КСЗІ для системи на UBD: пакет документів — База знань

КСЗІ — це не файл і не програма. КСЗІ — це сукупність організаційних та технічних заходів, оформлених як комплект документів та працюючих процедур. Якщо у вас є тільки технічні засоби захисту, у вас немає КСЗІ — у вас є їх частина. Експерт перевіряє наявність обох рівнів.

Що таке КСЗІ за визначенням

Згідно з НД ТЗІ 3.7-003-2005, комплексна система захисту інформації — це сукупність організаційних та інженерно-технічних заходів, спрямованих на запобігання, виявлення та реагування на несанкціонований доступ, модифікацію або знищення інформації в АС. Ключове слово — «комплексна»: технічних засобів самих по собі недостатньо.

На практиці КСЗІ складається з двох частин:

Організаційний шар: політики, ролі, відповідальності, процедури, плани, інструкції, журнали.
Технічний шар: засоби ідентифікації, контролю доступу, реєстрації, криптографії, антивірусний захист, фізична безпека.

Вісім обов’язкових пакетів документів

Пакет 1. Політика безпеки інформації

Документ верхнього рівня. Описує: цілі захисту, основні принципи, обсяг відповідальності керівництва, посилання на нормативи. 5-15 сторінок. Підписується першою особою організації.

Часта помилка — копіювання шаблону без адаптації під конкретну організацію. Експерт це бачить одразу. Політика має містити специфіку: які системи захищаються, які категорії інформації обробляються, хто власник.

Пакет 2. Ролі та відповідальність

Перелік ролей у системі захисту: відповідальний за КСЗІ (як правило, заступник керівника), адміністратор безпеки, системний адміністратор, користувачі. Для кожної ролі — посадова інструкція з конкретними обов’язками.

Принцип segregation of duties на цьому етапі переходить з абстрактного у конкретне: одна особа не може одночасно бути адміністратором безпеки і системним адміністратором. Інакше експерт ставить зауваження.

Пакет 3. Інцидент-менеджмент

Процедури реагування на інциденти. Категоризація інцидентів (категорії 1-4 за тяжкістю), playbooks для типових випадків, форми журналів інцидентів, схема ескалації, контактна інформація (внутрішня + CSIRT-UA + регулятор).

З 2024 року для операторів КІІ — обов’язкові терміни reporting (24/72 години відповідно до NIS2 та національних транспонувань).

Пакет 4. Безперервність бізнесу та аварійне відновлення (BCP/DR)

RTO (recovery time objective) і RPO (recovery point objective) для кожної критичної функції. Процедури резервного копіювання, плани відновлення, plan тестування. Для критичних систем — щонайменше річні навчання з повного відновлення.

Пакет 5. Фізична безпека

Контроль доступу до серверних приміщень, режим відеоспостереження, протоколи відвідувачів, контроль фізичних носіїв. Часто недооцінюється, але експерт перевіряє: для АС-2 і АС-3 — це обов’язково.

Пакет 6. Кадрова безпека

Перевірка кандидатів, угоди про конфіденційність, навчання при прийомі на роботу, періодичне навчання, процедура звільнення (відкликання прав доступу, повернення обладнання, повторне ознайомлення з обмеженнями розголошення).

Пакет 7. Технічні засоби

Опис впроваджених технічних засобів: ідентифікація і автентифікація, керування доступом, реєстрація подій (audit log), контроль цілісності, криптографічний захист, антивірусний захист. Для кожного — посилання на сертифікат відповідності (де застосовно) або на експертний висновок.

Пакет 8. Навчання користувачів

Програма навчання, перелік тем, форми контролю, журнал проведених тренінгів. Періодичність — щонайменше один раз на рік для всіх користувачів.

Шаблони мінімальних документів

Пакет	Мінімальний обсяг	Хто готує
Політика безпеки	5-15 сторінок	Відповідальний за КСЗІ + керівництво
Ролі та відповідальність	10-25 сторінок (за ролями)	HR + відповідальний за КСЗІ
Інцидент-менеджмент	15-40 сторінок (з playbooks)	SOC або відповідальний за КСЗІ
BCP/DR	20-60 сторінок	IT-операції + бізнес-власник
Фізична безпека	5-20 сторінок	Служба безпеки
Кадрова безпека	10-25 сторінок	HR + юридичний
Технічні засоби	20-80 сторінок (з конфігами)	IT + відповідальний за КСЗІ
Навчання	5-15 сторінок (з програмою)	HR + відповідальний за КСЗІ

Власник системи vs експерт

Розподіл відповідальності, який не завжди очевидний на старті:

Власник КСЗІ готує документи, впроваджує заходи, експлуатує систему. Несе відповідальність за актуальність КСЗІ протягом всього життєвого циклу системи.
Експертна організація перевіряє відповідність КСЗІ нормативним вимогам. Не «допомагає писати документи» — це конфлікт інтересів. Експерт оцінює готовий пакет.

На практиці є проміжна категорія — консультант КСЗІ. Це організація, що допомагає готувати документи, але не є експертною. Експертну роботу для тієї ж КСЗІ ця ж організація проводити не може.

Порівняння з ISO 27001

Для організацій, що працюють і з українським, і з міжнародним сегментом — корисне порівняння. ISO/IEC 27001:2022 покриває більшу частину КСЗІ-пакету, але:

ISO 27001 не вимагає експертного висновку Держспецзв’язку.
КСЗІ обов’язково містить специфічні для України елементи: класи АС, ДСТУ 4145 для електронного підпису.
ISO 27001 більш risk-based; КСЗІ — нормативно-орієнтована (хоча КМУ № 712 з 2025 року змінює це).

Найкращий підхід для організацій, що хочуть обидва — будувати ISMS (систему за ISO 27001) як надбудову, що включає КСЗІ як частину для українських АС.

[ ПРАКТИЧНА РЕАЛІЗАЦІЯ ]

Як UBD спрощує підготовку технічного пакету КСЗІ

Пакет 7 (Технічні засоби) — найбільший та найскладніший у КСЗІ. UBD має готові процедурні документи для адміністрування платформи: інструкції адміністратора, журнали подій з опису WORM-журналу, регламенти ротації ключів, описи реалізованих функцій безпеки з посиланнями на експертний висновок Г-3. Це скорочує обсяг власноруч створюваних документів на 40-60%.

UnityBaseDefense — технічна довідка →