Міністерство освіти і науки України Центральноукраїнський національний технічний університет Смірнов О.А., Конопліцька-Слободенюк О.К., Смірнов С.А., Буравченко К.О., Смірнова Т.В., Книшук А.В. ВСТУП ДО КІБЕРБЕЗПЕКИ Навчальний посібник Кропивницький 2022 2 УДК 004.056 Рекомендовано Вченою радою Центральноукраїнського національного технічного університету, протокол № 8 від 26 квітня 2022 року Рецензенти: Гнатюк С.О., доктор технічних наук, професор, заступник декана з наукової роботи факультету кібербезпеки, комп’ютерної та програмної інженерії Національного авіаційного університету; Фауре Е.В., доктор технічних наук, професор, проректор з науково-дослідної роботи та міжнародних зв'язків Черкаського державного технологічного університету. Смірнов О.А., Конопліцька-Слободенюк О.К., Смірнов С.А., Буравченко К.О., Смірнова Т.В., Книшук А.В. Вступ до кібербезпеки: навч. посіб. – Кропивницький: ЦНТУ, 2022. – 967 с. У навчальному посібнику розглянуто теоретичні й практичні питання основ і положень з питань забезпечення кібербезпеки. Навчальний посібник призначений для студентів, які навчаються за спеціальностями «Кібербезпека», «Комп’ютерні науки», «Комп’ютерна інженерія», а також аспірантів, науковців та інженерно-технічних працівників з напряму «Інформаційні технології». © Смірнов О.А., Конопліцька-Слободенюк О.К., Смірнов С.А., Буравченко К.О., Смірнова Т.В., Книшук А.В. 2022 3 Зміст Перелік умовних позначень, символів, одиниць і термінів ……….….. 9 Вступ ……………………………………………………………………..….. 20 Розділ 1. Законодавча та нормативно-правова база України в галузі інформаційної та /або кібербезпеки ……………………….………...…… 22 Закон України «Про освіту». Стаття 42. Академічна доброчесність ... 22 1.1. Закон України «Про інформацію» …………………………………... 26 1.2. Закон України «Про науково-технічну інформацію» ……………..... 30 1.3. Закон України «Про захист інформації в інформаційно- телекомунікаційних системах» …..………………………………………..... 35 1.4. Закон України «Про основні засади забезпечення кібербезпеки України» ……………………………………………………………………… 39 1.5. Закон України «Про державну таємницю» …………………………. 46 1.6. Закон України «Про захист персональних даних» …………………. 59 1.7. Постанова КМУ від 19 червня 2019 року № 518 «Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури» …. 70 1.8. ДСТУ 3396.0,1,2-97 …………………………………………………... 72 1.9. ДСТУ ISO/ІЕС 15408-1:2017 …………………………………………. 73 1.10. НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу» ………………... 73 1.11. НД ТЗІ 2.5-004-99. «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» ……………….. 74 1.12. Закон України «Про доступ до публічної інформації» ……………. 74 1.13. Загрози, яким підлягає інформація ………………………………….. 82 1.14. Стратегії реалізації загроз ..………………………………………….. 82 1.15. Основні міри протидії загрозам безпеці, принципи побудови систем захисту, основні механізми захисту ……………………………….. 83 1.16. Перелік основних задач, які повинні вирішуватися системою комп'ютерної безпеки ……………………………………………………….. 84 1.17. Основні принципи побудови систем захисту інформаційно- комунікаційних систем (ІКС) ……………………………………………….. 85 Розділ 2. Міжнародні стандарти в галузі інформаційної та /або кібербезпеки ………………………………………………………………… 89 2.1. Регламенти ЄС в галузі кібербезпеки: Регламент Європейського Парламенту і Ради (ЄС) 2019/881 від 17 квітня 2019 року «Про Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA) та про сертифікацію кібербезпеки інформаційно- комунікаційних технологій» ………………………………………………... 89 2.2. ДСТУ ISO 27001, ISO 27002, ISO 27003 …………………………..…. 95 2.3. ISO/IEC 15408- 2, ISO/IEC 15408-3 …………………………………… 103 2.4. Стек протоколів ДСТУ ISO/IEC 27000 ……………………………….. 108 4 Розділ 3. Інструментальні та прикладні застосунки в інформаційній та/або кібербезпеці ………………………………………………………….. 126 3.1. Мережева модель OSI …………………………….……………….…… 126 3.2. Основні протоколи стеку TCP/IP ……………………………………… 130 3.3. Віртуалізація (принципи, гіпервізори) ………………………………... 138 3.4. Архітектура комп’ютерів ……………………………………………… 146 Розділ 4. Методи і засоби обробки інформації ………………….………. 148 4.1. Економне кодування. Пpефіксний код та його дерево. Алгоритм Шеннона-Фано. Алгоритм Хаффмана. Основні методи економного кодування без втрат послідовної дискретної інформації …………………. 148 4.2. Принципи завадостійкого кодування. Основні характеристики завадостійких кодів. Класифікація завадостійких кодів. Математичний опис процесу кодування і декодування …………………………………….. 160 4.3. Блочні лінійні коди. Коректуючи властивості блочних кодів. Коди з перевіркою на парність. Коди Хеммінга …………………………………. 167 4.4. Циклічні коди. Засоби опису циклічних кодів. Властивості циклічних кодів по виявленню помилок. Укорочені циклічні коди. Коди Боуза-Чоудхурі-Хоквінгема. Коди Ріда-Соломона. Код Файра ….............. 173 Розділ 5. Операційні системи …………………………………………..…. 182 5.1 Архітектура операційних систем …...……………………………..… 182 5.2. Процеси і потоки в операційних системах …………………….……. 187 5.3. Керування пам’яттю в операційних системах ………………………. 196 5.4. Файлові системи ………………………………………………………. 202 5.5. Захисні механізми операційних систем (Unix, Windows Server 2022, Windows 10/11) ………………………………………………………... 204 Розділ 6. Моделі безпеки в інформаційній та/або кібербезпеці …….… 262 6.1. ДСТУ ISO/IEC 15408 ………………………………………………….... 262 6.2. Модель порушника …………………………………………………..…. 275 6.3. Модель загроз ………………………………..…………………….……. 276 6.4. Модель вразливостей ……………………………………………..….…. 283 Розділ 7. Захист інформації, що обробляється та зберігається в інформаційно-телекомунікаційних системах (ІКС) ………………….... 293 7.1. Процедури ідентифікації, автентифікації, авторизації користувачів …………………………………………………………………. 293 7.2. Захист ресурсів і процесів в інформаційно-телекомунікаційних системах на основі моделей безпеки (кінцевих автоматів, управління потоками, Bell-LaPadula, Biba, Clark-Wilson, та інші) ………………..…… 302 7.3. Резервування інформації та компонентів інформаційно- телекомунікаційних системах ………………………………………………. 310 5 Розділ 8. Програмні та програмно-апаратні комплекси засобів захисту інформації (ЗЗІ) …………………………………………………… 316 8.1. Антивіруси …………………………………………………….………. 316 8.2. Міжмережеві екрани ……………………………………..…………… 318 8.3. IDS, IPS ………………………………………………………………… 325 8.4. Системи контролю та управління доступом у мережі (Active Directory, ACL) ………………………………………………………………. 331 8.5. Системи контролю та управління фізичним доступом (СКУД) …… 336 Розділ 9. Відновлення функціонування інформаційно- комунікаційних систем (ІКС) після реалізації загроз, здійснення кібератак, збоїв та відмов різних класів та походження …………....… 343 9.1. Організаційно-технічні заходи відновлення функціонування ІКС … 343 9.2. Журнал аудиту подій …………………………………………………. 346 9.3. Політики резервного копіювання даних …………………………….. 352 Розділ 10. Моніторинг процесів функціонування інформаційно- комунікаційних систем (ІКС) …………………………………………..…. 358 10.1. Джерела інформації про події та типи подій, що аналізуються в системах моніторингу ………………………………………………………... 358 10.2. Система візуалізації та управління подіями (SIEM) ………………… 359 10.3. Аналіз подій SIEM …………………………………………….……… 363 Розділ 11. Механізми безпеки комп'ютерних мереж …………………... 367 11.1. Віртуальні приватні мережі (VPN) …………………………………... 367 11.2. Протоколи автентифікації RADIUS …………………………………. 371 11.3. Протоколи SSL/TLS …………………………………………………... 378 Розділ 12. Проектування, створення, супровід комплексних систем захисту інформації (КСЗІ) ………………………………………………… 398 12.1. Дослідження середовищ функціонування ІС – середовища користувачів, обчислювальної системи, фізичного середовища, інформаційного середовища та побудова моделі загроз ………..………… 398 12.2. Проведення аудиту інформаційної безпеки (ІБ) та визначення її рівня на основі звіту з аудиту ризиків ІБ …………………..………………. 405 12.3. Вибір методів та засобів забезпечення необхідного рівня ІБ ……… 412 Розділ 13. Моделі загроз та моделі порушника …………………………. 417 13.1. Загальні визначення й поняття моделі загроз та моделі порушника . 417 13.2. Загрози цілісності ……………………………………………………... 429 13.3. Загрози доступності …………………………………………………... 431 13.4. Загрози конфіденційності …………………………………………….. 433 13.5. Загрози автентичності ………………………………………………… 435 13.6. Загрози через технічні канали ………………………………………... 447 13.7. Загрози через соціальну інженерію ………………………………….. 453 6 Розділ 14. Оцінка захищеності інформації в інформаційно- телекомунікаційних системах (ІКС) ………………………………..……. 456 14.1. Оцінка захищеності інформації в інформаційно-телекомунікаційних системах згідно НД ТЗІ 2.5-004-99. «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» …. 456 14.2. Концептуальна схема оцінки безпеки інформації ………..………….. 466 14.3. Кількісна та якісна оцінки безпеки інформації ……………..……….. 470 Розділ 15. Управління інформаційною та/або кібербезпекою 477 15.1. Управління кіберінцидентами: Поняття кіберінцидента/кібератаки. Розслідування кіберінцидентів/кібератак ……………………………….….. 477 15.2. Управління ризиками в інформаційній та/або кібербезпеці: Загальна концепція управління ризиками ІБ. ISO/IEC 27005:2018, IEC 31010:2019, NIST SP 800-39, NIST SP 800-37, NIST SP 800-30, NIST SP 800-137 (Ризики інформаційної безпеки. Аналіз та оцінка ризику. Прийняття ризику. Зменшення ризику. Страхування (перекладання) ризику). Системи класу Incident Response Platform ………….……………. 484 Розділ 16. Аудит інформаційної та/або кібербезпеки ……………..…… 517 16.1. Етапи проведення аудиту ……………..………………………………. 517 16.2. Аудит на основі аналізу ризиків ……………………………………… 523 16.3. Аудит на основі стандартів інформаційної безпеки (ІБ) ……………. 526 16.4. Аудит на основі експертних досліджень інформаційних систем (ІС). 528 16.5. Забезпечення безперервності бізнес-процесів: Поняття бізнес- процесу. Модель бізнес-процесу …………………………………………… 528 16.6. Розробка політик інформаційної безпеки під час забезпечення бізнес-процесів ………………………………………………………………. 532 16.7. Дотримання політик інформаційної безпеки під час забезпечення бізнес-процесів ………………………………………………….…………… 547 Розділ 17. Симетричні криптосистеми …………………………………... 551 17.1. Модель симетричної криптосистеми…………………………………. 551 17.2. Класичні методи шифрування: Шифр Цезаря, Вернама. Квадрат Полібія. Шифр гамування …………………………………………………... 553 17.3. Блокові шифри: DES. ДСТУ ГОСТ 28147:2009. AES. Калина (ДСТУ 7624:2014) (режими роботи, довжина ключів, довжина блоку вхідного тексту, кількість раундів, крипостійкість згідно з ДСТУ ISO/IEC 10116:2019) ……………..…………………………………………………….. 558 17.4. Потокові шифри: RC4, STRUMOK. (ДСТУ 8845:2019) (довжина ключів, криптостійкість) …………….………………………………………. 585 7 Розділ 18. Несиметрична (асиметрична, з відкритим ключем) криптографія ………………........................................................................... 601 18.1. Модель асиметричної криптосистеми ………………………………... 601 18.2. Шифр RSA ……………………………………………………………... 605 18.3. Алгоритм Ель-Гамаля (EG) …………………………………………… 609 18.4. Генерація спільних секретів Діффі-Хеллмана (DH) ………………… 610 18.5. Електронний цифровий підпис DSA …………………………………. 611 18.6. Криптографія на еліптичних кривих …………………………………. 613 18.7. Електронний цифровий підпис згідно ДСТУ 4145-2002 …..……….. 615 18.8. EC-DSA згідно ISO/IEC 15946-2 ……………………………….……... 618 Розділ 19. Криптографічні протоколи ………………………………..….. 620 19.1. Протоколи захисту мережевого трафіку IPSec ………………………. 