутрішні та зовнішні

За природою виникнення: політичні, кримінальні, конкурентні

За ймовірністю виникнення: явні та приховані

За наслідками: загальні та локальні

За відношенням до людської діяльності: об’єктивні (зумовлені стихійними явищами) та суб’єктивні (людська діяльність)

За можливим прогнозуванням: прогнозовані та непрогнозовані

За ймовірністю настання: катастрофічні, значні, незначні

За сферами виявлення: економічні (ризик із змінами економічних факторів), політичні (ризик виникнення адміністративно-законодавчих обмежень), соціальні (ризик страйків), та інші.

• низький рівень організації роботи з конфіденційними документами (фінансовими документами, планами, звітами, цивільно-правовими документами, кресленнями, технічною документацією, електронними носіями інформації тощо), оскільки саме ці джерела інформації можуть бути об'єктами неправомірних зазіхань;

• плинність кадрів, відсутність досвідчених фахівців-професіоналів на важливих організаційно-виробничих ділянках підприємства, неефективна робота служби економічної безпеки;

• низький організаційний рівень захисту комп'ютерних систем від несанкціонованого доступу;

• розкрадання матеріальних коштів і цінностей особами, що не працюють у даній фірмі;

• промислове шпигунство (таємне спостереження за співробітниками фірми, зараження комп'ютерних програм вірусами, засилання агентів, копіювання комп'ютерних програм і даних, підслуховування переговорів тощо);

• незаконні дії конкурентів (переманювання співробітників фірми, які володіють комерційною таємницею на більш високі посади, прямий підкуп співробітників фірми представниками конкурентів, компрометація діяльності фірми та компрометація керівників та окремих співробітників, укладання фіктивних цивільно-правових угод, паралізація діяльності фірми із використанням повноважень державних органів, засобів масової інформації тощо);

• протизаконні дії з боку кримінальних структур (вимагання та шантаж співробітників фірми; викрадення, комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем; пропонування більш вигідних умов найму на службу, компрометація діяльності фірми та компрометація керівників та окремих співробітників, паралізація діяльності фірми із використанням повноважень державних органів, засобів масової інформації, погрози фізичних розправ над співробітниками фірми та їх близькими, аж до їх усунення, пограбування і розбійні напади тощо);

64. Програма забезпечення безпеки фірми.

У цей час необхідне розроблення програми забезпечення безпеки, яка повинна містити:

− характеристику зовнішніх і внутрішніх загроз економічній безпеці підприємства;

− визначення і моніторинг чинників, що зміцнюють або руйнують стійкість його соціально-економічного положення на короткострокову і середньострокову перспективу;

− розроблення економічної політики, що охоплює механізми обліку, які впливають на стан економічної безпеки чинників; напрями діяльності підприємства щодо реалізації стратегії.

Організаційними заходами, що забезпечують реалізацію стратегії економічної безпеки, є:

1) створення координаційного центру на чолі з керівником організації, оперативним органом якого є служба безпеки;

2) розроблення і затвердження наказом по підприємству нормативно- методичного забезпечення стратегії;

3) ресурсне забезпечення і цільове використовуванням ресурсів.

Комплексна система економічної безпеки підприємства – це комплекс взаємозв’язаних заходів організаційно-правового характеру, що здійснюються спеціальними органами, службами, підрозділами суб’єкта господарювання, спрямованих на захист життєво важливих інтересів особистості, підприємства і держави від протиправних дій з боку реальних або потенційних фізичних або юридичних осіб, що можуть призвести до істотних економічних утрат та забезпечення економічного зростання в майбутньому.

Оцінюючи програму гарантування безпеки, необхідно відповісти "так" чи "ні" на такі запитання:

1. Програма діє за витрат, передбачених бюджетом?

2. Програма точно відображає політику підприємства у сфері безпеки?

3. Повідомлення про втрати враховують зацікавленість у створенні бази даних "історії подій"?

4. Запити про виділення грошей логічно обґрунтовані, повідомлені керівництву і задокументовані?

5. Програма досить гнучка (що адаптується) для того, аби своєчасно (достатньо швидко) відгукуватися на нові вимоги або загрози?

6. Працівники, задіяні в програмі, повністю усвідомлюють вимоги керівництва, поважають бюджетні витрати і адміністрацію корпорації?

