Український legal stack для критичної інформаційної інфраструктури — від рамкового закону про кібербезпеку до конкретних нормативних документів технічного захисту інформації та профілів безпеки 2024 року. Платформа UnityBaseDefense спроектована з прямою прив'язкою до цих вимог.
Три закони формують верхній рівень регулювання кіберзахисту критичної інфраструктури. Кожен з них далі деталізується підзаконними актами і нормативними документами ТЗІ.
Визначає поняття об'єктів кібербезпеки і кіберзахисту, встановлює основи національної системи кібербезпеки, повноваження Держспецзв'язку, CERT-UA, СБУ. Запроваджує термін «критична інформаційна інфраструктура» і встановлює, що до її об'єктів застосовуються підвищені вимоги кіберзахисту.
Профільний закон. Визначає правові та організаційні засади національної системи захисту критичної інфраструктури. Зокрема — поняття «критичної технологічної інформації» (дані з технологічних процесів об'єктів критичної інфраструктури) та обов'язкові вимоги до її захисту. Із змінами 2022–2024 років.
Регулює відносини щодо захисту інформації в інформаційно-комунікаційних системах (ІКС). Встановлює, що захист інформації з обмеженим доступом має здійснюватися шляхом створення комплексної системи захисту інформації (КСЗІ).
Стратегія кібербезпеки України, затверджена рішенням РНБО від 14.05.2021. Визначає пріоритети, серед яких — кіберзахист критичної інформаційної інфраструктури, державних електронних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.
Конкретизують положення законів — встановлюють процедури, моделі, регламенти, обов'язки операторів об'єктів критичної інфраструктури.
Базовий документ, що встановлює загальні вимоги до кіберзахисту об'єктів критичної інфраструктури. Регламентує заходи з виявлення, реагування та відновлення після кіберінцидентів.
Категоризація об'єктів критичної інфраструктури. У редакції постанови КМУ № 1384 від 16.12.2022. Визначає процедуру включення об'єкта до реєстру критичної інфраструктури.
Описує організаційно-технічну модель кіберзахисту — взаємодію Держспецзв'язку, CERT-UA, операторів критичної інфраструктури, секторальних CSIRT. Платформа має забезпечувати інтеграцію з цією моделлю на рівні інформаційного обміну.
Порядок проведення незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури. Платформа спроектована з урахуванням аудитних слідів — повний незмінний журнал дій, контроль цілісності, можливість незалежної перевірки.
Нова процедура авторизації систем з безпеки. Запроваджує етапи: розробка цільового профілю, обстеження ІКС, оцінка ризиків, виконання вимог цільового профілю. Замінює застарілий підхід «атестації» на ризик-орієнтовану модель.
Порядок проведення моніторингу рівня безпеки об'єктів критичної інфраструктури. Регулярна оцінка стану захищеності — обов'язок оператора. Платформа підтримує екпорт показників для зовнішнього моніторингу.
Технічний рівень — конкретні критерії, методики, профілі безпеки. Це те, за чим перевіряється фактична відповідність системи.
Основний документ системи ТЗІ. Сім рівнів гарантій Г-1 … Г-7. Функціональні послуги безпеки (ФПБ): конфіденційність (К), цілісність (Ц), доступність (Д), спостереженість (Н). Профіль захищеності — комбінація ФПБ і рівня гарантій під конкретний клас системи.
Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки. Чинна основа для державної експертизи, на основі якої видається експертний висновок Держспецзв'язку.
Новий нормативний документ (Наказ Держспецзв'язку № 317 від 24.06.2024). Базовий профіль безпеки інформації — мінімальний набір вимог для систем різних класів. Платформа адаптується до нової методології.
Затверджені Держспецзв'язку. Методологія оцінки: визначення цільового профілю, реалізація базового профілю, оцінка обґрунтування вибору засобів технічного захисту інформації.
Замінив НД ТЗІ 3.7-003-2005. Регулює порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційно-комунікаційних системах, де обробляється інформація з обмеженим доступом.
Спеціалізовані вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу. Профілі захищеності, функціональні послуги для веб-застосунків: достовірний канал, ідентифікація і автентифікація, реєстрація дій, розподіл обов'язків.
Порядок зіставлення функціональних компонентів безпеки ISO/IEC 15408 (Common Criteria) з вимогами НД ТЗІ 2.5-004-99. Доповнюється НД ТЗІ 2.6-003-2015 (компоненти довіри) та НД ТЗІ 2.6-013-2016 (методика). Завдяки цим документам Г-3 = EAL 4.
Методичні рекомендації Держспецзв'язку щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури. Зі змінами наказом № 343 від 10.07.2022. Деталізує заходи кіберзахисту для операторів об'єктів критичної інфраструктури.
Для систем з інформацією різного грифу обмеженого доступу обмін між контурами регламентується суворіше за стандартні мережеві політики. Це особливість української практики, успадкована з військових і державних стандартів.
Базове правило: інформація з контуру вищого грифу обмеженого доступу не може вільно потрапляти у контур нижчого грифу. Дозволено зворотний напрямок (низький → високий), але не прямий (високий → низький). Технічна реалізація цього правила — від програмно-логічних шлюзів до фізичних диодів даних (data diodes).
У контексті НД ТЗІ це виходить з функціональних послуг безпеки сімейства «Конфіденційність при обміні» (КВ) та профілів захищеності, які встановлюються для систем певного класу. Конкретні вимоги визначаються не одним документом, а сукупністю профілів, наказів і експертних висновків — тому фактична реалізація розриву каналів між контурами різного грифу зазвичай прописується в технічному завданні на КСЗІ і перевіряється державною експертизою.
Платформа UnityBaseDefense архітектурно готова до роботи в таких сценаріях:
Платформа підтримує одночасну роботу декількох ізольованих екземплярів з різними правилами доступу. Контури вищого і нижчого грифу можуть функціонувати на одній платформі без перетину даних — їх з'єднують лише регламентовані шлюзи обміну.
Архітектура шлюзів імпорту/експорту дозволяє конфігурацію передачі тільки в одному напрямку — на рівні застосунку. У комбінації з мережевим data diode формується повний логіко-фізичний розрив між контурами.
Тонкий клієнт працює на каналах від 64 Кбіт/с і не вимагає інтернет-з'єднання. Платформа повноцінно функціонує в повністю ізольованих сегментах. Оновлення доставляються через регламентовані канали з контролем цілісності.
Кожен запис у системі може мати атрибут грифу. При експорті платформа автоматично перевіряє, чи має призначений канал дозвіл на отримання даних такого грифу. Спроби порушення фіксуються в незмінному журналі.
Для роботи з інформацією з обмеженим доступом криптографічні засоби мають бути сертифіковані Держспецзв'язку та реалізовувати алгоритми за українськими ДСТУ.
Український національний стандарт електронного цифрового підпису на еліптичних кривих. Базовий стандарт для всіх кваліфікованих електронних підписів в українській юрисдикції. Платформа підтримує ДСТУ 4145 паралельно з міжнародними алгоритмами.
Стандарт симетричного блокового шифрування, використовується для шифрування даних у БД та каналу клієнт-сервер. Реалізації мають бути сертифіковані Адміністрацією Держспецзв'язку.
Український стандарт криптографічної геш-функції. Використовується разом з ДСТУ 4145 для формування ЕЦП та контролю цілісності даних і журналів дій.