ЗАКОН УКРАЇНИ

Про захист інформації в інформаційно-комунікаційних системах

{Назва Закону із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020}

(Відомості Верховної Ради України (ВВР), 1994, № 31, ст.286)

{Вводиться в дію Постановою ВР
 від 5 липня 1994 року N 81/94-ВР}
{Із змінами, внесеними згідно із Законом
від 11 травня 2004 року N 1703-IV}

{В редакції Закону
 від 31 травня 2005 року N 2594-IV}

{Із змінами, внесеними згідно із Законами
від 15 січня 2009 року N 879-VI,
від 19 березня 2009 року N 1180-VI,
 від 16 січня 2014 року N 721-VII - втратив чинність на підставі Закону
від 28 січня 2014 року N 732-VII,
від 23 лютого 2014 року N 767-VII,
 від 27 березня 2014 року N 1170-VII,
від 4 червня 2020 року N 681-IX
від 16 грудня 2020 року № 1089-IX,
від 16 листопада 2021 року № 1882-IX,
від 15 березня 2022 року № 2130-IX,
від 1 грудня 2022 року № 2801-IX}

{У тексті Закону:
слова "власник інформації" у всіх відмінках і числах замінено словами "володілець інформації" у відповідному відмінку і числі;
слова "інформація, яка є власністю держави" у всіх відмінках замінено словами "державні інформаційні ресурси" у відповідному відмінку згідно із Законом № 1170-VII від 27.03.2014}

Цей Закон регулює відносини у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі - система).

{Преамбула із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020}

Стаття 1. Визначення термінів

У цьому Законі наведені нижче терміни вживаються в такому значенні:

блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі;

виток інформації - результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;

володілець інформації - фізична або юридична особа, якій належать права на інформацію;

{Абзац четвертий статті 1 в редакції Закону № 1170-VII від 27.03.2014}

власник системи - фізична або юридична особа, якій належить право власності на систему;

доступ до інформації в системі - отримання користувачем можливості обробляти інформацію в системі;

захист інформації в системі - діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;

знищення інформації в системі - дії, внаслідок яких інформація в системі зникає;

інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;

інформаційно-комунікаційна система - сукупність інформаційних та електронних комунікаційних систем, які у процесі обробки інформації діють як єдине ціле;

комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;

користувач інформації в системі (далі - користувач) - фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;

криптографічний захист інформації - вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;

несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;

обробка інформації в системі - виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів;

порушення цілісності інформації в системі - несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;

порядок доступу до інформації в системі - умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;

електронна комунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання та/або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;

технічний захист інформації - вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації;

резервна копія державних інформаційних ресурсів - копія інформації, яка міститься в державних інформаційних ресурсах, що перебувають у володінні або розпорядженні органів державної влади, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України, державних підприємств, установ та організацій, та є критичною для їх сталого функціонування, створюється, записується, обробляється або зберігається у цифровій чи іншій нематеріальній формі за допомогою електронних, магнітних, електромагнітних, оптичних, технічних, програмних або інших засобів з метою подальшого відновлення цієї інформації;

{Частину першу статті 1 доповнено абзацом двадцятим згідно із Законом № 2130-IX від 15.03.2022}

резервування державних інформаційних ресурсів та систем - сукупність заходів, спрямованих на забезпечення створення резервної копії (резервних копій) та зберігання державних інформаційних ресурсів та систем з метою забезпечення безперервності їх роботи та подальшого відновлення інформації, що міститься в державних інформаційних ресурсах та системах, а також інсталяційних копій програмного забезпечення та операційних систем (та/або їх образів), в яких здійснюється їх обробка. Перелік видів державних інформаційних ресурсів та систем, щодо яких може здійснюватися резервне копіювання, визначається Кабінетом Міністрів України.

{Частину першу статті 1 доповнено абзацом двадцять першим згідно із Законом № 2130-IX від 15.03.2022}

Інші терміни вживаються у значенні, наведеному в законах України "Про інформацію" та "Про технічні регламенти та оцінку відповідності".

{Статтю 1 доповнено частиною другою згідно із Законом № 681-IX від 04.06.2020}

{Стаття 1 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020}

Стаття 2. Об'єкти захисту в системі

Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.

