Вимоги кібербезпеки в Україні
Упровадження й оцінювання кіберзахисту, та авторизація систем
Допомагаємо державним органам, підприємствам, установам, органам місцевого самоврядування, операторам критичної інфраструктури й власникам об’єктів критичної інформаційної інфраструктури (КІІ) виконувати сучасні вимоги України в сфері захисту інформації та кіберзахисту.
H-X Technologies (ТОВ “Ейч-Екс”, повна назва – товариство з обмеженою відповідальністю “Ейч-Екс Текнологіс”) аналізує застосовні нормативні вимоги, проводить оцінювання кіберризиків, розробляє цільові профілі безпеки (ЦПБ), проєктує та впроваджує організаційні й технічні заходи, готує доказову та авторизаційну документацію, а також супроводжує усунення виявлених невідповідностей.
Маємо ліцензію Держспецзв’язку на надання послуг криптографічного та технічного захисту інформації.
Запитати вартістьКомплексна система захисту інформації (КСЗІ) більше не є універсальним шляхом виконання вимог безпеки для систем. Залежно від власника системи, категорії інформації, критичності об’єкта й правового статусу проєкту можуть застосовуватися:
|
Що потрібно саме вашій організації
Перший етап нашої роботи — визначення правильного правового й технічного варіанту.
| Ваша ситуація | Варіанти дій |
| Створюється нова державна інформаційна система | Визначення застосовного профілю, розроблення ЦПБ, упровадження заходів, оцінювання дотримання ЦПБ та авторизація |
| Система вже авторизована | Щорічний перегляд ризиків і ЦПБ, планова авторизація, управління змінами |
| Ви є оператором критичної інфраструктури або власником КІІ | Оцінювання поточного стану кіберзахисту, план кіберзахисту, зовнішнє оцінювання та інші галузеві вимоги |
| Потрібно провести щорічну перевірку фактичного стану захисту | Планове самооцінювання поточного стану кіберзахисту |
| Відбувся критичний або надзвичайний кіберінцидент | Аналіз підстав для позапланового зовнішнього оцінювання та усунення виявлених недоліків |
| Створення КСЗІ було розпочато до переходу на нову модель | Аналіз документів, строків і можливості завершення перехідної процедури |
| Є чинний атестат відповідності КСЗІ | Аналіз строку його дії, змін у системі та планування переходу до чинної моделі |
| Потрібне підтвердження відповідності стандарту | Визначення застосовності сертифікації та підготовка до оцінки відповідності |
| Незрозуміло, чи поширюються вимоги на приватну компанію | Юридичний і технічний аналіз власника, системи, інформації, послуг та статусу критичності |
Не слід плутати
- Оцінювання ризиків відповідає на запитання: що може статися, наскільки це ймовірно і якими можуть бути наслідки?
- Оцінювання стану кіберзахисту відповідає на запитання: які вимоги та заходи фактично виконані й наскільки повно?
- Оцінювання дотримання ЦПБ відповідає на запитання: чи реалізовані вимоги конкретного цільового профілю, необхідного для авторизації?
Не впевнені, яка процедура вам потрібна? Надішліть нам короткий опис системи, її власника, типів інформації та поточного стану документів. Ми проведемо попередній аналіз застосовності вимог і запропонуємо практичний маршрут. |
Кому можуть бути потрібні ці послуги
Порядок авторизації за постановою Кабінету міністрів України (КМУ) №712 застосовується до визначених систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також до об’єктів КІІ, власниками або розпорядниками яких є органи державної влади, інші державні органи, державні підприємства, установи й організації та органи місцевого самоврядування.
Порядок оцінювання стану кіберзахисту за постановою КМУ №1799 охоплює відповідні державні системи, об’єкти критичної інфраструктури та КІІ, а також визначених юридичних осіб незалежно від організаційно-правової форми. Для об’єктів критичної інфраструктури та КІІ III і IV категорій оцінювання переважно є добровільним, крім установлених Порядком випадків.
