19.03.202016:30

Фахівці з інформбезпеки обговорили підходи модернізації КСЗІ

12 березня на базі Prozorro відбулась експертна дискусія щодо перспектив удосконалення комплексної системи захисту інформації. Рік тому атестат КСЗІ отримало державне підприємство «ПРОЗОРРО», подібну перевірку пройшли електронні майданчики, підключені до системи Prozorro. Учасники процесу та незалежні фахівці з кібербезпеки обговорили рекомендації щодо вдосконалення КСЗІ. Prozorro зібрало ключові рекомендації фахівців, які прозвучали під час дискусії.

Пропозиції щодо модернізації КСЗІ від учасників дискусії

  • Змінити вимоги КСЗІ 
    • в частині того, як змінюється система при масштабуванні (додаванні компонентів)
    • в частині того, хто і які доступи повинен мати до продуктивного середовища (CI/CD)
  • Адаптувати можливість поступового переходу з КСЗІ на системи, які використовуються в інших країнах без радикальної перебудови системи
  • Створити бази знань: зрозумілих пояснень, рекомендацій, прикладів, гайдлайнів
  • Врегулювати розміщення ресурсів у хмарах
  • Посилити вагу функціонального профілю захищеності, як дієвого механізму, який зараз опціональний
  • Передбачити можливість для державних органів делегувати відповідальність за інформаційну безпеку
  • Встановити відповідальність ліцензіатів за незадовільний результат експертизи
  • Розробити рекомендації із захисту і налаштування систем в рамках побудови КСЗІ, які дозволяли би перевірити спроможності системи
  • Зробити градацію вимог для адміністраторів систем в залежності від різних факторів (наприклад, вимоги інформаційної безпеки до платіжних систем різняться від об'єму транзакцій)
  • Сформулювати вимоги до кваліфікації фахівців, які можуть брати участь у побудові або організації державних експертиз
  • Включити до роадмапу розвитку КСЗІ “білий хакінг” 

Держспецзв’язку приймає зауваження і пропозиції щодо модернізації КСЗІ на електронну адресу dzi@dsszzi.gov.ua (з темою “для Ігора Стельника”)