Після впровадження в Україні RMF (набору рекомендацій, розроблених NIST (Національним інститутом стандартів і технологій США) для управління ризиками кібербезпеки замість застарілої системи КСЗІ) авторизацію безпеки пройшли вже десятки систем. Однак головною проблемою залишається критична нестача професійних кадрів.
Олег Шеметов
Про це під час Міжнародного форуму BIT&BIS-2026 заявив полковник Олег Шеметов, заступник директора Директорату цифрової трансформації у сфері оборони Міністерства оборони України, керівник експертної групи політик інформаційної та кібербезпеки.
Синергія бізнесу та армії
«Міноборони та ЗСУ стали фактично випробувальним майданчиком для впровадження RMF. Нам пощастило, що багато фахівців прийшли з цивільного сектору. Я також був мобілізований із бізнесу: спочатку до лав Збройних Сил, а згодом перейшов до Міноборони. Завдяки залученню людей із солідним технічним бекграундом та досвідом у банківській сфері чи міжнародних компаніях, нам вдалося створити необхідну синергію», — зазначив Олег Шеметов.
За словами полковника, перші сертифікації відбувалися ще у 2024 році. Першою стала система «Дельта». «На той момент ще діяла вимога щодо КСЗІ, але ми вже будували захист на основі RMF. До моменту ухвалення відповідного закону в нас уже було дві системи, впроваджені та оцінені за підходами NIST RMF. Першу ми реалізували за допомогою міжнародних партнерів, а другу — вже повністю самостійно», — згадує він.
Від паперової безпеки до практичного захисту
Основний акцент під час імплементації робився на тому, щоб кожен захід контролю NIST мав практичне застосування, а не залишався лише на папері.
«Ми з командами шукали рішення, які б реально захищали державні ресурси. І це не було просто для галочки чи папірця — це була практична реалізація, яка спрямована на захист державних інформаційних ресурсів. Адже в умовах війни витік інформації може призвести не лише до компрометації та дисбалансу в організації, але й до реальних втрат. Зокрема, не тільки матеріальних, а й людських. Причому не лише серед військовослужбовців, адже в цих умовах будь-хто може стати жертвою», — підкреслив спікер.
Операційна реальність та кадровий голод
Відповідаючи на питання щодо готовності державних органів до переходу на нові стандарти, Олег Шеметов навів актуальні цифри: «Станом на вчора в Україні трохи більше 70 систем пройшли авторизацію безпеки, плюс ще 6 систем, що були перевірені за принципом „КСЗІ на основі NIST“. Для масштабів держави дуже мало. Головна перепона — відсутність спеціалістів, здатних здійснювати фаховий нормативний і технічний аналіз».
Він зазначив, що якщо всередині організації немає відповідального за кіберзахист, який дійсно переймається цим процесом, має значний досвід і кваліфіковану команду, то з переходом на RMF можуть виникнути значні проблеми.
Також було зазначено, що різкий законодавчий перехід від КСЗІ до RMF на 100% створює певну правову та операційну невизначеність, яка потребує подальшого врегулювання.
