3 дні на план захисту від кіберзагроз

Після кібератаки на реєстри Мін’юсту почалося помітне ворушіння в колах київських кіберчиновників. Обізнані в темі джерела повідомляють, що на цей раз паперова хвиля з кіберолімпу докотилася аж до рівня сільської ради. 

Формальною підставою для двіжу стало затвердження спільного наказу СБУ та Держспецзв’язку № 627/772 від 19 грудня 2024 року «Деякі питання розробки, затвердження та погодження планів захисту об’єктів критичної інфраструктури за проектною загрозою національного рівня «кібератака/кіберінцидент». 

Кіберчиновники хочуть явним чином та якнайшвидше натягнути вимоги до кіберзахисту об’єктів критичної інфраструктури (постанова КМУ від 19.06.2019 № 518) на всі державні органи, органи місцевого самоврядування та їх структурні підрозділи.

Хитрість полягає в тому, що при написанні плану захисту від кіберзагроз всі без виключення державні органи повинні багато чого виконати, серед іншого:

  • зазначити відповідальну за кіберзахист особу або структурний підрозділ, до цього моменту відповідальною особою за кіберзахист є перший керівник установи;
  • провести інвентаризацію цифрових активів, які планується захищати;
  • намалювати схему мережі, її активних компонентів, що де знаходиться;
  • зробити опис роботи систем;
  • налагодити взаємодію в рамках платформи MISP;
  • розписати покроково що робити в разі кібератаки, яких спеціалістів залучати до реагування, куди повідомляти;
  • ну й головна частина паперового тигру кіберзахисту – це заповнення таблиці з завданнями із кіберзахисту (мінімальний набір завдань, які в першу чергу (але не обмежуючись ними надалі в діяльності з підвищення рівня кіберзахисту критичної інформаційної інфраструктури) мають бути впроваджені або заплановані для впровадження).

Для посвяченого кола вузьких спеціалістів складання такого плану кіберзахисту не буде проблемою. Немає сумнівів у важливості політик безпеки, планів кіберзахисту, впровадженні стандартів NIST CS Framework, ISO/IEC 27005 та інше. І такі спеціалісти вже є в більшості центральних органах влади, великих держпідприємствах, тому тут великих проблем із задоволенням апетиту паперового тигру не буде.

А тепер уявіть як весь цей методологічний апарат намагаються накотити на рівень сільради. Спеціалістів немає навіть ІТ напрямку. Відповідальність за кіберзахист покладають на юриста, кадровика, завгоспа, прибиральницю тощо.

З цікавістю й острахом спостерігаємо, як кіберначальство буде усувати цей розрив довжиною з річку Ніл між тим як є, і як повинно бути. Втім, вже рекомендовано на місцях активніше залучати до роботи випускників університетів за спеціальністю «125 Кібербезпека». Чи хтось дослухається? Подивимось.


Друзі! Запрошуємо підписатися на наш канал "Кібербезпека важлива" в телеграмі: @cybersec2021. Слідкуй за публікаціями з сайту в своєму смартфоні.