У епоху цифрової трансформації, інформаційна безпека відіграє критичну роль у стабільності та розвитку не лише окремих організацій, але й економіки країни в цілому. Послуги з технічного захисту інформації (ТЗІ) для українських підприємств та державних організацій стають не просто важливим елементом, але і стратегічною необхідністю.
Про це 5 жовтня 2023 року повідомив Юрій Сивицький, член Наглядової Ради Intecracy Group, під час онлайн-презентації продуктів та послуг від компанії Data Management IG.
Ризики та загрози
Атаки кіберзлочинців стають все більш розумними і цілеспрямованими, враховуючи специфіку конкретного бізнесу або галузі. Витоки конфіденційної інформації, атаки типу «відмова в обслуговуванні», шантаж і саботаж — це лише декілька прикладів загроз, що можуть нашкодити підприємствам та державним структурам.
Наявність або відсутність необхідної інформації, її збереження і захищеність від стороннього втручання істотно впливає на добробут компанії. Але з кожним роком все більше зростає кількість вірусів, мережевих атак зловмисників, виникають загрози порушення конфіденційності інформації всередині компанії, що призводить до фінансових втрат, і часто — досить значним.
Ми створюємо комплекси технічного захисту інформації, які включають сукупність заходів та засобів, призначених для реалізації технічного захисту інформації (ТЗІ) в інформаційно-телекомунікаційних системах.
Окрім мінімального базового набору заходів (налаштування обладнання, налаштування прав доступу, захист від вірусів тощо) послуга може включати обладнання кімнат для переговорів засобами захисту та встановлення активних систем зашумлення.
Стандарти і регулятивна база
Специфіка ТЗІ в Україні диктується також і національним законодавством та стандартами, що регулюють питання захисту даних і інформації. Співпраця з професійними виконавцями послуг у сфері ТЗІ дозволяє компаніям і організаціям гарантувати дотримання всіх необхідних норм і правил.
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Порядок проведення державної експертизи комплексних систем захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах і засобів технічного захисту інформації встановлюється Державною службою спеціального зв’язку та захисту інформації України.
Органи виконавчої влади, які мають дозвіл на провадження діяльності з технічного захисту інформації для власних потреб, вправі за згодою Державною службою спеціального зв’язку та захисту інформації України організовувати проведення державної експертизи комплексних систем захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах на підприємствах, в установах та організаціях, які належать до сфери їх управління. Порядок проведення такої експертизи встановлюється органом виконавчої влади за погодженням з Державною службою спеціального зв’язку та захисту інформації України".
Порядок проведення державної експертизи в сфері технічного захисту інформації визначається Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Держспецзв’язку від 16.05.2007 № 93 зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087.
Державна служба спеціального зв'язку та захисту інформації України (Держспецзв'язок) регулярно публікує та оновлює документ під назвою Перелік «Засоби ТЗІ, які мають експертний висновок про відповідність до вимог технічного захисту інформації». Він формується відповідно до п. 17 Положення про технічний захист інформації в Україні, затвердженого Указом Президента України від 27 вересня 1999 р. № 1229. Перелік призначений для використання суб'єктами системи технічного захисту інформації (ТЗІ) під час розроблення, модернізації та впровадження комплексів ТЗІ на об’єктах інформаційної діяльності (ОІД) та комплексних систем захисту інформації (КСЗІ) в автоматизованих системах (АС).
Перелік містить номенклатуру засобів ТЗІ (технічних засобів, основним функціональним призначенням яких є захист інформації від загроз витоку, порушення цілісності та блокування; технічних засобів, в яких додатково до основного призначення передбачено функції захисту інформації; засобів, які призначені, спеціально розроблені або пристосовані для пошуку закладних пристроїв і які створюють загрозу для інформації; засобів, які спеціально розроблені або пристосовані для оцінювання захищеності інформації), відповідність яких вимогам нормативних документів з питань ТЗІ засвідчено сертифікатом відповідності або позитивним експертним висновком, одержаними у порядку, який встановлено нормативно-правовими актами: Правилами проведення робіт із сертифікації засобів захисту інформації, затвердженими спільним наказом Адміністрації Держспецзв'язку та Держспоживстандарту України від 25.04.2007 р. № 75/91 і зареєстрованими в Міністерстві юстиції України 14.05.2007 р. за № 498/13765, та Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Держспецзв'язку України від 16.05.2007 р. № 93 і зареєстрованим в Міністерстві юстиції України 16.07.2007 р. за № 820/14087.
Використання засобів цього Переліку під час створення, модернізації та впровадження комплексів ТЗІ на ОІД та КСЗІ в АС не увільняє від необхідності оцінювання відповідності досягнутого рівня захисту інформації встановленому вимогами нормативних документів з ТЗІ, яке здійснюється шляхом атестації комплексів ТЗІ на ОІД або експертизи КСЗІ в АС.
Інвестиція у майбутнє
Вкладення в ТЗІ є стратегічною інвестицією в майбутнє будь-якої організації. Це не лише захист від потенційних кібератак, але й зміцнення позицій на ринку через підвищення довіри з боку клієнтів та партнерів, які стурбовані питанням безпеки своїх даних.
У світлі постійно зростаючих кіберзагроз, ТЗІ стає не від'ємною частиною стабільності та прогресу підприємств та державних організацій в Україні. Це забезпечує захист інформації та даних, підвищує корпоративну етику та довіру з боку клієнтів та партнерів і, в кінцевому рахунку, сприяє розвитку економіки країни на міжнародному рівні.
«Історії успіху впровадження систем ТЗІ в українських компаніях і державних структурах показують, як можна не лише ефективно протистояти кіберзлочинності, але і оптимізувати внутрішні процеси, пов'язані з обробкою та зберіганням інформації», — відзначає Юрій Сивицький.
