Держоргани мають готуватися до переходу на RMF уже зараз
Георгій Карпов
Про це під час Міжнародного форуму BIT&BIS-2026 заявив головний державний інспектор Держмитслужби України Георгій Карпов.
«Чи було КСЗІ злом? За мій проміжок часу як фахівця в галузі захисту інформації не можу сказати, що КСЗІ було злом. Ми мали певні інструменти, які дозволяли виконати низку вимог. Як вони трактувалися на місцях, яким чином їх застосовували та як їх сприймали експерти під час перевірки матеріалів експертизи й видачі атестатів відповідності — інші речі. У мене один атестат відповідності експортувався в ДССЗЗІ протягом чотирьох місяців. Тобто були певні питання, роз’яснення та додаткові експертні перевірки. Зокрема, приходили фахівці ДССЗЗІ та оглядали середовище функціонування системи для того, щоб зрозуміти ті чи інші аспекти, визначені в експертному висновку. Це був процес, який на той час задовольняв державу. А RMF є більш суттєво дієвою системою у комплексному захисті систем інформації та в організації цих процесів», — каже Георгій Карпов.
На його думку, наразі існують ризики залежності від донорського обладнання та проблеми з техпідтримкою RMF після війни.
«Чи готові державні органи до впровадження RMF? Ті, хто отримали атестат відповідності на комплексну систему захисту інформації тієї чи іншої ІКС уже в умовах війни. А перехідні положення визначають, що атестати відповідності діють до кінця війни, а також протягом 6 місяців після неї. Тобто побудована КСЗІ та атестат відповідності, який існує, продовжить свою чинну дію до певного моменту. Наразі нам допомагають країни-донори з точки зору технічного та програмного забезпечення. Зокрема, це стосується апаратно-програмного забезпечення у повному обсязі. Однак у певний час це припиниться, і наші партнери, які нам допомагали на певному етапі, скажуть: пора фізично заплатити. І в цьому полягає велика проблема. Зокрема, чи зможемо ми отримувати технічну підтримку для продуктів, які зараз наставили за принципом: „дали і слава Богу“. А без цих продуктів, які інтегрувалися в систему, вона, скоріш за все, не буде діяти», — резюмує Георгій Карпов.
Він підкреслив, що однією з вимог базового профілю є або 90% прибирання тих продуктів, які не мають технічної підтримки, або ж застосування компенсаційних заходів.
«Тому ми вже маємо думати, як вирішувати це питання», — резюмує Георгій Карпов.