Стаття 3. Суб'єкти відносин

Суб'єктами відносин, пов'язаних із захистом інформації в системах, є:

володільці інформації;

власники системи;

користувачі;

спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації і підпорядковані йому регіональні органи;

{Абзац п'ятий частини першої статті 3 в редакції Закону № 879-VI від 15.01.2009}

{Абзац шостий частини першої статті 3 виключено на підставі Закону № 767-VII від 23.02.2014}

{Частину другу статті 3 виключено на підставі Закону № 1170-VII від 27.03.2014}

На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі - розпоряднику системи.

Стаття 4. Доступ до інформації в системі

Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються володільцем інформації.

Порядок доступу до державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.

У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її володільця в порядку, встановленому законом.

{Частина третя статті 4 із змінами, внесеними згідно із Законом № 1170-VII від 27.03.2014}

Стаття 5. Відносини між володільцем інформації та власником системи

Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації, якщо інше не передбачено законом.

Власник системи на вимогу володільця інформації надає відомості щодо захисту інформації в системі.

Протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування володільці інформації - власники (держателі) державних інформаційних ресурсів можуть укладати договори про технічне адміністрування відповідних реєстрів з іноземними компаніями, організаціями - постачальниками послуг з надання хмарних ресурсів (надавачами хмарних послуг), утвореними відповідно до законодавства інших держав, та/або їх зареєстрованими (акредитованими або легалізованими) відповідно до законодавства України філіями, представництвами та іншими відокремленими підрозділами з місцезнаходженням на території України в порядку, встановленому Кабінетом Міністрів України.

{Статтю 5 доповнено частиною третьою згідно із Законом № 2130-IX від 15.03.2022}

Стаття 6. Відносини між власником системи та користувачем

Власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.

Стаття 7. Відносини між власниками систем

Власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.

Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.

Стаття 8. Умови обробки інформації в системі

Умови обробки інформації в системі визначаються власником системи відповідно до договору з володільцем інформації, якщо інше не передбачено законодавством.

Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинні оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством.

{Частина друга статті 8 із змінами, внесеними згідно із Законами № 1170-VII від 27.03.2014, № 681-IX від 04.06.2020}

Підтвердження відповідності та проведення державної експертизи засобів технічного і криптографічного захисту інформації здійснюються в порядку, встановленому законодавством. Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації, та засоби технічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного захисту інформації або сертифікат відповідності, виданий органом з оцінки відповідності, який акредитовано:

національним органом України з акредитації;

чи національним органом з акредитації іншої держави, якщо і національний орган України з акредитації, і національний орган з акредитації такої держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності.

{Частина третя статті 8 в редакції Закону № 681-IX від 04.06.2020}

Державні інформаційні ресурси та інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, крім державної таємниці, службової інформації та інформації з державних і єдиних реєстрів, створення та забезпечення функціонування яких визначені законом, можуть оброблятися в системі без застосування комплексної системи захисту інформації у разі виконання всіх таких умов:

підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо систем управління інформаційною безпекою, яка проведена органом з оцінки відповідності, акредитованим національним органом України з акредитації чи національним органом з акредитації іноземної держави, якщо і національний орган України з акредитації, і національний орган з акредитації іноземної держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності;

використання для захисту інформації в системі засобів криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації або документ про відповідність, виданий за результатами сертифікації таких засобів відповідно до Закону України "Про технічні регламенти та оцінку відповідності";

жодний з елементів системи не розташований, а власник такої системи або його офіційний представник не є юридичною особою (її представником), зареєстрованою на територіях України, на яких органи державної влади України тимчасово не здійснюють своїх повноважень, на території держави, визнаної Верховною Радою України державою-агресором, на території держави, щодо якої застосовані санкції відповідно до Закону України "Про санкції", або на території держави, яка входить до митного союзу з такими державами;

власник системи або його представник, який надає послуги з використанням системи, елементи якої розміщуються поза межами України, є юридичною особою, зареєстрованою в Україні, або має свого офіційного представника в Україні;

виконання особливих вимог, встановлених Кабінетом Міністрів України до забезпечення захисту інформації в системах залежно від категорії державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, що обробляються.

