Питання, які виносяться на екзамен з навчальної дисципліни «Кібернетичне право»

1. Поняття «кібернетичне (інформаційне) право».

Кібернетичне (інформаційне) право - це система суспільних уявлень про цінності справедливого
життєвого устрою та сформульовані на їх основі соціальні принципи взаємостосунків і правових відносин
суб’єктів в інформаційній сфері, що виникають у процесі збирання, зберігання, використання і поширення
інформації та обробки інформаційних ресурсів (продуктів), які охороняються та захищаються державою.
2. Принципи кібернетичного (інформаційного) права. Базовий принцип інформаційного права.
Принципи інформаційного права – це основні початкові положення і ідеї, що визначають суть та зміст
галузі інформаційного права. Поділяються на загальні та спеціальні. До загальних (базових) відносяться
принципи законності, свободи доступу до інформації, вільного виразу думок і переконань, забезпечення
інформаційної безпеки, рівності громадян перед законом, захисту авторських прав, комплексності
відносин в інформаційній сфері.
3. Об’єкти інформаційного та кібернетичного права.
Об’єкт кібернетичного права – процеси та явища в кібернетичному просторі.
Об’єкти інформаційного права – процеси та явища в інф.сфері.
4. Предмет інформаційного та кібернетичного права.
Предмет інформаційного права – це інформаційні відносини, які відображають сформовані норми
поведінки суб’єктів в інформаційній сфері.
Предмет кібернетичного права – це інформаційно –інфраструктурні відносини, які відображають норми
поведінки суб’єктів в кібернетичному просторі.
5. Поняття та зміст системи права.
Система права: Галузь права() Підгалузь права Інститут права Субінстит права Норма права.
Система права – це сукупність чинних принципів і норм, якій притаманні єдність, узгодженість і
згрупованість норм у відносно самостійні структурні утворення
6. Класифікація та зміст суспільних відносин в інформаційній сфері.
Суспільні відносини поділяються на інформаційні відносини(це суспільні відносини, що мають місце в
процесі створення, поширення … інформації) та інформаційно-інфраструктурні(це суспільні відносини,
що мають місце в процесі реалізації інформаційних відносин, пов’язані з функціонуванням суб’єктів, які
працюють в інформаційній сфері).
7. Поняття «інститут інформаційного (кібернетичного) права».
Інститут права – це уособлена група правових норм, які регулюють однорідні суспільні відносини
конкретного виду. Це є першим рівнем поєднання правових норм.
8. Зміст основних інститутів інформаційного права відповідно до процесу забезпечення мінімізації
збитку від несанкціонованого поширення, використання і знищення інформації.
Інститут правового режиму інформації(субінститути: відкритої інф., офіційної, з обмеженим доступом,
державної таємниці, комерційної таємниці, конфіденційної інформації, персональних данних.)
Інститут захисту інформації (субінститути: захисту інформації, технічного захисту, технічного захисту в
АС)
9. Зміст інституту захисту інформації.
Інститут захисту інформації (субінститути: захисту інформації, технічного захисту, технічного захисту в
АС)
10. Роль і місце інститутів правового режиму інформації та захисту інформації.
11. Поняття «правове регулювання суспільних відносин».
Правове регулювання – здійснюваний за допомогою юридичних засобів процес упорядкування суспільних
відносин з метою забезпечення певної сукупності соціальних інтересів, які вимагають правового
гарантування.
12. Поняття «метод кібернетичного права».
Метод кібернетичного права - певний набір методів, що є переважними при визначені того, яким чином або
способом регулюються суспільні відносини.
13. Поняття та зміст методу (системи методів) кібернетичного права.
Зміст методу буває об’єктивний(суспільні відносини щодо інформації, які визначаються у нормах
визначених на публічно- та приватно – правовому рівнях) та суб’єктивний(права на обов’язки учасників
інформаційних відносин)
14. Методи кібернетичного права як галузі права.
15. Поняття «імперативний метод правового регулювання інформаційних відносин».
Імперативний метод являє собою метод в якому переважають владні приписи(статті закону). Такий метод
не залишає можливості для вибору, він дозволяє або забороняє.
16. Поняття «диспозитивний метод правового регулювання інформаційних відносин».
Диспозитивний метод – спосіб регулювання відносин між рівноправними учасниками. Диспозитивний
метод передбачає вільну саморегуляцію поведінки суб’єктами на основі принципів права, він встановлює
тільки межі та процедури такої саморегуляції, передбачає самостійність у виборі суб’єкта варіанта
поведінки.
17. Зміст імперативного методу правового регулювання інформаційних відносин.
Визначення одного унормонавого варіанта поведінки, при цьому нормою права чітко визначаються
порядок виникнення та припинення, обсяг прав та обов’язків учасників відносин. Включає три способи
регулювання: дозвіл, заборона, забов’язання.
18. Зміст диспозитивного методу правового регулювання інформаційних відносин.
Включається прагнення до регулювання лише основних ліной поведінки, надання значної свободи
учасникам громадських відносин, відмова від ретельної і детальної регламентації.
19. Практичне значення застосування імперативного та диспозитивного методів правового
регулювання суспільних відносин у сфері захисту інформації.
Методи доцільно застосувати в практичній діяльності фахівців захисту інформації під час розроблення
проектів відповідних положень, інструкцій, технічних завдань, тощо.
20. Поняття «захисту інформації» та його зміст.
Захист інформації – сукупність правових, адміністративних, технічних та ін.. засобів, які забезпечують
збереження цілісності інформації.
21. Основні принципи інформаційних відносин.
Основними принципами є:
 гарантованість права на інформацію
 відкритість, доступність інформації, свобода обміну інформацією
 достовірність та повнота інформації
 свобода вираження поглядів та переконань
 правомірність одержання, використання, поширення, зберігання та захисту інформації
 захищеність особи від втручання в іі особисте життя.
22. Основні напрями державної інформаційної політики.
 забезпечення доступу кожного до інформації;
 забезпечення рівних можливостей щодо збирання, одержання, зберігання, використання,
поширення, охорони, захисту інформації;
 створення умов для формування інформаційного суспільства;
 забезпечення відкритості та прозорості діяльності суб’єктів владних повноважень;
 постійне оновлення, збагачення та зберігання національних інформаційних ресурсів;
 забезпечення інформаційної безпеки;
 сприяння міжнародній співпраці в інф.сфері та входженню України до світового інф.простору.
23. Основні види інформаційної діяльності.
Створення, збирання, одержання, зберігання, використання, поширення, охорона та захист інформації.
24. Види інформації за порядком доступу.
Відкрита інформація та інформація з обмеженим доступом(конфіденційна, таємна та службова)
25. Види інформації з обмеженим доступом.
Конфіденційна(інформація про фізичну особу, доступ до інформації обмежено фізичною або юридичною
особою, крім суб’єктів владних повноважень), таємна(інформація, доступ до якої обмежено відповідно до
закону і розношення може завдати шкоди суспільству, державі та особі) та службова(інформація, що
міститься в документах суб’єктів владних повноважень, які становлять службову кореспонденцію,
доповідні записки, рекомендації, а також інформація зібрана під час оперативно-розшукової
контррозвідувальної діяльності)
26. Поняття «захист інформації в інформаційно-телекомунікаційній системі».
