Зміни в нормативних документах України з питань захисту інформації - в навчальний процес університету!

Фахівцям в області інформаційної безпеки (ІБ) сьогодні майже неможливо обійтися без знань відповідних стандартів. Формальна причина полягає в тому, що необхідність слідування деяким стандартам закріплена законодавчо.

У той же час стандарти – це одна з форм накопичення знань і, перш за все, про процедурному і програмно-технічному рівнях ІБ. У них зафіксовані  та апробовані, високоякісні рішення і методології, які розроблені найбільш кваліфікованими фахівцями.
   З практичної точки зору, кількість стандартів і специфікацій (міжнародних, національних, галузевих і т.п.) в області інформаційної безпеки нескінченно.

   Відповідність систем менеджменту організацій законодавчим актам, вимогам міжнародних та національних стандартів засвідчується сертифікатами.

   Міжнародні стандарти на системи менеджменту пропонують модель для застосування при побудові і функціонуванні системи менеджменту. Ця модель включає в себе елементи, які експертами в цій галузі визнані на основі консенсусу кращої міжнародної практики.

   Своєчасний облік змін, викладених у стандартах, є гарантією успішності реалізації іноваційних рішень в навчальному процесі, що здійснюються в Державному університеті телекомунікацій. Особливу увагу слід приділяти стандартам, пов'язаних із забезпеченням безпеки інформаційних технологій та методами їх захисту.

   Технічний комітет ISO / IEC JTC 1«Інформаційні технології» (підкомітет SC 27)  грає роль експертного комітету та  здійснює розвиток міжнародних стандартів на системи менеджменту в області інформаційної безпеки.

    Серія стандартів з менеджменту інформаційної безпеки ISO / IEC 27000, який розробляється та, як правило, щорічно оновлюється  містить кращі практики і рекомендації в області інформаційної безпеки для створення, розвитку та підтримки систем менеджменту інформаційної безпеки.

   Положення Закону «Про стандартизацію» встановлюють добровільність застосування національних стандартів, скасовують необхідність погодження проектів національних стандартів з державними органами, скасовують галузеву стандартизацію.

Стаття 1. 20) стандарт - нормативний документ, заснований на консенсусі, прийнятий визнаним органом, що встановлює для загального і неодноразового використання правила, настанови або характеристики щодо діяльності чи її результатів, та спрямований на досягнення оптимального ступеня впорядкованості в певній сфері;

Стаття 11. 2. До повноважень національного органу стандартизації належить:

1) організація та координація діяльності щодо розроблення, прийняття, перевірки, перегляду, скасування та відновлення дії національних стандартів, кодексів усталеної практики та змін до них відповідно до цього Закону;

2) прийняття, скасування та відновлення дії національних стандартів, кодексів усталеної практики та змін до них відповідно до цього Закону;

Стаття 16. Підприємства, установи та організації, що здійснюють стандартизацію

1. Підприємства, установи та організації мають право у відповідних сферах діяльності та з урахуванням своїх господарських і професійних потреб організовувати та виконувати роботи із стандартизації, зокрема:

1) розробляти, приймати, перевіряти, переглядати та скасовувати стандарти, кодекси усталеної практики, технічні умови і зміни до них, установлювати процедури їх розроблення, прийняття, перевірки, перегляду, скасування та застосування;

Відповідно до статті 11 Закону України "Про стандартизацію" від 05.06.2014 N 1315-VII, розпорядження Кабінету Міністрів України від 26.11.2014 N 1163-р "Про визначення державного підприємства, яке виконує функції національного органу стандартизації" та на виконання Програми робіт з національної стандартизації на 2017 рік  державним підприємством  «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (ДП «УкрНДНЦ») був виданий наказ від 04.08.2017 № 207 «Про прийняття національних нормативних документів, гармонізованих з європейськими нормативними документами, поправки до національного нормативного документа, скасування національних нормативних документів». Цей наказ оприлюднено на офіційному веб-сайті ДП "УкрНДНЦ"

В наказі ДП "УкрНДНЦ" від 04.08.2017 № 207  прийняті національні нормативні документи, гармонізовані з європейськими нормативними документами, методом підтвердження з наданням чинності з 01 жовтня 2017 року, серед  яких є стандарти, пов'язані з інформаційними технологіями та методами їх захисту:

Державний Стандарт України ДСТУ ISO/IEC 27000:2017 (ISO/IEC 27000:2016, IDT) Інформаційні технології. Методи захисту. Системи менеджменту інформаційної безпеки. Огляд і словник термінів  -  на заміну ДСТУ ISO/IEC 27000:2015 (ISO/IEC 27000:2014, IDT). 

Цей стандарт надає огляд систем управління інформаційною безпекою, а також терміни та визначення, які зазвичай використовують у сімействі стандартів СУІБ. Цей стандарт застосовний для всіх типів та розмірів організацій (наприклад, комерційних підприємств, державних установ, неприбуткових організацій).