620 19.2. Протоколи безпечної передачі даних прикладного рівня: https ……. 633 Розділ 20. Цифрова стеганографія ……………………………………….. 636 20.1. Поняття цифрової стеганографії ………………………………….…... 636 20.2. Модель стеганосистеми та класифікація методів стеганографічного захисту …………………….………………………………………………….. 637 20.3. Основні вимоги до стеганосистеми …………………………………... 646 20.3. Відкриті, напівзакриті, закриті стеганосистеми ……………….…….. 648 20.4. Поняття ЦВЗ, класифікація ………………………………..………….. 649 20.5. Метод модифікації найменшого значущого біта та інші методи приховання даних у зображенні, відео та аудіо …………….……………... 652 20.6. Атаки на стеганосистеми ……………………………………………… 659 Розділ 21. Технічний захист інформації …………………………………. 672 21.1. Технічні канали витоку інформації: Акустичний (мовний) канал витоку інформації. Електричний канал витоку інформації. Електромагнітний канал витоку інформації. Методи прослуховування мобільного зв’язку. Оптичний та оптоелектронний канал витоку інформації. Параметричний канал витоку інформації ………..…………... 672 21.2.Методи та засоби технічного захисту інформації: Пасивні та активні методи і засоби захисту інформації від витоку технічними каналами. Захист від прослуховування мобільного зв’язку. Система контролю та управління доступом (СКУД). Системи відеоспостереження. Пожежна сигналізація …………………………………..………………………………. 687 Додаток А. Тексти Законів та стандартів України щодо забезпечення кібербезпеки ……………………………………………….... 712 А.1. Закон України «Про інформацію» …………………………………... 713 А.2. Закон України «Про науково-технічну інформацію» ……………… 725 А.3. Закон України «Про захист інформації в інформаційно- телекомунікаційних системах» ……………………………………………... 735 8 А.4. Закон України «Про основні засади забезпечення кібербезпеки України» ……………………………………………………………..……….. 742 А.5. Закон України «Про державну таємницю» …………………………. 759 А.6. Закон України «Про захист персональних даних» ………………… 789 А.7. Постанова КМУ від 19 червня 2019 року № 518 «Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури …………………………………………………………..…... 804 А.8. ДСТУ 3396.0,1,2-97 …………………………………………………... 823 А.9. ДСТУ ISO/ІЕС 15408-1:2017 ……………..…………………………. 839 А.10. НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу» ……….……… 840 А.11. НД ТЗІ 2.5-004-99. «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» ……….………. 849 А.12. Закон України «Про доступ до публічної інформації» …………….. 889 Додаток Б. Розширена нормативно-правова база щодо захисту інформації в Україні та стандарти у галузі захисту інформації …..…. 903 Б.1 Нормативно-правова база щодо захисту інформації в Україні ….…… 903 Б.2. Статі Кримінального кодексу, які передбачують покарання за розголошення таємниці ……………………………………………………... 906 Б.3. Нормативно-правові акти, що регламентують діяльність Держспецзв'язку за сферами ………………………………………………... 907 Б.4. Стандарти у галузі захисту інформації ………………………………... 916 Список використаних джерел …………………………………………….. 930 Перелік законів, нормативних актів, стандартів та специфікацій ….. 946 9 Перелік умовних позначень, символів, одиниць і термінів АРМ – Автоматизоване робоче місце АРП – Автоматичне регулювання посилення АС – Автоматизована система АТС – Автоматизована телефонна станція БД – Бази даних БФА – Багатофакторна автентифікація – Multi-Factor Authentication, MFA ВОЛЗ – Волоконно-оптичні лінії зв'язку ВОЛП – Волоконно-оптичні лінії передач ВМ – Віртуальна машина ВЧ – Високі частоти ДКП – Дискретне косинусне перетворення ДКР – Дослідно-конструкторська робота ДПБ – Дискреційна політики безпеки ДСК – Для службового користування ДСТ – Державний стандарт ДСТСЗІ – Державна служба спеціального зв'язку та захисту інформації України ДСТУ – Державний стандарт України ДТЗ – Допоміжні технічні засоби ДТЗС – Допоміжні технічні засоби й системи ДФА – Двофакторна автентифікація – two-factor authentication, також відома як двоетапна верифікація ЕОМ – Електронно-обчислювальна машина ЕРС – Електрорушійна сила ЕСКД – Єдина система конструкторської документації ЕСПД – Єдина система програмної документації ЕЦП – Електронний цифровий підпис ЗА – Записуюча апаратура ЗК – Загальні критерії ISO/IEC 15408 ЗП – Закладні пристрої ІБ – Інформаційна безпека ІВК – Інфраструктура відкритого ключа ІзОД – Інформація з обмеженим доступом ІКС – Інформаційно-комунікаційні системи ІКТ – Інформаційно-комунікаційних технологій ІС – Інформаційна система ІТ – Інформаційні технології ІТС – Інформаційно-телекомунікаційна система КВІ – Канали витоку інформації КЕП – Кваліфікований електронний підпис КЗЗ – Комплекс засобів захисту КМУ – Кабінет міністрів України 10 КС – Комп'ютерна система КСЗІ – Комплексні системи захисту інформації МД – Матриця доступу МЕ, ММЕ – Мережевий, міжмережевий екран НВЧ – Надвисокі частоти НД – Нормативний документ НД СТЗІ – Нормативний документ системи технічного захисту інформації НДР – Науково-дослідна робота НЗБ – Метод заміни найменшого значущого біта у стеганографії НСВ – Навмисний силовий вплив НСД – Несанкціонований доступ ОЗП – Оперативний запам’ятовуючий пристрій, оперативна пам'ять ОК – Огороджувальні конструкції ОПС – Охоронно-пожежна система ОРД – Оціночні рівні довіри ISO/IEC 15408 ОС – Операційна система ОС – Обчислювальна система ОТ – Обчислювальна техніка ОТЗ – Основні технічні засоби ПВПД – Плануй-виконуй-перевіряй-дій – Plan-Do-Check-Act, PDCA ПЕМВН – Побічні електромагнітні випромінювання і наводки ПЕОМ – Персональна електронно-обчислювальна машина ПЗ – Профіль захисту ISO/IEC 15408 ПЗ – Програмне забезпечення ПЗП – Постійний запам’ятовуючий пристрій ПІБ – Політика інформаційної безпеки ППК – Прилад приймально-контрольний ПРД – Правила розмежування доступу ПЦС – Пульт центрального спостереження РСО – Режимно-секретний орган СБУ – Служба безпеки України СЗІ – Системи захисту інформації СЗІБ – Система забезпечення інформаційної безпеки СІБ – Система інформаційної безпеки СКД – Система контролю доступу СКБД – Система керування базами даних СКУД – Система контролю та управління доступом – Physical Access Control System, PACS СМІБ – Система менеджменту інформаційної безпеки – Information security management system, ISMS СОС – Система охоронної сигналізації СПС – Система пожежної сигналізації СРД – Система розмежування доступу СУБД – Система управління базами даних 11 СУІБ – Система управління інформаційною безпекою – Information security management system, ISMS ТА – Телефонний апарат ТВЛ – телевізійні лінії – Television Lines, TVL ТЗ – Технічне завдання ТЗ – Технічні засоби ТЗЗІ – Технічні засоби захисту інформації ТЗІ – Технічний захист інформації ТЗс – Технічні засоби ТЗПІ – Технічні засоби прийому інформації ТКВІ – Технічні канали витоку інформації ТФП – Таємне фізичне проникнення ЦВЗ – Цифровий водяний знак ЦОД – Центр обробки даних ЦПУ – Центральний процесор ACE – Access Control Entry – Записи керування доступом ACL – Access Control List – Список контролю доступу – Список прав доступу до об’єкта, який визначає, хто або що може отримувати доступ до нього, і які саме операції дозволено або заборонено цьому суб'єкту проводити над об'єктом АН – Authentication Header – Забезпечує цілісність даних, що передаються, автентифікацію джерела інформації та функцію запобігання повторній передачі пакетів у IPsec ALE – Annual Loss Expectancy – Очікувані річні втрати, тобто, "вартість" всіх інцидентів за рік API – Application Programming Interface – Прикладні програмні інтерфейси – Опис способів взаємодії однієї комп'ютерної програми з іншими. ARO – Annualized Rate of Occurrence – Середня кількість інцидентів на рік відповідно до статистичних даних BCP – Business Continuity Planning – Планування збереження безперервності бізнесу BLP – Модель Белла-ЛаПадули – Це модель кінцевого автомата, яка використовується для забезпечення контролю доступу в державних і військових програмах BPM – Business Process Modeling та Business Process Management – Моделювання бізнес-процесів та управління бізнес-процесами CA – Certification authority – Центр сертифікації CAP – Складові пакети гарантій ISO/IEC 15408-5 CAPEC – Common Attack Pattern Enumeration and Classification – Перелік і класифікація типових шаблонів атак CASE – Computer-Aided Software/System Engineering – Система аналізу та моделювання інформаційних потоків 12 CBC – Cipher Block Chaining – Зчеплення шифроблоків у блоковому симетричному шифруванні CCM – Counter with Cipher Block Chaining Message Authentication Code; Counter with CBC-MAC – Вироблення імітовставки і гамування у блоковому симетричному шифруванні CCTV – Сlosed Circuit Television – Система телебачення замкнутого контуру – Відеоспостереження CDE – Середовище даних банківських карт CERT/CC VND – Vulnerability Notes Database – База даних приміток про вразливості CERT-UA – Computer Emergency Response Team of Ukraine – Урядова команда реагування на комп’ютерні надзвичайні події України CFB – Cipher Feedback Mode – Гамування зі зворотним зв'язком за шифротекстом у блоковому симетричному шифруванні CHAP – Challenge Handshake Authentication Protocol) (RFC 1994) – Широко поширений алгоритм автентифікації, що передбачає передачу не самого пароля користувача, а непрямих відомостей про нього CISO – Chief information security – Головний співробітник інформаційної безпеки СМАС – Вироблення імітовставки у блоковому симетричному шифруванні CNA – CVE Numbering Authorities – Зареєстровані організації (такі як державні CERT'и), компанії-виробники ПЗ, а також незалежні дослідники безпеки, які мають повноваження надавати виявленим уразливості ідентифікатор виду CVE-YYYY-NNNN, де YYY – Рік виявлення вразливості, а NNNN – її порядковий номер COSO ERM – Enterprise Risk Management – Управління ризиками підприємства COMP – Пакет складеного продукту ISO/IEC 15408-5 CRAMM – Central Computing and Telecommunications Agency Risk Analysis and Management Method – Метод аналізу та управління ризиками Центрального обчислювального та телекомунікаційного агентства CRL – Certificate Revocation List – Список відкликаних сертифікатів CSF – Cybersecurity Framework – Фреймворк кібербезпеки CSRF – Cross-Site Request Forgery – Міжсайтова підробка запиту, також відома як XSRF – Вид атак на відвідувачів веб-сайтів, що використовує недоліки протоколу HTTP CTR – Counter – Гамування у блоковому симетричному шифруванні CWE – Common Weakness Enumeration – Перелік загальних недоліків CVSS – Common Vulnerability Scoring System – Загальна система оцінки вразливості DAC – Discretionary Access Control – Дискреційне управління доступом DACL – Discretionary Access Control List – Дискреційні списки контролю доступу 13 DCCP – Datagram Control Protocol – Протокол керування дейтаграмами DoS – Denial-Of-Service Attack – Атака на відмову в обслуговуванні, розподілена атака на відмову в обслуговуванні – Напад на комп'ютерну систему з наміром зробити комп'ютерні ресурси недоступними користувачам, для яких комп'ютерна система була призначена DDoS – Distributed Denial-Of-Service Attack – Атака на комп’ютерні системи органу, організації, установи з метою порушення доступності атакованих вебресурсів. Іншими словами, під час атаки одночасно створюється така величезна кількість зовнішніх запитів (рахунок може йти на мільйони), що атакована система не в змозі їх обробити. Як наслідок – Виникають збої в її роботі або вона взагалі перестає повноцінно працювати DLP – Data Leak Prevention – Системи запобігання