Типові замовники:
- органи державної влади та інші державні органи;
- органи місцевого самоврядування;
- державні підприємства, установи й організації;
- оператори критичної інфраструктури;
- власники та розпорядники об’єктів КІІ;
- розробники й постачальники систем для державного сектору;
- підрядники, які обробляють державні інформаційні ресурси або захищену законом інформацію;
- організації, які готуються до оцінювання чи державного контролю.
Важливе виключення: порядок оцінювання за постановою №1799 не поширюється на Національний банк України, банки, визначені установи та осіб на ринках фінансових послуг, діяльність яких регулює НБУ, а також на відповідних учасників платіжного ринку. Для них діють окремі галузеві вимоги.
Безплатна консультаціяАвторизація з безпеки системи
Авторизація підтверджує дотримання вимог цільового профілю протягом життєвого циклу системи.
Типовий порядок авторизації
1. Базовий або галузевий профіль |
Види авторизації
| Вид | Коли проводиться |
| Первинна | Перед початком функціонування або експлуатації системи |
| Планова | Для регулярного підтвердження авторизації протягом життєвого циклу |
| Позапланова | Після визначених змін профілів, ЦПБ, архітектури, умов експлуатації або за результатами контролю |
Планова авторизація проводиться не пізніше одного календарного року після попередньої первинної, планової або позапланової авторизації. Позапланова авторизація у визначених випадках проводиться протягом шести місяців після відповідних змін.
Авторизація — це не одноразовий проєкт. Потрібно регулярно переглядати ризики, ЦПБ, конфігурацію системи, доказову базу та впроваджені заходи. |
Оцінювання стану кіберзахисту за постановою №1799
Постанова КМУ №1799 запровадила єдиний порядок оцінювання стану кіберзахисту інформаційних та інформаційно-комунікаційних систем, об’єктів критичної інфраструктури й об’єктів КІІ.
Чотири види оцінювання
| Вид оцінювання | Основна мета |
| Оцінювання дотримання вимог ЦПБ | Підтвердити виконання цільового профілю для авторизації системи |
| Оцінювання поточного стану кіберзахисту | Визначити фактичний стан виконання законодавчих вимог і повноту заходів кіберзахисту |
| Оцінювання на відповідність національним стандартам | Підтвердити відповідність об’єкта вимогам відповідного стандарту |
| Оцінка стану захищеності державних інформаційних ресурсів | Виявити загрози державним інформаційним ресурсам і запобігти несанкціонованим діям |
Ці види мають різні цілі, методики, підстави та результати. Один вид оцінювання не слід автоматично вважати заміною іншого.
Періодичність і ключові строки
| Подія або обов’язок | Строк |
| Планове самооцінювання поточного стану кіберзахисту | Щороку |
| Планове зовнішнє оцінювання для операторів критичної інфраструктури та власників або розпорядників КІІ | Не рідше одного разу на два роки |
| Позапланове зовнішнє оцінювання після визначеного критичного чи надзвичайного кіберінциденту | Протягом трьох місяців після завершення відповідного реагування |
| Надсилання копії звіту Держспецзв’язку | Протягом 30 календарних днів після завершення оцінювання |
| Зберігання звіту власником і суб’єктом оцінювання | Три роки |
Самооцінювання
Самооцінювання поточного стану кіберзахисту може бути:
- плановим — проводиться щороку;
- позаплановим — проводиться за рішенням власника або розпорядника.
Самооцінювання не означає довільну внутрішню перевірку. Його мають проводити посадові особи, які відповідають установленим вимогам до суб’єктів оцінювання та включені до відповідного переліку. Для проведення самооцінювання також може бути залучений зовнішній суб’єкт оцінювання.
Зовнішнє оцінювання
Зовнішнє оцінювання виконує незалежний суб’єкт, який:
- відповідає вимогам Держспецзв’язку;
- включений до переліку суб’єктів оцінювання;
- має право виконувати відповідний вид оцінювання;
- не є посадовою особою власника або розпорядника об’єкта;
- не брав участі у створенні об’єкта оцінювання.
Один суб’єкт також не може оцінювати той самий об’єкт понад три роки поспіль.