Використовуючи це сімейство стандартів (СУІБ - ISMS), організації можуть розробляти та впроваджувати основні положення управління безпекою своїх інформаційних ресурсів, зокрема фінансової інформації, інтелектуальної власності й детальної кадрової інформації або довіреної їм клієнтами, або третіми сторонами інформації. Ці стандарти можна також використовувати для підготування до незалежного оцінювання їх СУІБ (ISMS) стосовно захисту інформації.

   Скасуванню підлягають національні стандарти України з питань інформаційної безпеки, які були прийняті наказом Державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 18 грудня 2015  року  № 193:

   ДСТУ ISO/IEC 27000:2015 “Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Огляд і словник”,

   ДСТУ  ISO/IEC  27001:2015  “Інформаційні  технології.

Методи захисту. Системи управління інформаційною безпекою. Вимоги”,

   ДСТУ  ISO/IEC  27002:2015  “Інформаційні

технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки”,

   ДСТУ ISO/IEC  27005:2015  “Інформаційні технології. Методи захисту. Управління ризиками інформаційної безпеки”.

   Скасованим стандартом можна користуватись виключно як довідковим матеріалом без посилання на них у технічній, юридичній тощо документації, яку готує виробник (підприємство). Такі стандарти не є чинними та не визнані національними органами стандартизації.

   Виробник може сам розробляти  та запропонувати свої ДСТУ або затвердити Технічні умови під свою продукцію.

   Під час застосування стандарту, який є обов’язковим, слід також врахувати те, що стандарти, як правило, містять посилання на інші стандарти, положення яких становлять разом сутність цього стандарту, і вимог таких стандартів слід також додержуватися.

   У жовтні 2017 року вийшов оновлений стандарт ISO / IEC 27007 «Інформаційні технології - Методи забезпечення безпеки - Керівництво по аудиту систем менеджменту інформаційної безпеки» , який публікується з   2011 року. Стандарт був приведений у відповідність з ISO / IEC 27001: 2013.
ISO / IEC 27007: 2017  містить рекомендації з управління програмою аудиту системи менеджменту інформаційної безпеки (СМІБ), проведення внутрішніх і зовнішніх аудитів СМІБ, а також компетентності і оцінки аудиторів СМІБ .

  Крім того, він надає рекомендації для аудиту всіх вимог, викладених в ISO / IEC 27001: 2013 і використовується в поєднанні з інструкцією, викладеною  в ISO 19011: 2011, слідуючи тій же структурі, що і цей міжнародний стандарт.

   Також комітет ISO / IEC JTC 1 опублікував новий стандарт ISO / IEC 27021: 2017 «Інформаційні технології - Методи забезпечення безпеки - Вимоги до компетенції професіоналів систем менеджменту інформаційної безпеки», який визначає вимоги до компетенції професіоналів СМІБ,   або які беруть участь в створенні, впровадженні, обслуговуванні і постійному вдосконаленні одного або декількох процесів СМІБ, які відповідають вимогам ISO / IEC 27001.

   Професійну оцінку відповідності систем менеджменту організацій законодавчим актам, вимогам міжнародних та національних стандартів в Україні  здійснює з 2008 року ТОВ «Інтерсерт-УКРАЇНА» - офіційний представник німецького органу з сертифікації систем менеджменту і персоналу TÜV Thüringen (ТЮФ Тюрінген) з багаторічним практичним досвідом роботи кращих топ - менеджерів. ТОВ «Інтерсерт-УКРАЇНА»  проводить аудити   у  39-ти галузях економіки в країнах Європи відповідно до Європейської класифікації підприємств.

   В то же час  Кабінет міністрів України  13 вересня 2017 року  ухвалив постанову, яка вносить зміни до деяких законодавчих актів України, щоб узгодити їх із Законом «Про стандартизацію». Про це повідомляє прес-служба Мінекономрозвитку(http://zik.ua/news/2017/09/15/uryad_skasuvav_obovyazkove_vykorystannya_natsionalnyh_standartiv_1168113) . Але це стосується тільки питань здійснення торгівлі та взаємовідносин з Світовою організацією торгівлі.  Відповідно до документу, із законодавчних актів мають бути виключені положення щодо: обов’язковості застосування національних стандартів; погодження проектів національних стандартів з державними органами; нормативно-правового регулювання відносин, пов’язаних із розробленням стандартів і технічних умов підприємств, установ та організацій; нагляду за дотриманням стандартів та штрафних санкцій за недотримання вимог стандартів.

   У європейській практиці посилання на певні стандарти в актах законодавства, зокрема в директивах ЄС, є поодинокими випадками.

Важливість застосування стандартів у навчальній та науково-дослідній повсякденній діяльності в університеті зобов'язує виконувати деякі рекомендаційні  вимоги:

• відстежувати на новинних веб-сайтах зміни в стандартах (як правило міжнародні стандарти через рік-два уточнюються, а переклад з англійської відбувається з великим запізненням або за гроші),
• використовувати скасовані стандарти  можна тільки в якості додаткового довідкового матеріалу та без посилання на їх як нормативне джерело (через велику кількість застарілого матеріалу в мережі Інтернет).