витоку – Технології запобігання витоку конфіденційної інформації з інформаційної системи зовні, а також технічні пристрої (програмні або програмно-апаратні) для запобігання витоку DNS – Domain Name System – Система доменних імен – Комп'ютерна розподілена система для отримання інформації про домени DRP – Disaster Recovery Plan – Планування післяаварійного відновлення DSA – Digital Signature Algorithm – Алгоритм цифрового підпису – Криптографічний алгоритм з використанням закритого ключа (з пари ключів: <відкритий; закритий>) для створення електронного підпису, але не для шифрування (на відміну від RSA та схеми Ель-Гамаля) DSS – Digital Signature Standard – Американський стандарт, що описує Digital Signature Algorithm (DSA), який може бути використаний для генерації цифрового підпису DTLS – Datagram Transport Layer Security – Безпека транспортного рівня дейтаграм EA – Діяльність з оцінювання ISO/IEC 18045 EAL – Попередньо визначені рівні гарантії оцінювання ISO/IEC 15408-5 EAP – Extensible Authentication Protocol – Розширюваний протокол автентифікації (RFC 3748) дозволяє перевіряти справжність при підключеннях віддаленого доступу за допомогою різних механізмів автентифікації ЕСВ – Electronic Codebook – Проста заміна (базове перетворення) у блоковому симетричному шифруванні ECDSA – Elliptic Curve Digital Signature Algorithm – Алгоритм з відкритим ключем, який використовується для побудови та перевірки електронного цифрового підпису за допомогою криптографії на еліптичних кривих EF – Exposure Factor – Чинник відкритості перед загрозою, тобто, який відсоток активу зруйнує загроза за її успішної реалізації EM – Методи оцінювання ISO/IEC 18045 14 ENISA – Агентство Європейського Союзу з питань мережевої та інформаційної безпеки ESP – Encapsulating Security Payload – Забезпечує конфіденційність (шифрування) інформації, що передається, обмеження потоку конфіденційного трафіку у IPsec FAIR – Factor Analysis of Information Risk – Факторний аналіз інформаційного ризику FMEA – Failure Modes and Effect Analysis – Аналіз видів відмов і наслідків FRAP – Facilitated Risk Analysis Process – Спрощений процес аналізу ризиків GCM, GMAC – Galois/Counter Mode – Вибіркове гамування із прискореним виробленням імітовставки у блоковому симетричному шифруванні GSM – Groupe Spécial Mobile – Глобальний стандарт цифрового мобільного стільникового зв'язку з поділом каналів за часом (TDMA) і частотою (FDMA) HTTP – HyperText Transfer Protocol – Протокол передачі гіпертексту – Протокол прикладного рівня передачі даних, спочатку – у вигляді гіпертекстових документів у форматі HTML, в даний час використовується для передачі довільних даних HTTPS – HyperText Transfer Protocol Secure – Розширення протоколу HTTP для підтримки шифрування з метою підвищення безпеки. Дані в протоколі HTTPS передаються поверх криптографічних протоколів TLS або SSL застарілого в 2015 році. На відміну від HTTP з TCP – Портом 80, для HTTPS за замовчуванням використовується TCP-порт 443 ICV – Integrity Check Value – Контрольна сума в IPsec IDOC – Intrusion Detection Optical Communications System – Система виявлення вторгнень оптичного зв'язку IDS – Intrusion Detection System – Система виявлення атак (вторгнень) – Програмний або апаратний засіб, призначений для виявлення фактів несанкціонованого доступу в комп'ютерну систему або мережу або несанкціонованого управління ними в основному через Інтернет. IDPS, IDS/IPS – Об'єднання IDS та IPS IEC – International Electrotechnical Commission – Міжнародна електротехнічна комісія IETF – Internet Engineering Task Force – Тематична група за технологією Internet IKE – Internet Key Exchange – Протокол, що зв'язує всі компоненти IPsec в працююче ціле IoCs – Indicators of Compromise – Індикатори компрометації IP – Internet Protocol – Межмережевий протокол IPS – Intrusion Prevention System – Система запобігання вторгненням 15 IPsec – IP Security – Набір протоколів для забезпечення захисту даних, що передаються по міжмережевому протоколу IP ISAKMP – Internet Security Association and Key Management Protocol – Протокол, який використовується для первинного налаштування з'єднання, взаємної автентифікації кінцевими вузлами одне одного та обміну секретними ключами в IPsec ISMS – Information Security Management System – Система управління інформаційною безпекою (СУІБ) – Система менеджменту інформаційної безпеки (СМІБ) IRBC – International Responsible Business Conduct – Забезпечення безперервності бізнесу IRP – Incident Response Platform – Система автоматизації реагування на інциденти інформаційної безпеки ISO – International Organization for Standardization – Міжнародна організація з стандартизації KW – Захист ключових даних у блоковому симетричному шифруванні L2TP – Layer 2 Tunnelling Protocol – Протокол тунелювання рівня 2 LDAP – Lightweight Directory Access Protocol – Протокол прикладного рівня для доступу до служби каталогів X.500 МАС – Mandatory Access Control – Обов'язковий контроль доступу MAC – Message Authentication Code – Код автентифікації повідомлення MD5 – Message-Digest algorithm 5 (RFC 1321) – Широко використовується криптографічна функція з 128 бітовим ґешем MDR – Managed Detection and Response – Кероване виявлення та реагування MITRE CVE – Common Vulnerabilities and Exposures – Поширені вразливості та ризики MPLS – Multi-Protocol Label Switching – Багатопротокольна комутація по мітках MSSP – Managed Security Service Provider – Постачальник послуг керованої безпеки NAS – Network Access Server – Сервер доступу до мережі NBA – Behavioral Network Analysis – Поведінковий аналіз мережі NIST NVD – National Vulnerability Database – Національна база даних уразливостей OCTAVE – Operationally Critical Threat, Asset, Vulnerability Evaluation – Оцінка критичних операційних загроз, активів і вразливостей OFB – Output Feedback – Гамування зі зворотним зв'язком за шифрогамою у блоковому симетричному шифруванні OSI – Open Systems Interconnection Basic Reference Mode – Модель OSI (вона ж ЕМ ВВС – еталонна модель взаємозв'язку відкритих систем) – еталонна теоретична модель, описана в міжнародних стандартах і ДСТ 16 PAN – Primary Account Number – Обліковий номер картки – Зчитується з банківської картки PAP – Password Authentication Protocol (RFC 1334) – Простий автентифікаційний протокол, який використовується для автентифікації користувача стосовно мережевого сервера доступу (NAS) PDCA – Plan-Do-Check-Act – ПВПД (плануй-виконуй-перевіряй-дій) PID – Process ID – Унікальний числовий ідентифікатор в Unix PGID – Process Group ID – Ідентифікатор групи в Unix PKI – Public key infrastructure – Механізм, що регулює поширення та використання сертифікатів (включаючи створення, відгук та автентифікацію) PP – Профілі захисту ISO/IEC 18045 PPA – Сімейство пакетів гарантії профілю захисту ISO/IEC 15408-5 PPID – Parent Process ID – Процес батька в Unix PPTP – Point-to-Point Tunneling Protocol PRGA – Psudo-Random Generation Algorithm – Генератор псевдовипадкової послідовності RADIUS – Remote Authentication in Dial-In User Service – Протокол для реалізації автентифікації, авторизації та збору відомостей про використані ресурси, розроблений для передачі відомостей між центральною платформою та обладнанням RAID – Redundant Array of Independent Disks – Надлишковий масив незалежних (самостійних) дисків – Технологія віртуалізації даних для об'єднання кількох фізичних дискових пристроїв у логічний модуль для підвищення стійкості до відмов і (або) продуктивності RBAC – Role Based Access Control – Списки доступу на основі ролей RFID – Radio Frequency Identification – Радіочастотна ідентифікація – Спосіб автоматичної ідентифікації об'єктів, в якому за допомогою радіосигналів зчитуються або записуються дані, що зберігаються в так званих транспондерах, або RFID- мітках RMF – Risk Management Framework – Структура управління ризиками RSA – Абревіатура від прізвищ Rivest, Shamir та Adleman – криптографічний алгоритм з відкритим ключем, що ґрунтується на обчислювальній складності завдання факторизації великих простих чисел SA – Security Association – Набор параметрів, що характеризує з'єднання в IPsec SACL – System Access Control Lists – Списки контролю доступу до системи SAD – Security Associations Database IPsec-модуля – База даних асоціації безпеки SAN – Storage Area Network – Мережі зберігання даних 17 SCAP – Security Content Automation Protocol – Протокол безпеки вмісту автоматизації SCRM – Supply Chain Risk Management – Управління ризиками ланцюга поставок SDLC – Software development lifecycle – Життєвий цикл розробки програмного забезпечення (або систем) SIEM – Security Information And Event Management – Об'єднання двох термінів, що позначають область застосування ПЗ: SIM (Security information management) – управління інформацією про безпеку, і SEM (Security event management) – управління подіями безпеки. Технологія SIEM забезпечує аналіз у реальному часі подій (тривог) безпеки, що виходять від мережевих пристроїв та додатків, і дозволяє реагувати на них до настання істотних збитків SiXSS – Sql Injection Сross Site Scripting – "Міжсайтовий скриптинг за наявності SQL-ін'єкції" – Тип атаки на вразливі інтерактивні інформаційні системи в Інтернеті; впровадження виконуваних на клієнтському комп'ютері шкідливих скриптів у сторінку, що видається системою, за допомогою впровадження коду в SQL- ін'єкцію SHA – Standard Hash Algorithm – Ґеш-функція SLE – Single Loss Expectancy – Очікувані разові втрати, тобто, «вартість» одного інциденту SNI – Server Name Indication – Розширення TLS для роботи кількох HTTPS-сайтів із різними сертифікатами SOC – Security Operations Center – Центр забезпечення безпеки SPI – Security Parameters Index – Індекс параметрів безпеки у IPsec SPD – Security Policy Database – База даних політики безпеки у IPsec SPN – Square-type – Байт-орієнтований шифр у блоковому симетричному шифруванні SQL – Structured Query Language – Мова структурованих запитів – декларативна мова програмування, що використовується для створення, модифікації та управління даними в реляційній базі даних, що керується відповідною системою управління базами даних Sniffers – Аналізатори протоколів SNMP – Simple Network Management Protocol – Простий протокол мережного управління – Стандартний інтернет-протокол для управління пристроями в IP-мережах на основі архітектур TCP/ UDP SSL – Secure Sockets Layer – Криптографічний протоколи, що забезпечує захищену передачу даних у комп'ютерній мережі ST – Security Target – Цілі безпеки ISO/IEC 18045 STA – Security Target Assurance – Сімейство пакетів гарантії цільової безпеки ISO/IEC 15408-5 18 TCP – Transmission Control Protocol – Транспортний протокол, протокол управління передачею – Один із основних протоколів передачі Інтернету. У стеку протоколів TCP/IP виконує функції транспортного рівня моделі OSI TCP/IP – Модель TCP/IP (Модель DOD) – Модель, що використовується на практиці, прийнята для роботи в Інтернеті TOE – Target of Evaluation – Час оцінювання цілі оцінки ISO/IEC 15408-5 TLS – Transport Layer Security – Протокол безпеки Інтернет TTPs – Tactics, Techniques, Procedures – Тактика, техніка, процедури UDP – User Datagram Protocol – Протокол користувальницьких датаграм – Один із ключових елементів набору мережевих протоколів для Інтернету URI – Uniform Resource Identifier – Уніфікований (єдиноподібний) ідентифікатор ресурсу. URI – Послідовність символів, що