ВР змінила порядок підтвердження відповідності інформаційної системи вимогам щодо захисту інформації

Дата публікації: 19.06.2020

4 червня 2020 року  парламентом розглянуто та прийнято Закон «Про внесення змін до Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» щодо підтвердження відповідності інформаційної системи вимогам із захисту інформації»

Законом на території України прийнято вимоги стандартів сімейства СУІБ для окремих категорій інформації, захист якої забезпечується законодавством України.

Відповідні зміни внесено до Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» від 5 липня 1994 року № 80/94-ВР щодо способу підтвердження відповідності інформаційної системи вимогам із захисту інформації шляхом встановлення відповідних критеріїв.

Згідно із Законом «підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством».

Законом встановлено, що «Державні інформаційні ресурси та інформація з обмеженим доступом, крім державної таємниці, службової інформації та державних і єдиних реєстрів, створення та забезпечення функціонування яких визначено законами, можуть оброблятися в системі без застосування комплексної системи захисту інформації у разі виконання всіх таких умов:

— підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо систем управління інформаційною безпекою, яка проведена органом з оцінки відповідності, акредитованим національним органом України з акредитації чи національним органом з акредитації іншої держави, якщо і національний орган України з акредитації, і національний орган з акредитації такої держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності;

— використання для захисту інформації в системі засобів криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації;

— жоден з елементів системи не може бути розташований на територіях України, на яких органи державної влади України тимчасово не здійснюють своїх повноважень, на територіях держав, визнаних Верховною Радою України державами-агресорами, на територіях держав, щодо яких застосовані санкції відповідно до Закону України «Про санкції» від 14 серпня 2014 року  № 1644-VII, та на територіях держав, які входять до митних союзів з такими державами;

— виконання особливих вимог, встановлених Кабінетом Міністрів України до забезпечення захисту інформації в системах залежно від категорії державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, що обробляються».

Проєкт Закону зареєстровано за № 2043.