12:48 28.07.2020

Автор АРТЕМ КОХАНЕВИЧ

Скасування КСЗІ ― прорив чи піррова перемога?

4 хв читати
Скасування КСЗІ ― прорив чи піррова перемога?

Артем Коханевич, CEO GigaCloud

 

Як це часто буває в Україні, черговий важливий закон красиво провели повз ринок. 1 липня президент підписав документ, який, по суті, скасовує виконання вимог КСЗІ для держорганів. А точніше, пропонує використовувати замість «застарілого» національного стандарту захисту інформації прийняті в Європі стандарти СУІБ (ISMS).

Нас привчили до того, що «міжнародний» завжди краще за «вітчизняний». Та це не завжди так.

В Україні є власний стандарт кібербезпеки ― атестат відповідності комплексного захисту інформації (КСЗІ). І головний її плюс в тому, що вона взагалі існує. Так, деякі норми КСЗІ застаріли, але в цілому необхідність відповідати цьому стандарту змушує компанії будувати повноцінні системи безпеки.

У свою чергу, замість КСЗІ нам пропонують (імовірно, адже явної вказівки в новому законі немає!) ISO/IEC 27001 ― один із найвідоміших стандартів у сфері систем управління інформаційною безпекою. По суті, це лише набір політик і процедур, згідно з якими компанія захищатиме свої інформаційні активи від навмисного або випадкового неправильного використання, втрати чи пошкодження.

У підході ISO до стандартизації від самого початку закладений принцип, згідно з яким жодна система не може постійно перебувати в ідеальному стані. Тому там, де в КСЗІ вказані чіткі робочі схеми, ISO містить лише рекомендації. Для отримання ISO/IEC 27001 не обов'язково навіть на момент сертифікації дотримуватися всіх вимог зазначеного стандарту ― достатньо взяти на себе зобов'язання протягом року доробити все необхідне.

І щоб зовсім було зрозуміло, в чому різниця. КСЗІ ― сукупність організаційних та інженерно-технічних заходів, які спрямовані на забезпечення захисту інформації від розголошення, витоку і несанкціонованого доступу. ISO/IEC 27001 ― сертифікат відповідності бізнес-процесів підприємства певному стандарту. Перший ― про системи, другий ― про людей. Ці сутності доповнюють, а не замінюють одна одну. 

Навіщо вбивати бридке каченя, якщо воно ― потенційний лебідь?

У пояснювальній записці до проекту закону автори прямим текстом пишуть, що його мета ― створити можливість для ринку не використовувати КСЗІ. Або вони не дуже добре розбираються в питанні, або виконують поставлене кимось завдання «поховати» КСЗІ, вводячи в оману тих, хто розбирається в цьому ще менше. 

Насправді, «проблема» із КСЗІ полягає в тому, що отримати цей атестат дуже непросто. Він містить перелік вимог, в тому числі до розміщення фізичної інфраструктури на території України, які не завжди зручні деяким гравцям ІТ-ринку. Власники інформаційних систем дуже зацікавлені у скасуванні цієї сертифікації ― щоб її пройти, треба серйозно попрацювати. І оскільки інформаційна безпека у нас досі робиться не для себе, а для галочки, то чим простіше для них, тим краще. 

Але вони забувають (або ще не знають), що ISMS, яка відповідає ISO/IEC 27001, має регулярно проходити логововані етапи вдосконалення, щорічний обов'язковий аудит і періодичні ресертифікації, проводити моніторинг інцидентів, вносити зміни в процеси та документи. Тому навряд чи вдасться істотно «заощадити» час і гроші  ― якщо правильно підходити до завдання, ресурсів на підтримку системи в працездатному стані витратиться навіть більше.

Можливо, замість того, щоб створювати обхідні шляхи, варто було б доопрацювати та оновити вже наявний стандарт, навчити фахівців і створити повноцінну робочу сертифікацію? Допускати до роботи з критичною інформацією та інфраструктурою лише ті компанії, які можуть побудувати повноцінну систему захисту?

Можливо. Але про що тут говорити, якщо вже ухвалений закон від самого початку сформульовано некоректно? У зауваженнях Головного юридичного управління та Комітетів Ради зазначається відсутність чітких формулювань, невідповідність текстам взаємопов'язаних законів, вказані відсутні в законодавчому полі України визначення ...

«…Однією з таких умов (абзац другий цієї частини) є підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо системи управління інформаційною безпекою. При цьому поняття «система управління інформаційною безпекою» законодавчо не визначено, що унеможливить юридично коректне застосування положень Закону в частині оброблення інформації в «системі» без застосування комплексної системи захисту інформації…» (с) висновок Головного юридичного управління Верховної Ради України 

Я вже говорив, що Україні потрібна глибока реформа державної IТ-сфери. У найбільш інноваційній економічній галузі нашої країни досі немає єдиних стандартів роботи, немає розуміння необхідності «бігти з усіх сил, щоб залишатися на місці». Українські держоргани щосили опираються нововведенням, шукають максимально прості шляхи вирішення своїх завдань, і IТ-сфера ― не виняток.

Ми не маємо сліпо довіряти лобістам, скасовуючи національні стандарти. Так, відміна КСЗІ та жорстких вимог до кібербезпеки зручна, наприклад, міжнародним хмарним операторам, оскільки у них немає інфраструктури в Україні. Однак при цьому прихильники такого підходу забувають, що в тих же Штатах є величезний блок вимог до компаній, що працюють з держсектором. І навіть у такого великого гравця, як Amazon, лише декілька майданчиків відповідають цим вимогам. А сертифікація на можливість надання хмарних сервісів для держсектора у США значно жорсткіша, ніж український КСЗІ.

 

Загрузка...
Завантаження...
РЕКЛАМА

ОСТАННЄ

ТАРАС СЕМЕНЮК

Чи є в білорусів шанс на демократію?

ВАСИЛЬ ШКУРАКОВ

З якими ризиками стикається державний бюджет?

ЮЛІЯ СВИРИДЕНКО

Від радянської спадщини до сучасних стандартів

РОМАН КОБЕЦЬ

Концепція ділової мети: новий старий "must have" для бізнесу

ІГОР СМЕШКО

Віденська кава виявилася занадто гарячою і для Росії, і для США

МИКОЛА СИНИЦЯ

Прозорий конкурс з відбору давальця забезпечить безперебійну роботу Одеського припортового заводу

ЮРІЙ ДРАГАНЧУК

Статус авторизованого економічного оператора як маркер інвестиційного зростання України

ОЛЕКСАНДР СКІЧКО

Деградація Укрзалізниці або Чому державною компанією не мають керувати фінансисти

ОЛЕКСАНДР КАВА

Уряд має розвивати швидкісне залізничне сполучення

ВОЛОДИМИР ПИЛИПЕНКО

Законопроект про народовладдя: Венеційська комісія натякнула, що не потрібно поспішати

РЕКЛАМА
РЕКЛАМА
РЕКЛАМА
Завантаження...
РЕКЛАМА

UKR.NET- новости со всей Украины

РЕКЛАМА