ідентифікує абстрактний чи фізичний ресурс. Раніше називався Universal Resource Identifier – універсальний ідентифікатор ресурсу URL – Uniform Resource Locator – Уніфікований покажчик ресурсу – Система уніфікованих адрес електронних ресурсів, або одноманітний визначник місцезнаходження ресурсу (файлу). Використовується як стандарт запису посилань на об'єкти в Інтернеті (Гіпертекстові посилання у «всесвітній павутині» www) XSS – Cross-Site Scripting – «міжсайтовий скриптинг » – Тип атаки на веб-системи, що полягає у впровадженні у сторінку шкідливого коду, що видається веб-системою (який буде виконаний на комп'ютері користувача при відкритті ним цієї сторінки) і взаємодії цього коду з веб-сервер зловмисника XTS – XEX-based tweaked-codebook mode with ciphertext stealing – Індексована заміна у блоковому симетричному шифруванні, де XEX – Xor-encrypt-xor VLAN – Virtual Local Area Network – Технологія віртуальних локальних мереж VPN – Virtual Private Network – Віртуальна приватна мережа – узагальнена назва технологій, що дозволяють забезпечити одне або кілька мережевих з'єднань над чиєюсь іншою мережею 19 Позначення послуг згідно НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу: КД – довірча конфіденційність КА – адміністративна конфіденційність КО – повторне використання об'єктів КК – аналіз прихованих каналів КВ – конфіденційність при обміні ЦД – довірча цілісність ЦА – адміністративна цілісність ЦО – відкат ЦВ – цілісність при обміні ДР – використання ресурсів ДВ – стійкість до відмов ДЗ – гаряча заміна ДВ – відновлення після збоїв НР – реєстрація НИ – ідентифікація і автентифікація НК – достовірний канал НО – розподіл обов'язків НЦ – цілісність КЗЗ НТ – самотестування НВ – автентифікація при обміні НА – автентифікація відправника НП – автентифікація одержувача Позначення послуг безпеки згідно з НД ТЗІ 2.5-004 Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу: ДВ-1 – ручне відновлення ДЗ-1 – модернізація ДР-1 – квоти ДС-1 – стійкість при обмежених відмовах КА-2 – базова адміністративна конфіденційність КД-2 – базова довірча конфіденційність КО-1 – повторне використання об'єктів НИ-2 – одиночна ідентифікація та автентифікація НК-1 – однонаправлений достовірний канал НО-2 – розподіл обов'язків адміністраторів НТ-2 – самотестування при старті НР-2 – захищений журнал НЦ-2 – КЗЗ з гарантованою цілісністю ЦА-1 – мінімальна адміністративна цілісність ЦА-2 – базова адміністративна цілісність ЦД-1 – мінімальна довірча цілісність ЦО-1 – обмежений відкат 20 ВСТУП Сучасний світ характеризується високим рівнем інформатизації та застосуванням різного виду інформаційних технологій й сервісів. Але зворотною стороною інформатизації є підвищення загроз інформації, протидією яким й займається такий напрям інформаційних технологій, як кібербезпека. Даний посібник призначений для набуття наступних ґрунтовних теоретичних знань, таких як: законодавча та нормативно-правова база України в галузі інформаційної та /або кібербезпеки; міжнародні стандарти в галузі інформаційної та /або кібербезпеки; інструментальні та прикладні застосунки в інформаційній та/або кібербезпеці; методи і засоби обробки інформації; операційні системи; моделі безпеки в інформаційній та/або кібербезпеці; захист інформації, що обробляється та зберігається в інформаційно-телекомунікаційних системах; програмні та програмно-апаратні комплекси засобів захисту інформації; відновлення функціонування інформаційно-комунікаційних систем після реалізації загроз, здійснення кібератак, збоїв та відмов різних класів та походження; моніторинг процесів функціонування інформаційно- комунікаційних систем; механізми безпеки комп'ютерних мереж; проектування, створення, супровід комплексних систем захисту інформації; моделі загроз та моделі порушника; оцінка захищеності інформації в інформаційно- телекомунікаційних системах; управління інформаційною та/або кібербезпекою; аудит інформаційної та/або кібербезпеки; симетричні криптосистеми; асиметричні криптосистеми; криптографічні протоколи; цифрова стеганографія; технічний захист інформації. Знання усіх перерахованих вище питань дозволяє сформувати фахівця з кібербезпеки, відповідно до вимог стандарту вищої освіти за спеціальністю 125 «Кібербезпека» галузі знань 12 «Інформаційні технології» для першого (бакалаврського) рівня вищої освіти, затвердженого наказом Міністерства освіти і науки України від 04 жовтня 2018 року № 1074. Виходячи зі стандарту об’єктами професійної діяльності випускників являються наступні: – об'єкти інформатизації, включаючи комп'ютерні, автоматизовані, телекомунікаційні, інформаційні, інформаційно-аналітичні, інформаційно- телекомунікаційні системи, інформаційні ресурси і технології; – технології забезпечення безпеки інформації; – процеси управління інформаційною та/або кібербезпекою об’єктів, що підлягають захисту. Метою навчання є підготовка фахівців, здатних використовувати і впроваджувати технології інформаційної та/або кібербезпеки Відповідно висококваліфікований фахівець з кібербезпеки повинен мати достатній рівень знань, умінь та компетентностей у галузі забезпечення інформаційної безпеки і/або кібербезпеки; мати здатності до застосовування отриманих знань у практичних ситуаціях; знати та розуміти предметну область, 21 розуміти професію; вміти виявляти, ставити та вирішувати проблеми у галузі кібербезпеки Даний посібник рекомендується для викладання освітньої компоненти «Вступ до кібербезпеки», метою якої є формування у здобувачів вищої освіти ґрунтовних теоретичних знань, практичних умінь та навичок, необхідних для застосування в професійній діяльності у сфері кібербезпеки. Основними завданнями вивчення освітньої компоненти є формування наступних компетенцій бакалавра з кібербезпеки, відповідно до стандарту: – КЗ 1. Здатність застосовувати знання у практичних ситуаціях. – КЗ 2. Знання та розуміння предметної області та розуміння професії. – КФ 1. Здатність застосовувати законодавчу та нормативно-правову базу, а також державні та міжнародні вимоги, практики і стандарти з метою здійснення професійної діяльності в галузі інформаційної та/або кібербезпеки. – КФ 2. Здатність до використання інформаційно-комунікаційних технологій, сучасних методів і моделей інформаційної безпеки та/або кібербезпеки. – КФ 3. Здатність до використання програмних та програмно-апаратних комплексів засобів захисту інформації в інформаційнотелекомунікаційних (автоматизованих) системах. – КФ 8. Здатність здійснювати процедури управління інцидентами, проводити розслідування, надавати їм оцінку. – КФ 10. Здатність застосовувати методи та засоби криптографічного та технічного захисту Таким чином даний навчальний посібник у першу чергу рекомендується для студентів, які здобувають вищу освіту за спеціальністю 125 Кібербезпека, першого (бакалаврського) рівня освіти, але може використовуватися студентами, аспірантами, науковцями та інженерно-технічними працівниками з напряму «Інформаційні технології». 22 Розділ 1. Законодавча та нормативно-правова база України в галузі інформаційної та /або кібербезпеки Закон України «Про освіту». Стаття 42. Академічна доброчесність. 1.1. Закон України «Про інформацію». 1.2. Закон України «Про науково-технічну інформацію». 1.3. Закон України «Про захист інформації в інформаційно- телекомунікаційних системах». 1.4. Закон України «Про основні засади забезпечення кібербезпеки України». 1.5. Закон України «Про державну таємницю». 1.6. Закон України «Про захист персональних даних». 1.7. Постанова КМУ від 19 червня 2019 року № 518 «Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури. 1.8. ДСТУ 3396.0,1,2-97 1.9. ДСТУ ISO/ІЕС 15408-1:2017 1.10. НД ТЗІ 1.1-003-99 «Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу» 1.11. НД ТЗІ 2.5-004-99. «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» 1.12. Закон України «Про доступ до публічної інформації». 1.13. Загрози, яким підлягає інформація. 1.14. Стратегії реалізації загроз. 1.15. Основні міри протидії загрозам безпеці, принципи побудови систем захисту, основні механізми захисту. 1.16. Перелік основних задач, які повинні вирішуватися системою комп'ютерної безпеки. 1.17. Основні принципи побудови систем захисту інформаційно- комунікаційних систем (ІКС). Закон України «Про освіту» Стаття 42. Академічна доброчесність 1. Академічна доброчесність – це сукупність етичних принципів та визначених законом правил, якими мають керуватися учасники освітнього процесу під час навчання, викладання та провадження наукової (творчої) діяльності з метою забезпечення довіри до результатів навчання та/або наукових (творчих) досягнень. 2. Дотримання академічної доброчесності педагогічними, науково- педагогічними та науковими працівниками передбачає: – посилання на джерела інформації у разі використання ідей, розробок, тверджень, відомостей; – дотримання норм законодавства про авторське право і суміжні права; 23 – надання достовірної інформації про методики і результати досліджень, джерела використаної інформації та власну педагогічну (науково-педагогічну, творчу) діяльність; – контроль за дотриманням академічної доброчесності здобувачами освіти; – об’єктивне оцінювання результатів навчання. 3. Дотримання академічної доброчесності здобувачами освіти передбачає: – самостійне виконання навчальних завдань, завдань поточного та підсумкового контролю результатів навчання (для осіб з особливими освітніми потребами ця вимога застосовується з урахуванням їхніх індивідуальних потреб і можливостей); – посилання на джерела інформації у разі використання ідей, розробок, тверджень, відомостей; – дотримання норм законодавства про авторське право і суміжні права; – надання достовірної інформації про результати власної навчальної (наукової, творчої) діяльності, використані методики досліджень і джерела інформації. 4. Порушенням академічної доброчесності вважається: – академічний плагіат – оприлюднення (частково або повністю) наукових (творчих) результатів, отриманих іншими особами, як результатів власного дослідження (творчості) та/або відтворення опублікованих текстів (оприлюднених творів мистецтва) інших авторів без зазначення авторства; – самоплагіат – оприлюднення (частково або повністю) власних раніше опублікованих наукових результатів як нових наукових результатів; – фабрикація – вигадування даних чи фактів, що використовуються в освітньому процесі або наукових дослідженнях; – фальсифікація – свідома зміна чи модифікація вже наявних даних, що стосуються освітнього процесу чи наукових досліджень; – списування – виконання письмових робіт із залученням зовнішніх джерел інформації, крім дозволених для використання, зокрема під час оцінювання результатів навчання; – обман – надання завідомо неправдивої інформації щодо власної освітньої (наукової, творчої) діяльності чи організації освітнього процесу; формами обману є, зокрема, академічний плагіат, самоплагіат, фабрикація, фальсифікація та списування; – хабарництво – надання (отримання) учасником освітнього процесу чи пропозиція щодо надання (отримання) коштів, майна, послуг, пільг чи будь-яких інших благ матеріального або нематеріального характеру з метою отримання неправомірної переваги в освітньому процесі; – необ’єктивне оцінювання – свідоме завищення або заниження оцінки результатів навчання здобувачів освіти; – надання здобувачам освіти під час проходження ними оцінювання результатів навчання допомоги чи створення перешкод, не передбачених умовами та/або процедурами проходження такого оцінювання; 24 – вплив у будь-якій формі (прохання, умовляння, вказівка, погроза, примушування тощо) на педагогічного (науково-педагогічного) працівника з метою здійснення ним необ’єктивного оцінювання результатів навчання. 