Понад 100 систем в Україні вже авторизовані за новими правилами, - Держспецзв’язку

Закон № 4336-ІХ забезпечив принципово нові підходи до захисту інформації в Україні та дав інструментарій для суттєвого підвищення рівня захисту важливих для держави даних. За час реалізації положень цього документа вже понад 100 інформаційно-комунікаційних систем були авторизовані за новими підходами.

Про це повідомив директор Департаменту захисту інформації Адміністрації Держспецзв’язку Андрій Головенко в інформагенції «Укрінформ» на пресконференції, присвяченій результатам першого року дії Закону України № 4336-ІХ.

Він зазначив, що комплексна система захисту інформації (КСЗІ), яка діяла з початку 2000-х років, не відповідала рівню сучасних вимог і загроз, які існують в інформаційному просторі, тому необхідно було змінити підходи у цій сфері.

При розробленні Закону № 4336-ІХ були враховані кращі світові практики, зокрема стандарти безпеки інформаційних систем, розроблені Національним інститутом стандартів і технологій США (NIST). Закон дав змогу запровадити в Україні ризик-орієнтований підхід і системи авторизації з безпеки шляхом оцінки загроз і впровадження базових профілів безпеки.

«Протягом першого року дії закону зроблені ключові кроки з реалізації його норм. Повністю ухвалено необхідну нормативно-правову базу – постанови Уряду, накази Адміністрації Держспецзв’язку. Видані методичні рекомендації, затверджені базові профілі безпеки для конфіденційної, службової, таємної і цілком таємної інформації», – наголосив директор Департаменту захисту інформації Адміністрації Держспецзв’язку.

Оцінюючи перші результати дії закону, Андрій Головенко зазначив, що нова система суттєво підвищила рівень захисту інформресурсів, зокрема встановила чіткі критерії і мінімальні вимоги до забезпечення інформації у державних інформаційних ресурсах. Водночас система захисту стала більш гнучкою: власники чи розпорядники систем або суб’єкти господарювання, які впроваджують системи захисту, можуть використовувати ті чи інші технічні стандарти в межах встановлених параметрів.

Зокрема, усунуто багато бюрократичних перепон, етапів погодження технічної документації, проміжних погоджень, скорочено час на ухвалення рішення, впроваджено гнучкий підхід до заходів захисту відповідно до обраного профілю. Більше не потрібен громіздкий перелік документів, як за часів дії КСЗІ. Зараз рішення про авторизацію системи з безпеки ухвалює власник, надсилаючи до Адміністрації Держспецзв’язку лише авторизаційний лист, який розглядається з точки зору коректності та повноти наданої інформації. Далі протягом 10 днів ухвалюється рішення про внесення системи до переліку авторизованих.

Зараз фахівці Держспецзв’язку оцінюють ефективність технічних і нормативно-правових рішень, ухвалених після набуття чинності законом. Одночасно триває роз’яснювальна робота щодо нових правил із суб’єктами сфери захисту інформації. Для цього Держспецзв’язку організовує воркшопи, конференції, онлайн-зустрічі з відповідальними за захист інформації та кіберзахист у регіонах, фахівці департаменту в постійному режимі консультують ліцензіатів, державні органи, допомагаючи якомога швидше засвоїти особливості роботи в новій системі.

На цей час уже понад 100 інформаційно-комунікаційних систем авторизовані за новими правилами, триває моніторинг ефективності нових підходів. «Це не заходи державного контролю, а спільна робота, яка допоможе навчитися працювати в нових реаліях», – підкреслив Андрій Головенко.

Закон № 4336-ІХ започаткував зміни і в суміжних сферах, зокрема криптографічному і технічному захисті інформації. Андрій Головенко зауважив, що Держспецзв’язку стала органом галузевої стандартизації, який відповідає за переведення нормативних документів у стандарти, які будуть ухвалюватися відповідними наказами. Частина цих наказів матиме рекомендаційний, а деякі – обов’язковий характер. Це дасть змогу створити гнучку модель реагування на актуальні загрози.

Також у криптографії відмовилися від поняття «засоби спеціального зв’язку», вимоги тут уніфіковані зі сферою технічного захисту інформації. Впроваджуються нові швидкісні моделі криптозахисту і шифратори. Фахівці департаменту Адміністрації Держспецзв’язку розробляють концепцію модернізації систем криптографічного і технічного захисту інформації.