Україна робить важливий крок у напрямі сучасного кіберзахисту. Прийняття нового закону про кібербезпеку та затвердження Методичних рекомендацій з формування цільового профілю безпеки відкриває нові можливості для органів державної влади, місцевого самоврядування, закладів та установ у сфері цифрової безпеки.

Новий законопроєкт №11290 «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури», ухвалений Верховною Радою у другому читанні, передбачає перехід до управління кіберзахистом на основі оцінки ризиків та міжнародних підходів. Це означає, що державні органи більше не зобов’язані впроваджувати однакові, часто застарілі технічні рішення. Замість цього вони можуть використовувати гнучкі моделі, які відповідають їхнім конкретним потребам.

Однією з головних змін стало відходження від обов’язковості побудови комплексної системи захисту інформації (КСЗІ) у її класичному вигляді. Тепер організації отримують змогу створювати власні цільові профілі безпеки, адаптовані до ризиків, нормативно-правових вимог і особливостей ІТ-інфраструктури. Це надає установам реальні важелі впливу на свою кіберстійкість.

Що таке цільовий профіль безпеки? Це погоджений перелік заходів із захисту інформації, який формується власником системи. У процесі враховуються базовий профіль, оцінка ризиків, наявні ресурси, технології та стандарти, включно з міжнародними. Це дозволяє відмовитись від універсальних схем, які не завжди відповідають реальним викликам.

Для впровадження нової моделі Державна служба спеціального зв’язку та захисту інформації України схвалила Методичні рекомендації з формування цільового профілю безпеки. Вони покликані пояснити, як правильно будувати систему захисту за новими правилами. Документ розроблено з метою надання роз'яснень щодо впровадження вимог постанови КМУ від 30 травня 2024 року № 627, яка ініціювала експериментальний проєкт декларування відповідності систем захисту, побудованих на основі базових і цільових профілів безпеки.

Нові правила дозволяють органам влади самостійно формувати й задекларувати свою модель кіберзахисту, не проходячи тривалих погоджувальних процедур. Очікується, що це не лише підвищить ефективність захисту, а й суттєво пришвидшить процес впровадження ІТ-рішень у державному секторі.

До впровадження нової моделі вже готується Львівська обласна військова адміністрація. Тут тестується сучасний інструмент оцінки рівня кіберзахисту, розроблений українською компанією Sec-TA. Він дозволяє провести всебічну діагностику цифрових систем відповідно до NIST Cybersecurity Framework 2.0 – міжнародної моделі, яку активно використовують у провідних країнах світу.

«Ми стоїмо на порозі якісних змін у сфері цифрової безпеки. Перехід до ризик-орієнтованого підходу та впровадження цільових профілів безпеки дає нам змогу не просто виконувати формальні вимоги, а усвідомлено керувати ризиками, адаптуючи заходи захисту під реальні загрози та потреби кожної установи. Ми отримуємо можливість самостійно формувати вимоги до кіберзахисту на основі глибокого розуміння власних процесів. Це – крок до більш гнучкого, ефективного й сучасного управління безпекою інформаційних систем, який відкриває шлях до справжньої кіберстійкості. І я переконаний: це майбутнє, до якого ми йдемо впевнено та свідомо», – зазначив начальник управління з питань цифрового розвитку Львівської ОВА Максим Столярчук.

Раніше побудова КСЗІ займала кілька місяців і потребувала великих ресурсів. Новий підхід дозволяє оптимізувати витрати, скоротити час реалізації та підвищити гнучкість систем. В умовах зростання кібератак на державний сектор це дає змогу діяти швидше та ефективніше.

Управління з питань цифрового розвитку ЛОВА також планує надалі поширювати практику використання профілів безпеки серед територіальних громад та комунальних закладів, установ та підприємств області. Це дозволить громадам і установам краще адаптувати кіберзахист до своїх потреб. У фокусі – пошук найбільш ефективних та практичних рішень.

Методичні рекомендації щодо формування цільового профілю безпеки доступні для ознайомлення на сайті Держспецзв'язку за наступним посиланням: https://www.cip.gov.ua/ua/docs/metodichni-rekomendaciyi-z-formuvannya-cilovogo-profilyu-bezpeki-informaciyi-skhvaleni-rishennyam-er-z-pitan-derzhavnoyi-ekspertizi-v-sferi-tzi-protokol-vid-14-03-2025-09-2025 .

Читайте також: У Мостиській громаді запрацював оновлений Центр надання адміністративних послуг