Відповідність інформсистеми вимогам щодо захисту дозволено підтверджувати в альтернативний спосіб

Верховна Рада прийняла Закон України “Про внесення змін до Закону України “Про захист інформації в інформаційно-телекомунікаційних системах” щодо підтвердження відповідності інформаційної системи вимогам із захисту інформації”.

Таким чином, на території України прийнято вимоги стандартів сімейства СУІБ для окремих категорій інформації, захист якої забезпечується законодавством України.

Згідно із Законом, підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством.

Державні інформаційні ресурси та інформація з обмеженим доступом (крім державної таємниці, службової інформації та державних і єдиних реєстрів, створення та забезпечення функціонування яких визначено законами), можуть оброблятися в системі без застосування комплексної системи захисту інформації у разі виконання всіх таких умов:

 – підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо систем управління інформаційною безпекою, яка проведена органом з оцінки відповідності, акредитованим національним органом України з акредитації чи національним органом з акредитації іншої держави, якщо і національний орган України з акредитації, і національний орган з акредитації такої держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності;

 – використання для захисту інформації в системі засобів криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації;

 – жоден з елементів системи не може бути розташований на територіях України, на яких органи державної влади України тимчасово не здійснюють своїх повноважень, на територіях держав, визнаних Верховною Радою України державами-агресорами, на територіях держав, щодо яких застосовані санкції відповідно до Закону України «Про санкції», та на територіях держав, які входять до митних союзів з такими державами;

 – виконання особливих вимог, встановлених Кабінетом Міністрів України до забезпечення захисту інформації в системах залежно від категорії державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, що обробляються.