Узвʼязку з повномасштабним вторгненням росії в Україну від 24 лютого 2022 року в Україні запроваджений воєнний стан. Водночас російські військові здійснюють агресію проти України і у кіберпросторі. Кількість кібератак на державні інформаційні системи та обʼєкти критичної інформаційної інфраструктури зросла втричі. 90% атак здійснюють військові хакери рф та білорусі, діяльність яких фінансується владою.
Основна мета російських хакерів – це цивільна інфраструктура. Вони намагаються завдати якомога більше шкоди звичайним людям шляхом як ракетних та інших обстрілів, так і кібератак.
Через воєнні дії багато установ перенесли свої дані – хтось в інші, більш спокійні регіони країни, хтось – у хмару на території України, хтось – у хмару за кордон. Ми внесли відповідні зміни до законодавства, які дозволили це робити навіть державним установам.
Проте, як і раніше, всі інформаційні системи, вимоги до захисту яких закріплені в законодавстві України, мають бути захищені за чинними стандартами. Зокрема, КСЗІ, а в деяких випадках допустиме використання європейських стандартів ISO/IEC 27 серії. Саме системи захисту інформації є першим кордоном, що стримує ворога від знищення нашої країни в кіберпросторі.
Держспецзв'язку розʼяснює, які вимоги щодо захисту даних в інформаційних системах наразі діють в Україні, як їх будувати та як отримати підтвердження захисту у воєнний час.
Які вимоги щодо захисту інформації діють у воєнний час?
Під час дії воєнного часу вимоги щодо захисту інформації в інформаційно-комунікаційних системах не змінюються. Вони визначені в Законі України “Про захист інформації в інформаційно-комунікаційних системах”.
Відповідальність за забезпечення захисту інформації в системі лежить на власнику системи.
Які загрози для інформації існують у воєнний час?
Ще до початку війни українські інформаційні системи зазнали потужних атак російських хакерів. Від початку повномасштабної відкритої агресії рф інтенсивність кібератак не знижується. Російські військові хакери намагаються отримати доступ до персональних даних українців, а також завдати шкоди українським інформаційним системам. Ці атаки координуються з атаками на критичну інфраструктуру і є частиною воєнної агресії рф.
Витік персональних даних українців загрожує тим, що військові та спецслужби ворога використовують їх проти нашого населення, у тому числі на тимчасово окупованих територіях, де українці найбільш вразливі до агресії ворога. Крім того, витік чутливих даних загрожує роботі органів влади та критичної інфраструктури, якщо він буде використаний ворогом для подальших атак. Тож під час війни та протистояння російській агресії питання захисту даних в інформаційних системах постає більш гостро.
Які стандарти захисту інформації актуальні в Україні під час дії воєнного стану?
Вимоги щодо використання стандартів захисту інформації залишаються без змін. Зокрема, державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, мають оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог і норм інформаційної безпеки у порядку, встановленому законодавством.
КСЗІ як сукупність технічних та організаційних заходів захисту впроваджуються як в інформаційній системі власника у вигляді технічних (програмно-апаратних та програмних) засобів захисту та їх налаштувань, так і в установі власника у вигляді розпоряджень, планів, інструкцій, методик тощо.
Для захисту інформаційних систем, в яких не обробляється інформація з обмеженим доступом, але захист яких вимагає українське законодавство, може бути також використана альтернативна система інформаційної безпеки відповідно до європейських стандартів ISO/IEC 27 серії.
Чи можна побудувати КСЗІ під час дії воєнного стану?
Процедура побудови КСЗІ та отримання атестата відповідності на час дії воєнного стану така сама, як і раніше.
Побудовою КСЗІ можуть займатися як спеціалізовані організації, так і самі компанії, якщо у них є відповідні фахівці. Головне, щоб побудована система відповідала усім законодавчо встановленим вимогам і змогла отримати атестат відповідності.
Скільки коштує побудова КСЗІ?
Вартість робіт визначається з урахуванням у тому числі вартості програмно-апаратних та програмних засобів технічного та криптографічного захисту інформації, які необхідні для забезпечення належного рівня захищеності інформаційних ресурсів.
Послугу надають кілька компаній, і вони конкурують між собою, тому ціну визначає ринок і складність завдання.
Як отримати атестат відповідності КСЗІ та скільки часу забирає процедура?
Атестат відповідності КСЗІ є результатом проведення державної експертизи у сфері технічного захисту інформації, яка проводиться відповідно до «Положення про державну експертизу у сфері технічного захисту інформації», яке затверджене наказом Адміністрації Держспецзв’язку від 16.05.2007 № 93, зареєстрованим у Міністерстві юстиції України 16.07.2007 за № 820/14087.
Експертиза проводиться організатором експертизи (установою, яка має відповідну ліцензію) на договірних засадах, які у тому числі передбачають і терміни проведення робіт, що залежать від складності системи, досвіду експертів, якості побудови та документування КСЗІ тощо. За практикою, середній термін проведення експертизи КСЗІ інформаційної системи становить три місяці. У разі позитивних результатів експертизи Адміністрацією Держспецзв’язку реєструється атестат відповідності КСЗІ.
Чи можна зареєструвати атестат відповідності КСЗІ під час війни?
Під час воєнного стану Адміністрація Держспецзв’язку продовжує реєструвати атестати відповідності у звичайному режимі.
Чи дійсний атестат відповідності КСЗІ при перенесенні інфраструктури в хмару на території України?
У разі перенесення інформаційно-комунікаційних систем, які мають впроваджені КСЗІ з оціненою відповідністю, системи захисту мають бути переглянуті та модернізовані, якщо була змінена технологія оброблення інформації в ІКС або програмно-апаратному чи програмному складі ІКС тощо.
В інших випадках атестат відповідності буде дійсним при розміщенні ІКС в інфраструктурі хмарного сервісу, механізми захисту інформації якого також пройшли відповідну оцінку.
А щодо іноземних хмарних сервісів?
Аналогічна ситуація, як при перенесенні інфраструктури в хмару на території України.
Чи можна побудувати КСЗІ на інформаційну інфраструктуру, яка від початку працює в закордонній хмарі?
Створення систем захисту з використанням іноземних хмарних платформ не заборонено.
Якщо компанія-ліцензіат зробить відповідний експертний аудит профілів захисту системи, яка використовує для збереження даних хмарні сервіси, розміщені за межами України, і дійде позитивних висновків, Держспецзв’язку в установленому порядку зареєструє атестат відповідності.
Якщо компанія-провайдер хмарних послуг не передбачає побудови КСЗІ за українськими стандартами?
При побудові та оцінці КСЗІ враховуються сервіси хмари, які у тому числі реалізують функції захисту інформації.
Також нагадуємо, що в деяких випадках компанія може побудувати систему інформаційної безпеки відповідно до європейських стандартів ISO/IEC 27 серії з урахуванням вимог Закону України “Про захист інформації в інформаційно-комунікаційних системах”.
Чи можна на час дії воєнного стану працювати без атестата відповідності КСЗІ або сертифіката відповідно до стандартів ISO/IEC 27, якщо у звичайний час законом такі вимоги передбачені?
Ні. Це є порушенням законодавства України. Зокрема, Закону України “Про захист інформації в інформаційно-комунікаційних системах”.