7. Програма добре продумана, здатна реагувати на будь-яку ситуацію, яка може виникнути?

8. Програма дає результат у вигляді документованого зниження втрат компанії?

9. У рамках програми доповіді складаються ясно і вичерпно? Дані про реалізації програми регулярно доповідаються керівництву.

65. Зміст недоторканості особистого життя та критерії правомірності втручанняв особисте життя громадян

Недоторканність особистого (приватного) життя - це система гарантій захисту прав людини, яка включає охорону таємниці телефонних розмов, особистих письмових документів і листування, таємниці інтимного та іншого сімейного життя, способу існування; заборону щодо збирання та розповсюдження інформації про особисте життя людини без її згоди; протидію свавільному втручанню державних органів та сторонніх осіб в житло людини та її життя.

Ст.32 КУ проголошує заборону на втручання в особисте життя фізичних осіб. КУ також проголошує заборону на збирання, зберігання, використання та поширення інформації про особу без її згоди, крім випадків, визначених законом.

Особисте життя - це майнові, моральні, культурні та ін. зв’язки, які створюються на основі сімейних, дружніх та ін. відносин иіж людьми у сфері особистого життя, продовження роду, облаштування житлі, ведення домашнього господарства та ін. аспекти.

Приватність - недоторканість особистого життя, коли особа має право сама визначати його зміст та обсяг інформації про особисте життя, яке вона бажає розголосити. Право людини на особисте життя – забезпечена законом можливість фізичної особи відокремити деяку свою поведінку від публічних процесів. Задовольнити таким чином свої особисті інтереси та бути захищеним від стороннього втручання у ту сферу, зміст якої вона вправі визначити сама. Право людини на особисте життя означає право: мати особисте життя, самостійно визначати його зміст і свою поведінку у ньому. Самостійно також визначати ту сферу особистого життя, яка буде розголошена і вимагати від ін. суб’єктів не розголошувати інформацію про ті аспекти особистого життя, які людина хоче зберегти у таємниці. Право покликано забезпечити з одного боку захист цих прав, з іншого – способи, підстави і процедури обмеження цих прав задля досягнення суспільно-значущих цілей.

Критерії:

  1. Правомірність мети втручання
  2. Законність способу втручання
  3. Належність суб’єкта втручання
  4. Наявність спеціального статусу у суб’єкта в особисте життя якого вчинено втручання
  5. Законність підстав втручання(втручання має бути виправданим)

66. Місце персональних даних серед інших видів інформації з обмеженимдоступом

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

Стаття 4. Суб'єкти відносин, пов'язаних із персональними даними

1. Суб'єктами відносин, пов'язаних із персональними даними, є:

суб'єкт персональних даних;

володілець персональних даних;

розпорядник персональних даних;

третя особа;

Уповноважений Верховної Ради України з прав людини (далі - Уповноважений).

Статтею 32 Конституції України проголошено право людини на невтручання в її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

З метою конкретизації права людини, гарантованого статтею 32 Конституції України, та визначення механізмів його реалізації 1 червня 2010 року Верховною Радою України було прийнято Закон України «Про захист персональних даних» (далі – Закон), який набрав чинності з 1 січня 2011 року. Предметом правового регулювання Закону є правовідносини, пов’язані із захистом персональних даних під час їх обробки.

Визначення поняття персональні дані наводиться в абзаці восьмому статті 2 Закону, відповідно до якого персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Але законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій, в тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, що можуть виникнути у майбутньому, у зв’язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.

Наприклад, відповідно до статті 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи.

У зв’язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров’я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту).

Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем.

Стаття 5. Об'єкти захисту

1. Об’єктами захисту є персональні дані.

2. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.

3. Персональні дані, зазначені у декларації про майно, доходи, витрати і зобов’язання фінансового характеру, оформленій за формою і в порядку, встановленими Законом України "Про засади запобігання і протидії корупції", не належать до інформації з обмеженим доступом, крім відомостей, визначених Законом України "Про засади запобігання і протидії корупції".

Не належить до інформації з обмеженим доступом інформація про отримання у будь-якій формі фізичною особою бюджетних коштів, державного чи комунального майна, крім випадків, передбачених статтею 6 Закону України "Про доступ до публічної інформації".

Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.

Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень. Інформація про особу може перебувати у таких видах таємної інформації як: -таємниця голосування -таємниця листування, телефонних розмов, телеграфної кореспонденції -адвокатська -банківська -лікарська -страхування -нотаріальних дій -усиновлення Згідно із законом кожна особа має право на ознайомлення з інформацією зібраною про неї якщо така інформація не становить державну таємницю

67. Досудові і судові механізми гарантування прав громадян на недоторканість приватного життя

68. Поняття бази персональних даних та правовий статус їх володільців ірозпорядників в Україні

База ПД - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних

База ПД підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Володілець бази ПД - фізична або юридична особа, якій законом або за згодою суб'єкта ПД надано право на обробку цих даних, яка затверджує мету обробки ПД у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом

Розпорядник бази ПД - фізична чи юридична особа, якій володільцем бази ПД або законом надано право обробляти ці дані

Їх правовий статус закріплено ЗУ «Про захист ПД»,Типовий порядок обробки персональних даних у базах персональних даних.

Володільцем чи розпорядником бази ПД можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють ПД відповідно до закону. Розпорядником бази ПД, володільцем якої є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Володілець бази ПД зобов'язаний повідомляти уповноважений державний орган з питань захисту ПД про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом 10 робочих днів з дня настання такої зміни.Володілець бази ПД може доручити обробку ПД розпоряднику бази ПД відповідно до договору в письмовій формі. Про зміну чи знищення персональних даних або обмеження доступу до них, передачу ПД третій особі володілець бази ПД протягом 10 робочих днів повідомляє суб'єкта ПД, якщо цього вимагають умови його згоди або інше не передбачено законом. Володілець бази ПД в електронній формі забезпечує її захист відповідно до закону.

Розпорядник бази персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі. Володільці чи розпорядники баз ПД зобов'язані вносити зміни до ПДна підставі вмотивованої письмової вимоги суб'єкта ПД.

Володілець або розпорядник бази персональних даних надає суб'єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб'єкта персональних даних. Володілець бази персональних даних зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

Володілець бази персональних даних визначає:

  1. мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
  2. порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
  3. відповідальну особу або структурний підрозділ;
  4. порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.

69. Правовий статус фізичної особи як суб’єкта, інформація про якогообробляється у базах персональних даних.

70. Поняття, форми та підстави реалізації заходів державного контролю задотриманнямзаконодавства про захист персональних даних

Держа́вний контроль за дотриманням законодавства про захист персональних даних — одна з форм здійсненнядержавної влади, що забезпечує дотримання законів і інших правових актів, що видаються органами держави в сфері захисту персональних даних. Здійснення державного контролю — одна з важливих функційдержавного управління.

Форми державного контролю за дотриманням законодавства про захист персональних даних – здійснюється у вигляді перевірок.

Контроль за додержанням суб'єктами перевірки законодавства про захист персональних данихздійснюється Уповноваженим та/або уповноваженими ним посадовими особами шляхом проведення перевірок:

  • Планові та позапланові (можуть бути виїзними та безвиїзними);
  • Виїзніта Безвиїзні.

безвиїзна перевірка - планова або позапланова перевірка діяльності суб'єкта перевірки Уповноваженим та/або уповноваженими ним посадовими особами, яка проводиться в приміщенні Секретаріату Уповноваженого Верховної Ради України з прав людини на підставі отриманих від суб'єкта перевірки документів та пояснень без виїзду за місцезнаходженням суб'єкта перевірки та/або за місцем обробки персональних даних;

виїзна перевірка - планова або позапланова перевірка діяльності суб'єкта перевірки Уповноваженим та/або уповноваженими ним посадовими особами, яка проводиться за місцезнаходженням суб'єкта перевірки та/або безпосередньо на місці обробки персональних даних;

планова перевірка - перевірка діяльності суб'єкта перевірки, яка проводиться на підставі плану проведення перевірок на відповідний квартал та рік;

позапланова перевірка - перевірка діяльності суб'єкта перевірки, яка не передбачена в плані проведення перевірок.

акт перевірки - службовий документ, який засвідчує факт проведення перевірки діяльності суб’єкта перевірки та стан додержання ним вимог законодавства про захист персональних даних;

Підстави реалізації заходів державного контролю за дотриманням законодавства про захист персональних даних.

