Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Еволюція епохи КСЗІ: що таке профіль безпеки (базовий, галузевий, цільовий)

Майстер-клас: секрети випікання найсмачніших млинців!

03.02.2026

Ухвалення Закону України № 4336-IX «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури» та набуття чинності Постанови Кабінету Міністрів України № 712 від 18.06.2025 ознаменували докорінну зміну державної політики у сфері кібербезпеки. Україна здійснює стратегічний перехід від нормативно-орієнтованого підходу (побудови комплексних систем захисту інформації – КСЗІ) до ризик-орієнтованого підходу. 
Ця реформа є частиною євроінтеграційних процесів та гармонізації національного законодавства з Директивою ЄС NIS2. Ключовими елементами нової моделі стають процедура авторизації діяльності надавачів послуг та впровадження профілів безпеки замість КСЗІ. 
Розглянемо сутність нововведень, методологію формування профілів безпеки та порядок їх застосування державними органами та суб'єктами господарювання. 

Авторизація діяльності замість атестації КСЗІ:ключові відмінності

Згідно з положеннями Постанови КМУ № 712 від 18.06.2025, авторизація визначається як процедура надання суб’єктом авторизації офіційного дозволу на провадження діяльності з обробки інформації в інформаційно-комунікаційних системах (ІКС). 
На відміну від атестації КСЗІ, яка передбачала фіксацію стану системи на момент перевірки та видачу атестата терміном до 5 років, авторизація базується на принципах динамічності та безперервності. Попередня модель часто призводила до ситуацій, коли система захисту формально відповідала вимогам п’ятирічної давнини, але була вразливою перед новітніми векторами атак. 
Авторизація – це управлінське рішення, яке підтверджує два ключові факти: 
1. Впроваджені заходи кіберзахисту є достатніми для поточного рівня загроз.
2. Залишкові ризики ідентифіковано, оцінено та визнано прийнятними для власника інформації.
Процедура авторизації є обов’язковою для державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури (ОКІІ) та систем, що містять інформацію, захист якої передбачений законом. 

Профілі безпеки: сутність, структура, наповнення

Основою для ухвалення рішення про авторизацію є відповідність системи встановленим профілям безпеки. Профіль безпеки – це структурований документ, що містить сукупність організаційних та технічних вимог до кіберзахисту. 
Нормативна база встановлює трирівневу ієрархічну модель профілів: 
1. Базовий профіль безпеки (БПБ) Це уніфікований мінімальний стандарт, розроблений Адміністрацією Держспецзв’язку. 
     ● Призначення: встановлює мінімальні вимоги до кіберзахисту, ігнорування якого апріорі робить систему вразливою. Вимоги БПБ є обов’язковими для всіх суб’єктів авторизації.      ● Технічне наповнення: включає вимоги до багатофакторної автентифікації, криптографічного захисту даних, регламентації прав доступу, ведення журналів аудиту та забезпечення фізичної безпеки серверного обладнання тощо. 
2. Галузевий профіль безпеки (ГПБ) Це набір вимог, що враховує унікальну специфіку функціонування інформаційно-комунікаційних систем у конкретній сфері (енергетиці, банківському секторі, охороні здоров’я, транспорті, телекомунікаціях тощо). 
     ● Розробник: відповідний галузевий регулятор або орган управління (наприклад, НБУ, Міненерго, МОЗ тощо).      ● Специфіка: ГПБ адаптує захист під конкретні сценарії використання. Наприклад, для енергетичного сектору ГПБ може містити вимоги щодо захисту промислових контролерів (система автоматизації SCADA), а для банківського – вимоги до цілісності транзакцій та захисту персональних даних клієнтів. 3. Цільовий профіль безпеки (ЦПБ) Це кінцевий операційний документ конкретної інформаційно-комунікаційної системи.
     ● Формування: розробляється власником системи, який додає до вимог БПБ або ГПБ-заходи, засновані на результатах внутрішньої оцінки ризиків.      ● Значення: саме ЦПБ є основним документом, відповідність якому перевіряється під час процедури авторизації. 

Ризик-орієнтований підхід як основа побудови ЦПБ

Ключовим нововведенням законодавства є вимога щодо обов’язкового проведення оцінки ризиків. Розробка Цільового профілю безпеки неможлива без попереднього аналізу загроз. 
Процес управління ризиками включає:
1. Ідентифікацію активів: виявлення, опис та класифікація всіх цінних інформаційних ресурсів (даних, ПЗ, обладнання, персоналу, процесів), що потребують захисту.
2. Ідентифікацію загроз та вразливостей: аналіз можливих векторів атак (зовнішніх та внутрішніх).
3. Оцінювання ймовірності та впливу: розрахунок потенційних збитків (фінансових, репутаційних, операційних) у разі реалізації загрози.
4. Обробку ризиків: вибір стратегії (уникнення, зменшення, передача або прийняття ризику) та вибір контролів, які фіксуються у ЦПБ. 

Алгоритм отримання авторизації та подальший супровід

Для забезпечення відповідності вимогам Постанови № 712 організації необхідно реалізувати наступний алгоритм дій, який складається з таких етапів: 
1. Підготовчий: визначення типу інформації, яка обробляється в ІКС (відкрита, конфіденційна, службова, таємна).
2. Аналітичний: проведення оцінки ризиків інформаційної безпеки.
3. Проєктування: розробка ЦПБ з урахуванням вимог БПБ або ГПБ, вимог законодавства, призначення системи та результатів проведеної оцінки ризиків ІБ.
4. Імплементація: впровадження організаційних заходів та технічних засобів захисту.
5. Оцінювання відповідності ЦПБ оцінювачем.
6. Авторизація: подання авторизаційного листа на розгляд до Адміністрації Держспецзв’язку та отримання повідомлення про включення системи до переліку авторизованих систем з безпеки. 
Важливо: процес не завершується отриманням авторизації. Законодавство вимагає здійснення постійного моніторингу стану захищеності ІКС на щорічній основі, а також у разі суттєвих змін в архітектурі системи або ландшафті загроз (появи нових критичних вразливостей). Цільовий профіль безпеки підлягає перегляду, а авторизація – актуалізації. 

Висновок

Трансформація національної системи кіберзахисту вимагає від керівників підприємств та технічних фахівців не лише формального виконання норм, але й глибокого розуміння природи кіберзагроз. Перехід до використання профілів безпеки дозволяє створити гнучку систему захисту, що забезпечує безперервність бізнес-процесів. 

Наші послуги

Компанія «ІТ Спеціаліст» пропонує комплексний супровід процедури авторизації. Ми надаємо експертний супровід на таких етапах: 
● аудиту впроваджених вимог згідно з БПБ або ГПБ;
● проведення оцінки ризиків інформаційної безпеки;
● розробка та обґрунтування ЦПБ з урахуванням специфіки вашої галузі та проведеної оцінки ризиків;
● технічний супровід впровадження заходів захисту та підготовка до оцінювання;
● оцінювання дотримання вимог ЦПБ;
● проведення щорічного планового самооцінювання поточного стану кіберзахисту. 

Звертайтеся для безкоштовної консультації – і ми запропонуємо оптимальне рішення саме для вашого бізнесу. Наші фахівці проводять комплексні аудити відповідності вимогам PCI DSS, PCI PIN Security, PCI 3DS, ISO/IEC 27001, SWIFT, NIST CSF, DORA.

IT Specialist — офіційний партнер Thales в Україні.

Автор: Дмитро Чуб, директор напряму автоматизації, інтеграції та аудиту бізнес-процесів.

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124