{Статтю 8 доповнено частиною четвертою згідно із Законом № 681-IX від 04.06.2020;  із змінами, внесеними згідно із Законом № 1882-IX від 16.11.2021; в редакції Закону № 2801-IX від 01.12.2022}

Власники систем для забезпечення належного функціонування систем та захисту інформації, що обробляється в них:

створюють резервні копії державних інформаційних ресурсів та систем із дотриманням встановлених для таких ресурсів та систем вимог щодо їх захисту, цілісності та конфіденційності;

забезпечують створення резервних копій державних інформаційних ресурсів та систем на окремих фізичних носіях у зашифрованому вигляді та їх подальшу передачу (переміщення) для зберігання в установленому законодавством порядку, у тому числі за межами України (зокрема в закордонних дипломатичних установах України), протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування;

забезпечують в установленому законодавством порядку передачу (переміщення) державних інформаційних ресурсів та їх резервних копій для розміщення на хмарних ресурсах та/або в центрах обробки даних, розташованих за межами України, протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування.

{Статтю 8 доповнено частиною п'ятою згідно із Законом № 2130-IX від 15.03.2022}

Порядок передачі, зберігання, функціонування та доступу до державних інформаційних ресурсів та їх резервних копій встановлюється Кабінетом Міністрів України.

{Статтю 8 доповнено частиною шостою згідно із Законом № 2130-IX від 15.03.2022}

Розміщення систем та зберігання резервних копій державних інформаційних ресурсів та систем на територіях України, на яких органи державної влади України тимчасово не здійснюють свої повноваження, територіях держав, визнаних Верховною Радою України державами-агресорами, територіях держав, щодо яких застосовані санкції відповідно до Закону України "Про санкції", та територіях держав, які входять до митних та воєнних союзів з такими державами, забороняється.

{Статтю 8 доповнено частиною сьомою згідно із Законом № 2130-IX від 15.03.2022}

Стаття 9. Забезпечення захисту інформації в системі

Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.

Власник системи, в якій обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.

{Частина друга статті 9 із змінами, внесеними згідно із Законом № 1170-VII від 27.03.2014}

Про спроби та/або факти несанкціонованих дій у системі щодо державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкований йому регіональний орган.

{Частина третя статті 9 із змінами, внесеними згідно із Законом № 879-VI від 15.01.2009}

Стаття 10. Повноваження державних органів у сфері захисту інформації в системах

Вимоги до забезпечення захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, встановлюються Кабінетом Міністрів України.

{Частину другу статті 10 виключено на підставі Закону № 879-VI від 15.01.2009}

Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації:

{Абзац перший частини третьої статті 10 в редакції Закону № 879-VI від 15.01.2009}

розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;

визначає вимоги та порядок створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;

здійснює контроль за забезпеченням захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від несанкціонованих дій в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та дає рекомендації з питань запобігання такій загрозі.

{Частину третю статті 10 доповнено абзацом згідно із Законом № 1180-VI від 19.03.2009}

Державні органи в межах своїх повноважень за погодженням відповідно із спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкованим йому регіональним органом встановлюють особливості захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

{Частина четверта статті 10 із змінами, внесеними згідно із Законом № 879-VI від 15.01.2009}

Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.

{Стаття 10 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020}

Стаття 11. Відповідальність за порушення законодавства про захист інформації в системах

Особи, винні в порушенні законодавства про захист інформації в системах, несуть відповідальність згідно із законом.

Стаття 12. Міжнародні договори

Якщо міжнародним договором, згода на обов'язковість якого надана Верховною Радою України, визначено інші правила, ніж ті, що передбачені цим Законом, застосовуються норми міжнародного договору.

Стаття 13. Прикінцеві положення

1. Цей Закон набирає чинності з 1 січня 2006 року.

2. Нормативно-правові акти до приведення їх у відповідність із цим Законом діють у частині, що не суперечить цьому Закону.

3. Кабінету Міністрів України та Національному банку України в межах своїх повноважень протягом шести місяців з дня набрання чинності цим Законом:

привести свої нормативно-правові акти у відповідність із цим Законом;

забезпечити приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом.

Президент України

Л.КУЧМА

м. Київ
5 липня 1994 року
№ 80/94-ВР