Регуляторне поле: НД ТЗІ, NIST, NIS2, GDPR

Чотири шари нормативного поля

Нормативне поле в Україні складається з чотирьох шарів: законодавчого, підзаконного, нормативно-технічного та галузевого. Кожен шар адресує власну предметну область і має власний механізм актуалізації. Розуміння цієї структури важливе, бо інакше легко переплутати чинні норми з застарілими — або шукати вимоги не у тому документі.

Законодавчий шар

Базові закони, що визначають саме поняття інформації з обмеженим доступом та основні правові режими:

Закон України «Про інформацію» (1992, з оновленнями). Базове визначення інформації, поділ на типи доступу.
Закон України «Про державну таємницю» (1994). Окрема система обмеженого доступу до відомостей державної таємниці.
Закон України «Про захист персональних даних» (2010). Захист персональних даних, обробка у базах даних, права суб'єктів.
Закон України «Про доступ до публічної інформації» (2011). Визначає категорію службової інформації як частину інформації з обмеженим доступом.
Закон № 1882-IX «Про критичну інфраструктуру» (2021). Об'єкти критичної інформаційної інфраструктури, їх категорії важливості.
Закон України «Про основні засади забезпечення кібербезпеки» (2017). Загальний фреймворк національної системи кібербезпеки.

Підзаконний шар

Постанови Кабінету Міністрів України, що деталізують порядок реалізації законодавчих положень:

КМУ № 943 (2020) — порядок формування переліку об'єктів КІІ.
КМУ № 518 (2020) — категорії важливості об'єктів КІІ.
КМУ № 712 (2025) — ризик-орієнтована методологія авторизації систем безпеки. Поетапне заміщення фіксованих профілів захисту цільовим профілем на основі оцінки ризиків.

Нормативно-технічний шар (НД ТЗІ)

Серія Нормативних документів з технічного захисту інформації — центральна для практичної інженерії захищених систем. Затверджуються Адміністрацією Держспецзв'язку:

НД ТЗІ 1.4-001 — загальні положення про захист інформації.
НД ТЗІ 2.5-004-99 — критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу. Профілі захисту АС-1, АС-2, АС-3.
НД ТЗІ 2.5-005 — вимоги до засобів захисту з функціональним призначенням «фільтр».
НД ТЗІ 3.7-003-2005 — порядок створення комплексної системи захисту інформації (КСЗІ).

Криптографічні стандарти

ДСТУ 4145 (2002) — електронний підпис на еліптичних кривих. Основа української системи довіри.
ДСТУ 7624 — шифрування блоковими алгоритмами. Сучасна заміна ГОСТ 28147.
ДСТУ 7564 (Купина) — функції геш-перетворення.

Міжнародні стандарти

Документи, що визначають європейський та глобальний контекст. Згруповано за родинами для зручності.

NIST SP 800-53 Rev. 5 — Security and Privacy Controls for Information Systems and Organizations. Каталог контролів, з якого формуються baselines (Low, Moderate, High).
NIST SP 800-207 (2020) — Zero Trust Architecture. Концептуальна доктрина та сім тенетів.
NIST SP 800-160 Vol. 1 — Systems Security Engineering.
NIST CSF 2.0 — Cybersecurity Framework: Identify → Protect → Detect → Respond → Recover.

ISO/IEC 27001:2022 — система управління інформаційною безпекою.
ISO/IEC 27002:2022 — каталог контролів для ISMS.
ISO/IEC 15408 (Common Criteria) — оцінка захищеності IT-продуктів. Рівні гарантій EAL 1–7.
ISO/IEC 27701 — розширення 27001 для управління privacy.

NIS2 Directive (EU 2022/2555) — чинна з 18 жовтня 2024 р. Стаття 21 — десять обов'язкових заходів кібербезпеки.
GDPR (EU 2016/679) — General Data Protection Regulation. Стаття 32 — технічні та організаційні заходи захисту.
eIDAS Regulation (EU 910/2014, оновлена 2024) — електронна ідентифікація та довірчі послуги.
EU Cyber Resilience Act (2024) — обов'язкові вимоги до продуктів з цифровими елементами.
EU AI Act (2024) — регулювання AI-систем, у тому числі у безпеці.

Mapping українських і міжнародних фреймворків

Жодного офіційно-санкціонованого взаємного визнання між українською системою рівнів гарантій та CC EAL не існує. Нижче — орієнтовний інженерний mapping для розуміння рівня вимог. Це не сертифікаційне твердження.

Український фреймворк	Положення	Орієнтовний відповідник
Г-1	Базова експертиза	≈ EAL 2 (CC)
Г-2	Розширена експертиза	≈ EAL 3 (CC)
Г-3	Глибока експертиза з аналізом вразливостей	Орієнтовно ≈ EAL 4 (CC)
НД ТЗІ 2.5-004-99 АС-2	Багатокористувацька АС одного грифу	≈ NIST 800-53 Moderate
НД ТЗІ 2.5-004-99 АС-3	АС з обробкою інформації різних грифів	≈ NIST 800-53 High
ДСТУ 4145	Електронний підпис	Сумісний з X.509 / RFC 5280

Методологія: мапінг ґрунтується на порівнянні переліку перевірок та обсягу документації, що вимагаються кожним рівнем. Різні системи оцінки використовують різні підходи (CC — модульний з selectable assurance components; українська система — інтегрована з фіксованим переліком перевірок), тому точна відповідність неможлива.

Heat map відповідності UnityBaseDefense

Зведена таблиця статусу платформи стосовно ключових нормативів:

Норматив	Контроль	Стан
НД ТЗІ 2.5-004-99	Профіль АС-2, Г-3	Експертний висновок
ДСТУ 4145	Електронний підпис	Реалізовано
ДСТУ 7624	Симетричне шифрування	Реалізовано
КМУ № 712 (2025)	Ризик-орієнтована авторизація	Реалізовано
NIST 800-207	7 тенетів Zero Trust	6 з 7 реалізовано
NIST 800-53	AC, AU, IA, SC, SI, CM	Реалізовано
NIS2 Art. 21.2(d)	Управління інцидентами	Через прикладну логіку
NIS2 Art. 21.2(h)	MFA / Continuous auth	Реалізовано
GDPR Art. 32	Шифрування, псевдонімізація	Реалізовано
ISO/IEC 27001	ISMS — система управління	Площина організації, не платформи

Реалізовано / Підтверджено Частково / Орієнтовно Поза скоупом платформи

Документ оновлюється з кожною суттєвою зміною нормативного поля. Зворотний зв'язок щодо неточностей — через контактну форму.

Нормативно-правовий фреймворк дисципліни

Нормативи потрібні для планування проєкту

Вимоги виявляються надто пізно

Зв'язати вимоги з архітектурою

Прогнозована траєкторія експертизи