Захист інформації в інформаційно-телекомунікаційній системі - діяльність, спрямована на запобігання
несанкціонованим діям щодо інформації в системі;
27. Поняття «комплексна система захисту інформації».
Це взаємопов’язана сукупність організаційних та інженерно технічних заходів, засобів та методів захисту
інформації.
Для забезпечення захисту інформації в ІТС створюється комплексна система захисту інформації (КСЗІ),
яка призначається для захисту інформації від:
• витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань
і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів
під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;
• несанкціонованих дій з інформацією, у тому числі з використанням комп’ютерних вірусів;
• спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування
фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого
блокування.
Для створення комплексної системи захисту державних інформаційних ресурсів або інформації з
обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту
інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами
державної експертизи у сфері технічного та/або криптографічного захисту інформації .
28. Поняття «технічний захист інформації».
Це вид захисту інформації, спрямований на забезпечення захищеності, унеможливлення витоку, знищення
та блокування інформації за допомогою інженерно-технічних, програмних, технічних засобів.
Комплекс технічного захисту інформації – сукупність заходів та засобів, призначених для реалізації
технічного захисту інформації в інформаційній системі або на об’єкті.
29. Суб’єкти відносин, пов’язаних із захистом інформації в інформаційно-телекомунікаційних
системах.
Це: володільці інформації, власники системи та користувачі.
30. Поняття «інформаційний ресурс». Поняття «інформаційний продукт (продукція)».
Інформаційний ресурс – сукупність документів у інформаційних системах.
Інформаційний продукт – документована інформація, яка підготовлена і призначена для задоволення
потреб користувачів.
31. Поняття «національний інформаційний ресурс» та його зміст.
Національний інформаційний ресурс – це інформаційні ресурси, що знаходиться під юрисдикцією держави
та доступний для використання особою, суспільством та державою.
32. Суб’єкти інформаційних відносин.
Фізичні особи, юридичні особи, об’єднання громадян та суб’єкти владних повноважень.
33. Поняття та зміст правового режиму інформаційних ресурсів.
Правовий режим - це певний порядок правового регулювання, який забезпечується через особливе
поєднання залучених для його здійснення способів правового регулювання.
Порядок документування, право власності на окремі інформаційні продукти та ресурси, прядок правового
захисту інформації та категорії інформації за доступом до неї.
34. Порядок обмеження доступу до інформації («трискладовий тест»).
Здійснюється відповідно до закону «Про доступ до публічної інформації».
1. Виключно в інтересах національї безпеки, з метою запобігання заворушенням чи злочинам, для
охорони здоров’я населення, для захисту репутації або прав людей …
2. Розголошення інформації може завдати істотної шкоди інтересам.
3. Шкода від оприлюднення такої інформації переважає суспільний інтерес в її отриманні.
35. Мета правового та організаційного забезпечення захисту інформації.
Метою організаційного забезпечення захисту інформації є створення та реалізація технологій захисту,
регламентація роботи працівників з ІС та використання інформаційних ресурсів, створення системи
контролю.
36. Зміст правового та організаційного забезпечення захисту інформації.
Документи локального рівня(затверджуються та вводяться в дію наказами керівників організацій,
розробляються у відповідності з законодавством): положення, інструкції, правила тощо, які визначають і
формують завдання, структуру, функції, повноваження служби захисту (відповідальних за захист
інформації), визначають порядок застосування інформаційних систем та захисту інформації в них тощо.
37. Система документів правового та організаційного забезпечення захисту інформації.
Система документів правового, адміністративного та організаційного забезпечення захисту інформації
становить правову базу, що забезпечує нормативне регулювання інформаційних відносин і процесів щодо
захисту інформації
• До першої групи (нормативно-правової) відносяться документи, що становлять законодавчу базу
щодо захисту інформації. Це закони та підзаконні акти, що визначають юридичну відповідальність
учасників процесу захисту та законодавчо регулюють основні питання інформаційної безпеки.
• До другої групи (довідково-інформаційної) належать документи, які містять повну інформацію про
всі аспекти проблеми захисту і визнані фахівцями в цій галузі (словники, довідники); державні стандарти
щодо захисту інформації; технічні описи засобів захисту інформації та ін.
• Керівні методичні матеріали (третя група документів) – це сукупність таких документів, які містять
повний і систематизований опис порядку і принципу проведення робіт із захисту інформації, методики
вимірювання зон витоку інформації технічними каналами, проектування системи захисту інформації тощо.
• До четвертої групи належать систематизовані набори інструкцій для різних підрозділів і посадових
осіб відповідно до їх повноважень.
• До реєстраційних документів (п’ята група) належать облікові документи, що дозволяють
контролювати наявність закритої інформації на об’єкті захисту і обмежувати доступ до неї, а також
експлуатаційно-технічна документація, що дозволяє реєструвати всі факти і події, що загрожують
безпеці інформації.
38. Джерела норм щодо захисту інформації.
39. Норми щодо порядку документування інформації та поводження з документами.
40. Поняття «банківська таємниця». Правовий режим банківської таємниці.
Банківська таємниця – інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у
процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку.
41. Заходи щодо збереження банківської таємниці.
 обмеження кола осіб, що мають доступ до інформації, яка становить банківську таємницю;
 організації спеціального діловодства з документами;
 застосування технічних засобів для запобігання НСД до носіїв інформації;
 застосування застережень щодо збереження та відповідальності за її розголошення у договорах між
банком та клієнтом.
42. Захист інформації, що становить банківську таємницю.
З метою забезпечення зберігання та захисту банківської таємниці банки зобов'язані у внутрішніх
положеннях встановити спеціальний порядок ведення діловодства з документами, що містять банківську
таємницю, зокрема визначити: порядок реєстрації вихідних документів, роботи з документами, що містять
банківську таємницю, відправлення та зберігання документів, які містять банківську таємницю, а також
особливості роботи з електронними документами, які містять банківську таємницю. Установлюючи
спеціальний порядок ведення діловодства з документами, що містять банківську таємницю, банки
зобов'язані врахувати вимоги, викладені в цих Правилах.
Під час опрацювання вихідних документів виконавець документа визначає потребу проставляння на
ньому грифа "Банківська таємниця".
Під час роботи з документами, що містять гриф "Банківська таємниця", працівники банку мають
забезпечити зберігання таких документів у сейфах або шафах, які надійно замикаються і до яких не мають
доступу треті особи.
Банки зобов'язані під час відправлення (передавання) інформації, що містить банківську таємницю,
забезпечити її гарантовану доставку та конфіденційність.
Забороняється відправлення документів з грифом "Банківська таємниця" з використанням
факсимільного зв'язку або іншими каналами зв'язку, що не забезпечують захист інформації.
43. Поняття «службова інформація». Правовий режим службової інформації.
Службовою інформацією є інформація, що міститься в документах суб'єктів владних повноважень, які
становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони
пов'язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових
функцій органами державної влади, процесом прийняття рішень і передують публічному
обговоренню та/або прийняттю рішень, а також інформація зібрана в процесі оперативно-розшукової,
контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці.
44. Організаційні засади забезпечення захисту службової інформації.
