Міністерство оборони першим із державних органів здійснило підтвердження відповідності систем, побудованих на основі профілів безпеки. Відомство розробляє власні галузеві та цільові профілі, перейшло до авторизації систем, впровадило систему управління інформаційною безпекою (СУІБ) та успішно пройшло її сертифікацію на відповідність ДСТУ ISO/IEC 27001:2022. Також міністерство активно готує власних оцінювачів.
Міноборони почало займатися профілями безпеки
Про це під час 16-го Українського форуму з управління Інтернетом IGF-UA заявив Олег Шеметов — полковник, заступник директора Директорату цифрової трансформації у сфері оборони Міністерства оборони України, керівник експертної групи політик інформаційної та кібербезпеки. Свій виступ він присвятив темі «Досвід МОУ із впровадження ризик-орієнтованих підходів».
«Міноборони розпочало роботу над профілями безпеки ще у 2024 році. Зокрема, ми сертифікували низку власних систем на відповідність міжнародним безпековим стандартам. У 2024 році МОУ ініціювало зміни до законодавства, зокрема до законів України „Про захист інформації в ІКС“ та „Про оборону“. Це дозволило нам розробляти власні галузеві профілі безпеки. Також у Закон „Про хмарні послуги“ було внесено ключові засади щодо можливості „рухатися в хмару“. Тому Міноборони та Збройним Силам на період воєнного стану дозволяється використовувати для розміщення своїх систем хмарні ресурси, зокрема й за кордоном», — розповідає Олег Шеметов.
За його словами, з 2024 року в Міноборони було ухвалено низку важливих внутрішніх нормативних актів у сфері кібербезпеки, включно з власними вимогами та деталізованими механізмами впровадження профілів безпеки.
«Наразі в Міноборони затверджено власну Стратегію кібербезпеки. Окремим наказом затверджений галузевий профіль безпеки для систем, в яких обробляється відкрита, конфіденційна та службова інформація. На погодженні перебуває внутрішній порядок проведення авторизації для власних систем. Також опрацьовуються детальні рекомендації щодо роботи з ризиками та впровадження профілів безпеки. Ми проводимо галузеву оцінку ризиків, зокрема узагальнюємо їх на рівні відомства, щоб надати військовим зручні інструменти для роботи з новими підходами. Заплановані масштабні навчання для впроваджувачів та оцінювачів, на які подалось близько 1000 військовослужбовців із ЗСУ, Міноборони, ГУР та ДССТ», — зазначає посадовець.
Олег Шеметов також підкреслив важливість запровадження саме практичних підходів до організації кібербезпеки:
«Система захисту не будується у вакуумі. Адже всі звикли, що вона десь там розробляється, і на виході маємо „гарний папірець“, який по факту не має нічого спільного з практичним захистом. Що стосується ризиків, то, на жаль, на державному рівні відсутня зрозуміла практична методологія, за винятком певно стандарту ДСТУ ISO/IEC 27005:2023, що належить до дещо іншого фреймворку. І це створює труднощі під час проведення оцінки ризиків».
Спікер наголосив, що план захисту, який раніше використовувався в КСЗІ, часто був відірваний від життя. У реаліях сьогодення він має містити чітко визначені компоненти системи, що реалізують ті або інші контролі, терміни їх реалізації, періодичність та відповідальних осіб.
«Має бути прописана чітка схема контролю реалізації профілів безпеки. Щодо кожного контролю варто одразу формувати докази ще на етапі підготовки до авторизації. Ними можуть бути скріншоти налаштувань, документація тощо. Методи та підходи до оцінювання також можуть бути різними: як технічними, так і у формі інтерв’ю або аналізу політик. Водночас варто зазначити, що Держспецзв’язку не визначає чіткого переліку документів, що мають бути сформовані під час впровадження, а це значно зменшує бюрократію», — пояснює доповідач.
Резюмуючи свою доповідь, Олег Шеметов підкреслив, що як ліцензіати, так і власники систем мають змінити парадигму «КСЗІшного» мислення:
«Не може бути так, щоб система безпеки та набір документів існували окремо. Важливо організувати навчання та сертифікацію впроваджувачів та оцінювачів, визначитися з методологією оцінки ризиків. Ми рухаємося в ЄС, тому в кожній організації треба будувати дієву систему кібербезпеки. Що ж стосується надавачів послуг для державного сектору — наявність сертифіката СУІБ є значним підвищенням рівня довіри.
Також треба тверезо оцінювати обсяг задач замовників: за місяць побудувати систему та провести її оцінювання — просто нереально. І забудьте про СБІ — на жаль, як сутність вона не «злетіла». У нас є авторизація з безпеки та система управління інформаційною безпекою".
«Державним органам варто задуматися над власною стратегією кібербезпеки, а також ухвалити власну методологію обробки ризиків на рівні організації. Мені складно давати всім детальні рекомендації, зокрема ринку. Що ж стосується Сил безпеки та оборони — звертайтеся за консультаціями, чим зможу — допоможу. Адже від нас залежить безпека держави», — підсумував Олег Шеметов.