Безплатна консультаціяРозмежування ролей і незалежність оцінювання
H-X Technologies може допомагати замовнику створювати систему захисту, упроваджувати засоби технічного захисту інформації (ТЗІ) та криптографічного захисту інформації (КЗІ), розробляти ЦПБ, оцінювати ризики, готувати документацію та усувати невідповідності.
| Робота | Хто може виконувати |
| Аналіз застосовних вимог | H-X |
| Оцінювання ризиків | H-X разом із замовником |
| Розроблення ЦПБ | H-X разом із власником або розпорядником |
| Проєктування та впровадження заходів | H-X і замовник |
| Підготовка доказової бази | H-X і замовник |
| Попереднє оцінювання невідповідностей | H-X |
| Формальне оцінювання об’єкта | Незалежний суб’єкт із відповідного переліку |
| Авторизаційний лист | Власник або розпорядник системи за підтримки H-X |
| Прийняття відповідальності за систему | Власник або розпорядник |
Як H-X готує систему до авторизації та оцінювання
- інтерв’ю з відповідальними особами;
- аналіз архітектури та меж системи;
- інвентаризація активів;
- аналіз категорій інформації;
- перевірка чинних документів;
- визначення нормативної бази;
- аналіз постачальників і зовнішніх сервісів;
- перевірка хмарної та гібридної інфраструктури.
Результат: звіт про застосовність вимог і початковий перелік прогалин.
- ідентифікація загроз і вразливостей;
- визначення критичних процесів;
- оцінювання впливу;
- формування реєстру ризиків;
- визначення прийнятного рівня ризику;
- підготовка плану оброблення ризиків.
Результат: модель ризиків і обґрунтований цільовий стан кіберзахисту.
- вибір застосовного базового профілю;
- аналіз галузевого профілю;
- формування матриці вимог;
- розроблення ЦПБ;
- підготовка політик, процедур і регламентів;
- визначення доказів виконання вимог.
Результат: погоджений комплект вимог до системи та план їх реалізації.
- проєктування архітектури захисту;
- упровадження та налаштування засобів;
- розподіл ролей і відповідальності;
- формування реєстру ризиків;
- налаштування журналювання та моніторингу;
- управління доступом і привілеями;
- резервування та відновлення;
- управління вразливостями;
- реагування на інциденти;
- навчання персоналу.
Результат: реалізовані контролі та комплект технічних доказів.
- перевірка виконання вимог ЦПБ;
- аналіз документів і доказів;
- технічне тестування;
- інтерв’ю з відповідальними особами;
- перевірка вибірок;
- класифікація невідповідностей;
- формування плану коригувальних дій.
Результат: звіт про готовність до незалежного оцінювання.
- координація із суб’єктом оцінювання;
- підготовка матеріалів і доступів;
- супровід інтерв’ю та технічних перевірок;
- усунення виявлених невідповідностей;
- підготовка авторизаційного листа;
- супровід подання документів.
Результат: належно оформлений пакет для авторизації або звіт відповідного виду оцінювання.
- щорічне оцінювання ризиків;
- перегляд ЦПБ;
- підготовка до планової авторизації;
- контроль суттєвих змін;
- актуалізація документації;
- контроль коригувальних заходів;
- підготовка до повторного або позапланового оцінювання.
Організаційні та технічні заходи
Постанова №1531 установлює мінімальні організаційні й технічні вимоги до захисту відповідних державних систем. Конкретний набір заходів для певної системи визначається її ЦПБ, архітектурою, категоріями інформації, нормативними вимогами та результатами оцінювання ризиків. Можливі напрями робіт:
Управління доступом
- ідентифікація та автентифікація;
- багатофакторна автентифікація;
- рольова модель доступу;
- управління привілейованими обліковими записами;
- регулярний перегляд прав;
- блокування несанкціонованих спроб доступу.
Мережевий захист
- сегментація мережі;
- міжмережеві екрани;
- захищений віддалений доступ;
- VPN і криптографічний захист каналів;
- контроль міжсегментних з’єднань;
- захист зовнішнього периметра.
Захист серверів і робочих станцій
- безпечні конфігурації;
- антивірусний захист та EDR;
- управління оновленнями;
- контроль цілісності;
- керування вразливостями;
- контроль використання програмного забезпечення.
