Минобороны будет использовать средства защиты информации на основе сертификатов НАТО

Кабмин постановлением от 21 июня 2024 г. №737 утвердил порядок реализации экспериментального проекта по защите и обработке информации в информационно-коммуникационной системе управления логистическим обеспечением.

Координатором экспериментального проекта Минобороны, а участниками структурные подразделения Минобороны, воинские части и подразделения Вооруженных Сил, службы государственного заказчика, Администрация Госспецсвязи.

Установлено, что защиту и обработку информации в информационно-коммуникационной системе управления логистическим обеспечением осуществляется с учетом особенностей, установленных порядком, утвержденным этим постановлением.

Реализация экспериментального проекта может осуществляться за счет средств международной помощи.

В частности, во избежание потенциального завышения степени ограничения доступа к информации разграничение доступа к информации в информационной системе будет осуществляться аппаратными и/или программными средствами. Перечень информации, подлежащей обработке и требующий защиты в информационной системе, формируется из сведений о проведенного разграничения доступа к информации.

Должностные (служебные) лица участников экспериментального проекта используют функциональные возможности информационной системы в соответствии с определенным уровнем прав доступа. Уровень прав доступа определяется ролевой моделью, которая учитывает должность пользователя, его принадлежность к элементу военной структуры и перечень операций, разрешенных для выполнения согласно утвержденным требованиям к информационной системе. В информационной системе ведется полная запись всех операций и действий пользователей, включая администраторов информационной системы. Удаление и совершение других действий по информации без внесения соответствующих записей в системные журналы не допускается.

Подключение информационной системы к глобальным сетям передачи данных может производиться с использованием средств технической и криптографической защиты информации, используемых государствами-членами НАТО и предназначенных для защиты информации со степенью ограничения доступа NATO RESTRICTED и более высокими степенями ограничения доступа (средства защиты).

Средства защиты используются в составе информационной системы на следующих условиях:

• средства защиты должны иметь соответствующие сертификаты по безопасности НАТО и быть внесены в список сертифицированных средств на NIAPC Product Catalog;
• использование средств защиты осуществляется в соответствии с требованиями нормативного документа НАТО – Security Within the North Atlantic Treaty Organization (NATO) С-М(2002)49 и поддерживающих директив;
• использование средств защиты в информационной системе осуществляется на основе сертификатов по безопасности НАТО (результатов сертификационных испытаний, принимаемых государствами-членами НАТО) по перечню сертификационных средств на NIAPC Product Catalog и документации, в которой определены требования к обеспечению безопасности применения средств и криптоматериалов (ключевых данных) к таким средствам.

Использование средств криптографической защиты информации производства государств-членов НАТО разрешается при условии контроля со стороны Администрации Госспецсвязи, Минобороны и Генерального штаба Вооруженных Сил по распределению криптографических материалов (ключевых данных) по таким средствам.

Как ранее писала «Судебно-юридическая газета», использование Минобороны информационных систем США не потребует дополнительных процедур подтверждения соответствия в Украине.

Так, Кабмин постановлением от 18 июня №719 установил, что для использования Министерством обороны информационных или электронных коммуникационных систем США не требуется дополнительных процедур по подтверждению соответствия, действующим для других систем.

Как известно, в соответствии со статьей 8 Закона «О защите информации в информационно-коммуникационных системах» подтверждение соответствия комплексной системы защиты информации осуществляется по результатам государственной экспертизы, которая проводится с учетом отраслевых требований и норм информационной безопасности в порядке, установленном законодательством.

Вместе с тем, Кабмин постановлением №719 установил, что для использования Министерством обороны информационных или электронных коммуникационных систем США не нужно будет проходить дополнительные процедуры по подтверждению соответствия.

Напомним, изменениями, внесенными законом о цифровизации военного учета (законопроект 10062) установлено, что хотя по общему правилу запрещается обработка информации, составляющей государственную тайну, с помощью облачных ресурсов или центров обработки данных, размещенных за границей, однако эти требования не распространяются на обработку информации с помощью облачных ресурсов или центров обработки данных, размещенных за границей, в информационных, информационно-коммуникационных, электронных коммуникационных системах, владельцем (держателем, разработчиком) которых является МОУ, ВСУ и другие образованные согласно законам Украины военные формирования.

Обработка такой информации может осуществляться на территории государств-членов НАТО.

Этот закон позволяет размещать украинские ИТ-системы в облаках стран-членов НАТО.

Автор: Наталья Мамченко 

Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.