Що таке КСЗІ та які вона має переваги?

“Найцінніший світовий ресурс вже не нафта, а дані” – заголовок статті The Economist за 2017-й рік

Важко не погодитися з цитатою. Паспортні дані, банківські рахунки, медичні картки, інформація про ФОП і ТОВ – ця та інша особиста інформація вже давно оцифрована й зберігається на серверах різних компаній. 

Як вдається захищати ці масиви приватної інформації від чужих очей? Відповідь – використання найкращих світових практик із захисту інформації. В Україні ці практики зафіксовані в КСЗІ. 

КСЗІ – це комплекс інженерно-технічних та організаційних заходів, а також програмно-апаратних засобів, котрі забезпечують захист інформації в інформаційно-комунікаційних системах (ІКС), до яких належать комп’ютери, сервери, комп’ютерні мережі тощо. Розшифровується абревіатура як Комплексна Система Захисту Інформації.

Довге і нудне визначення. Давайте простіше? КСЗІ – це набір правил та заходів, які дозволяють українським компаніям надійно оберігати ваші дані в своїх системах. Цей же термін може використовуватися для позначення системи, що відповідає таким критеріям.

КСЗІ базується на Канадських критеріях безпеки комп’ютерних систем (CTCPEC), що розроблені в Канаді в 90-х роках. “Критерії”, в свою чергу, коренями йдуть в європейські напрацювання з кібербезпеки, викладені в ITSEC, та “Помаранчеву книгу” (TCSEC), яка стала стандартом Міноборони США в питаннях безпеки комп’ютерних систем у 80-х роках.

Для чого потрібна комплексна система захисту?

Реалізація КСЗІ дозволяє створити надійну систему, яка надає максимальний захист критично важливих даних. Потреба в цьому стала особливо гострою з початком повномасштабної агресії проти України, коли наша інформаційна інфраструктура стала ціллю регулярних кібератак.

Якщо розглядати ПРРО-провайдерів, то в день проводяться мільйони розрахункових операцій, і будь-який збій, пов’язаний з питанням кібербезпеки, може серйозно нашкодити багатьом їхнім клієнтам.

Продумана й грамотно налаштована система захисту дозволяє:

• запобігти витоку даних;
• уникнути втрати важливих даних через несправність обладнання, неліцензовані програми тощо;
• унеможливити зміну або використання інформації за межами правил політики безпеки;
• забезпечити стійкість системи перед поширеними кіберзагрозами, як-от: фішинг, DDoS-атаки, віруси, трояни тощо.

Яку користь отримує бізнес:

• оптимізація витрат на безпеку та зменшення витрат на ліквідацію наслідків кібератак;
• покращене управління ризиками;
• підвищення рівня кіберобізнаності співробітників, що позитивно впливає не лише на робочі процеси, а й на загальнонаціональну цифрову безпеку;
• зміцнення репутації компанії;
• спокійне ведення бізнесу без переживання за несанкціонований доступ до системи, компрометацію важливих даних і втрату репутації через успішну кібератаку.

Сертифікат КСЗІ – що він дає?

Для отримання атестату відповідності КСЗІ (сертифікату), треба запровадити цілу низку заходів покращення кібербезпеки та пройти складну державну експертизу. Чи варте воно того і що отримують компанії натомість?

Переваги наступні:

1. Відповідність усім державним стандартам безпеки, які забезпечують конфіденційність, цілісність і захищеність даних.
2. Можливість створювати рішення під урядові ініціативи та співпрацювати з компаніями, котрі мають високі вимоги до рівня кіберзахисту (банки, медичні установи тощо). До таких рішень можна віднести як створення програм, так і розбудову / підтримку інфраструктури. 
3. Підвищена довіра в очах клієнтів та партнерів, оскільки сертифікат КСЗІ – це:
   • підтвердження високого рівня професійності технічних спеціалістів;
   • гарантія надійності інформаційної системи;
   • додатковий козир під час ведення перемовин, укладанні домовленостей та розбудові співпраці.

Звичайно, є і мінус – регулярні витрати на безпеку. Але краще щомісяця мати певні операційні витрати, аніж отримати виток даних, втратити репутацію та навіть оголосити банкрутство, чи не так?

Дізнайтеся більше: Checkbox отримав сертифікат КСЗІ →

Як отримати атестат відповідності КСЗІ?

Щоб отримати атестат відповідності КСЗІ, ви маєте пройти спеціальну експертизу. Вона проводиться відповідно до “Положення про державну експертизу у сфері технічного захисту інформації”, і в разі успіху компанія-замовник отримує атестат. В середньому на перевірку йде близько 3 місяців, але в кожному випадку це індивідуально.

Одразу декілька компаній мають акредитацію на проведення експертизи, тому етапи сертифікації можуть дещо відрізнятися. Загалом, процедура отримання атестату складається з наступних кроків:

1. Підготовка необхідної документації.
2. Обстеження ІТ-інфраструктури компанії-замовника.
3. Розроблення технічного завдання (ТЗ) і проєкту на реалізацію системи захисту.
4. Зміна інфраструктури під вимоги ТЗ.
5. Створення документації щодо експлуатації системи захисту.
6. Реалізація та тестування системи.
7. Проведення експертизи. В разі успіху – видача атестату.

Надалі треба підтримувати належний стан КСЗІ, вчасно оновлювати програми та інфраструктуру, проводити тренінги зі співробітниками, а також дотримуватися інших політик безпеки. Лише тоді зловмисники та шкідливі програми не матимуть шансу, а ваш бізнес дійсно знаходитиметься під надійним захистом.