Нормативно-правовий фреймворк дисципліни
Карта діючих в Україні нормативів захисту інформації з обмеженим доступом, з мапінгом на міжнародні стандарти (NIST, ISO, NIS2, GDPR). Документ описує саму систему стандартів, а не один продукт.
Нормативи потрібні для планування проєкту
Ця сторінка не просто перелік документів. Вона допомагає зрозуміти, які вимоги впливають на архітектуру, бюджет, документацію та допуск системи до експлуатації.
Вимоги виявляються надто пізно
Якщо нормативний контур не врахувати на старті, зміни доведеться вносити вже в готову систему.
Зв'язати вимоги з архітектурою
Кожна вимога має відображатися в моделі доступу, журналі подій, криптографії, сегментації або процесах експлуатації.
Прогнозована траєкторія експертизи
Команда бачить, які рішення потрібно закласти в систему до розробки, а які можна описати процедурно.
Чотири шари нормативного поля
Нормативне поле в Україні складається з чотирьох шарів: законодавчого, підзаконного, нормативно-технічного та галузевого. Кожен шар адресує власну предметну область і має власний механізм актуалізації. Розуміння цієї структури важливе, бо інакше легко переплутати чинні норми з застарілими — або шукати вимоги не у тому документі.
Законодавчий шар
Базові закони, що визначають саме поняття інформації з обмеженим доступом та основні правові режими:
- Закон України «Про інформацію» (1992, з оновленнями). Базове визначення інформації, поділ на типи доступу.
- Закон України «Про державну таємницю» (1994). Окрема система обмеженого доступу до відомостей державної таємниці.
- Закон України «Про захист персональних даних» (2010). Захист персональних даних, обробка у базах даних, права суб'єктів.
- Закон України «Про доступ до публічної інформації» (2011). Визначає категорію службової інформації як частину інформації з обмеженим доступом.
- Закон № 1882-IX «Про критичну інфраструктуру» (2021). Об'єкти критичної інформаційної інфраструктури, їх категорії важливості.
- Закон України «Про основні засади забезпечення кібербезпеки» (2017). Загальний фреймворк національної системи кібербезпеки.
Підзаконний шар
Постанови Кабінету Міністрів України, що деталізують порядок реалізації законодавчих положень:
- КМУ № 943 (2020) — порядок формування переліку об'єктів КІІ.
- КМУ № 518 (2020) — категорії важливості об'єктів КІІ.
- КМУ № 712 (2025) — ризик-орієнтована методологія авторизації систем безпеки. Поетапне заміщення фіксованих профілів захисту цільовим профілем на основі оцінки ризиків.
Нормативно-технічний шар (НД ТЗІ)
Серія Нормативних документів з технічного захисту інформації — центральна для практичної інженерії захищених систем. Затверджуються Адміністрацією Держспецзв'язку:
- НД ТЗІ 1.4-001 — загальні положення про захист інформації.
- НД ТЗІ 2.5-004-99 — критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу. Профілі захисту АС-1, АС-2, АС-3.
- НД ТЗІ 2.5-005 — вимоги до засобів захисту з функціональним призначенням «фільтр».
- НД ТЗІ 3.7-003-2005 — порядок створення комплексної системи захисту інформації (КСЗІ).
Криптографічні стандарти
- ДСТУ 4145 (2002) — електронний підпис на еліптичних кривих. Основа української системи довіри.
- ДСТУ 7624 — шифрування блоковими алгоритмами. Сучасна заміна ГОСТ 28147.
- ДСТУ 7564 (Купина) — функції геш-перетворення.
Міжнародні стандарти
Документи, що визначають європейський та глобальний контекст. Згруповано за родинами для зручності.
- NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations. Каталог контролів, з якого формуються baselines (Low, Moderate, High).
- NIST SP 800-207 (2020) — Zero Trust Architecture. Концептуальна доктрина та сім тенетів.
- NIST SP 800-160 Vol. 1 — Systems Security Engineering.
- NIST CSF 2.0 — Cybersecurity Framework: Identify → Protect → Detect → Respond → Recover.
- ISO/IEC 27001:2022 — система управління інформаційною безпекою.
- ISO/IEC 27002:2022 — каталог контролів для ISMS.
- ISO/IEC 15408 (Common Criteria) — оцінка захищеності IT-продуктів. Рівні гарантій EAL 1–7.
- ISO/IEC 27701 — розширення 27001 для управління privacy.
- NIS2 Directive (EU 2022/2555) — чинна з 18 жовтня 2024 р. Стаття 21 — десять обов'язкових заходів кібербезпеки.
- GDPR (EU 2016/679) — General Data Protection Regulation. Стаття 32 — технічні та організаційні заходи захисту.
- eIDAS Regulation (EU 910/2014, оновлена 2024) — електронна ідентифікація та довірчі послуги.
- EU Cyber Resilience Act (2024) — обов'язкові вимоги до продуктів з цифровими елементами.
- EU AI Act (2024) — регулювання AI-систем, у тому числі у безпеці.
Mapping українських і міжнародних фреймворків
Жодного офіційно-санкціонованого взаємного визнання між українською системою рівнів гарантій та CC EAL не існує. Нижче — орієнтовний інженерний mapping для розуміння рівня вимог. Це не сертифікаційне твердження.
| Український фреймворк | Положення | Орієнтовний відповідник |
|---|---|---|
| Г-1 | Базова експертиза | ≈ EAL 2 (CC) |
| Г-2 | Розширена експертиза | ≈ EAL 3 (CC) |
| Г-3 | Глибока експертиза з аналізом вразливостей | Орієнтовно ≈ EAL 4 (CC) |
| НД ТЗІ 2.5-004-99 АС-2 | Багатокористувацька АС одного грифу | ≈ NIST 800-53 Moderate |
| НД ТЗІ 2.5-004-99 АС-3 | АС з обробкою інформації різних грифів | ≈ NIST 800-53 High |
| ДСТУ 4145 | Електронний підпис | Сумісний з X.509 / RFC 5280 |
Heat map відповідності UnityBaseDefense
Зведена таблиця статусу платформи стосовно ключових нормативів:
| Норматив | Контроль | Стан |
|---|---|---|
| НД ТЗІ 2.5-004-99 | Профіль АС-2, Г-3 | Експертний висновок |
| ДСТУ 4145 | Електронний підпис | Реалізовано |
| ДСТУ 7624 | Симетричне шифрування | Реалізовано |
| КМУ № 712 (2025) | Ризик-орієнтована авторизація | Реалізовано |
| NIST 800-207 | 7 тенетів Zero Trust | 6 з 7 реалізовано |
| NIST 800-53 | AC, AU, IA, SC, SI, CM | Реалізовано |
| NIS2 Art. 21.2(d) | Управління інцидентами | Через прикладну логіку |
| NIS2 Art. 21.2(h) | MFA / Continuous auth | Реалізовано |
| GDPR Art. 32 | Шифрування, псевдонімізація | Реалізовано |
| ISO/IEC 27001 | ISMS — система управління | Площина організації, не платформи |
Документ оновлюється з кожною суттєвою зміною нормативного поля. Зворотний зв'язок щодо неточностей — через контактну форму.