Для забезпечення захисту інформації в системі створюється комплексна система захисту інформації (далі -
система захисту), яка призначається для захисту інформації від:
 витоку технічними каналами, до яких належать канали побічних електромагнітних випромінювань
і наведень, акустично-електричні та інші канали, що утворюються під впливом фізичних процесів
під час функціонування засобів обробки інформації, інших технічних засобів і комунікацій;
 несанкціонованих дій з інформацією, у тому числі з використанням комп'ютерних вірусів;
 спеціального впливу на засоби обробки інформації, який здійснюється шляхом формування
фізичних полів і сигналів та може призвести до порушення її цілісності та несанкціонованого
блокування.
Відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для
цього заходів та створення системи захисту покладається на керівника (заступника керівника)
організації, яка є власником (розпорядником) системи, та керівників її структурних підрозділів, що
забезпечують створення та експлуатацію системи.
45. Організація захисту службової інформації в автоматизованих системах.

46. Зміст Плану захисту службової інформації в автоматизованій системі.

Захист інформації на всіх етапах створення та експлуатації системи здійснюється відповідно до
розробленого службою захисту інформації плану захисту інформації в системі.
План захисту інформації в системі містить:
 завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки
інформації;
 визначення моделі загроз для інформації в системі;
 основні вимоги щодо захисту інформації та правила доступу до неї в системі;
 перелік документів, згідно з якими здійснюється захист інформації в системі;
 перелік і строки виконання робіт службою захисту інформації.
47. Загальні вимоги із захисту службової інформації в автоматизованих системах.
Загальні вимоги передбачають:
- наявність переліку службової інформації, яка підлягає автоматизованій обробці; у разі необхідності
можлива її класифікація в межах категорії за цільовим призначенням, ступенем обмеження доступу
окремих категорій користувачів та іншими класифікаційними ознаками;
- наявність визначеного (створеного) відповідального підрозділу, якому надаються повноваження щодо
організації і впровадження технології захисту інформації, контролю за станом захищеності інформації (далі
- служба захисту в АС, СЗІ);
- створення комплексної системи захисту інформації (далі - КСЗІ), яка являє собою сукупність
організаційних і інженерно-технічних заходів, програмно-апаратних засобів, спрямованих на забезпечення
захисту інформації під час функціонування АС;
- розроблення плану захисту інформації в АС, зміст якого визначено в додатку до НД ТЗІ 1.4-001;
- наявність атестата відповідності КСЗІ в АС нормативним документам із захисту інформації;
можливість визначення засобами КСЗІ декількох ієрархічних рівнів повноважень користувачів та декількох
класифікаційних рівнів інформації;
- обов’язковість реєстрації в АС усіх користувачів та їхніх дій щодо службової інформації;
- можливість надання користувачам тільки за умови службової необхідності санкціонованого та
контрольованого доступу до службової інформації, що обробляється в АС;
- заборону несанкціонованої та неконтрольованої модифікації службової інформації в АС;
- здійснення СЗІ обліку вихідних даних, отриманих під час вирішення функціональних задач у формі
віддрукованих документів, що містять службову інформацію, у відповідності з “Інструкцією про порядок
обліку, зберігання й використання документів, справ, видань та інших матеріальних носіїв інформації, які
містять службову інформацію, що є власністю держави”;
- заборону несанкціонованого копіювання, розмноження, розповсюдження службової інформації в
електронному вигляді;
- забезпечення СЗІ контролю за санкціонованим копіюванням, розмноженням, розповсюдженням службову
інформації в електронному вигляді;
- можливість здійснення однозначної ідентифікації та автентифікації кожного зареєстрованого користувача;
- забезпечення КСЗІ можливості своєчасного доступу зареєстрованих користувачів АС до службової
інформації.
48. Поняття «державна таємниця».
Державна таємниця – вид таємної інформації, що охоплює відомості у сфері охорони, економіки, науки та
техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може
завдати шкоди національній безпеці країни.
49. Правовий режим державної таємниці. Охорона державної таємниці. Режим секретності.
Охорона державної таємниці – комплекс організаційно-правових, інженерно-технічних, криптографічних
та оперативно-розшукових заходів, спрямованих на запобігання розголошенню секретної інформації та
втратам її матеріальних носіїв.
Режим секретності – встановлений згідно з вимогами Закону України «Про державну таємницю» та інших
видатних відповідно до нього нормативно-правових актів єдиний порядок забезпечення охорони державної
таємниці.

50. Організаційні засади забезпечення охорони державної таємниці.

 єдині вимоги до виготовлення, користування, збереження, передачі, транспортування та обліку
матеріальних носіїв секретної інформації;
 дозвільний порядок провадження державними органами, органами місцевого самоврядування,
підприємствами, установами та організаціями діяльності, пов’язаної з державною таємницею;
 обмеження оприлюднення, передачі іншій державі або поширення іншим шляхом секретної
інформації;
 особливості здійснення державними органами їх функцій щодо державних органів, органів
місцевого самоврядування, підприємств, установ і організацій, діяльність яких пов’язана з
державною таємницею;
 режим секретності державних органів, органів місцевого самоврядування, підприємств, установ і
організацій, що провадять діяльність, пов’язану з державною таємницею;
  спеціальний порядок допуску та доступу громадян до державної таємниці;
 технічний та криптографічний захист секретної інформації.
51. Дозвільний порядок здійснення діяльності, пов’язаної з державною таємницею.
Надається державним органам за умови, що вони :
• відповідно до компетенції, державних завдань, програм, замовлень, договорів (контрактів) беруть
участь у діяльності, пов’язаній з державною таємницею;
• мають приміщення для проведення робіт, пов’язаних з державною таємницею, сховища для
зберігання засекречених документів та інших матеріальних носіїв секретної інформації, що
відповідають вимогам щодо забезпечення секретності зазначених робіт, виключають можливість
доступу до них сторонніх осіб, гарантують збереження носіїв секретної інформації;
• додержуються передбачених законодавством вимог режиму секретності робіт та інших заходів,
пов’язаних з використанням секретної інформації, порядку допуску осіб до державної таємниці,
прийому іноземних громадян, а також порядку здійснення технічного та криптографічного захисту
секретної інформації;
• мають режимно-секретний орган.
52. Режимно-секретні органи: призначення, права та обов’язки.
У державних та інших органах, організаціях, на підприємствах, з метою розроблення та здійснення заходів
щодо забезпечення режиму секретності, постійного контролю за їх додержанням створюються на правах
окремих структурних підрозділів режимно-секретні органи, які підпорядковуються безпосередньо
керівнику державного органу.
53. Поняття допуск і доступ до державної таємниці.
Допуск до державної таємниці – оформлення права громадянина на доступ до секретної інформації .
Доступ державної таємниці – надання повноважною особою дозволу громадянину на ознайомлення з
конкретною секретною інформацією та провадження діяльності, пов’язаної з державною таємницею, або
ознайомлення з конкретною секретною інформацією та провадження діяльності, пов’язаної з державною
таємницею, цією посадовою особою відповідно до її службових повноважень.
54. Поняття «персональні дані» та їх правовий режим.
Персональні дані - будь-яка інформація, яка стосується конкретно визначеної особи або особи, що може
бути конкретно визначеною.
Відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно
ідентифікована.
55. Організаційне забезпечення захисту персональних даних.
В органах державної влади, органах місцевого самоврядування, а також у володільцях чи розпорядниках
персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно
до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що
організовує роботу, пов’язану із захистом персональних даних при їх обробці.
Структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом
персональних даних при їх обробці:
1) інформує та консультує володільця або розпорядника персональних даних з питань додержання
законодавства про захист персональних даних;
2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими
особами його секретаріату з питань запобігання та усунення порушень законодавства про захист
персональних даних.
56. Правовий режим інформаційних систем, інформаційних технологій і засобів їх забезпечення.
57. Норми, які визначають власників (розпорядників) інформаційних систем, їх права та обов’язки
щодо забезпечення їх функціонування.
58. Норми, які визначають діяльність у сфері телекомунікацій та захисту інформації (ліцензування).
59. Норми, які визначають умови застосування технічних засобів телекомунікацій, засобів захисту
інформації (сертифікація).
Умовами застосування технічних засобів телекомунікацій є їх відповідність стандартам і технічним
регламентам. Технічні засоби телекомунікацій повинні мати виданий у встановленому законодавством
порядку документ про підтвердження відповідності вимогам нормативних документів у сфері
телекомунікацій.
Сертифікація – підтвердження відповідності третьою стороною (особою, яка є незалежною від особи, що
надає об’єкт оцінки відповідності, та від особи, що заінтересована в такому об’єкті як споживач чи
користувач), яке стосується продукції, процесів, послуг, систем або персоналу.
60. Основні джерела правового регулювання відносин у галузі створення й застосування
інформаційних систем, інформаційних технологій, засобів зв’язку й телекомунікації та їх зміст.
1. Закон України «Про інформацію».
2. Закон України «Про телекомунікації».
3. Закон України «Про захист інформації в інформаційно-телекомунікаційних системах».
4. Закон України «Про ліцензування видів господарської діяльності».
5. Про Положення про технічний захист інформації в Україні. Президент України; Указ від 27.09.1999 №
1229/99.
6. Про Положення про порядок здійснення криптографічного захисту інформації в Україні. Президент
України; Указ від 22.05.1998 № 505/98
7. Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-
телекомунікаційних системах. Кабінет Міністрів України; Постанова від 29.03.2006 № 373.
8. Про затвердження Правил проведення робіт із сертифікації засобів захисту інформації. Адміністрація
Держспецзв’язку, Держспоживстандарт України; Наказ, Правила, Форма типового документа [...] від
25.04.2007 № 75/91.
9. Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від
несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних
системах. НД ТЗІ 2.6-001-11.
Метою державного регулювання у сфері телекомунікацій є максимальне задоволення попиту споживачів
на телекомунікаційні послуги, створення сприятливих організаційних та економічних умов для залучення
інвестицій, збільшення обсягів послуг та підвищення їх якості, розвитку та модернізації
телекомунікаційних мереж з урахуванням інтересів національної безпеки.
61. Правовий режим діяльності з технічного та криптографічного захисту інформації.
Виконавцем робіт із створення системи захисту може бути суб'єкт господарської діяльності або орган
виконавчої влади, який має ліцензію або дозвіл на право провадження хоча б одного виду робіт у сфері
технічного захисту інформації, необхідність проведення якого визначено технічним завданням на
створення системи захисту.
Для проведення інших видів робіт з технічного захисту інформації, на провадження яких виконавець
не має ліцензії (дозволу), залучаються співвиконавці, що мають відповідні ліцензії.
Якщо для створення системи захисту необхідно провести роботи з криптографічного захисту інформації,
виконавець повинен мати ліцензії на провадження виду робіт у сфері криптографічного захисту
інформації або залучати співвиконавців, що мають відповідні ліцензії.
62. Правовий режим засобів захисту інформації та діяльності з технічного та криптографічного
захисту інформації.
У складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою
відповідністю
У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент
проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи
системи захисту
63. Порядок проведення робіт із сертифікації засобів захисту інформації.
Порядок проведення робіт із сертифікації засобів захисту інформації в загальному випадку передбачає:
 подання заявки на сертифікацію;
 розгляд та прийняття рішення за заявкою із зазначенням схеми (моделі) сертифікації;
  обстеження чи атестацію виробництва засобів захисту інформації, що сертифікуються, або
сертифікацію (оцінку) системи якості, якщо це передбачено схемою сертифікації;
 відбір зразків засобів захисту інформації для випробувань;
 ідентифікацію засобів захисту інформації;
 приймання випробувальною лабораторією зразків засобів захисту інформації;
 випробування зразків засобів захисту інформації;
 аналіз одержаних результатів випробувань і прийняття рішення про можливість видачі сертифіката
відповідності;
 видачу сертифіката відповідності, укладання ліцензійної угоди та занесення сертифікованих засобів
захисту інформації до Реєстру Системи;
 технічний нагляд за сертифікованими засобами захисту інформації під час їх виробництва;
 інформування про результати робіт із сертифікації засобів захисту інформації.
64. Поняття «технічного захисту інформації» та зміст.
Технічний захист інформації (ТЗІ) – діяльність, спрямована на забезпечення інженерно-технічними
заходами конфіденційності, цілісності та доступності інформації.
Комплекс технічного захисту інформації – сукупність заходів та засобів, призначених для реалізації
технічного захисту інформації в інформаційній системі або на об’єкті.
Основні напрями ТЗІ в АС:
 захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку
каналами побічних електромагнітних випромінювань і наводів)
 захист АС і оброблюваної інформації від несанкціонованого доступу
Роботи з технічного захисту інформації в АС і ЗОТ передбачають:
• категоріювання об’єктів електронно-обчислювальної техніки (ЕОТ);
• включення до технічних завдань на монтаж АС і ЗОТ розділу з ТЗІ;
• монтаж АС і ЗОТ відповідно до рекомендацій цього документа;
• обстеження (в тому числі технічний контроль) об'єктів ЕОТ;
• установлення (при необхідності) атестованих засобів захисту;
• технічний контроль за ефективністю вжитих заходів.

65. Організація захисту інформації з обмеженим доступом від витоку каналами побічних
електромагнітних випромінювань та наводок.
Технічному підлягає інформація з обмеженим доступом, носіями якої є поля і сигнали, що утворюються в
результаті роботи технічних засобів пересилання, оброблення, зберігання, відображення інформації (ТЗПІ),
а також допоміжних технічних засобів і систем (ДТЗС).
Роботи із захисту інформації з обмеженим доступом від витоку каналами ПЕМВН складаються з
організаційних, підготовчих технічних, технічних заходів і контролю за виконанням заходів технічного
захисту інформації (ТЗІ) та за ефективністю цього захисту.
Заходи щодо ТЗІ і контролю за його ефективністю можуть виконуватись організаціями, що мають
відповідну ліцензію на право надання послуг у галузі ТЗІ.
