Міноборони буде використовувати засоби захисту інформації на базі сертифікатів НАТО

Кабмін постановою від 21 червня 2024 р. №737 затвердив порядок реалізації експериментального проекту із захисту та обробки інформації в інформаційно-комунікаційній системі управління логістичним забезпеченням.

Координатором експериментального проекту є Міноборони,  а учасниками структурні підрозділи Міноборони, військові частини та підрозділи Збройних Сил, служби державного замовника, Адміністрація Держспецзв’язку.

Установлено, що захист та обробка інформації в інформаційно-комунікаційній системі управління логістичним забезпеченням здійснюється з урахуванням особливостей, установлених порядком, затвердженим цією постановою.

Реалізація експериментального проекту може здійснюватися за рахунок коштів міжнародної допомоги..

Зокрема, з метою уникнення потенційного завищення ступеня обмеження доступу до інформації розмежування доступу до інформації в інформаційній системі буде здійснюватися апаратними та/або програмними засобами. Перелік інформації, що підлягає обробці та потребує захисту в інформаційній системі, формується на підставі відомостей щодо проведеного розмежування доступу до інформації.

Посадові (службові) особи учасників експериментального проекту використовують функціональні можливості інформаційної системи згідно з визначеним рівнем прав доступу. Рівень прав доступу визначається за рольовою моделлю, яка враховує посаду користувача, його приналежність до елемента військової структури та перелік операцій, дозволених для виконання згідно із затвердженими вимогами до інформаційної системи. В інформаційній системі ведеться повний запис усіх операцій та дій користувачів, зокрема адміністраторів інформаційної системи. Видалення та вчинення інших дій щодо інформації без внесення відповідних записів до системних журналів не допускається.

Підключення інформаційної системи до глобальних мереж передачі даних може здійснюватися з використанням засобів технічного та криптографічного захисту інформації, які використовуються державами — членами НАТО та призначені для захисту інформації із ступенем обмеження доступу NATO RESTRICTED та вищими ступенями обмеження доступу (засоби захисту).

Засоби захисту використовуються у складі інформаційної системи за таких умов:

• засоби захисту повинні мати відповідні сертифікати з безпеки НАТО та внесені до переліку сертифікованих засобів на NIAPC Product Catalog;
• використання засобів захисту здійснюється відповідно до вимог нормативного документа НАТО — Security Within the North Atlantic Treaty Organization (NATO) С-М(2002)49 та підтримуючих директив;
• експлуатація засобів захисту в інформаційній системі здійснюється на основі сертифікатів з безпеки НАТО (результатів сертифікаційних випробувань, що приймаються державами — членами НАТО) з переліку сертифікаційних засобів на NIAPC Product Catalog та документації, в якій визначено вимоги до забезпечення безпеки застосування засобів та криптоматеріалів (ключових даних) до таких засобів.

Використання засобів криптографічного захисту інформації виробництва держав — членів НАТО дозволяється за умови контролю з боку Адміністрації Держспецзв’язку, Міноборони та Генерального штабу Збройних Сил за розподілом криптографічних матеріалів (ключових даних) до таких засобів.

Як раніше писала «Судово-юридична газета», використання Міноборони інформаційних систем США не потребуватиме додаткових процедур підтвердження відповідності в Україні.

Так, Кабмін постановою від 18 червня №719 встановив, що для використання Міністерством оборони інформаційних чи електронних комунікаційних систем США не потребує додаткових процедур із підтвердження відповідності, які діють для інших систем.

Як відомо, відповідно до статті 8 Закону «Про захист інформації в інформаційно-комунікаційних системах» підтвердження відповідності комплексної системи захисту інформації здійснюється за результатами державної експертизи, яка проводиться з урахуванням галузевих вимог та норм інформаційної безпеки у порядку, встановленому законодавством.

Разом з тим, Кабмін постановою №719 встановив, що для використання Міністерством оборони інформаційних чи електронних комунікаційних систем США не потрібно буде проходити додаткові процедури із підтвердження відповідності.

Нагадаємо, змінами, внесеними законом про цифровізацію військового обліку (законопроект 10062) було встановлено, що хоча за загальним правилом забороняється обробка інформації, що становить державну таємницю, за допомогою хмарних ресурсів або центрів обробки даних, що розміщені за кордоном, однак ці вимоги не поширюються на обробку інформації за допомогою хмарних ресурсів або центрів обробки даних, що розміщені за кордоном, в інформаційних, інформаційно-комунікаційних, електронних комунікаційних системах, власником (держателем, розробником) яких є МОУ, ЗСУ та інші утворені відповідно до законів України військові формування.

Обробка такої інформації може здійснюватися на території держав-членів НАТО.

Цей закон дозволяє розміщувати українські ІТ-системи у хмарах країн-членів НАТО. 

Автор: Наталя Мамченко 

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.