5. За порушення академічної доброчесності педагогічні, науково- педагогічні та наукові працівники закладів освіти можуть бути притягнені до такої академічної відповідальності: – відмова у присудженні ступеня освітньо-наукового чи освітньо-творчого рівня чи присвоєнні вченого звання; – позбавлення присудженого ступеня освітньо-наукового чи освітньо- творчого рівня чи присвоєного вченого звання; – відмова в присвоєнні або позбавлення присвоєного педагогічного звання, кваліфікаційної категорії; – позбавлення права брати участь у роботі визначених законом органів чи займати визначені законом посади. 6. За порушення академічної доброчесності здобувачі освіти можуть бути притягнені до такої академічної відповідальності: – повторне проходження оцінювання (контрольна робота, іспит, залік тощо); – повторне проходження відповідного освітнього компонента освітньої програми; – відрахування із закладу освіти (крім осіб, які здобувають загальну середню освіту); – позбавлення академічної стипендії; – позбавлення наданих закладом освіти пільг з оплати навчання. 7. Види академічної відповідальності (у тому числі додаткові та/або деталізовані) учасників освітнього процесу за конкретні порушення академічної доброчесності визначаються спеціальними законами та/або внутрішніми положеннями закладу освіти, що мають бути затверджені (погоджені) основним колегіальним органом управління закладу освіти та погоджені з відповідними органами самоврядування здобувачів освіти в частині їхньої відповідальності. 8. Порядок виявлення та встановлення фактів порушення академічної доброчесності визначається уповноваженим колегіальним органом управління закладу освіти з урахуванням вимог цього Закону та спеціальних законів. Кожна особа, стосовно якої порушено питання про порушення нею академічної доброчесності, має такі права: – ознайомлюватися з усіма матеріалами перевірки щодо встановлення факту порушення академічної доброчесності, подавати до них зауваження; – особисто або через представника надавати усні та письмові пояснення або відмовитися від надання будь-яких пояснень, брати участь у дослідженні доказів порушення академічної доброчесності; – знати про дату, час і місце та бути присутньою під час розгляду питання про встановлення факту порушення академічної доброчесності та притягнення її до академічної відповідальності; – оскаржити рішення про притягнення до академічної відповідальності до органу, уповноваженого розглядати апеляції, або до суду. 25 9. Форми та види академічної відповідальності закладів освіти визначаються спеціальними законами. 10. За дії (бездіяльність), що цим Законом визнані порушенням академічної доброчесності, особа може бути притягнута до інших видів відповідальності з підстав та в порядку, визначених законом. Інформаційна безпека (англ. Information Security, а також – англ. InfoSec) – Практика запобігання несанкціонованого доступу, використання, розкриття, спотворення, зміни, дослідження, запису або знищення інформації. Це універсальне поняття застосовується незалежно від форми, яку можуть набувати дані (електронна або, наприклад, фізична). Основне завдання інформаційної безпеки – збалансований захист конфіденційності, цілісності та доступності даних, з урахуванням доцільності застосування і без будь-яких збитківпродуктивності організації. Це досягається, в основному, за допомогою багатоетапного процесу управління ризиками, який дозволяє ідентифікувати основні засоби та нематеріальні активи, джерела загроз, уразливості, потенційний ступінь впливу та можливості управління ризиками. Цей процес супроводжується оцінкою ефективності плану управління ризиками. Комп'ютерна безпека – розділ інформаційної безпеки, що характеризує неможливість виникнення шкоди комп'ютера, що перевищує величину прийнятної шкоди для нього від усіх виявлених та вивчених джерел його відмов у певних умовах роботи та на заданому інтервалі часу. Комп'ютерна безпека – заходи безпеки для захисту обчислювальних пристроїв (комп'ютери, смартфони та інші), а також комп'ютерних мереж (приватних та публічних мереж, включаючи Інтернет). Поле діяльності системних адміністраторів охоплює всі процеси та механізми, за допомогою яких цифрове обладнання, інформаційне поле та послуги захищаються від випадкового чи несанкціонованого доступу, зміни або знищення даних, і набуває все більшого значення у зв'язку з зростаючою залежністю від комп'ютерних систем у розвиненій спільноті. Кібербезпека – розділ інформаційної безпеки, в рамках якого вивчають процеси формування, функціонування та еволюції кібероб'єктів, для виявлення джерел кібернебезпеки, що утворюються при цьому, визначення їх характеристик, а також їх класифікацію та формування нормативних документів, виконання яких має гарантувати захист кібероб'єктів від усіх виявлених і вивчених джерел кібернебезпеки. Кібербезпека – процес використання заходів безпеки для забезпечення конфіденційності, цілісності та доступності даних. Системний адміністратор забезпечує захист активів, включаючи дані локальної мережі комп'ютерів та серверів. Крім того, під охорону беруться безпосередньо будівлі та, найголовніше, персонал. Метою забезпечення кібербезпеки є захист даних (як у процесі передачі та/або обміну так і тих, що знаходяться на зберіганні). З метою безпеки даних можуть бути застосовані і контрзаходи. Деякі 26 з цих заходів включають (але не обмежуються) контроль доступу, навчання персоналу, аудит та звітність, оцінку ймовірних ризиків, тестування на проникнення та вимогу авторизації. 1.1. Закон України «Про інформацію» Цей Закон регулює відносини щодо створення, збирання, одержання, зберігання, використання, поширення, охорони, захисту інформації, та складається з наступних розділів і статей. Розділ I. ЗАГАЛЬНІ ПОЛОЖЕННЯ Стаття 1. Визначення термінів Стаття 2. Основні принципи інформаційних відносин Стаття 3. Державна інформаційна політика Стаття 4. Суб'єкти і об'єкт інформаційних відносин Стаття 5. Право на інформацію Стаття 6. Гарантії права на інформацію Стаття 7. Охорона права на інформацію Стаття 8. Мова інформації Стаття 9. Основні види інформаційної діяльності Розділ II. ВИДИ ІНФОРМАЦІЇ Стаття 10. Види інформації за змістом Стаття 11. Інформація про фізичну особу Стаття 12. Інформація довідково-енциклопедичного характеру Стаття 13. Інформація про стан довкілля (екологічна інформація) Стаття 14. Інформація про товар (роботу, послугу) Стаття 15. Науково-технічна інформація Стаття 16. Податкова інформація Стаття 17. Правова інформація Стаття 18. Статистична інформація Стаття 19. Соціологічна інформація Стаття 19. Критична технологічна інформація Стаття 20. Доступ до інформації Стаття 21. Інформація з обмеженим доступом Розділ III. ДІЯЛЬНІСТЬ ЖУРНАЛІСТІВ, ЗАСОБІВ МАСОВОЇ ІНФОРМАЦІЇ, ЇХ ПРАЦІВНИКІВ Стаття 22. Масова інформація та її засоби Стаття 23. Інформаційна продукція та інформаційна послуга Стаття 24. Заборона цензури та заборона втручання в професійну діяльність журналістів і засобів масової інформації Стаття 25. Гарантії діяльності засобів масової інформації та журналістів Стаття 26. Акредитація журналістів, працівників засобів масової інформації 27 Розділ IV. ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА ПРО ІНФОРМАЦІЮ Стаття 27. Відповідальність за порушення законодавства про інформацію Стаття 28. Неприпустимість зловживання правом на інформацію Стаття 29. Поширення суспільно необхідної інформації Стаття 30. Звільнення від відповідальності Стаття 31. Відшкодування матеріальної та моральної шкоди Розділ I. ЗАГАЛЬНІ ПОЛОЖЕННЯ Стаття 1. Визначення термінів 1. У цьому Законі наведені нижче терміни вживаються в такому значенні: – документ – матеріальний носій, що містить інформацію, основними функціями якого є її збереження та передавання у часі та просторі; – захист інформації – сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї; – інформація – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді; – суб'єкт владних повноважень – орган державної влади, орган місцевого самоврядування, інший суб'єкт, що здійснює владні управлінські функції відповідно до законодавства, у тому числі на виконання делегованих повноважень. Стаття 2. Основні принципи інформаційних відносин 1. Основними принципами інформаційних відносин є: – гарантованість права на інформацію; – відкритість, доступність інформації, свобода обміну інформацією; – достовірність і повнота інформації; – свобода вираження поглядів і переконань; – правомірність одержання, використання, поширення, зберігання та захисту інформації; – захищеність особи від втручання в її особисте та сімейне життя. Стаття 3. Державна інформаційна політика 1. Основними напрямами державної інформаційної політики є: – забезпечення доступу кожного до інформації; – забезпечення рівних можливостей щодо створення, збирання, одержання, зберігання, використання, поширення, охорони, захисту інформації; – створення умов для формування в Україні інформаційного суспільства; – забезпечення відкритості та прозорості діяльності суб'єктів владних повноважень; – створення інформаційних систем і мереж інформації, розвиток електронного урядування; – постійне оновлення, збагачення та зберігання національних інформаційних ресурсів; – забезпечення інформаційної безпеки України; 28 – сприяння міжнародній співпраці в інформаційній сфері та входженню України до світового інформаційного простору. Стаття 4. Суб'єкти і об'єкт інформаційних відносин 1. Суб'єктами інформаційних відносин є: – фізичні особи; – юридичні особи; – об'єднання громадян; – суб'єкти владних повноважень. 2. Об'єктом інформаційних відносин є інформація. Стаття 5. Право на інформацію 1. Кожен має право на інформацію, що передбачає можливість вільного одержання, використання, поширення, зберігання та захисту інформації, необхідної для реалізації своїх прав, свобод і законних інтересів. Реалізація права на інформацію не повинна порушувати громадські, політичні, економічні, соціальні, духовні, екологічні та інші права, свободи і законні інтереси інших громадян, права та інтереси юридичних осіб. Стаття 6. Гарантії права на інформацію 1. Право на інформацію забезпечується: – створенням механізму реалізації права на інформацію; – створенням можливостей для вільного доступу до статистичних даних, архівних, бібліотечних і музейних фондів, інших інформаційних банків, баз даних, інформаційних ресурсів; – обов'язком суб'єктів владних повноважень інформувати громадськість та засоби масової інформації про свою діяльність і прийняті рішення; – обов'язком суб'єктів владних повноважень визначити спеціальні підрозділи або відповідальних осіб для забезпечення доступу запитувачів до інформації; – здійсненням державного і громадського контролю за додержанням законодавства про інформацію; – встановленням відповідальності за порушення законодавства про інформацію. 2. Право на інформацію може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або громадського порядку, з метою запобігання заворушенням чи кримінальним правопорушенням, для охорони здоров'я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя. Стаття 7. Охорона права на інформацію 1. Право на інформацію охороняється законом. Держава гарантує всім суб'єктам інформаційних відносин рівні права і можливості доступу до інформації. 