Володілець, розпорядник персональних даних вживають заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числіза допомогою організаційних та технічних заходів.

Володілець, розпорядник персональних даних самостійно визначають перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.

Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, утому числі незаконного знищення чи доступу до персональних даних.

Організаційні заходи охоплюють:

- визначення порядку доступу до персональних даних працівників володільця/розпорядника;

- визначення порядку ведення обліку операцій, пов'язаних з обробкою персональних даних суб'єкта та доступом до них;

- розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;

- регулярне навчання співробітників, які працюють з персональними даними.

З метою забезпечення безпеки обробки персональнихданих вживаються спецiальнi технiчнi заходи захисту, у тому числi щодо виключення несанкцiонованого доступу до персональних даних, що обробляються та роботi технiчного та програмного комплексу, за допомогою якого здiйснюється обробка персональних даних.

71. Критерії правомірності отримання і оприлюднення журналістами інформаціїпро особу

ЗУ « Про інформацію» Стаття 25. Гарантії діяльності засобів масової інформації та журналістів

Під час виконання професійних обов'язків журналіст має право здійснювати письмові, аудіо- та відеозаписи із застосуванням необхідних технічних засобів, за винятком випадків, передбачених законом.

Журналіст має право безперешкодно відвідувати приміщення суб'єктів владних повноважень, відкриті заходи, які ними проводяться, та бути особисто прийнятим у розумні строки їх посадовими і службовими особами, крім випадків, визначених законодавством.

Журналіст має право не розкривати джерело інформації або інформацію, яка дозволяє встановити джерела інформації, крім випадків, коли його зобов'язано до цього рішенням суду на основі закону.

Після пред'явлення документа, що засвідчує його професійну належність, працівник засобу масової інформації має право збирати інформацію в районах стихійного лиха, катастроф, у місцях аварій, масових безпорядків, воєнних дій, крім випадків, передбачених законом.

Журналіст має право поширювати підготовлені ним матеріали (фонограми, відеозаписи, письмові тексти тощо) за власним підписом (авторством) або під умовним ім'ям (псевдонімом).

Журналіст засобу масової інформації має право відмовитися від авторства (підпису) на матеріал, якщо його зміст після редакційної правки (редагування) суперечить його переконанням.

Права та обов'язки журналіста, працівника засобу масової інформації, визначені цим Законом, поширюються на зарубіжних журналістів, працівників зарубіжних засобів масової інформації, які працюють в Україні.

За вітчизняним законодавством, журналіст зокрема має право:

– на вільне одержання відкритої за режимом доступу інформації;

– відвідувати державні органи влади, органи місцевого і регіонального самоврядування, а також підприємства, установи і організації та бути прийнятим їх посадовими особами;

– відкрито здійснювати записи, в тому числі із застосуванням будь-яких технічних засобів, за винятком випадків, передбачених законом;

– на вільний доступ до статистичних даних, архівних, бібліотечних і музейних фондів; обмеження цього доступу зумовлюються лише специфікою цінностей та особливими умовами їх схоронності, що визначаються чинним законодавством України;

– переваги на одержання відкритої за режимом доступу інформації;

– на безкоштовне задоволення запиту щодо доступу до офіційних документів;

– звертатися до спеціалістів при перевірці одержаних інформаційних матеріалів.

Засоби масової інформації України, відповідно до законодавства України, мають право висвітлювати всі аспекти діяльності органів державної влади та органів місцевого самоврядування. Органи державної влади та органи місцевого самоврядування зобов’язані надавати засобам масової інформації повну інформацію про свою діяльність через відповідні інформаційні служби органів державної влади та органів місцевого самоврядування, забезпечувати журналістам вільний доступ до неї, крім випадків, передбачених Законом України «Про державну таємницю». Засоби масової інформації можуть проводити власне дослідження і аналіз діяльності органів державної влади та органів місцевого самоврядування, їх посадових осіб, давати їй оцінку, коментувати.

73. Зміст права фізичної особи на таємницю про стан свого здоров’я та порядокйого правового захисту

Право фізичної особи на отримання інформації про стан здоров’я як особисте немайнове право закріплюється в ст. 32 КУ, ст. 286 ЦКУ, ст. 39-1 Основ законодавства України про охорону здоров’я від 19.11.1992 року.

