Держспецзв’язку посилює безпеку ланцюжків постачання: затверджено вимоги до захисту інформації для постачальників, що працюють з держсектором та ОКІІ

Держспецзв’язку посилює безпеку ланцюжків постачання: затверджено вимоги до захисту інформації для постачальників, що працюють з держсектором та ОКІІ

Відтепер компанії, що постачають товари, роботи та послуги для держави, зобов’язані впроваджувати заходи захисту відповідно до рівня ризику. Відповідні вимоги встановлені юстованим наказом Адміністрації Держспецзв’язку № 836.

Документ встановлює вимоги до захисту інформаційно-комунікаційних систем для постачальників, що працюють з державним сектором та об’єктами критичної інформаційної інфраструктури (ОКІІ). Вони поширюються на будь-яких постачальників, чиї товари, роботи або послуги забезпечують функціонування інформаційних систем у державному секторі та на об’єктах критичної інфраструктури.

Наказ запроваджує гнучку модель, що базується на чотирьох рівнях ризику. Рівень визначається залежно від того, чи бере інформаційна система постачальника безпосередню участь в обробці державних інформаційних ресурсів.

Перший (мінімальний) рівень ризику стосується постачальників, чиї системи не залучені до обробки державних даних. Такі компанії повинні впровадити 17 базових заходів безпеки та підтвердити їх виконання декларативно в рамках укладення договору.

Другий, третій та четвертий рівні ризику стосуються постачальників, чиї інформаційні системи безпосередньо беруть участь в обробці державних інформаційних ресурсів або інформації з обмеженим доступом. Для роботи з державою такі компанії повинні підтвердити захищеність власних ІТ-систем одним із трьох способів:

Мати авторизацію з безпеки своєї системи та бути включеними до відповідного переліку.
Мати сертифікат відповідності стандарту інформаційної безпеки (наприклад, ISO/IEC 27001), виданий акредитованим органом.
Мати чинний атестат відповідності на комплексну систему захисту інформації (КСЗІ).
Затвердження цих вимог є важливим кроком для протидії атакам на ланцюжки постачання, адже зловмисники часто атакують не саму державну установу, а її менш захищених постачальників, щоб через них отримати доступ до цільової інфраструктури.

Новий наказ створює єдину, прозору рамку вимог, що дозволяє державі вибудовувати довірені відносини з постачальниками. Це стимулюватиме приватний сектор інвестувати у власну кібербезпеку та сприятиме підвищенню загальної кіберстійкості країни, створюючи більш захищену цифрову екосистему.

Рекомендуємо постачальникам ознайомитися з текстом наказу, визначити рівень ризику, що відповідає їхній діяльності, та розпочати впровадження відповідних заходів безпеки або процедур для отримання необхідного підтвердження (авторизації, сертифікації). Державним замовникам необхідно враховувати нові вимоги під час проведення тендерних процедур та укладання договорів на постачання товарів, робіт і послуг.

https://cip.gov.ua/ua/news/derzhspeczv-yazku-posilyuye-bezpeku-lancyuzhkiv-postachannya-zatverdzheno-vimogi-do-zakhistu-informaciyi-dlya-postachalnikiv-sho-pracyuyut-z-derzhsektorom-ta-okii