Законодавство
Три етапи запровадження захисту системи управління логістикою за стандартами НАТО
Набрала чинності постанова Кабінету Міністрів України від 21 червня 2024 р. № 737, якою визначено механізм реалізації експериментального проекту із захисту та обробки інформації в інформаційно-комунікаційній системі управління логістичним забезпеченням.
Метою експериментального проекту є здійснення тестування новітніх підходів щодо забезпечення інформаційної безпеки під час обробки інформації в інформаційно-комунікаційній системі управління логістичним забезпеченням, а саме: забезпечення технічного, криптографічного захисту інформації та кіберзахисту інформаційно-комунікаційних систем, які базуються на досвіді кращих міжнародних практик держав – членів НАТО.
Координатором експериментального проекту є Міноборони, а учасниками – структурні підрозділи Міноборони, військові частини та підрозділи Збройних Сил, служби державного замовника, Адміністрація Держспецзв’язку.
Захист та обробка інформації в інформаційній системі здійснюється з дотриманням таких вимог:
– визначення ступеня обмеження доступу до інформації, яка підлягає автоматизованій обробці в інформаційній системі та потребує захисту, здійснюється комісією, яка складається з представників Міноборони та Збройних Сил;
– захист інформації в інформаційній системі здійснюється з дотриманням вимог законодавства у сфері захисту інформації та Адміністративних домовленостей щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного Договору, ратифікованих Законом України від 24 травня 2017 р. № 2068-VIII;
– оцінка достатності запроваджених заходів із захисту інформації в інформаційній системі проводиться відповідно до вимог нормативних документів з питань оцінювання захищеності інформації в інформаційно-комунікаційних системах.
Читайте також: Соціальний супровід військових надаватимуть експериментально у визначених Генштабом підрозділах
З метою уникнення потенційного завищення ступеня обмеження доступу до інформації розмежування доступу до інформації в інформаційній системі здійснюється апаратними та/або програмними засобами. Перелік інформації, що підлягає обробці та потребує захисту в інформаційній системі, формується на підставі відомостей щодо проведеного розмежування доступу до інформації.
Посадові (службові) особи учасників експериментального проекту використовують функціональні можливості інформаційної системи згідно з визначеним рівнем прав доступу.
Рівень прав доступу визначається за рольовою моделлю, яка враховує посаду користувача, його приналежність до елемента військової структури та перелік операцій, дозволених для виконання згідно із затвердженими вимогами до інформаційної системи. В інформаційній системі ведеться повний запис усіх операцій та дій користувачів, зокрема адміністраторів інформаційної системи. Видалення та вчинення інших дій щодо інформації без внесення відповідних записів до системних журналів не допускається.
Підключення інформаційної системи до глобальних мереж передачі даних може здійснюватися з використанням засобів технічного та криптографічного захисту інформації, які використовуються державами – членами НАТО та призначені для захисту інформації із ступенем обмеження доступу NATO RESTRICTED та вищими ступенями обмеження доступу.
Читайте також: Оборонні закупівлі, що становлять держтаємницю, – поза встановленими процедурами
Засоби захисту використовуються у складі інформаційної системи за таких умов:
– засоби захисту повинні мати відповідні сертифікати з безпеки НАТО та внесені до переліку сертифікованих засобів на NIAPC Product Catalog;
– використання засобів захисту здійснюється відповідно до вимог нормативного документа НАТО – Security Within the North Atlantic Treaty Organization (NATO) C-M(2002)49 та підтримуючих директив;
– експлуатація засобів захисту в інформаційній системі здійснюється на основі сертифікатів з безпеки НАТО (результатів сертифікаційних випробувань, що приймаються державами – членами НАТО) з переліку сертифікаційних засобів на NIAPC Product Catalog та документації, в якій визначено вимоги до забезпечення безпеки застосування засобів та криптоматеріалів (ключових даних) до таких засобів.
Використання засобів криптографічного захисту інформації виробництва держав – членів НАТО дозволяється за умови контролю з боку Адміністрації Держспецзв’язку, Міноборони та Генерального штабу Збройних Сил за розподілом криптографічних матеріалів (ключових даних) до таких засобів.
Реалізація експериментального проекту здійснюється за такими етапами:
– перший – забезпечення розмежування доступу до інформації в інформаційній системі. Граничний строк – III квартал 2024 р.;
– другий – підтвердження достатності механізмів розподілу інформації в інформаційній системі. Граничний строк – IV квартал 2024 р.;
– третій – проведення моніторингу та аналізу ефективності функціонування інформаційної системи, зокрема надійності захисту та дієвості організаційних заходів, спрямованих на розподіл інформації та доступу до інформації в інформаційній системі. Граничний строк – I квартал 2025 року.
Експериментальний проект реалізовуватиметься у період воєнного стану, але не довше ніж два роки з дня набрання чинності цією постановою.
Також зверніть увагу на Правові позиції Верховного Суду щодо кримінальних правопорушень, пов’язаних з війною, та збірник Воєнний стан. Всі нормативні матеріали, алгоритми дій, роз’яснення, корисні ресурси.