Зміст права фізичної особи на таємницю про стан здоров’я становить можливість цієї особи самостійно визначати коло осіб, яким вона забажає повідомити відомості про стан свого здоров’я, а також можливість вимагати від інших осіб не поширювати такі відомості.

Стаття 286. Право на таємницю про стан здоров'я (ЦКУ)

1. Фізична особа має право на таємницю про стан свого здоров´я, факт звернення за медичною допомогою, діагноз; а також про відомості, одержані при її медичному обстеженні.

2. Забороняється вимагати та подавати за місцем роботи або навчання інформацію про діагноз та методи лікування фізичної особи.

3. Фізична особа зобов´язана утримуватися від поширення інформації, зазначеної в частині першій цієї статті, яка стала їй відома у зв´язку з виконанням службових обов´язків або з інших джерел.

4. Фізична особа може бути зобов´язана до проходження медичного огляду у випадках, встановлених законодавством.

Коментар до статті:

Відповідно до «Основ законодавства України про охорону здоров´я» 1992 р., медичні працівники, інші особи, яким в зв´язку з виконанням професійних чи службових обов´язків стало відомо про хворобу, медичне обстеження, огляд і їхні результати, інтимні і сімейні сторони життя громадянина, не мають права розголошувати ці відомості, крім передбачених законодавчими актами випадків.

Лікарська таємниця припускає заборону вимагати за місцем роботи чи навчання інформацію про діагноз і методи лікування фізичної особи.Неправомірним розголошенням таємниці вважається навмисне чи необережне повідомлення, розголос такого роду відомостей без відповідного дозволу.

Таке право на лікарську таємницю належить фізичній особі, у відношенні якої було проведено медичне обстеження чи втручання. Стаття, яка коментується, не передбачає право інших осіб, (близьких родичів, членів родини і т.п.) вимагати збереження такої таємниці у випадку смерті фізичної особи.

Правила цієї статті погоджуються з Законом України «Про інформацію» від 2 жовтня 1992 р., яка передбачає неприпустимість зловживання правом на інформацію. До порушень законодавства України про інформацію, які можуть спричинити цивільно-правову відповідальність, відноситься використання і поширення інформації щодо особистого життя громадянина без його згоди.

Таким чином, лікар може відмовити в наданні інформації, яка, на його думку, відноситься до професійної таємниці.

Надаючи громадянину гарантії конфіденційності переданих ним відомостей, закон не забороняє надання відомостей, що складають лікарську таємницю, іншим громадянам, у тому числі посадовим особам, в інтересах обстеження і лікування пацієнта для проведення наукових досліджень, публікації в науковій літературі, використання цих відомостей у навчальному процесі й в інших цілях за згодою громадянина чи його законного представника. При відсутності такої згоди «Основи законодавства України про охорону здоров´я» допускають використання інформації, що складає лікарську таємницю в навчальному процесі, науково-дослідній роботі, у тому числі публікаціях в спеціальній літературі за умови забезпечення анонімності пацієнта.

Хоча зазначений закон і говорить про «лікарську таємницю», в обстеженні, лікуванні, реабілітації пацієнта беруть участь не тільки лікарі, але і медсестри, фармацевти, лаборанти, фахівці з медичної техніки і т.д., які стають володарями конфіденційної інформації. Тому у ст. 286 ЦК не використовується поняття «лікарська таємниця», а натомість сформульована вимога до будь-якої фізичної особи, утримуватися від поширення інформації, зазначеної в частині першої цієї статті, якщо інформація стала йому відома в зв´язку з виконанням службових обов´язків чи з інших джерел.

Відступ від принципу лікарської таємниці можливий у випадках, коли хвороба може привести до важких наслідків у родині, створити погрозу для оточуючих, чи для суспільства (наприклад, у випадку захворювання на СНІД).

«Лікарську таємницю» (інформацію про пацієнта) слід відрізняти від «медичної таємниці» (інформації для пацієнта), про яку йдеться у ст. 286 ЦК.

Інтереси здоров´я населення й окремих фізичних осіб припускають випадки, коли фізична особа може бути зобов´язана пройти медичний огляд. З цією метою організуються профілактичні медичні огляди неповнолітніх, вагітних, працівників підприємств, установ і організацій зі шкідливими і небезпечними умовами праці, військовослужбовців і осіб, чия професійна діяльність пов´язана з обслуговуванням населення чи підвищеною небезпекою для оточуючих.

