Артем Коханевич, CEO GigaCloud

 

Як це часто буває в Україні, черговий важливий закон красиво провели повз ринок. 1 липня президент підписав документ, який, по суті, скасовує виконання вимог КСЗІ для держорганів. А точніше, пропонує використовувати замість «застарілого» національного стандарту захисту інформації прийняті в Європі стандарти СУІБ (ISMS).

Нас привчили до того, що «міжнародний» завжди краще за «вітчизняний». Та це не завжди так.

В Україні є власний стандарт кібербезпеки ― атестат відповідності комплексного захисту інформації (КСЗІ). І головний її плюс в тому, що вона взагалі існує. Так, деякі норми КСЗІ застаріли, але в цілому необхідність відповідати цьому стандарту змушує компанії будувати повноцінні системи безпеки.

У свою чергу, замість КСЗІ нам пропонують (імовірно, адже явної вказівки в новому законі немає!) ISO/IEC 27001 ― один із найвідоміших стандартів у сфері систем управління інформаційною безпекою. По суті, це лише набір політик і процедур, згідно з якими компанія захищатиме свої інформаційні активи від навмисного або випадкового неправильного використання, втрати чи пошкодження.

У підході ISO до стандартизації від самого початку закладений принцип, згідно з яким жодна система не може постійно перебувати в ідеальному стані. Тому там, де в КСЗІ вказані чіткі робочі схеми, ISO містить лише рекомендації. Для отримання ISO/IEC 27001 не обов'язково навіть на момент сертифікації дотримуватися всіх вимог зазначеного стандарту ― достатньо взяти на себе зобов'язання протягом року доробити все необхідне.

І щоб зовсім було зрозуміло, в чому різниця. КСЗІ ― сукупність організаційних та інженерно-технічних заходів, які спрямовані на забезпечення захисту інформації від розголошення, витоку і несанкціонованого доступу. ISO/IEC 27001 ― сертифікат відповідності бізнес-процесів підприємства певному стандарту. Перший ― про системи, другий ― про людей. Ці сутності доповнюють, а не замінюють одна одну. 

Навіщо вбивати бридке каченя, якщо воно ― потенційний лебідь?

У пояснювальній записці до проекту закону автори прямим текстом пишуть, що його мета ― створити можливість для ринку не використовувати КСЗІ. Або вони не дуже добре розбираються в питанні, або виконують поставлене кимось завдання «поховати» КСЗІ, вводячи в оману тих, хто розбирається в цьому ще менше. 

Насправді, «проблема» із КСЗІ полягає в тому, що отримати цей атестат дуже непросто. Він містить перелік вимог, в тому числі до розміщення фізичної інфраструктури на території України, які не завжди зручні деяким гравцям ІТ-ринку. Власники інформаційних систем дуже зацікавлені у скасуванні цієї сертифікації ― щоб її пройти, треба серйозно попрацювати. І оскільки інформаційна безпека у нас досі робиться не для себе, а для галочки, то чим простіше для них, тим краще. 

Але вони забувають (або ще не знають), що ISMS, яка відповідає ISO/IEC 27001, має регулярно проходити логововані етапи вдосконалення, щорічний обов'язковий аудит і періодичні ресертифікації, проводити моніторинг інцидентів, вносити зміни в процеси та документи. Тому навряд чи вдасться істотно «заощадити» час і гроші  ― якщо правильно підходити до завдання, ресурсів на підтримку системи в працездатному стані витратиться навіть більше.

Можливо, замість того, щоб створювати обхідні шляхи, варто було б доопрацювати та оновити вже наявний стандарт, навчити фахівців і створити повноцінну робочу сертифікацію? Допускати до роботи з критичною інформацією та інфраструктурою лише ті компанії, які можуть побудувати повноцінну систему захисту?

Можливо. Але про що тут говорити, якщо вже ухвалений закон від самого початку сформульовано некоректно? У зауваженнях Головного юридичного управління та Комітетів Ради зазначається відсутність чітких формулювань, невідповідність текстам взаємопов'язаних законів, вказані відсутні в законодавчому полі України визначення ...

«…Однією з таких умов (абзац другий цієї частини) є підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо системи управління інформаційною безпекою. При цьому поняття «система управління інформаційною безпекою» законодавчо не визначено, що унеможливить юридично коректне застосування положень Закону в частині оброблення інформації в «системі» без застосування комплексної системи захисту інформації…» (с) висновок Головного юридичного управління Верховної Ради України 

Я вже говорив, що Україні потрібна глибока реформа державної IТ-сфери. У найбільш інноваційній економічній галузі нашої країни досі немає єдиних стандартів роботи, немає розуміння необхідності «бігти з усіх сил, щоб залишатися на місці». Українські держоргани щосили опираються нововведенням, шукають максимально прості шляхи вирішення своїх завдань, і IТ-сфера ― не виняток.

Ми не маємо сліпо довіряти лобістам, скасовуючи національні стандарти. Так, відміна КСЗІ та жорстких вимог до кібербезпеки зручна, наприклад, міжнародним хмарним операторам, оскільки у них немає інфраструктури в Україні. Однак при цьому прихильники такого підходу забувають, що в тих же Штатах є величезний блок вимог до компаній, що працюють з держсектором. І навіть у такого великого гравця, як Amazon, лише декілька майданчиків відповідають цим вимогам. А сертифікація на можливість надання хмарних сервісів для держсектора у США значно жорсткіша, ніж український КСЗІ.