На етапі проведення організаційних заходів потрібно :
o визначити перелік відомостей з обмеженим доступом, що підлягають технічному захисту;
o обґрунтувати необхідність розроблення і реалізації захисних заходів з урахуванням матеріальної
або іншої шкоди, яка може бути завдана внаслідок можливого порушення цілісності ІзОД чи її
витоку технічними каналами;
o установити перелік виділених приміщень, в яких не допускається реалізація загроз та витік
інформації з обмеженим доступом;
o визначити перелік технічних засобів, що повинні використовуватися як ОТЗ;
o визначити технічні засоби, застосування яких не обґрунтовано службовою та виробничою
необхідністю та які підлягають демонтажу;
o визначити наявність задіяних і незадіяних повітряних, наземних, настінних та закладених у
приховану каналізацію кабелів, кіл і проводів, що уходять за межі виділених приміщень;
 o визначити системи, що підлягають демонтажу, потребують переобладнання кабельних мереж, кіл
живлення, заземлення або установлення в них захисних пристроїв.
66. Організація захисту інформації з обмеженим доступом у засобах обчислювальної техніки,
автоматизованих системах і мережах від витоку каналами побічних електромагнітних
випромінювань і наводок.
67. Вимоги щодо порядку категоріювання об’єктів інформаційної діяльності.
Категоріювання – сукупність дій зі встановлення категорії об’єкта;
Категорія (об’єкта) – класифікаційна характеристика важливості об’єкта, за якою визначається
необхідний рівень захисту інформації, що обробляється технічними засобами та/або озвучується на цьому
об’єкті.
Об’єкти, на яких здійснюватиметься обробка технічними засобами та/або озвучуватиметься інформація з
обмеженим доступом, що не становить державної таємниці, підлягають обов’язковому категоріюванню.
Категоріювання може бути первинним, черговим або позачерговим.
Відповідальність за своєчасність категоріювання та правильність встановлення категорії об’єкта
покладається на керівника установи-власника (розпорядника, користувача) об’єкта.
Порядок категоріювання об’єктів:
Категоріювання об’єктів здійснює їх власник (розпорядник, користувач). Категоріювання об’єктів
проводиться комісією з категоріювання установи-власника (розпорядника, користувача) об’єкта.
Комісія з категоріювання визначає ступень обмеження доступу до інформації, яка оброблятиметься
технічними засобами та/або озвучуватиметься на об’єкті, та з урахуванням цього ступеня встановлює
категорію об’єкта. Встановлена категорія зазначається в Акті категоріювання об’єкта, який складається
комісією з категоріювання за результатами її роботи.
Акт категоріювання об’єкта є чинним протягом 5 років з моменту проведення категоріювання, якщо не
змінилась ознака, за якою була встановлена категорія об’єкта.
68. Основні положення щодо створення комплексу технічного захисту інформації.
Створення комплексу ТЗІ передбачає проведення організаційних, інженерних і технічних заходів на ОІД, а
саме:
• озвучення ІзОД (при проведенні нарад, під час показів зі звуковим супроводженням кіно- і
відеофільмів тощо);
• здійснення обробки ІзОД технічними засобами (збирання, введення, записування, перетворення,
зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання ІзОД тощо);
• обіг іншої ІзОД при проектуванні, будівництві, експлуатації об'єктів, виробництві технічних засобів
тощо.
Створення комплексу ТЗІ на ОІД передбачає такі основні етапи:
• виконання передпроектних робіт (1 етап);
• розроблення та впровадження заходів із захисту інформації (2 етап);
• випробування та атестація комплексу ТЗІ (3 етап).
69. Основні напрями технічного захисту інформації в автоматизованих системах та їх зміст.
Основні напрями ТЗІ в АС:
 захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку
каналами побічних електромагнітних випромінювань і наводів)
 захист АС і оброблюваної інформації від несанкціонованого доступу
70. Зміст проблеми захисту інформації від несанкціонованого доступу в автоматизованих системах.
Проблеми захисту інформації від НСД в АС:
• забезпечення і оцінка захищеності інформації в АС, що функціонують
• реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується
обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки і т. ін.), поза
конкретним середовищем експлуатації
Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу АС, на всіх технологічних
етапах обробки інформації і в усіх режимах функціонування. Життєвий цикл АС включає розробку,
впровадження, експлуатацію та виведення з експлуатації.
71. Поняття та зміст несанкціонованого доступу до автоматизованих систем і оброблюваної
інформації. Способи несанкціонованого доступу.
Під несанкціонованим доступом слід розуміти доступ до інформації з використанням засобів, включених
до складу комп'ютерної системи, що порушує встановлені правила розмежування доступу.
Несанкціонований доступ може здійснюватися як з використанням штатних засобів, тобто сукупності
програмно-апаратного забезпечення, включеного до складу КС розробником під час розробки або
системним адміністратором в процесі експлуатації, що входять у затверджену конфігурацію КС, так і з
використанням програмно-апаратних засобів, включених до складу КС зловмисником.
До основних способів НСД в АС відносяться:
• безпосереднє звертання до об'єктів з метою одержання певного виду доступу;
• створення програмно-апаратних засобів, що виконують звертання до об'єктів в обхід засобів
захисту;
• модифікація засобів захисту, що дозволяє здійснити НСД;
• впровадження в КС програмних або апаратних механізмів, що порушують структуру і функції КС і
дозволяють здійснити НСД.
72. Основні етапи створення комплексних систем захисту інформації в інформаційно-
телекомунікаційних системах та їх зміст.
Етап І. Формування загальних вимог до КСЗІ:
• обґрунтування необхідності створення КСЗ;
• обстеження середовищ функціонування ІТС;
• формування завдання на створення КСЗІ.
Етап ІІ. Розробка політики безпеки інформації в ІТС
• вибір варіанту КСЗІ;
• оформлення політики безпеки.
Етап ІІІ. Розробка технічного завдання на створення КСЗІ.
Етап ІV. Розробка проекту КСЗІ:
• ескізний проект КСЗІ (принципові конструктивні рішення);
• технічний проект КСЗІ (остаточні рішення щодо проектування);
• розробка проектних рішень КСЗІ;
• розробка документації на КСЗІ;
• робочий проект КСЗІ.
Етап V. Введення КСЗІ в дію та оцінка захищеності інформації в ІТС:
• підготовка КСЗІ до введення в дію;
• навчання користувачів;
• пусконалагоджувальні роботи;
• спеціальні дослідження та інструментальні вимірювання рівня ПЕМВН;
• попередні випробування;
• дослідна експлуатація;
• державна експертиза КСЗІ.
Етап VІ. Супроводження КСЗІ.
73. Організація діяльності служби захисту інформації в автоматизованій системі.
НД ТЗІ 1.4-001-2000 встановлює вимоги до структури та змісту нормативного документу, що регламентує
діяльність служби захисту інформації в автоматизованій системі – “Положення про службу захисту
інформації в автоматизованій системі”.
В загальному випадку Положення про службу захисту інформації в автоматизованій системі повинно
складатись з таких розділів:
• загальні положення;
• завдання служби захисту інформації;
• функції служби захисту інформації;
• повноваження і відповідальність служби захисту інформації;
• взаємодія служби захисту інформації з іншими підрозділами організації та зовнішніми
підприємствами, установами, організаціями;
• штатний розклад та структура служби захисту інформації;
• організація робіт служби захисту інформації;
• фінансування служби захисту інформації.
Метою створення СЗІ є організаційне забезпечення завдань керування комплексною системою захисту
інформації (КСЗІ) в АС та здійснення контролю за її функціонуванням.