Обов´язковість медичного огляду окремих категорій осіб передбачена законами України: «Про охорону праці» від 14 жовтня 1992 р., «Про попередження захворювань на СНІД і соціальний захист населення» від 12 грудня 1991 р., «Про забезпечення санітарного й епідеміологічного благополуччя населення» від 24 лютого

1994 р., «Про захист населення від інфекційних хвороб» від 6 квітня 2000 р., «Про боротьбу з захворюваннями туберкульозом» (від 5 липня 2001 р.) та ін.

Стаття 32 Конституції України.

Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Кожний громадянин має право знайомитися в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею.Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім'ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.

Ст. 39-1 Основ законодавства України про охорону здоров’я.

Пацієнт має право на таємницю про стан свого здоров'я, факт звернення за медичною допомогою, діагноз, а також про відомості, одержані при його медичному обстеженні. Забороняється вимагати та надавати за місцем роботи або навчання інформацію про діагноз та методи лікування пацієнта.Відповідальність за порушення лікарської таємниці

Законодавством передбачені різні види відповідальності за таке правопорушення:

1.Дисциплінарна відповідальність.Законодавством не встановлено спеціальної процедури притягнення до дисциплінарної відповідальності за порушення лікарської таємниці, а тому ці питання регулюються Кодексом законів про працюУкраїни.

2.Анулювання ліцензії на провадження господарської діяльності з медичної практики.Підставою для анулювання ліцензії є повторне виявлення порушення ліцензіатом вимог законодавства щодо охорони медичних даних пацієнта (стаття 21 Закону України «Про ліцензування певних видів господарської діяльності» від 1 червня 2000 року №1775-111).

3.Цивільно-правова відповідальність.Якщо протиправним розголошенням відомостей про стан здоров’я особи їй було заподіяно шкоду (як моральну, так і матеріальну), то ця шкода відшкодовується винною особою в повному обсязі.

4.Кримінальна відповідальність.Кримінальним кодексом України передбачена як загальна відповідальність за розголошення лікарської таємниці (стаття 145), так і спеціальна - за розголошення відомостей про проведення медичного огляду на виявлення зараження вірусом імунодефіциту людини чи іншої невиліковної інфекційної хвороби (стаття 132)

74. Адміністративна відповідальність за правопорушення у сфері обігуперсональних даних.

Персональні дані — відомості чи сукупність відомостей профізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Відповідно до цього Закону встановлюється адміністративна та кримінальна відповідальність за порушення обігу даних.

Так, до Кодексу України проадміністративні правопорушення внесено дві статті, що встановлюють відповідальність за

- неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;

-неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;

-ухилення від державної реєстрації бази персональних даних;

-недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;

-невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

75. Кримінальна відповідальність за злочини у сфері обігу персональних даних

Незважаючи на те, що Закон України «Про захист персональних даних» з самого початку містив положення про контроль та нагляд за дотриманням вимог законодавства в сфері захисту персональних даних та передбачав відповідальність за порушення законодавства про захист персональних даних, відповідні зміни та доповнення до Кримінального кодексу України та Кодексу про адміністративні правопорушення були внесені лише 2 червня 2011 р. Законом «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», який набрав чинності 1 липня 2012 р.

УКримінальному кодексі України закон змінює статтю 182 щодо порушення недоторканості приватного життя. Так, за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями Кодексу на особу може бути покладено штраф від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або її може бути притягнуто до виправних робіт на строк до двох років або накладено арешт на строк до шести місяців, або обмежено волі на строк до трьох років.

Тому, на сьогоднішній день відсутність реєстрації бази персональних даних не тягне за собою кримінальну відповідальність осіб, які є володільцями бази даних. Відповідальність може настати у випадку, коли збирання, зберігання, використання, знищення чи поширення інформації з баз даних здійснюється без згоди особи, чиї персональні дані внесені до бази даних. Отже, однією із передумов законності формування та використання бази даних є одержання згоди особи, чиї персональні дані внесені до бази даних.


