Державний оператор тилу розпочинає розпочинає процес сертифікації ІТ-системи харчового забезпечення ЗСУ DOT-Chain та її модулів на відповідність NIST RMF.
NIST RMF – це американський стандарт у сфері кібербезпеки, розроблений Національним інститутом стандартів і технологій США. Він спрямований на посилення кіберзахисту у ключових державних секторах: стратегічних підприємствах, державних установах та організаціях.
Стандарт NIST дозволяє не лише ефективно протидіяти кібератакам, а й швидко адаптуватися до нових загроз. Згідно з вимогами Держспецзв’язку, впровадження цього стандарту стане обов’язковим для державних ІКС-систем. На сьогодні в Україні лише дві державні інформаційно-комунікаційні системи мають відповідний сертифікат – інтеграційна платформа «Дельта» та Система виявлення вразливостей і реагування на кіберінциденти та кібератаки «CSOC».
«У сучасній війні захист цифрової інфраструктури – не менш важливий, ніж захист фізичних складів чи маршрутів постачання. У 2025 році на закупівлю продуктів харчування для Збройних сил України ДОТом передбачено понад 44,8 мільярдів гривень, і впровадження NIST RMF підвищує стійкість цієї системи до втручання з боку противника», – зазначив директор Департаменту політики закупівель Міноборони України Гліб Канєвський.
Крім того, ДОТ посилює вимоги до політики інформаційної безпеки постачальників продуктів харчування, які взаємодіють з ІТ-системою DOT-Chain.
Це дасть змогу не лише підвищити загальний рівень захисту даних усього процесу забезпечення, а й зробити постачальників більш стійкими до всіх типів кібератак, зокрема й комерційного характеру.
Нові вимоги стануть обов’язковими та включатимуться до умов договорів, зокрема:
- Обов’язкова наявність ліцензійного програмного забезпечення.
- Повна відсутність ПЗ російського походження, зокрема 1С.
- Регулярне оновлення програмного забезпечення.
- Наявність політики з кібербезпеки – окремого документа з чітким визначенням відповідальних осіб, їхніх ролей та алгоритму дій щодо захисту інформації. Документ передається до ДОТ.
- Заборона окремих месенджерів для передавання інформації, пов’язаної з поставками.
- Розширена взаємодія у випадку кібератак: у разі виявлення вірусу або атаки компанія має невідкладно інформувати Держспецзв’язок, CERT-UA та протягом 12 годин – «Державний оператор тилу».
- Чітко прописана політика доступів: визначення відповідальних осіб та їхніх прав щодо доступу до різних типів інформації.
- Проведення тестування на проникнення (пентест) власними силами або за участі сторонніх спеціалістів з метою виявлення вразливостей у системах захисту.
- Налагоджене створення та відновлення резервних копій даних (бекапів).
- Обов’язкова сертифікація за стандартом ISO 27001 до кінця 2026 року.
«З огляду на ключову роль ДОТ у процесі нелетального забезпечення ЗСУ, захист даних завжди був одним із наших пріоритетів. Кіберзагрози постійно змінюються – щодня з’являються нові виклики. Впровадження міжнародних стандартів допомагає їм протистояти, проте не гарантує повну відсутність загроз. Тому ми підвищуємо рівень безпеки удосконаленням процесу реагування на інциденти та Disaster Recovery, щоб у разі потенційної атаки ворога захистити всю чутливу інформацію», – зазначає Альона Жужа, радниця з ІТ у ДОТ.
З повним переліком нових вимог можна ознайомитися за посиланням: Політика ІБ взаємодії з Постачальниками дотичними DOT-Chain