2. Ніхто не може обмежувати права особи у виборі форм і джерел одержання інформації, за винятком випадків, передбачених законом. Суб'єкт інформаційних відносин може вимагати усунення будь-яких порушень його права на інформацію. 29 3. Забороняється вилучення і знищення друкованих видань, експонатів, інформаційних банків, документів з архівних, бібліотечних, музейних фондів, крім встановлених законом випадків або на підставі рішення суду. 4. Право на інформацію, створену в процесі діяльності фізичної чи юридичної особи, суб'єкта владних повноважень або за рахунок фізичної чи юридичної особи, Державного бюджету України, місцевого бюджету, охороняється в порядку, визначеному законом. Стаття 9. Основні види інформаційної діяльності 1. Основними видами інформаційної діяльності є створення, збирання, одержання, зберігання, використання, поширення, охорона та захист інформації. Розділ II. ВИДИ ІНФОРМАЦІЇ Стаття 10. Види інформації за змістом За змістом інформація поділяється на такі види: – інформація про фізичну особу; – інформація довідково-енциклопедичного характеру; – інформація про стан довкілля (екологічна інформація); – інформація про товар (роботу, послугу); – науково-технічна інформація; – податкова інформація; – правова інформація; – статистична інформація; – соціологічна інформація; – критична технологічна інформація; – інші види інформації. Стаття 11. Інформація про фізичну особу 1. Інформація про фізичну особу (персональні дані) – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. 2. Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження. Стаття 15. Науково-технічна інформація 1. Науково-технічна інформація – будь-які відомості та/або дані про вітчизняні та зарубіжні досягнення науки, техніки і виробництва, одержані в ході науково-дослідної, дослідно-конструкторської, проектно-технологічної, виробничої та громадської діяльності, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді. 3. Науково-технічна інформація є відкритою за режимом доступу, якщо інше не встановлено законами України. 30 Стаття 19. Критична технологічна інформація 1. Критична технологічна інформація – дані, що обробляються (приймаються, передаються, зберігаються) в системах управління технологічними процесами об’єктів критичної інфраструктури. 2. Правовий режим критичної технологічної інформації визначається законами України та міжнародними договорами України, згода на обов’язковість яких надана Верховною Радою України. 3. Критична технологічна інформація за режимом доступу належить до інформації з обмеженим доступом та підлягає захисту згідно із законом. Стаття 20. Доступ до інформації 1. За порядком доступу інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом. 2. Будь-яка інформація є відкритою, крім тієї, що віднесена законом до інформації з обмеженим доступом. Стаття 21. Інформація з обмеженим доступом 1. Інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація. 2. Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом. Відносини, пов'язані з правовим режимом конфіденційної інформації, регулюються законом. Розділ IV. ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА ПРО ІНФОРМАЦІЮ Стаття 27. Відповідальність за порушення законодавства про інформацію 1. Порушення законодавства України про інформацію тягне за собою дисциплінарну, цивільно-правову, адміністративну або кримінальну відповідальність згідно із законами України. 1.2. Закон України «Про науково-технічну інформацію» Цей Закон визначає основи державної політики в галузі науково-технічної інформації, порядок її формування і реалізації в інтересах науково-технічного, економічного і соціального прогресу країни та складається з наступних розділів і статей. Розділ I. ЗАГАЛЬНІ ПОЛОЖЕННЯ Стаття 1. Визначення термінів Стаття 2. Об’єкт відносин у сфері науково-технічної інформації Стаття 3. Суб’єкти відносин у сфері науково-технічної інформації Стаття 4. Законодавство України у сфері науково-технічної інформації 31 Розділ II. ПРАВОВИЙ РЕЖИМ НАУКОВО-ТЕХНІЧНОЇ ІНФОРМАЦІЇ Стаття 5. Право на науково-технічну інформацію Стаття 6. Права на науково-технічну інформацію Стаття 7. Відносини між особами, яким належать права на науково- технічну інформацію, її споживачами і посередниками Розділ III. НАЦІОНАЛЬНА СИСТЕМА НАУКОВО-ТЕХНІЧНОЇ ІНФОРМАЦІЇ Стаття 8. Визначення та склад національної системи науково-технічної інформації Стаття 9. Основні завдання національної системи науково-технічної інформації Стаття 10. Інформаційні ресурси національної системи науково-технічної інформації Стаття 11. Державна реєстрація, облік і використання результатів науково-технічної діяльності Стаття 12. Організація надходження та використання зарубіжної науково- технічної інформації Розділ IV. РИНОК НАУКОВО-ТЕХНІЧНОЇ ІНФОРМАЦІЇ Стаття 13. Науково-технічна інформація як об’єкт товарних відносин Стаття 14. Формування ринку науково-технічної інформації Стаття 15. Умови надання інформаційної продукції та послуг Стаття 16. Відносини виробників і споживачів науково-технічної інформації Розділ V. ДЕРЖАВНА ПОЛІТИКА У СФЕРІ НАУКОВО-ТЕХНІЧНОЇ ІНФОРМАЦІЇ Стаття 17. Державна підтримка науково-інформаційної діяльності Стаття 18. Державне управління у сфері науково-технічної інформації Стаття 19. Відповідальність за порушення законодавства України про науково-технічну інформацію Розділ VI. МІЖНАРОДНЕ СПІВРОБІТНИЦТВО У СФЕРІ НАУКОВО-ТЕХНІЧНОЇ ІНФОРМАЦІЇ Стаття 20. Міжнародна інформаційна діяльність Стаття 21. Міждержавний обмін науково-технічною інформацією Стаття 22. Діяльність іноземних фізичних та юридичних осіб в Україні у сфері науково-технічної інформації Стаття 23. Забезпечення суверенітету України у сфері науково-технічної інформації Метою Закону є створення в Україні правової бази для одержання та використання науково-технічної інформації. Законом регулюються правові і економічні відносини громадян, юридичних осіб, держави, що виникають при створенні, одержанні, використанні та поширенні науково-технічної інформації, а також визначаються правові форми міжнародного співробітництва в цій галузі. 32 Дія Закону поширюється на підприємства, установи, організації незалежно від форм власності, а також громадян, які мають право на одержання, використання та поширення науково-технічної інформації. Дія Закону не поширюється на інформацію, що містить державну та іншу охоронювану законом таємницю. Розділ I. ЗАГАЛЬНІ ПОЛОЖЕННЯ Стаття 1. Визначення термінів У цьому Законі наведені нижче терміни вживаються в такому значенні: – науково-технічна інформація – будь-які відомості та/або дані про вітчизняні та зарубіжні досягнення науки, техніки і виробництва, одержані в ході науково-дослідної, дослідно-конструкторської, проектно-технологічної, виробничої та громадської діяльності, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді; – науково-інформаційна діяльність – це сукупність дій, спрямованих на задоволення потреб громадян, юридичних осіб і держави у науково-технічній інформації, що полягає в її збиранні, аналітично-синтетичній обробці, фіксації, зберіганні, пошуку і поширенні; – інформаційні ресурси науково-технічної інформації – це систематизоване зібрання науково-технічної літератури і документації (книги, брошури, періодичні видання, патентна документація, нормативно-технічна документація, промислові каталоги, конструкторська документація, звітна науково-технічна документація з науково-дослідних і дослідно- конструкторських робіт, депоновані рукописи, переклади науково-технічної літератури і документації), зафіксовані на паперових чи інших носіях; – довідково-інформаційний фонд – це сукупність упорядкованих первинних документів і довідково-пошукового апарату, призначених для задоволення інформаційних потреб; – довідково-пошуковий апарат – це сукупність упорядкованих вторинних документів, створюваних для пошуку першоджерел; – інформаційні ресурси спільного користування – це сукупність інформаційних ресурсів державних органів науково-технічної інформації, наукових, науково-технічних бібліотек, а також комерційних центрів, фірм, організацій, які займаються науково-технічною діяльністю і з власниками яких укладено договори про їх спільне використання; – аналітично-синтетична обробка науково-технічної інформації – це процес обробки інформації шляхом аналізу і синтезу змісту документів з метою одержання необхідних відомостей, а також шляхом їх класифікації, оцінки, співставлення і узагальнення; – інформаційний ринок – це система економічних, організаційних і правових відносин щодо продажу і купівлі інформаційних ресурсів, технологій, продукції та послуг. Стаття 2. Об’єкт відносин у сфері науково-технічної інформації Об’єктом відносин у сфері науково-технічної інформації є вітчизняна і зарубіжна науково-технічна інформація. 33 Стаття 3. Суб’єкти відносин у сфері науково-технічної інформації 1. Суб’єктами відносин, що регулюються цим Законом, є державні органи, органи місцевого і регіонального самоврядування, юридичні особи та громадяни України, міжнародні організації, іноземні юридичні особи і громадяни та особи без громадянства. 2. Фізичні та юридичні особи у сфері дії цього Закону виступають як творці і накопичувачі науково-технічної інформації, власники, виробники, зберігачі і споживачі інформаційної продукції та послуг, а також як посередники у сфері науково-інформаційної діяльності. Розділ II. ПРАВОВИЙ РЕЖИМ НАУКОВО-ТЕХНІЧНОЇ ІНФОРМАЦІЇ Стаття 5. Право на науково-технічну інформацію 1. Усі громадяни України, юридичні особи, державні органи, органи місцевого і регіонального самоврядування відповідно до Конституції України і цього Закону мають право на відкриту науково-технічну інформацію, яке передбачає можливість вільного її одержання, зберігання, використання і поширення під час здійснення наукової, науково-дослідної, виробничої, громадської та іншої діяльності, що не забороняється чинним законодавством. 2. Режим доступу до відкритої науково-технічної інформації та інформації з обмеженим доступом регулюється чинним законодавством. Стаття 6. Права на науково-технічну інформацію 1. Права на науково-технічну інформацію охороняються відповідно до закону. 2. Підставою виникнення прав на науково-технічну інформацію є створення науково-технічної інформації своїми силами і за свій рахунок; виконання договору про створення науково-технічної інформації; виконання будь-якого договору, що містить умови переходу прав на інформацію до іншої особи. 3. Права на науково-технічну інформацію, створену кількома особами, визначаються договором, укладеним між творцями цієї інформації. 4. Права на науково-технічну інформацію, створену за рахунок коштів державного бюджету, визначаються державою шляхом прийняття загальних рішень і шляхом укладення договорів між державним органом, що здійснює фінансування, і виконавцем робіт із створення науково-технічної інформації. Права на науково-технічну інформацію, що належали фізичним та юридичним особам, можуть переходити до держави в разі передачі її до відповідних державних банків даних, фондів або архівів на договірній основі. Розділ III. НАЦІОНАЛЬНА СИСТЕМА НАУКОВО-ТЕХНІЧНОЇ ІНФОРМАЦІЇ Стаття 8. Визначення та склад національної системи науково-технічної інформації 1. Основною метою національної системи науково-технічної інформації є задоволення потреб громадян, юридичних осіб і держави в науково-технічній інформації. 