Артем Коханевич, CEO GigaCloud

 

Как это часто бывает в Украине, очередной важный закон красиво провели мимо рынка. 1 июля президент подписал документ, по сути, отменяющий выполнение требований КСЗИ для госорганов.  А точнее, предлагающий использовать вместо «устаревшего» национального стандарта защиты информации принятые в Европе стандарты СУИБ (ISMS).  

Нас приучили к тому, что «международный» это всегда лучше, чем «отечественный». Но это не всегда так. 

В Украине есть собственный стандарт кибербезопасности – аттестат соответствия комплексной защиты информации (КСЗИ). И главный ее плюс в том, что она в принципе существует. Да, некоторые нормы КСЗИ устарели, но в целом необходимость соответствовать этому стандарту заставляет компании строить полноценные системы безопасности.  

В свою очередь, вместо КСЗИ нам предлагают (предположительно - ведь явного указания в новом законе нет!) ISO/IEC 27001 – один из самых известных стандартов в сфере систем управления информационной безопасностью. По сути, это лишь набор политик и процедур, согласно которым компания будет защищать свои информационные активы от преднамеренного или случайного неправильного использования, потери или повреждения. 

В подходе ISO к стандартизации изначально заложен принцип, согласно которому ни одна система не может постоянно находиться в идеальном состоянии. Поэтому там, где в КСЗИ указаны четкие рабочие схемы, ISO содержит лишь рекомендации. Для получения ISO/IEC 27001 не обязательно даже на момент сертификации соблюдать все требования указанного стандарта - достаточно взять на себя обязательства в течение года доделать все необходимое.  

И чтобы совсем было понятно в чем разница. КСЗИ - совокупность организационных и инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа. ISO/IEC 27001 - сертификат соответствия бизнес-процессов предприятия определенному стандарту. Первый - про системы, второй - про людей. Это дополняющие друг друга сущности, которые не могут заменить друг друга. 

Зачем убивать гадкого утенка, если он потенциальный лебедь? 

В пояснительной записке к проекту закона  авторы прямым текстом пишут, что его цель – создать возможность для рынка не использовать КСЗИ. Либо они не очень хорошо разбираются в вопросе, либо выполняют поставленную кем-то задачу “похоронить” КСЗИ, вводя в заблуждение тех, кто разбирается в этом еще меньше. 

На самом деле, ”проблема” с КСЗИ состоит в том, что получить этот аттестат весьма непросто.  Он содержит ряд требований, в том числе к размещению физической инфраструктуры на территории Украины, которые не всегда удобны некоторым игрокам ИТ-рынка. Владельцы информационных систем очень заинтересованы в отмене этой сертификации - чтобы ее пройти, нужно неплохо поработать. И поскольку информационная безопасность у нас до сих пор делается не для себя, а для галочки, то чем проще для них - тем лучше. 

Но они забывают (или еще не знают) о том, что ISMS, соответствующая ISO/IEC 27001, должна регулярно проходить логированные этапы усовершенствования, ежегодный обязательный аудит и периодические ресертификации, проводить мониторинг инцидентов и вносить изменения в процессы и документы.  Поэтому вряд ли удастся существенно “сэкономить” время и деньги - если правильно подходить к задаче, ресурсов на поддержание системы в работоспособном состоянии потребуется даже больше.  

Возможно, вместо того чтобы создавать обходные пути, стоило бы доработать и обновить уже имеющийся стандарт, обучить специалистов и создать полноценно рабочую сертификацию? Допускать к работе с критической информацией и инфраструктурой только те компании, которые в силах построить полноценную систему защиты? 

Возможно. Но о чем тут говорить, если уже принятый закон изначально сформулирован некорректно? В замечаниях Главного юридического управления и Комитетов Рады отмечается отсутствие четких формулировок, несоответствие с текстом взаимосвязанных законов, указаны отсутствующие в законодательном поле Украины определения…  

«…Однією з таких умов (абзац другий цієї частини) є підтвердження відповідності системи управління інформаційною безпекою за результатами процедури з оцінки відповідності національним стандартам України щодо системи управління інформаційною безпекою. При цьому поняття «система управління інформаційною безпекою» законодавчо не визначено, що унеможливить юридично коректне застосування положень Закону в частині оброблення інформації в «системі» без застосування комплексної системи захисту інформації…» (с) висновок Головного юридичного управління Верховної Ради України

Я уже говорил, что Украине нужна глубокая реформа государственной IТ-сферы.  В самой инновационной экономической отрасли нашей страны до сих пор нет единых стандартов работы, нет понимания необходимости «бежать изо всех сил, чтобы оставаться на месте». Украинские госорганы изо всех сил противятся новшествам, ищут максимально простые пути решения своих задач – и IТ-сфера не исключение.

Нам не нужно идти на поводу у лоббистов, отменяя национальные стандарты. Да, отмена КСЗИ и жестких требований к кибербезопасности удобна, к примеру, международным облачным операторам, поскольку у них нет инфраструктуры в Украине. Однако при этом сторонники такого подхода забывают о том, что в той же США есть огромный блок требований к компаниям, работающим с госсектором. И даже у такого крупного игрока, как Amazon, лишь несколько площадок соответствуют этим требованиям. А сертификация на возможность предоставления облачных сервисов для госсектора США значительно жестче, чем украинский КСЗИ.