На СЗІ покладається виконання робіт з визначення вимог з захисту інформації в АС, проектування,
розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ,
контролю за станом захищеності інформації в АС.

74. Організація проведення робіт із створення комплексної системи захисту інформації в

інформаційно-телекомунікаційній системі.

75. Організація захисту інформації WEB-сторінки від несанкціонованого доступу.

Установа, під час створення WEB-сторінки та визначення операторів, вузли яких будуть використовуватися
для підключення до мережі Інтернет, повинна керуватися законами України, іншими нормативно-
правовими актами, що встановлюють вимоги з технічного захисту інформації.
Для забезпечення захисту інформації WEB-сторінки в цій АС створюється КСЗІ, що є сукупністю
організаційних і інженерно-технічних заходів, а також програмно-апаратних засобів, які забезпечують
захист інформації.
Створення КСЗІ здійснюється відповідно до технічного завдання, розробленого згідно з НД ТЗІ 3.7-001.
КСЗІ підлягає державній експертизі у порядку, передбаченому Положенням про державну експертизу в
сфері технічного захисту інформації.
Перелік інформації, призначеної для публічного розміщення на WEB-сторінці, визначається з урахуванням
вимог діючого законодавства та затверджується керівником установи, що є власником WEB-сторінки.
Організація робіт із захисту інформації та забезпечення контролю за станом її захищеності на WEB-
сторінці в установі здійснюється відповідальним підрозділом або відповідальною особою (службою
захисту інформації).
76. Класифікація автоматизованих систем. Зміст класів автоматизованих систем.
Автоматизована система являє собою організаційно-технічну систему, що об’єднує ОС, фізичне
середовище, персонал і оброблювану інформацію.
Класифікація:
Клас «1» — одномашинний однокористувачевий комплекс,  який обробляє інформацію однієї або
кількох ступенів обмеження доступу.
Істотні особливості:
• в кожний момент часу з комплексом може працювати тільки один користувач, хоч у загальному
випадку осіб, що мають доступ до комплексу, може бути декілька; 
• користувачі можуть мати різні повноваження (права) щодо доступу до інформації, яка
обробляється.
Клас «2» — локалізований багатомашинний багатокористувачевий комплекс, який обробляє інформацію
різних ступенів обмеження доступу.
Істотна особливість:
• наявність користувачів з різними повноваженнями по доступу і/або технічних засобів, які можуть
одночасно здійснювати обробку інформації різних ступенів обмеження доступу.
Клас «3» — розподілений багатомашинний багатокористувачевий комплекс,  який  обробляє інформацію
різних ступенів обмеження доступу.
Істотна особливість:
• необхідність передачі інформації через незахищене середовище або, в загальному випадку,
наявність вузлів, що реалізують різну політику безпеки. 
77. Поняття «функціональний профіль захищеності» та його зміст.
Стандартний функціональний профіль захищеності являє собою перелік мінімально необхідних рівнів
послуг, які повинен реалізовувати КЗЗ обчислювальної системи АС, щоб задовольняти певні вимоги щодо
захищеності інформації, яка обробляється в даній АС.
Стандартні функціональні профілі будуються на підставі існуючих вимог щодо захисту певної інформації
від певних загроз і відомих на сьогоднішній день функціональних послуг, що дозволяють протистояти
даним загрозам і забезпечувати виконання вимог, які пред’являються.
78. Поняття «криптографічний захист», «система криптографічного захисту інформації».
Криптографічний захист – вид захисту, що реалізується за допомогою перетворень інформації з
використанням спеціальних даних (ключових даних) з метою приховування (або відновлення) змісту
інформації, підтвердження її справжності, цілісності, авторства тощо.
Система криптографічного захисту інформації – сукупність органів, підрозділів, груп, діяльність яких
спрямована на забезпечення криптографічного захисту інформації, та підприємств, установ і організацій,
що розробляють, виробляють, експлуатують та (або) розповсюджують криптосистеми і засоби
криптографічного захисту інформації.
79. Поняття «засіб криптографічного захисту інформації», «криптографічна система
(криптосистема)».
Засіб криптографічного захисту інформації – програмний, апаратно-програмний, апаратний або інший
засіб, призначений для криптографічного захисту інформації.
Криптографічна система (криптосистема) – сукупність засобів криптографічного захисту інформації,
необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що
визначає заходи безпеки), використання яких забезпечує належний рівень захищеності інформації, що
обробляється, зберігається та (або) передається.
80. Типи засобів криптографічного захисту інформації залежно від способу реалізації.
Апаратні засоби, алгоритм функціонування (у тому числі криптографічні функції) яких реалізовано в
оптичних, механічних, електронних або інших спеціалізованих пристроях та не може бути змінено без
зміни цих пристроїв;
Апаратно-програмні засоби, алгоритм функціонування (або окремі функції, у тому числі криптографічні)
яких реалізовано у їх спеціально для цього використаних апаратних компонентах (програмованих логічних
інтегральних схемах, контролерах) і заміна алгоритму функціонування (або окремих функцій, у тому числі
криптографічних) яких можлива виробником цих засобів без зміни апаратних компонентів;
Програмні засоби, алгоритм функціонування (у тому числі криптографічні функції) яких реалізовано
програмним забезпеченням, що працює під управлінням операційної системи обчислювальних або
комунікаційних пристроїв загального призначення і може бути змінено розробником цього програмного
забезпечення, при цьому для роботи засобу непотрібні додаткові спеціально застосовані апаратні
компоненти.
81. Види засобів криптографічного захисту інформації залежно від виконання.
Вид А – засоби, які на конструктивному, алгоритмічному та програмному рівнях є єдиними виробами, що
функціонують (експлуатуються) відокремлено від будь-яких інших технічних засобів;
Вид Б – засоби, які на конструктивному, алгоритмічному та програмному рівнях є єдиними виробами та
призначені для використання у складі комплексів оброблення та передавання інформації;
Вид В – криптографічні модулі, які не використовуються (не експлуатуються) окремо, а застосовуються як
складові частини при побудові засобів КЗІ видів А та Б.
82. Категорії засобів криптографічного захисту інформації за призначенням.
 засоби шифрування інформації;
 засоби, призначені для виготовлення ключових даних або ключових документів (незалежно від виду
носія ключової інформації) та управління ключовими даними, що використовуються в засобах КЗІ;
 засоби захисту від нав'язування неправдивої інформації або захисту від несанкціонованої
модифікації, що реалізовують алгоритми криптографічного перетворення інформації (далі -
криптоалгоритми), у тому числі засоби імітозахисту та електронного цифрового підпису;
 засоби захисту інформації від несанкціонованого доступу (у тому числі засоби розмежування
доступу до ресурсів електронно-обчислювальної техніки), у яких реалізовані крипто алгоритми;
 засоби (засоби, об’єднані в комплекси), спеціально призначені для розроблення, дослідження,
виробництва та випробувань засобів КЗІ, у тому числі програмування та/або запису в їх апаратні
компоненти (програмовані логічні інтегральні схеми, контролери), перевірки та контролю правильності
реалізації в засобах КЗІ криптографічних функцій.
83. Зміст правового режиму криптографічного захисту інформації.