34 Національна система науково-технічної інформації – це організаційно- правова структура, за допомогою якої формується державна інформаційна політика, а також здійснюється координація робіт по створенню, користуванню, зберіганню та поширенню національних ресурсів науково-технічної інформації з урахуванням інтересів національної безпеки. 2. Національна система науково-технічної інформації складається з: – спеціалізованих державних підприємств, установ, організацій, державних органів науково-технічної інформації, наукових і науково-технічних бібліотек, об’єднаних загальносистемними зв’язками та обов’язками; – підприємств будь-яких організаційно-правових форм, заснованих на приватній чи колективній власності, предметом діяльності яких є інформаційне забезпечення народного господарства і громадян України. Діяльність складових частин національної системи науково-технічної інформації здійснюється на основі договірно-обумовленого поділу праці в її збиранні, накопичуванні, переробці, зберіганні, поширенні та використанні. Стаття 10. Інформаційні ресурси національної системи науково-технічної інформації 1. Інформаційні ресурси національної системи науково-технічної інформації становлять сукупність довідково-інформаційних фондів з необхідним довідково-пошуковим апаратом і відповідними технічними засобами зберігання, обробки і передачі, що є у володінні, розпорядженні, користуванні державних органів і служб науково-технічної інформації, наукових і науково-технічних бібліотек, комерційних центрів, підприємств, установ і організацій. 2. Інформаційні ресурси науково-технічної інформації, що є власністю держави, визнаються державними ресурсами науково-технічної інформації. Їх розподіл між різними державними органами, службами, установами та порядок обміну може регулюватися на рівні загальнодержавних та відомчих рішень через уповноважені на те структури. Розділ V. ДЕРЖАВНА ПОЛІТИКА У СФЕРІ НАУКОВО-ТЕХНІЧНОЇ ІНФОРМАЦІЇ Стаття 17. Державна підтримка науково-інформаційної діяльності 1. Держава з метою створення та розвитку національної системи науково- технічної інформації забезпечує: – створення державних мереж первинного збирання, обробки та зберігання усіх видів науково-технічної інформації; – проведення заходів для поширення і підвищення якісного рівня інформаційної продукції та послуг; – фінансову, в тому числі валютну, підтримку надходження науково- технічної інформації до державних органів і служб науково-технічної інформації, наукових і науково-технічних бібліотек, створення їх мереж і відповідного технічного забезпечення; – підготовку кадрів у сфері інформатики і науково-інформаційної діяльності через систему навчальних закладів вищої та середньої освіти, підвищення рівня інформаційної підготовки спеціалістів народного господарства; 35 – вільну конкуренцію між органами науково-технічної інформації, іншими підприємствами та організаціями усіх форм власності, які здійснюють науково- інформаційну діяльність; – захист суб’єктів відносин в галузі науково-технічної інформації від прояву недобросовісної конкуренції та монополізму в будь-яких сферах науково- інформаційної діяльності. 2. Держава сприяє відкритості та загальнодоступності науково-технічної інформації. Обмеження щодо доступу, поширення та використання інформації, яка є державною або іншою таємницею, що охороняється законом, визначаються законами України. 1.3. Закон України «Про захист інформації в інформаційно- телекомунікаційних системах» Цей Закон регулює відносини у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі – система) та складається з наступних статей. Стаття 1. Визначення термінів Стаття 2. Об'єкти захисту в системі Стаття 3. Суб'єкти відносин Стаття 4. Доступ до інформації в системі Стаття 5. Відносини між володільцем інформації та власником системи Стаття 6. Відносини між власником системи та користувачем Стаття 7. Відносини між власниками систем Стаття 8. Умови обробки інформації в системі Стаття 9. Забезпечення захисту інформації в системі Стаття 10. Повноваження державних органів у сфері захисту інформації в системах Стаття 11. Відповідальність за порушення законодавства про захист інформації в системах Стаття 12. Міжнародні договори Стаття 1. Визначення термінів У цьому Законі наведені нижче терміни вживаються в такому значенні: – блокування інформації в системі – дії, внаслідок яких унеможливлюється доступ до інформації в системі; – виток інформації – результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї; – володілець інформації – фізична або юридична особа, якій належать права на інформацію; – власник системи – фізична або юридична особа, якій належить право власності на систему; 36 – доступ до інформації в системі – отримання користувачем можливості обробляти інформацію в системі; – захист інформації в системі – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі; – знищення інформації в системі – дії, внаслідок яких інформація в системі зникає; – інформаційна (автоматизована) система – організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів; – інформаційно-комунікаційна система – сукупність інформаційних та електронних комунікаційних систем, які у процесі обробки інформації діють як єдине ціле; – комплексна система захисту інформації – взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації; – користувач інформації в системі (далі – користувач) – фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі; – криптографічний захист інформації – вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо; – несанкціоновані дії щодо інформації в системі – дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства; – обробка інформації в системі – виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів; – порушення цілісності інформації в системі – несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст; – порядок доступу до інформації в системі – умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації; – електронна комунікаційна система – сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання та/або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб; – технічний захист інформації – вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації; – резервна копія державних інформаційних ресурсів – копія інформації, яка міститься в державних інформаційних ресурсах, що перебувають у володінні або розпорядженні органів державної влади, органів місцевого самоврядування, 37 військових формувань, утворених відповідно до законів України, державних підприємств, установ та організацій, та є критичною для їх сталого функціонування, створюється, записується, обробляється або зберігається у цифровій чи іншій нематеріальній формі за допомогою електронних, магнітних, електромагнітних, оптичних, технічних, програмних або інших засобів з метою подальшого відновлення цієї інформації; – резервування державних інформаційних ресурсів та систем – сукупність заходів, спрямованих на забезпечення створення резервної копії (резервних копій) та зберігання державних інформаційних ресурсів та систем з метою забезпечення безперервності їх роботи та подальшого відновлення інформації, що міститься в державних інформаційних ресурсах та системах, а також інсталяційних копій програмного забезпечення та операційних систем (та/або їх образів), в яких здійснюється їх обробка. Перелік видів державних інформаційних ресурсів та систем, щодо яких може здійснюватися резервне копіювання, визначається Кабінетом Міністрів України. Стаття 2. Об'єкти захисту в системі Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації. Стаття 3. Суб'єкти відносин Суб'єктами відносин, пов'язаних із захистом інформації в системах, є: – володільці інформації; – власники системи; – користувачі; – спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації і підпорядковані йому регіональні органи; На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі – розпоряднику системи. Стаття 4. Доступ до інформації в системі Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються володільцем інформації. Порядок доступу до державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством. У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її володільця в порядку, встановленому законом. Стаття 5. Відносини між володільцем інформації та власником системи Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації, якщо інше не передбачено законом. Власник системи на вимогу володільця інформації надає відомості щодо захисту інформації в системі. 38 Протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування володільці інформації – власники (держателі) державних інформаційних ресурсів можуть укладати договори про технічне адміністрування відповідних реєстрів з іноземними компаніями, організаціями – постачальниками послуг з надання хмарних ресурсів (надавачами хмарних послуг), утвореними відповідно до законодавства інших держав, та/або їх зареєстрованими (акредитованими або легалізованими) відповідно до законодавства України філіями, представництвами та іншими відокремленими підрозділами з місцезнаходженням на території України в порядку, встановленому Кабінетом Міністрів України. Стаття 6. Відносини між власником системи та користувачем Власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу. Стаття 7. Відносини між власниками систем Власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством. Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі. Стаття 8. Умови обробки інформації в системі Умови обробки інформації в системі визначаються власником системи відповідно до договору з володільцем інформації, якщо інше не передбачено законодавством. Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством. Стаття 9. Забезпечення захисту інформації в системі Відповідальність за забезпечення захисту інформації в системі покладається на власника системи. Власник системи, в якій обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним. Про спроби та/або факти несанкціонованих дій у системі щодо державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкований йому регіональний орган. 39 Стаття 10. Повноваження державних органів у сфері захисту інформації в системах Вимоги до забезпечення захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, встановлюються Кабінетом Міністрів України. Стаття 11. Відповідальність за порушення законодавства про захист інформації в системах Особи, винні в порушенні законодавства про захист інформації в системах, несуть відповідальність згідно із законом. 1.4. Закон України «Про основні засади забезпечення кібербезпеки України» Цей Закон визначає правові та організаційні основи забезпечення захисту життєво важливих інтересів людини і громадянина, суспільства та держави, національних інтересів України у кіберпросторі, основні цілі, напрями та принципи державної політики у сфері кібербезпеки, повноваження державних органів, підприємств, установ, організацій, осіб та громадян у цій сфері, основні засади координації їхньої діяльності із забезпечення кібербезпеки, та складається з наступних статей. Стаття 1. Визначення термінів Стаття 2. Принципи застосування Закону Стаття 3. Правові основи забезпечення кібербезпеки України Стаття 4. Об’єкти кібербезпеки та кіберзахисту Стаття 5. Суб’єкти забезпечення кібербезпеки Стаття 6. Об’єкти критичної інфраструктури Стаття 7. Принципи забезпечення кібербезпеки Стаття 8. Національна система кібербезпеки Стаття 9. Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA Стаття 10. Державно-приватна взаємодія у сфері кібербезпеки Стаття 11. Сприяння суб’єктам забезпечення кібербезпеки України Стаття 12. Відповідальність за порушення законодавства у сфері кібербезпеки Стаття 13. Фінансове забезпечення заходів кібербезпеки Стаття 14. Міжнародне співробітництво у сфері кібербезпеки Стаття 15. Контроль за законністю заходів із забезпечення кібербезпеки України Стаття 1. Визначення термінів У цьому Законі наведені нижче терміни вживаються в такому значенні: – індикатори кіберзагроз – показники (технічні дані), що використовуються для виявлення та реагування на кіберзагрози; 40 – інформація про інцидент кібербезпеки – відомості про обставини кіберінциденту, зокрема про те, які об’єкти кіберзахисту і за яких умов зазнали кібератаки, які з них успішно виявлені, нейтралізовані, яким запобігли за допомогою яких засобів кіберзахисту, у тому числі з використанням яких індикаторів кіберзагроз; – інцидент кібербезпеки (далі – кіберінцидент) – подія або ряд несприятливих подій ненавмисного характеру (природного, технічного, технологічного, помилкового, у тому числі внаслідок дії людського фактора) та/або таких, що мають ознаки можливої (потенційної) кібератаки, які становлять загрозу безпеці систем електронних комунікацій, систем управління технологічними процесами, створюють імовірність порушення штатного режиму функціонування таких систем (у тому числі зриву та/або блокування роботи системи, та/або несанкціонованого управління її ресурсами), ставлять під загрозу безпеку (захищеність) електронних інформаційних ресурсів; – кібератака – спрямовані (навмисні) дії в кіберпросторі, які здійснюються за допомогою засобів електронних комунікацій (включаючи інформаційно-комунікаційні технології, програмні, програмно-апаратні засоби, інші технічні та технологічні засоби і обладнання) та спрямовані на досягнення однієї або сукупності таких цілей: порушення конфіденційності, цілісності, доступності електронних інформаційних ресурсів, що обробляються (передаються, зберігаються) в комунікаційних та/або технологічних системах, отримання несанкціонованого доступу до таких ресурсів; порушення безпеки, сталого, надійного та штатного режиму функціонування комунікаційних та/або технологічних систем; використання комунікаційної системи, її ресурсів та засобів електронних комунікацій для здійснення кібератак на інші об’єкти кіберзахисту; – кібербезпека – захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі; – кіберзагроза – наявні та потенційно можливі явища і чинники, що створюють небезпеку життєво важливим національним інтересам України у кіберпросторі, справляють негативний вплив на стан кібербезпеки держави, кібербезпеку та кіберзахист її об’єктів; – кіберзахист – сукупність організаційних, правових, інженерно- технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем; – кіберзлочин (комп’ютерний злочин) – суспільно небезпечне винне діяння у кіберпросторі та/або з його використанням, відповідальність за яке передбачена законом України про кримінальну відповідальність та/або яке визнано злочином міжнародними договорами України; – кіберзлочинність – сукупність кіберзлочинів; 41 – кібероборона – сукупність політичних, економічних, соціальних, військових, наукових, науково-технічних, інформаційних, правових, організаційних та інших заходів, які здійснюються в кіберпросторі та спрямовані на забезпечення захисту суверенітету та обороноздатності держави, запобігання виникненню збройного конфлікту та відсіч збройній агресії; – кіберпростір – середовище (віртуальний простір), яке надає можливості для здійснення комунікацій та/або реалізації суспільних відносин, утворене в результаті функціонування сумісних (з’єднаних) комунікаційних систем та забезпечення електронних комунікацій з використанням мережі Інтернет та/або інших глобальних мереж передачі даних; – кіберрозвідка – діяльність, що здійснюється розвідувальними органами у кіберпросторі або з його використанням; – кібертероризм – терористична діяльність, що здійснюється у кіберпросторі або з його використанням; – кібершпигунство – шпигунство, що здійснюється у кіберпросторі або з його використанням; – критична інформаційна інфраструктура – сукупність об’єктів критичної інформаційної інфраструктури; – Національна телекомунікаційна мережа – сукупність спеціальних телекомунікаційних систем (мереж), систем спеціального зв’язку, інших комунікаційних систем, які використовуються в інтересах органів державної влади та органів місцевого самоврядування, правоохоронних органів та військових формувань, утворених відповідно до закону, призначена для обігу (передавання, приймання, створення, оброблення, зберігання) та захисту національних інформаційних ресурсів, забезпечення захищених електронних комунікацій, надання спектра сучасних захищених інформаційно- комунікаційних (мультисервісних) послуг в інтересах здійснення управління державою у мирний час, в умовах надзвичайного стану та в особливий період, та яка є мережею (системою) подвійного призначення з використанням частини її ресурсу для надання послуг, зокрема з кіберзахисту, іншим споживачам; – національні електронні інформаційні ресурси (далі – національні інформаційні ресурси) – систематизовані електронні інформаційні ресурси, які містять інформацію незалежно від виду, змісту, форми, часу і місця її створення (включаючи публічну інформацію, державні інформаційні ресурси та іншу інформацію), призначену для задоволення життєво важливих суспільних потреб громадянина, особи, суспільства і держави. Під електронними інформаційними ресурсами розуміється будь-яка інформація, що створена, записана, оброблена або збережена у цифровій чи іншій нематеріальній формі за допомогою електронних, магнітних, електромагнітних, оптичних, технічних, програмних або інших засобів; – Національний центр резервування державних інформаційних ресурсів – організована сукупність об’єктів, створених з метою забезпечення надійності та безперебійності роботи державних інформаційних ресурсів, кіберзахисту, зберігання національних електронних інформаційних ресурсів, резервного копіювання інформації та відомостей національних електронних 42 інформаційних ресурсів державних органів, військових формувань, утворених відповідно до законів, підприємств, установ та організацій; – об’єкт критичної інформаційної інфраструктури – комунікаційна або технологічна система об’єкта критичної інфраструктури, кібератака на яку безпосередньо вплине на стале функціонування такого об’єкта критичної інфраструктури; – система управління технологічними процесами (далі – технологічна система) – автоматизована або автоматична система, яка є сукупністю обладнання, засобів, комплексів та систем обробки, передачі та приймання, призначена для організаційного управління та/або управління технологічними процесами (включаючи промислове, електронне, комунікаційне обладнання, інші технічні та технологічні засоби) незалежно від наявності доступу системи до мережі Інтернет та/або інших глобальних мереж передачі даних; – системи електронних комунікацій (далі – комунікаційні системи) – системи передавання, комутації або маршрутизації, обладнання та інші ресурси (включаючи пасивні мережеві елементи, які дають змогу передавати сигнали за допомогою проводових, радіо-, оптичних або інших електромагнітних засобів, мережі мобільного, супутникового зв’язку, електричні кабельні мережі в частині, в якій вони використовуються для цілей передачі сигналів), що забезпечують електронні комунікації (передачу електронних інформаційних ресурсів), у тому числі засоби і пристрої зв’язку, комп’ютери, інша комп’ютерна техніка, інформаційно-телекомунікаційні системи, які мають доступ до мережі Інтернет та/або інших глобальних мереж передачі даних; – система активної протидії агресії у кіберпросторі – сукупність організаційних, правових, наукових та технічних заходів, спрямованих на підвищення рівня кіберзахисту держави шляхом здійснення впливу на інформаційні (автоматизовані), електронно-комунікаційні, інформаційно- комунікаційні системи держави-агресора, джерела походження кіберзагроз та кібератак; – активна протидія агресії у кіберпросторі – дії, спрямовані на підвищення рівня кіберзахисту шляхом нейтралізації кібератак держави- агресора, його систем і мереж, а також джерел походження кіберзагроз та кібератак, які використовуються для завдання шкоди національній безпеці України. Стаття 4. Об’єкти кібербезпеки та кіберзахисту 1. Об’єктами кібербезпеки є: – конституційні права і свободи людини і громадянина; – суспільство, сталий розвиток інформаційного суспільства та цифрового комунікативного середовища; – держава, її конституційний лад, суверенітет, територіальна цілісність і недоторканність; – національні інтереси в усіх сферах життєдіяльності особи, суспільства та держави; – об’єкти критичної інфраструктури. 43 2. Об’єктами кіберзахисту є: – комунікаційні системи всіх форм власності, в яких обробляються національні інформаційні ресурси та/або які використовуються в інтересах органів державної влади, органів місцевого самоврядування, правоохоронних органів та військових формувань, утворених відповідно до закону; – об’єкти критичної інформаційної інфраструктури; – комунікаційні системи, які використовуються для задоволення суспільних потреб та/або реалізації правовідносин у сферах електронного урядування, електронних державних послуг, електронної комерції, електронного документообігу. 3. Порядок формування переліку об’єктів критичної інформаційної інфраструктури, перелік таких об’єктів та порядок їх внесення до державного реєстру об’єктів критичної інформаційної інфраструктури, а також порядок формування та забезпечення функціонування державного реєстру об’єктів критичної інформаційної інфраструктури затверджуються Кабінетом Міністрів України. Повноваження щодо формування та забезпечення функціонування реєстру об’єктів критичної інформаційної інфраструктури у банківській системі України покладаються на Національний банк України. Стаття 5. Суб’єкти забезпечення кібербезпеки 4. Суб’єктами, які безпосередньо здійснюють у межах своєї компетенції заходи із забезпечення кібербезпеки, є: – міністерства та інші центральні органи виконавчої влади; – місцеві державні адміністрації; – органи місцевого самоврядування; – правоохоронні, розвідувальні і контррозвідувальні органи, суб’єкти оперативно-розшукової діяльності; – Збройні Сили України, інші військові формування, утворені відповідно до закону; – Національний банк України; – підприємства, установи та організації, віднесені до об’єктів критичної інфраструктури; – суб’єкти господарювання, громадяни України та об’єднання громадян, інші особи, які провадять діяльність та/або надають послуги, пов’язані з національними інформаційними ресурсами, інформаційними електронними послугами, здійсненням електронних правочинів, електронними комунікаціями, захистом інформації та кіберзахистом. 5. Суб’єкти забезпечення кібербезпеки у межах своєї компетенції: – здійснюють заходи щодо запобігання використанню кіберпростору у воєнних, розвідувально-підривних, терористичних та інших протиправних і злочинних цілях; – здійснюють виявлення і реагування на кіберінциденти та кібератаки, усунення їх наслідків; – здійснюють інформаційний обмін щодо реалізованих та потенційних кіберзагроз; 44 – розробляють і реалізують запобіж