Требования к защите информации в информационных системах в военное время: разъяснение Госспецсвязи

В связи с полномасштабным вторжением России в Украину от 24 февраля 2022 года в Украине введено военное положение. В то же время российские военные совершают агрессию против Украины и в киберпространстве. Количество кибератак на государственные информационные системы и объекты критической информационной инфраструктуры выросло втрое. 90% атак осуществляют военные хакеры России и Беларуси, деятельность которых финансируется властями.

Основная цель российских хакеров – это гражданская инфраструктура. Они пытаются нанести как можно больше вреда обычным людям путем как ракетных и других обстрелов, так и кибератак.

Из-за военных действий многие учреждения перенесли свои данные – кто-то в другие, более спокойные регионы страны, кто-то – в облако на территории Украины, кто-то – в облако за границу. Мы внесли соответствующие изменения в законодательство, позволяющие это делать даже государственным учреждениям.

Однако все информационные системы, требования к защите которых закреплены в законодательстве Украины, должны быть защищены по действующим стандартам. В частности, КСЗИ, а в некоторых случаях допустимо использование европейских стандартов ISO/IEC 27 серии. Именно системы защиты информации являются первой границей, сдерживающей врага от уничтожения нашей страны в киберпространстве.

Госспецсвязи разъясняет, какие требования по защите данных в информационных системах действуют в Украине, как их строить и как получить подтверждение защиты в военное время.

Какие требования по защите информации действуют в военное время?

Во время военного времени требования по защите информации в информационно-коммуникационных системах не изменяются. Они определены в Законе Украины "О защите информации в информационно-коммуникационных системах".

Ответственность за обеспечение защиты информации в системе лежит на владельце системы.

Какие угрозы для информации существуют в военное время?

Еще до начала войны украинские информационные системы подверглись мощным атакам российских хакеров. С начала полномасштабной открытой злости РФ интенсивность кибератак не снижается. Российские военные хакеры пытаются получить доступ к персональным данным украинцев, а также нанести ущерб украинским информационным системам. Эти атаки координируются с атаками на критическую инфраструктуру и являются частью военной злости России.

Утечка персональных данных угрожает тем, что военные и спецслужбы врага используют их против нашего населения, в том числе на временно оккупированных территориях, где украинцы наиболее уязвимы к агрессии врага. Кроме того, утечка чувствительных данных угрожает работе органов власти и критической инфраструктуры, если она будет использована врагом для дальнейших атак. Во время войны и противостояния российской агрессии вопрос защиты данных в информационных системах встает более остро.

Какие стандарты защиты информации актуальны в Украине во время действия военного положения?

Требования к использованию стандартов защиты информации остаются без изменений. В частности, государственные информационные ресурсы или информация с ограниченным доступом, требование защиты которой установлено законом, должны обрабатываться в системе с применением комплексной системы защиты информации с подтвержденным соответствием. Подтверждение соответствия комплексной системы защиты информации осуществляется по результатам государственной экспертизы, проводимой с учетом отраслевых требований и норм информационной безопасности в порядке, установленном законодательством.

КСЗИ как совокупность технических и организационных мер защиты внедряются как в информационной системе владельца в виде технических (программно-аппаратных и программных) средств защиты и их настроек, так и в учреждении владельца в виде распоряжений, планов, инструкций, методик и т.д.

Для защиты информационных систем, в которых не обрабатывается информация с ограниченным доступом, но защита которых требует украинское законодательство, может быть использована альтернативная система информационной безопасности в соответствии с европейскими стандартами ISO/IEC 27 серии.

Можно ли построить КСЗИ во время действия военного положения?

Процедура построения КСЗИ и получения аттестата соответствия на время действия военного положения такая же, как и раньше.

Построением КСЗИ могут заниматься как специализированные организации, так и сами компании, если у них есть соответствующие специалисты. Главное, чтобы построенная система отвечала всем законодательно установленным требованиям и смогла получить аттестат соответствия.

Сколько стоит строительство КСЗИ?

Стоимость работ определяется с учетом стоимости программно-аппаратных и программных средств технической и криптографической защиты информации, которые необходимы для обеспечения надлежащего уровня защищенности информационных ресурсов.

Услугу предоставляют несколько компаний и они конкурируют между собой, поэтому цену определяет рынок и сложность задачи.

Как получить аттестат соответствия КСЗИ и сколько времени занимает процедура?

Аттестат соответствия КСЗИ является результатом проведения государственной экспертизы в сфере технической защиты информации, которая проводится в соответствии с «Положение о государственной экспертизе в сфере технической защиты информации», утвержденное приказом Администрации Госспецсвязи от 16.05.2007 № 93, зарегистрированным в Министерстве юстиции Украины 16.07.2007 под № 820/14087.

Экспертиза проводится организатором экспертизы (учреждением, имеющим соответствующую лицензию) на договорных началах, в том числе и сроки проведения работ, зависящие от сложности системы, опыта экспертов, качества построения и документирования КСЗИ и т.д. По практике средний срок проведения экспертизы КСЗИ информационной системы составляет три месяца. В случае положительных результатов экспертизы Администрацией Госспецсвязи регистрируется аттестат соответствия КСИИ.

Можно ли зарегистрировать аттестат соответствия КСЗИ во время войны?

Во время военного положения Администрация Госспецсвязи продолжает регистрировать аттестаты соответствия в обычном режиме.

Действительный ли аттестат соответствия КСЗИ при переносе инфраструктуры в облако на территории Украины?

В случае переноса информационно-коммуникационных систем, имеющих внедренные КСЗИ с оцененным соответствием, системы защиты должны быть пересмотрены и модернизированы, если изменена технология обработки информации в ИКС или программно-аппаратном или программном составе ИКС и т.д.

В других случаях аттестат соответствия будет действителен при размещении ИКС в инфраструктуре облачного сервиса, механизмы защиты информации которого также прошли соответствующую оценку.

А что касается иностранных облачных сервисов?

Аналогичная ситуация, как при переносе инфраструктуры в облако на территории Украины.

Можно ли построить КСЗИ на информационную инфраструктуру, которая изначально работает в заграничном облаке?

Создание систем защиты с использованием иностранных облачных платформ не запрещено.

Если компания-лицензиат сделает соответствующий экспертный аудит профилей защиты системы, использующей для хранения данных облачные сервисы, размещенные за пределами Украины, и придет к положительным выводам, Госспецсвязи в установленном порядке зарегистрирует аттестат соответствия.

Если компания-провайдер облачных услуг не предусматривает построение КСЗИ по украинским стандартам?

При построении и оценке КСЗИ учитываются сервисы облака, в том числе реализующие функции защиты информации.

Также напоминаем, что в некоторых случаях компания может построить систему информационной безопасности в соответствии с европейскими стандартами ISO/IEC 27 серии с учетом требований Закона Украины "О защите информации в информационно-коммуникационных системах".

Можно ли на время военного положения работать без аттестата соответствия КСЗИ или сертификата в соответствии со стандартами ISO/IEC 27, если в обычное время законом такие требования предусмотрены?

Нет. Это нарушение законодательства Украины. В частности, Закон Украины "О защите информации в информационно-коммуникационных системах".

https://www.kmu.gov.ua