Правовий режим критпозахисту інформації:
 ліцензійні умови провадження господарської діяльності, надання послуг;
особливий режим безпеки;
 сертифікація засобів криптографічного захисту;
 державна експертиза в сфері криптографічного захисту інформації.
84. Вимоги щодо розроблення засобів криптографічного захисту інформації.
Розроблення засобів КЗІ здійснюється шляхом виконання відповідних науково-дослідних робіт з
розроблення нових принципів побудови і функціонування засобів КЗІ та дослідно-конструкторських робіт
зі створення нових або модернізації існуючих зразків засобів КЗІ.
НДР з розроблення нових принципів побудови і функціонування засобів КЗІ та ДКР з розроблення або
модернізації існуючого зразка засобу КЗІ виконуються згідно з технічними завданнями (далі – ТЗ), які
погоджуються виконавцем НДР (ДКР).
ТЗ на ДКР розробляється спільно замовником і виконавцем або виконавцем на підставі вихідних даних
замовника, у яких указуються перелік можливих загроз криптографічній системі (перехоплення
повідомлень, крадіжка ключових документів та іншої критичної інформації тощо), прогнозовані
характеристики технічних можливостей потенційного порушника та можливі заходи протидії (фізико-
хімічні методи знищення критичної інформації тощо). Особлива увага при цьому приділяється
забезпеченню безпеки системи управління ключовими даними (ключами).
85. Рівні можливостей порушника залежно від вірогідних умов експлуатації засобів
криптографічного захисту інформації та відповідно до цінності інформації, що захищається.
 нульовий рівень – ненавмисне порушення конфіденційності, цілісності та підтвердження авторства
інформації;
 перший рівень – порушник має обмежені кошти та самостійно створює засоби, розробляє методи
атак на засоби КЗІ, а також ІТС із застосуванням поширених програмних засобів та електронно-
обчислювальної техніки;
 другий рівень – порушник корпоративного типу має змогу створення спеціальних технічних
засобів, вартість яких співвідноситься з можливими фінансовими збитками, що виникатимуть від
порушення конфіденційності, цілісності та підтвердження авторства інформації, зокрема при втраті,
спотворенні та знищенні інформації, що захищається. У цьому разі для розподілу обчислень при
проведенні атак можуть застосовуватися локальні обчислювальні мережі;
 третій рівень – порушник має науково-технічний ресурс, який прирівнюється до науково-технічного
ресурсу спеціальної служби економічно розвинутої держави.
86. Класи засобів криптографічного захисту інформації.
клас А1 – відповідає вимогам забезпечення стійкості криптоперетворення в умовах, коли можливості
порушника обмежені лише сучасним станом науки і техніки (захист від порушника третього рівня);
клас Б1 – відповідає вимогам забезпечення стійкості криптоперетворення в умовах недокументованих
можливостей у прикладному програмному забезпеченні (захист від порушника другого рівня);
клас Б2 – відповідає вимогам забезпечення стійкості криптоперетворення в умовах здійснення порушником
навмисного зовнішнього впливу (захист від порушника другого рівня);
клас В1 – відповідає вимогам забезпечення стійкості криптоперетворення в умовах несанкціонованих дій з
боку легального користувача системи (захист від порушника першого рівня);
клас В2 – відповідає вимогам забезпечення стійкості криптоперетворення в умовах помилкових дій
обслуговуючого персоналу та відмов технічних засобів (захист від порушника першого та нульового
рівнів);
клас В3 – відповідає вимогам забезпечення стійкості криптоперетворення за рахунок стійкості
криптоалгоритму та правильної його реалізації в засобі КЗІ (захист від порушника нульового рівня).
Класи засобів КЗІ наведено в порядку зменшення вимог таким чином, що рівень, наведений вище,
передбачає виконання вимог усіх наведених нижче класів.
87. Вимоги щодо методів захисту у засобах криптографічного захисту інформації, що відповідають
установленим вимогам, залежно від виду, типу, категорії, класу засобу криптографічного захисту
інформації.
Засоби КЗІ розробляються з урахуванням можливих загроз у вірогідних умовах їх експлуатації.
У засобах КЗІ повинні бути реалізовані методи захисту, що відповідають установленим вимогам, залежно
від виду, типу, категорії, класу засобу КЗІ.
Зокрема, в засобах КЗІ видів А та Б категорій “Ш” та “П” повинні бути реалізовані
для класу В3 – механізми контролю цілісності криптографічних перетворень та захисту ключових даних
(для програмних засобів КЗІ – контролю цілісності програмного забезпечення), надійного тестування
засобу на правильність функціонування та блокування його роботи в разі виявлення порушень;
для класу В2 – механізми захисту від порушення конфіденційності інформації внаслідок помилкових дій
оператора або в разі відхилень у роботі складових елементів засобу КЗІ;
для класу В1 – механізми розмежування доступу до функцій засобу КЗІ, криптографічної схеми та
ключових даних; довірений канал для отримання інформації, що підлягає захисту; механізми знищення
ключових даних після закінчення строку їх дії; механізми захисту ключових даних на їх носіях від
несанкціонованого зчитування для класу Б2 – механізми захисту засобу КЗІ від здійснення порушником
навмисного зовнішнього впливу; механізми захисту від порушення конфіденційності та цілісності
ключових даних на ключових документах;
для класу Б1 – механізми захисту критичної інформації (ключових даних, відкритої інформації) від
недокументованих можливостей прикладного програмного забезпечення;
для класу А1 – механізми гарантованого знищення ключових даних після закінчення терміну їх дії в разі
несанкціонованого доступу до криптографічної схеми (або за командою оператора); механізми захисту
ключових даних на їх носіях від несанкціонованого зчитування.
88. Зміст інструкції із забезпечення безпеки експлуатації засобів криптографічного захисту
інформації.
Зміст Інструкції:
• права та обов’язки осіб, відповідальних за забезпечення безпеки експлуатації засобу КЗІ;
• права та обов’язки користувачів засобів КЗІ;
• порядок забезпечення безпеки засобу КЗІ під час його встановлення, експлуатації, виведення з
експлуатації, ремонту, знищення, а також у разі порушення функціонування інформаційно-
телекомунікаційної системи;
• порядок обліку засобів КЗІ;
• питання проведення тестування засобів КЗІ та їх резервування в системі;
• дії персоналу в умовах надзвичайних ситуацій, стихійного лиха та підозри компрометації ключів;
• порядок проведення контролю за станом забезпечення безпеки засобів КЗІ;
• порядок допуску в приміщення, у яких установлені засоби КЗІ;
• порядок знищення засобів КЗІ.
89. Зміст інструкції щодо порядку генерації ключових даних і поводження (облік, зберігання,
знищення) з ключовими документами.
Зміст Інструкції:
• опис ключової системи та ключових документів;
• термін дії ключових даних, ключових документів;
• порядок генерації ключових даних, їх запису на носії ключової інформації;
• порядок обліку, зберігання носіїв ключової інформації та їх знищення;
• особливості повторного використання носіїв ключової інформації;
• особливості використання ключових даних за призначенням та їх знищення.
90. Організація експлуатації (застосування за призначенням) засобів криптографічного захисту
інформації.
