Державна служба спеціального зв’язку та захисту інформації України зробила черговий важливий крок на шляху реформування системи кіберзахисту. Наказами Адміністрації Держспецзв’язку затверджено базові профілі безпеки для інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем, де обробляється відкрита, конфіденційна, службова інформація.
Нові накази затверджено на виконання постанови Кабінету Міністрів України від 18 червня 2025 року № 712 «Деякі питання захисту інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем».
Документи встановлюють мінімальні вимоги з безпеки інформації та є фундаментальними елементами у переході від класичної моделі побудови комплексних систем захисту інформації (КСЗІ) до гнучкого та адаптивного підходу, що ґрунтується на профілях безпеки.
Затвердження базових профілів є продовженням системної роботи, що ґрунтується на постанові Кабінету Міністрів України від 30 травня 2024 року № 627, яка дала старт експериментальному проєкту з декларування відповідності систем захисту.
Відтепер власники або розпорядники державних систем отримують чіткий і уніфікований фундамент для побудови власного захисту. На основі затверджених базових профілів вони зможуть формувати індивідуальний цільовий профіль безпеки (ЦПБ).
Цільовий профіль – це погоджена сукупність заходів захисту, яку власник системи розробляє самостійно, враховуючи специфічні ризики та загрози, галузеві стандарти, найкращі практики, а також особливості функціонування конкретної системи.
Такий підхід дозволяє адаптувати заходи безпеки до реальних потреб та ефективніше протидіяти актуальним кіберзагрозам.
Організаціям, у яких вже функціонують комплексні системи захисту інформації з чинним атестатом відповідності, не потрібно терміново перебудовувати їх з нуля. Вимоги, включені до базового профілю, містять у собі найважливіші та перевірені часом заходи безпеки, які були актуальними й раніше. Виконання цих базових вимог є обов'язковим фундаментом, який дозволить організаціям будувати власні цільові профілі безпеки.
Поетапне впровадження моделі, заснованої на профілях безпеки, має на меті значно спростити адміністративні процедури для державних органів та бізнесу, прискорити впровадження сучасних ІТ-рішень та підвищити загальну якість кіберзахисту державних інформаційних ресурсів.
З документами можна ознайомитись на офіційному вебсайті Держспецзв’язку.
📎 Наказ Адміністрації Держспецзв’язку від 30.06.2025 № 409 «Про затвердження базового профілю безпеки системи, де обробляється відкрита або конфіденційна інформація»
📎 Наказ Адміністрації Держспецзв’язку від 02.07.2025 № 419 «Про затвердження базового профілю безпеки системи, де обробляється службова інформація»
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
🟢 𝗖𝗼𝗿𝗲 𝗘𝗹𝗲𝗺𝗲𝗻𝘁𝘀 𝗼𝗳 𝗖𝗼𝗺𝗽𝗧𝗜𝗔 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆+ (𝗦𝗬𝟬-𝟳𝟬𝟭 𝗘𝘅𝗮𝗺 𝗗𝗼𝗺𝗮𝗶𝗻𝘀):
1️⃣ 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗙𝘂𝗻𝗱𝗮𝗺𝗲𝗻𝘁𝗮𝗹𝘀 & 𝗖𝗼𝗻𝘁𝗿𝗼𝗹𝘀:
Understanding core security principles (CIA triad, Zero Trust) and applying various security controls (technical, physical, managerial) and cryptographic solutions.
2️⃣ 𝗧𝗵𝗿𝗲𝗮𝘁𝘀, 𝗩𝘂𝗹𝗻𝗲𝗿𝗮𝗯𝗶𝗹𝗶𝘁𝗶𝗲𝘀 & 𝗠𝗶𝘁𝗶𝗴𝗮𝘁𝗶𝗼𝗻:
Identifying diverse cyber threats, common attack vectors, system vulnerabilities, and implementing techniques to reduce risk.
3️⃣ 𝗦𝗲𝗰𝘂𝗿𝗲 𝗔𝗿𝗰𝗵𝗶𝘁𝗲𝗰𝘁𝘂𝗿𝗲:
Designing and securing enterprise infrastructure across various models like cloud, IoT, and on-premises, with a focus on data protection and system resilience.
4️⃣ 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗢𝗽𝗲𝗿𝗮𝘁𝗶𝗼𝗻𝘀:
Executing day-to-day security tasks, including asset management, vulnerability management, monitoring, incident response, and applying secure operational techniques.
5️⃣ 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗣𝗿𝗼𝗴𝗿𝗮𝗺 𝗠𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁:
Managing security governance, risk assessment, compliance, third-party risks, and fostering security awareness within an organization.
𝗖𝗼𝗺𝗽𝗧𝗜𝗔 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆+ aims to equip IT professionals with the essential knowledge and skills to assess security postures, implement solutions, monitor environments, and manage security programs effectively in today's dynamic cybersecurity landscape.
✨ Follow NOMAN RAHEEM for more insightful content on Cybersecurity 🛡️, GRC ⚙️ and emerging technologies