Чи потрібен Україні атестат комплексної системи захисту інформації
Відповідь: потрібен. Але його варто осучаснити.
5 років тому кілька волонтерів та небайдужих представників влади презентували систему Prozorro. На той момент не було нічого, окрім дуже простої електронної системи (MVP), пари замовників у ній, назви та логотипу. За ці роки електронна система закупівель Prozorro перетворилась на потужну ІТ-систему, в якій зберігається 100 терабайт інформації, якою користується майже 250 тисяч підприємств та органів влади і яку не змогли зламати білі хакери. На роботу системи також не вплинув вірус Petya, який свого часу “поклав” багато інформаційних систем українських держорганів.
Кібер-загрози - один з головних викликів сьогодення. Тому з самого початку ми будували комплексну систему безпеки. Робота над захистом системи стала поточночню діяльністю, бо захист, це не стан, а процес. Процеси інформаційної безпеки, що є частиною процесів компанії, активні та пасивні аудити, інтегрованість вимог з інформаційної безпеки в процес розробки програмного забезпечення - ось лише декілька важливих елементів із тих, які постійно є в зоні нашої уваги.
Минулого року центральна база даних Prozorro також отримала Атестат відповідності комплексної системи захисту інформації (КСЗІ). Адже ми, як державний інформаційний ресурс, маємо максимально підтвердити рівень свого інформаційного захисту. Що ми успішно зробили.
КСЗІ - це не стільки мапа дій, скільки рекомендації з для побудови інформаційного захисту. Якщо порівнювати атестат з фізичними тренуваннями, то атестат - це набір порад для складання індивідуальної програми тренування, але це точно не готова програма, що потрібно робити.
У стандарті не все побудовано на кшталт “зробити 40 присідань, 20 віджимань”. У ньому є опис необхідних механізмів захисту, які треба підібрати під власну ситуацію та про впровадження яких має подбати керівник, щоб система захисту інформації була справді комплексною.
Я чую багато розмов про те, що атестат КСЗІ треба скасувати, бо його наявність не гарантує захист від зломів системи. Для мене, як фахівця з інформаційної безпеки, такі дискусії виглядають дивно. Жоден із стандартів інформаційної безпеки не може гарантувати відсутності зламів. Задача стандарту - не допустити тривіальних помилок та забезпечити оптимальну реакцію на інциденти. До того ж важко погодитися із твердженням, що нам не треба захищати державні дані.
Інше питання, чи є стандарт ідеальним? Будь-який атестат з комплексної системи захисту нічого не гарантує, якщо підійти до процесу формально та “для галочки”. До того ж наявний Порядок про отримання КСЗІ за своєю суттю є застарілим і потребує модернізації, тому що світ змінюється швидше, ніж вимоги, записані в нормативних документах. І це привід для серйозної дискусії фахівців.
Попри багато позитивних моментів, які описує стандарт, він справді не враховує технологічні зміни, що відбулися у світі. Наприклад, використання хмарних технологій напряму не передбачено стандартом, що додало складності в побудові КСЗІ на Прозорро. До того ж процедура отримання атестату відповідності займає місяці, в той час як переважна більшість сучасних систем оновлюється мало не щотижня.
Тренд на посилення інформаційної безпеки і захист персональних даних буде лише посилюватись. Аби система захисту інформації була дієвою, ви маєте постійно моніторити ризики, розробляти контрдії, моделювати усі можливі ситуації, коли систему можуть зламати. Український атестат КСЗІ має враховувати динамічність розвитку світової кібербезпеки. А Україні точно потрібно мати стандарти інформаційної безпеки, що будуть сучасними та спиратися на світові практики. Тож вимоги до інформаційної безпеки необхідно радикально модернізувати, а не відміняти.
- Війна змінила правила гри: Україна на першому місці за передачами озброєння (2022–2024) Христина Кухарук вчора о 16:22
- Как оформить наследство в Украине, если вы находитесь за границей: пошаговая инструкция Віра Тарасенко вчора о 14:50
- Централізація закупівель: як Україна та ЄС підвищують ефективність державних витрат Олена Усеінова 23.05.2025 17:38
- Обмеження переказів між картками: що зміниться з 1 червня? Денис Терещенко 23.05.2025 15:07
- Як уникнути блокування податкових накладних? Сергій Пагер 23.05.2025 08:47
- Сімейне підприємництво в Україні: міжнародний досвід та перспективи Юлія Мороз 22.05.2025 14:15
- Світло – не трофей Ірина Голіздра 22.05.2025 12:56
- Оскарження тарифу на електроенергію: КОАС розглядає справу проти постанови КМУ Андрій Хомич 22.05.2025 11:38
- Господарювання без сторонніх або ТОВ з 1 учасником Альона Пагер 22.05.2025 09:39
- Капітал у квадратних метрах: стратегічний погляд на інвестиції в українську нерухомість Раміль Мехтієв 22.05.2025 09:07
- Хто вбив Андрія Портнова? Дмитро Золотухін 22.05.2025 01:17
- Психосоціальні ризики: прихована загроза безпеці праці, яку не варто ігнорувати Валентин Митлошук 21.05.2025 15:51
- Війна і молодь України: виклики, нові цінності та перспективи розвитку після війни Захарій Ткачук 21.05.2025 13:32
- Що робити зі скасуванням торгівельного безвізу для України Юрій Щуклін 21.05.2025 13:22
- Суд не вправі оцнювати ухвали НСРД Андрій Хомич 21.05.2025 11:39
- Хто вбив Андрія Портнова? 3436
- Україна: 68 місце за якістю життя і 87 за зарплатами – сигнал для реформ 216
- Секс під час війни: про що мовчать, але переживають тисячі 152
- Війна змінила правила гри: Україна на першому місці за передачами озброєння (2022–2024) 97
- Обмеження переказів між картками: що зміниться з 1 червня? 87
-
Нові 1920-ті, "кернесанс" і "Геть від Москви!": як живе Харків за 30 км від Росії
9505
-
Від $2000 за квадрат і робітники з Індії. Ігор Ніконов про майбутнє ринку нерухомості
Бізнес 8219
-
Виклик Маску: як Китай утричі обігнав Starlink за потужностями виробництва супутників
Думка 7412
-
Натреновані на вбивство: Кремлю доведеться розв'язувати проблему розлючених фронтовиків
Думка 6774
-
"Агресор космічного масштабу". Ексрозвідниця США про загрозу РФ, Китаю і нову роль України
5869