 

А также другие работы, которые могут Вас заинтересовать

51445. Оценка надежности прогноза по МНК 68 KB
  Для прогноза временного ряда использовать два уравнения тренда со степенью полинома : 1 и со степенью полинома : . Для оценки надежности прогноза для трех точек по двум моделям 1 и 2 использовать встроенную функцию ТЕНДЕНЦИЯY X 3_прогнозных_ значения константа. Рассчитать квадраты невязок для трех точек прогноза на всех этапах.
51446. Сглаживание временных рядов с помощью скользящего интервала. Применение статистики Дарбина-Уотсона 76.5 KB
  Значение тренда в средней точке СИ равно средневзвешенному значению точек исходного ряда: 1 где весовые коэффициенты. Для степени полинома весовые коэффициенты. Весовые коэффициенты для сглаживания p=2. NN q Sum Весовые коэффициенты...
51447. Маркетинг. Социально-экономические основы маркетинга 60.94 KB
  Выражаются в товарах, способных удовлетворить нужду тем способом, который присущ данному укладу общества. Для удовлетворения потребностей, производители предпринимают целенаправленные действия, стимулирующие действия обладать товаром, таким образом производитель может способствовать формированию потребности, но не может создать нужду, т.к она уже существует.
51448. Силові перетворювачі автоматизованих електроприводів. Методичні вказівки 44 KB
  Мета роботи: закріплення знань про принципи дії однофазних однополуперіодних схем випрямлення, розрахунок, моделювання та дослідження часових діаграмм. Теоретичні відомості Випрямлячем називається статичний перетворювач електричної енергії змінного струму в постійний струм. Перетворювач являє собою електричний агрегат, силова частина якого складається в загальному випадку, з наступних основних вузлів
51449. ПРОЕКТИРОВАНИЕ ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ОРГАНИЗАЦИИ С ПРИМИНЕНИЕМ СТРУКТУРИРОВАННОЙ КАБЕЛЬНОЙ СИСТЕМЫ 3.01 MB
  В курсовом проекте предлагается спроектировать ЛВС организации с применением структурированной кабельной системы. Назначение проектируемой ЛВС – обеспечение возможности информационного обмена между рабочими станциями организации.
51450. Понятие государства и права 459.76 KB
  Государство- основное орудие политической власти в классовом обществе. В более широком смысле под Г. понимают политическую форму организации жизни общества, которая складывается как результат возникновения и деятельности публичной власти — особой управляющей системы, руководящей основными сферами общественной жизни и опирающейся в случае необходимости на силу принуждения.
51451. ОХРАНА ТРУДА И ЖИЗНЕДЕЯТЕЛЬНОСТИ В.И. Николин 2.64 MB
  Нам ранее неоднократно приходилось на самых различных научно-методических уровнях: Всеукраинском, Всероссийском и Международном доказывать, что предмет «Безопасность жизнедеятельности» как самостоятельный не имеет право на существование в вузе. У этого предмета нет границ, ибо сама по себе безопасность жизнедеятельности простирается от обучения умению безопасно действовать еще в детских яслях до знания того, как предотвратить аварию на атомной электростанции. Под безопасностью жизнедеятельности вполне можно и нужно понимать преподавание только цикла дисциплин.
51452. VISUAL BASIC 6.0. Обчислювальна техніка і програмування 2.27 MB
  Навчальний посібник присвячений оволодінню найпопулярнішою системою швидкої розробки програм. У методичному матеріалі описуються інструментальні засоби середовища Visual Basic.6 і розглядаються компоненти, властивості, методи та події, необхідні для розроблення широкого спектру базових програм, за допомогою яких студенти навчаються програмуванню.
51453. ФОРМИРОВАНИЕ ПРЕДСТАВЛЕНИЙ О ДОМАШНИХ ЖИВОТНЫХ У ДЕТЕЙ МЛАДШЕГО ДОШКОЛЬНОГО ВОЗРАСТА С ОБЩИМ НЕДОРАЗВИТИЕМ РЕЧИ 3 УРОВНЯ СРЕДСТВАМИ ХУДОЖЕСТВЕННОЙ ЛИТЕРАТУРЫ 881.83 KB
  Экспериментальная работа по формированию представлений о домашних животных у детей младшего дошкольного возраста с общим недоразвитием речи 3 уровня средствами художественной литературы. Теоретические основы формирования представления о домашних животных средствами художественной литературы