ЗАКОН УКРАЇНИ
Про захист інформації в інформаційно-комунікаційних системах
( Назва Закону із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
(Відомості Верховної Ради України (ВВР), 1994, № 31, ст.286)
( Вводиться в дію Постановою ВР
№ 81/94-ВР від 05.07.94, ВВР, 1994, № 31, ст.287 )
( Із змінами, внесеними згідно із Законом
№ 1703-IV від 11.05.2004, ВВР, 2004, № 32, ст.394 )
( В редакції Закону
№ 2594-IV від 31.05.2005, ВВР, 2005, № 26, ст.347 )
( Із змінами, внесеними згідно із Законами
№ 879-VI від 15.01.2009, ВВР, 2009, № 24, ст.296
№ 1180-VI від 19.03.2009, ВВР, 2009, № 32-33, ст.485
№ 721-VII від 16.01.2014, ВВР, 2014, № 22, ст.801 - втратив чинність на підставі Закону
№ 732-VII від 28.01.2014, ВВР, 2014, № 22, ст.811
№ 767-VII від 23.02.2014, ВВР, 2014, № 17, ст.593
№ 1170-VII від 27.03.2014, ВВР, 2014, № 22, ст.816
№ 681-IX від 04.06.2020, ВВР, 2020, № 42, ст.349
№ 1089-IX від 16.12.2020
№ 1882-IX від 16.11.2021, ВВР, 2023, № 5, ст.13
№ 2130-IX від 15.03.2022, ВВР, 2023, № 16, ст.63
№ 2801-IX від 01.12.2022, ВВР, 2023, № 54, ст.159
№ 3549-IX від 16.01.2024, ВВР, 2024, № 18, ст.76
№ 3783-IX від 05.06.2024 )
( У тексті Закону:
слова "власник інформації" у всіх відмінках і числах замінено словами "володілець інформації" у відповідному відмінку і числі;
слова "інформація, яка є власністю держави" у всіх відмінках замінено словами "державні інформаційні ресурси" у відповідному відмінку згідно із Законом № 1170-VII від 27.03.2014 )
Цей Закон регулює відносини у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - система).
( Преамбула із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
Стаття 1. Визначення термінівУ цьому Законі наведені нижче терміни вживаються в такому значенні:
блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі;
виток інформації - результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;
володілець інформації - фізична або юридична особа, якій належать права на інформацію;
( Абзац четвертий статті 1 в редакції Закону № 1170-VII від 27.03.2014 )
власник системи - фізична або юридична особа, якій належить право власності на систему;
доступ до інформації в системі - отримання користувачем можливості обробляти інформацію в системі;
захист інформації в системі - діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
знищення інформації в системі - дії, внаслідок яких інформація в системі зникає;
інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
інформаційно-комунікаційна система - сукупність інформаційних та електронних комунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
користувач інформації в системі (далі - користувач) - фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;
криптографічний захист інформації - вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;
обробка інформації в системі - виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;
порушення цілісності інформації в системі - несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;
порядок доступу до інформації в системі - умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;
електронна комунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання та/або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
технічний захист інформації - вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації;
резервна копія державних інформаційних ресурсів - копія інформації, яка міститься в державних інформаційних ресурсах, що перебувають у володінні або розпорядженні органів державної влади, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України, державних підприємств, установ та організацій, та є критичною для їх сталого функціонування, створюється, записується, обробляється або зберігається у цифровій чи іншій нематеріальній формі за допомогою електронних, магнітних, електромагнітних, оптичних, технічних, програмних або інших засобів з метою подальшого відновлення цієї інформації;
( Частину першу статті 1 доповнено абзацом двадцятим згідно із Законом № 2130-IX від 15.03.2022 )
резервування державних інформаційних ресурсів та систем - сукупність заходів, спрямованих на забезпечення створення резервної копії (резервних копій) та зберігання державних інформаційних ресурсів та систем з метою забезпечення безперервності їх роботи та подальшого відновлення інформації, що міститься в державних інформаційних ресурсах та системах, а також інсталяційних копій програмного забезпечення та операційних систем (та/або їх образів), в яких здійснюється їх обробка. Перелік видів державних інформаційних ресурсів та систем, щодо яких може здійснюватися резервне копіювання, визначається Кабінетом Міністрів України.
( Частину першу статті 1 доповнено абзацом двадцять першим згідно із Законом № 2130-IX від 15.03.2022 )
Інші терміни вживаються у значенні, наведеному в законах України "Про інформацію" та "Про технічні регламенти та оцінку відповідності".
( Статтю 1 доповнено частиною другою згідно із Законом № 681-IX від 04.06.2020 )
( Стаття 1 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020 )
Стаття 2. Об'єкти захисту в системіОб'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Стаття 3. Суб'єкти відносинСуб'єктами відносин, пов'язаних із захистом інформації в системах, є:
володільці інформації;
власники системи;
користувачі;
спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації і підпорядковані йому регіональні органи;
( Абзац п'ятий частини першої статті 3 в редакції Закону № 879-VI від 15.01.2009 )
( Абзац шостий частини першої статті 3 виключено на підставі Закону № 767-VII від 23.02.2014 )
( Частину другу статті 3 виключено на підставі Закону № 1170-VII від 27.03.2014 )
На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі - розпоряднику системи.
Стаття 4. Доступ до інформації в системіПорядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються володільцем інформації.
Порядок доступу до державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її володільця в порядку, встановленому законом.
( Частина третя статті 4 із змінами, внесеними згідно із Законом № 1170-VII від 27.03.2014 )
Стаття 5. Відносини між володільцем інформації та власником системиВласник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації, якщо інше не передбачено законом.
Власник системи на вимогу володільця інформації надає відомості щодо захисту інформації в системі.
Протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування володільці інформації - власники (держателі) державних інформаційних ресурсів можуть укладати договори про технічне адміністрування відповідних реєстрів з іноземними компаніями, організаціями - постачальниками послуг з надання хмарних ресурсів (надавачами хмарних послуг), утвореними відповідно до законодавства інших держав, та/або їх зареєстрованими (акредитованими або легалізованими) відповідно до законодавства України філіями, представництвами та іншими відокремленими підрозділами з місцезнаходженням на території України в порядку , встановленому Кабінетом Міністрів України.
( Статтю 5 доповнено частиною третьою згідно із Законом № 2130-IX від 15.03.2022 )
Стаття 6. Відносини між власником системи та користувачемВласник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.
Стаття 7. Відносини між власниками систем
Власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.
Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.
Стаття 8. Умови обробки інформації в системіУмови обробки інформації в системі визначаються власником системи відповідно до договору з володільцем інформації, якщо інше не передбачено законодавством.
Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством.