Держспецзв’язку чекає завершення процесу формування переліку об’єктів критичної інфраструктури (ОКІ) та подальшого створення реєстру об’єктів критичної інформаційної інфраструктури (ОКІІ), які розміщені на відповідних ОКІ. Після цього можна буде провести аудит та перейти до формування вимог із покращення їх систем захисту. Про це в інтерв’ю ІА Інтерфакс сказав Голова Держспецзв’язку Юрій Щиголь.
«Рік тому ми запустили цей процес: ухвалили нормативно-правові документи, необхідні для формування переліку об’єктів критичної інформаційної інфраструктури. Міністерства та відомства у межах своєї сфери відповідальності мали сформувати такі переліки та передати їх Держспецзв’язку для валідації. Однак цей процес триває повільніше, ніж ми очікували, через бюрократичну систему і “величезне бажання” багатьох структур потрапити до цього списку. Адже такий статус передбачає спеціальне регулювання і підвищену увагу», – зазначив очільник Служби.
Тільки після визначення всіх об’єктів, на яких є ОКІІ, та створення відповідного реєстру фахівці Держспецзв’язку зможуть провести аудит систем захисту ОКІІ та сформулювати вимоги для кожного підприємства, виконання яких забезпечить якісний захист критичної інформаційної інфраструктури.
Нещодавно Служба затвердила Методичні рекомендації щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури. Цей документ базується на підходах Національного інституту стандартизації та технологій США (NIST) та враховує більшість положень із гайдлайну із захисту інформації CyberSecurity Framework.
«NIST регулярно оновлює цей гайдлайн, і ми плануємо піти тим самим шляхом – створити “живий” документ, який регулярно переглядатиметься і в якому враховуватимуться всі актуальні виклики», – підкреслив Юрій Щиголь.
Документ запроваджує новий підхід до захисту інформації, який базується на управлінні ризиками. Компанії, яким належить критична інформаційна інфраструктура, повинні будуть аналізувати поточний та цільовий стан кібербезпеки, визначаючи пріоритети та необхідні для їх досягнення дії та заходи. Таке оцінювання має відбуватися регулярно. Адже кіберзахист не можна побудувати один раз, отримати “папірці” та забути про це, як це роблять зараз деякі компанії. Цим питанням потрібно займатися постійно, оцінюючи свій успіх у цьому напрямі. І ми як регулятор даємо ОКІІ інструмент, який дасть їм можливість це робити.
Більше про кібератаки та особливості захисту критичної інформаційної інфраструктури, фінансування Служби, яка забезпечує захист державних інформаційних ресурсів та формування бекапу державних реєстрів, читайте у повній версії інтерв’ю.