Моніторинг і реагування
- централізоване журналювання;
- SIEM і кореляція подій;
- моніторинг критичних компонентів;
- виявлення аномалій;
- процедури реагування;
- збереження та захист журналів.
Забезпечення безперервності
- резервне копіювання;
- контроль успішності копій;
- відокремлене або незмінюване зберігання;
- тестування відновлення;
- плани безперервності та аварійного відновлення;
- резервування критичних компонентів.
Криптографічний захист
- шифрування даних і каналів;
- управління ключами;
- застосування електронних підписів і печаток;
- використання засобів КЗІ відповідно до застосовних вимог;
- контроль строків дії ключів і сертифікатів.
Організаційний захист
- політики та регламенти;
- розподіл ролей;
- управління інцидентами;
- управління змінами;
- контроль постачальників;
- навчання користувачів;
- внутрішній контроль і регулярне оцінювання.
Наведений перелік є орієнтовним. Наявність VPN, EDR, SIEM або іншого продукту сама по собі не підтверджує виконання вимог. Важливі правильний вибір, налаштування, інтеграція, документування та постійне використання засобу.
Безплатна консультаціяРезультати, які отримує замовник
Залежно від обраного обсягу робіт H-X може підготувати:
| Результат | Зміст |
| Висновок про застосовність вимог | Обґрунтування необхідної процедури та нормативної бази |
| Опис меж системи | Компоненти, інтеграції, користувачі, середовища та зовнішні сервіси |
| Реєстр активів | Інформаційні, програмні, технічні та допоміжні активи |
| Реєстр ризиків | Загрози, вразливості, наслідки, рівні ризику й власники |
| Матриця відповідності | Зіставлення нормативних вимог із фактичними заходами |
| Цільовий профіль безпеки | Сукупність застосовних заходів для конкретної системи |
| План усунення прогалин | Пріоритети, строки, відповідальні та очікувані докази |
| Політики й процедури | Організаційна документація з кіберзахисту та ТЗІ/КЗІ |
| Архітектура захисту | Технічні рішення, сегментація, потоки даних і засоби захисту |
| Комплект доказів | Конфігурації, журнали, протоколи, акти, скриншоти та реєстри |
| Звіт про готовність | Перелік невідповідностей перед формальним оцінюванням |
| Авторизаційна документація | Матеріали для оформлення та подання авторизаційного листа |
| План постійного супроводу | Календар переглядів, оцінювань, авторизацій і контрольних заходів |
Перехідні КСЗІ та раніше оформлені документи
Постанова №712 передбачила перехідні положення для КСЗІ й процедур декларування, розпочатих до набрання нею чинності. Роботи зі створення КСЗІ в окремих випадках могли завершуватися за попередньою процедурою з подальшою авторизацією у встановлений строк. Для систем із державною таємницею застосовується окрема прив’язка до дати реєстрації атестата відповідності.
Оскільки загальний 12-місячний перехідний строк після набрання чинності постановою вже сплив, кожний незавершений проєкт потрібно аналізувати індивідуально.
Якщо у вас є КСЗІ, потрібно перевірити
- коли були розпочаті роботи;
- які документи затверджені;
- чи проводилася державна експертиза;
- чи зареєстрований атестат відповідності;
- строк дії атестата;
- чи змінювалася архітектура або склад системи;
- чи змінилися категорії інформації;
- чи проводилась модернізація;
- чи застосовувалася експериментальна процедура декларування;
- який профіль і вид авторизації потрібні надалі.
Не рекомендуємо автоматично продовжувати старий проєкт КСЗІ лише тому, що частина документів уже підготовлена.
Спочатку потрібно перевірити їхню юридичну та технічну актуальність, а також можливість використання в новій моделі.
Сертифікація як альтернативний маршрут
У передбачених законом випадках замість авторизації може застосовуватися отримання сертифіката відповідності стандарту інформаційної безпеки від належним чином акредитованого органу з оцінки відповідності.
