Законодавство
Три умови застосовування засобів захисту хмарної оборонної системи за межами України
Набрала чинності постанова Кабінету Міністрів України «Про внесення змін до особливостей захисту державних інформаційних ресурсів та інформації з обмеженим доступом, які використовуються Міністерством оборони та Збройними Силами» від 25 лютого 2026 р. № 263.
Новим пп. 3 п. 3 особливостей, затверджених постановою від 18 червня 2024 р. № 719, передбачено, що використання Міноборони та Збройними Силами систем і засобів із підтвердженою відповідністю вимогам держав-партнерів, зокрема Сполучених Штатів Америки, Канади, Федеративної Республіки Німеччина, Республіки Польща, Французької Республіки, Сполученого Королівства Великої Британії та Північної Ірландії, Республіки Естонія, Латвійської Республіки, Литовської Республіки, Республіки Фінляндія, Королівства Данія, Королівства Норвегія, Королівства Нідерландів, Королівства Іспанія, Італійської Республіки, Грецької Республіки, Республіки Словенія, Австралії, Португальської Республіки, Королівства Швеція, Великого Герцогства Люксембург, Королівства Бельгія, Румунії, здійснюється:
– за умови ведення контролю за забезпеченням безпеки засобів та ключових даних до таких систем і засобів, забезпечення охорони державної таємниці та іншої інформації з обмеженим доступом під час їх експлуатації органами (службами), які визначені Міноборони відповідальними за організацію комплексу заходів щодо криптографічного захисту інформації.
А новим п. 6 цих особливостей визначено, що власник або розпорядник системи, яка розгортається повністю або частково в хмарі за межами України, з урахуванням оцінки можливих ризиків може прийняти рішення про застосовування засобів захисту інформації в складі систем (крім систем, у яких обробляється інформація, що становить державну таємницю), які відповідають одному з таких критеріїв:
1) наявність позитивного експертного висновку за результатами державної експертизи в сфері технічного та/або криптографічного захисту інформації, які призначені для захисту конфіденційної інформації (надаючи перевагу засобам захисту інформації, які мають вищий рівень гарантій чи клас);
2) наявність чинного документа про відповідність міжнародному стандарту ISO/IEC 15408, за умови проведення оцінки відповідності з рівнем гарантії оцінювання не нижче другого (EAL2) (рекомендовано надавати перевагу засобам захисту інформації, які мають вищий рівень гарантій оцінювання);
3) наявність чинної сертифікації про відповідність міжнародному стандарту ISO/IEC 19790 або стандарту FIPS 140-2 чи 140-3 (Federal Information Processing Standard Publication 140-2/140-3 «Security Requirements for Cryptographic Modules»), затвердженого Національним інститутом стандартів і технологій США (NIST – National Institute of Standards and Technology) (рекомендовано надавати перевагу засобам захисту інформації, які мають вищий рівень безпеки).
Використання засобів криптографічного захисту інформації з оцінкою відповідності за міжнародним стандартом ISO/IEC 15408 або стандартом FIPS 140-2 чи FIPS 140-3 в складі систем, які розгортаються повністю або частково в хмарі за межами України і в яких обробляється службова інформація, дозволяється за умови контролю з боку власника або розпорядника системи за виконанням вимог документації щодо безпеки використання таких засобів криптографічного захисту інформації.
Також зверніть увагу на Правові позиції Верховного Суду щодо кримінальних правопорушень, пов’язаних з війною, та збірник Воєнний стан. Всі нормативні матеріали, алгоритми дій, роз’яснення, корисні ресурси.
