У межах воркшопу щодо імплементації Закону № 4336-ІХ, до якого долучилось більше ніж 1000 фахівців державних структур та об’єктів критичної інфраструктури, керівники ключових департаментів Адміністрації Держспецзв’язку надали детальні роз'яснення щодо процесу авторизації систем, розробки нормативної бази та нових підходів до державного контролю. Ці механізми стануть основою для побудови оновленої системи кіберзахисту.
Держава передбачила перехідний період, який має спростити адаптацію до нових підходів. Комплексні системи захисту інформації (КСЗІ) та системи управління інформаційною безпекою, які вже мають підтверджену відповідність, продовжать експлуатуватися згідно з умовами їх створення і не потребують повторної авторизації.
Натомість системи, створення яких розпочато до набрання чинності Законом, підлягають авторизації з безпеки на підставі документа про оцінку відповідності КСЗІ в межах державної експертизи у сфері технічного захисту інформації.
Процес авторизації передбачає чітку послідовність дій усіх залучених сторін відповідно до визначених ролей. Адміністрація Держспецзв’язку затверджує базовий профіль безпеки (БПБ), галузеві органи – галузеві профілі безпеки (ГПБ), а власники інформаційно-комунікаційних систем, спираючись на БПБ або ГПБ, визначають цільовий профіль безпеки (ЦПБ) для своїх систем.
На основі ЦПБ впроваджується захищена інформаційна система, яка проходить незалежну оцінку реалізації профілю безпеки відповідно до вимог, встановлених Держспецзв’язку. Завершальним етапом є оформлення авторизаційної документації та її подання до Адміністрації.
Наразі триває розробка проєктів документів, передбачених Законом України № 4336-ІХ. Серед них – 7 проєктів постанов Кабінету Міністрів України та 8 проєктів наказів Адміністрації Держспецзв’язку.
Вони охоплюють широкий спектр напрямів: реагування на кіберінциденти, кібератаки та кіберзагрози, обмін відповідною інформацією, вимоги до об’єктів критичної інфраструктури, пошук і виявлення вразливостей, кібергігієну, повноваження та роль керівників і підрозділів з кіберзахисту, функціонування команд реагування тощо.
Зараз Держспецзв’язку активно працює над розвитком компетенцій з кібергігієни в державних органах, а також над освітніми програмами та підвищенням кваліфікації фахівців.
Порядок оцінювання стану кіберзахисту спрямовано насамперед на державні органи та об’єкти критичної інфраструктури. Саме вони найчастіше стають мішенню кібератак, тож підвищення їхньої кіберстійкості є пріоритетом Служби. Заходи державного контролю в межах реалізації Закону № 4336-ІХ не мають на меті здійснення тиску. Це – сервісна функція, спрямована на забезпечення прав і свобод громадян та протидію кримінальним діям держави-окупанта. Презентаційні матеріали з воркшопу можна знайти тут.