Цей маршрут:
- не тотожний будь-якій сертифікації організації за ISO/IEC 27001;
- потребує аналізу конкретної системи та застосовного національного стандарту;
- виконується акредитованим органом з оцінки відповідності;
- не застосовується до систем, у яких обробляється державна таємниця.
H-X допомагає оцінити застосовність такого маршруту, підготувати систему й документацію та усунути невідповідності перед оцінкою відповідності.
Чому H-X Technologies
- Ліцензія Держспецзв’язку на послуги криптографічного та технічного захисту інформації.
- Практичний досвід у кібербезпеці, аудитах, тестуванні та впровадженні захисту.
- Поєднання нормативної, організаційної та технічної експертизи.
- Досвід роботи з державними, корпоративними, хмарними та критичними середовищами.
- Можливість залучити архітекторів, аудиторів, пентестерів, DevSecOps- та SOC-фахівців.
- Орієнтація на фактичну захищеність, а не лише на підготовку комплекту документів.
- Прозоре розмежування між упровадженням і незалежним формальним оцінюванням.
- Можливість постійного супроводу після первинного проєкту.
Поширені запитання
Чи потрібно тепер створювати КСЗІ для кожної нової державної системи?
Не завжди. Для систем, що підпадають під постанову №712, основним маршрутом є авторизація на основі базового, галузевого та цільового профілів безпеки. КСЗІ залишається актуальною передусім у перехідних і спеціальних випадках, які потрібно аналізувати індивідуально.
Чи замінює оцінювання ризиків щорічне самооцінювання кіберзахисту?
Ні. Оцінювання ризиків і самооцінювання поточного стану кіберзахисту мають різні цілі та результати. Ризики показують можливі сценарії втрат, а самооцінювання перевіряє фактичне виконання вимог і повноту впроваджених заходів.
Чи може наша служба інформаційної безпеки самостійно провести самооцінювання?
Може, якщо відповідальні посадові особи відповідають установленим вимогам до суб’єктів оцінювання для такого виду робіт і включені до відповідного переліку. В іншому разі потрібно залучити зовнішнього суб’єкта оцінювання.
Чи може компанія, яка створювала систему захисту, сама провести її формальне оцінювання?
Ні. Постанова №1799 забороняє проводити оцінювання суб’єкту, який брав участь у створенні об’єкта оцінювання.
Хто приймає рішення про авторизацію системи?
Для систем без державної таємниці авторизація має повідомний характер: власник або розпорядник подає авторизаційний лист і несе відповідальність за достовірність інформації, правильність вибору методів, засобів і заходів. Держспецзв’язку вносить дані до переліку авторизованих систем за встановленою процедурою.
Як часто потрібно проходити авторизацію?
Планова авторизація проводиться не пізніше одного календарного року після попередньої авторизації. Також може знадобитися позапланова авторизація після змін профілів, ЦПБ, архітектури або умов експлуатації.
Чи можна використати документи старої КСЗІ?
Частину матеріалів іноді можна використати як джерело інформації або доказову базу. Однак їх потрібно перевірити на актуальність, відповідність реальній архітектурі та чинним профілям і нормативним вимогам.
Скільки коштує підготовка до авторизації?
Вартість залежить від:
- розміру та складності системи;
- кількості компонентів і середовищ;
- категорій інформації;
- поточного рівня документації;
- кількості виявлених прогалин;
- необхідності впровадження технічних засобів;
- потрібного виду оцінювання;
- обсягу взаємодії з незалежним оцінювачем.
Після короткого початкового обстеження ми можемо запропонувати поетапний план і бюджет.
Розпочніть із перевірки застосовних вимог
Неправильно обраний маршрут може призвести до зайвих витрат, підготовки непридатних документів, пропущених строків, конфлікту незалежності та необхідності повторного оцінювання.
H-X Technologies допоможе:
- визначити, які вимоги застосовуються;
- оцінити поточний стан системи;
- розробити практичний план;
- упровадити необхідні заходи;
- підготувати систему до незалежного оцінювання;
- супроводити авторизацію та подальший життєвий цикл.
Пов’язані послуги
Ознайомтеся з додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для отримання безплатної консультації.