Експлуатація засобів КЗІ, облікованих відповідно до пункту 3 цього розділу, здійснюється відповідно до
вимог експлуатаційної документації, інструкції із забезпечення безпеки експлуатації засобів КЗІ, а також
інструкції щодо порядку генерації ключових даних та поводження з ключовими документами.
Кожний екземпляр засобів КЗІ береться на облік в організації з дати їх отримання.

Облік здійснюється у відповідному журналі обліку засобів КЗІ та носіїв ключової інформації до них. Облік
програмних засобів КЗІ здійснюється за формулярами на кожну ПЕОМ, на якій встановлено
(проінстальовано) такий засіб. Журнал обліку повинен містити такі відомості:
• назва засобу КЗІ та його заводський номер;
• тип носія ключової інформації та його обліковий номер;
• акт організаційно-розпорядчого характеру щодо введення в експлуатацію засобів КЗІ;
• дата взяття на облік засобів КЗІ та носіїв ключової інформації;
• для програмних засобів КЗІ - інвентарні номери ПЕОМ, на яких встановлено (проінстальовано)
програмні засоби КЗІ;
• прізвище, ім’я та по батькові особи, відповідальної за облік засобів КЗІ та носіїв ключової
інформації, підпис;
• прізвище, ім’я та по батькові особи, що отримала засіб КЗІ та носії ключової інформації (дата,
підпис);
• відмітка про повернення засобу КЗІ та носіїв ключової інформації (дата, підпис відповідальної
особи);
• відмітка про знищення засобів КЗІ та носіїв ключової інформації (номер акта, дата, підпис
відповідальної особи).
Одиницею обліку кожного екземпляра засобу КЗІ є:
• для апаратних та апаратно-програмних засобів - конструктивно закінчений технічний засіб;
• для програмних засобів - інсталяційна дискета, компакт-диск (CD, DVD) тощо;
• ПЕОМ користувачів, на яких встановлено (проінстальовано) програмні засоби КЗІ.
Облік засобів КЗІ та носіїв ключової інформації до них в організації забезпечується відповідальними
особами, визначеними відповідними актами організаційно-розпорядчого характеру цієї організації.
Збереження засобів КЗІ, носіїв ключової інформації забезпечується відповідальною особою,
функціональними обов’язками якої це визначено.
Особливості обліку засобів КЗІ, зазначених в пункті 3 розділу I цього Положення, визначаються
Національним банком України.
91. Моделі розгортання технології хмарних обчислень.
«Приватна хмара» – інфраструктура, призначена для використання однією організацією, що включає
кілька споживачів , можливо також клієнтами і підрядниками даної організації. Приватна хмара може
перебувати у власності, управлінні та експлуатації як самої організації, так і третьої сторони (або будь-якої
їх комбінації), і вона може фізично існувати як усередині, так і поза юрисдикцією власника.
“Публічна хмара” (англ. – public cloud) – інфраструктура, призначена для вільного використання широкою
спільнотою. Публічна хмара може перебувати у власності, управлінні та експлуатації комерційних,
наукових та урядових організацій (або будь-якої їх комбінації). Публічна хмара фізично існує в юрисдикції
власника постачальника послуг.
“Суспільна хмара” – вид інфраструктури, призначений для використання конкретною спільнотою
споживачів з організацій, що мають спільні завдання (наприклад, місій, вимоги безпеки, політики та
відповідності іншим різним вимогам). Суспільна хмара може перебувати в кооперативній (сумісній)
власності, управлінні та експлуатації однієї або більше з організацій співтовариства або третьої сторони
(або будь-якої їх комбінації), і вона може фізично існувати як усередині, так і поза юрисдикцією власника.
“Гібридна хмара”– це комбінація з двох або більше різних хмарних інфраструктур (приватних, публічних
або суспільних), що залишаються унікальними об’єктами, але пов’язані між собою стандартизованими чи
приватними технологіями передачі даних і додатків (наприклад, короткочасне використання ресурсів
публічних хмар для балансування навантаження між хмарами (cloud bursting)).
92. Особливості правового регулювання суспільних відносин під час використання хмарних
технологій.
93. Особливості організації захисту інформації при реалізації (застосуванні) технології хмарних
обчислень.
94. Джерела кібернетичних загроз. Різновиди кіберзлочинів.
95. Мета Конвенції Ради Європи про кіберзлочинність. Зміст Конвенції Ради Європи про
кіберзлочинність.
96. Об’єкти кіберзлочинів відповідно до Конвенції Ради Європи про кіберзлочинність.
97. Класифікація кіберзлочинів відповідно до Конвенції Ради Європи про кіберзлочинність.
98. Зміст злочинів проти конфіденційності, цілісності і доступності комп’ютерних даних та систем
відповідно до Конвенції Ради Європи про кіберзлочинність.
99. Зміст злочинів, пов’язаних з використанням комп’ютерів, відповідно до Конвенції Ради Європи
про кіберзлочинність.
100. Визначення «злочину» відповідно до Кримінального кодексу України. Кримінальна
відповідальність за скоєння кіберзлочинів.
1. Злочином є передбачене цим Кодексом суспільно небезпечне винне діяння (дія або бездіяльність),
вчинене суб'єктом злочину.
2. Не є злочином дія або бездіяльність, яка хоча формально і містить ознаки будь-якого діяння,
передбаченого цим Кодексом, але через малозначність не становить суспільної небезпеки, тобто не
заподіяла і не могла заподіяти істотної шкоди фізичній чи юридичній особі, суспільству або державі.
101. Поняття «адміністративного правопорушення» відповідно до Кодексу України про
адміністративні правопорушення. Адміністративна відповідальність за скоєння правопорушень.
Адміністративним правопорушенням (проступком) визнається протиправна, винна (умисна або
необережна) дія чи бездіяльність, яка посягає на громадський порядок, власність, права і свободи громадян,
на встановлений порядок управління і за яку законом передбачено адміністративну відповідальність.
Адміністративна відповідальність - це своєрідний негативний правовий наслідок, пов'язаний з
адміністративно-протиправним діянням особи, яка повинна відповідати перед державою за свій проступок і
понести за це певне покарання у вигляді адміністративного стягнення.
102. Основні загрози національним кіберпросторам, які визначені стратегіями більшості країн.
Кібершпигунство та військові дії, які здійснюються за підтримки або з відома держави. Усі технологічно
розвинені держави та корпорації стають об’єктом кібершпигнуства, яке має на меті заволодіння
державними або промисловими таємницями, персональними даними або іншою цінною інформацією.
Використання Інтернету у терористичних цілях. Терористичні угрупування використовують Інтернет з
метою пропаганди, збору коштів і вербування прихильників
Кіберзлочинність: викрадення персональних даних та відмивання коштів отриманих незаконним шляхом.
Зловмисники продають інформацію про номери банківських карток, паролі від комп’ютерних серверів та
шкідливе програмне забезпечення
103. Направленість національних законодавств країн світу у сфері кібербезпеки.
• захист персональних даних (Канада, Нідерланди, Естонія, Швеція, Фінляндія, Іспанія);
• захист електронної комерції та безпеки електронних транзакцій та платіжних інструментів (США,
Канада, Польща, Естонія, Італія);
• захист дітей (США);
• захист важливих об’єктів інфраструктури та інформаційних систем (Франція)