20 Листопада, 2024
Час читання: 6 хв.

Стандарт кіберстійкості DigVel: як зробити Україну безпечнішою

Кібербезпека — це важливо. У світі вже давно застосовуються міжнародні стандарти кібербезпеки, сертифікати яких підтверджують рівень захищеності організацій, що відповідають їх вимогам. Ця практика не лише запевняє користувачів у захищеності послуг і програмних продуктів, які вони вибирають, а й заохочує решту компаній розвивати свої системи захисту, аби залишатися конкурентоспроможними.

В Україні подібні стандарти поки не є обов’язковими — хіба що деякі дуже конкретні або хіба що для тих компаній, які хочуть вийти на експорт і зробити це успішно. Тому ця тема актуальна здебільшого для організацій у високорегульованих секторах, до яких висуваються вимоги через специфіку їхньої діяльності.

Ще одна причина «непопулярності» міжнародних стандартів кібербезпеки серед малого та середнього бізнесу в Україні — вони неймовірно складні. Не кожен спеціаліст із кіберзахисту має достатні компетенції, щоб із ними розібратися, що вже казати про невеликі компанії, де це завдання на себе візьме хтось віддалено знайомий із кібербезпекою або взагалі керівник. І таких випадків в Україні тотальна більшість.

Щоб розв’язати ці проблеми, команда DigVel вирішила створити український Стандарт кіберстійкості, розроблений спеціально для українців з огляду на потреби України.

Стандарт кіберстійкості DigVel — це набір інструкцій для бізнесу, заснованих на міжнародних практиках. Його головний фокус — забезпечення безперервної діяльності організацій і швидкого відновлення після інцидентів. Стандарт розроблений для простого, поступового впровадження й адаптується під реальні загрози та можливості конкретних компаній.

Навіщо потрібні стандарти кібербезпеки?

Міжнародні стандарти з кібербезпеки — це документи з набором вимог, що стосуються безпеки інформаційних систем і даних. Вони потрібні для того, щоб допомогти організаціям забезпечувати захист корпоративної інформації, а також дотримуватися законодавчих норм.

Наявність сертифіката відповідності стандарту кібербезпеки не тільки дає змогу вести діяльність без порушення законодавства в країнах, де діє той чи інший стандарт, а й приваблювати більше клієнтів. Адже захищеність програмного забезпечення або сервісу в наш час дуже приваблює, чи не так?

Деякі стандарти настільки важливі, що ви напевне про них чули. Як-от про Стандарт безпеки даних платіжних карток (Payment Card Industry Data Security Standard, PCI DSS), що встановлює критерії для оброблення платіжних карт і гарантування безпеки даних їх власників. Ці вимоги є обов’язковими для всіх організацій, які мають справу з обробленням платежів, в усіх країнах світу.

Ще один достатньо відомий в Україні стандарт — Загальний регламент про захист даних (General Data Protection Regulation, GDPR) Європейського Союзу, який регулює захист персональних даних на території країн-учасниць. Він є обов’язковим для компаній, які мають справу з персональними даними громадян і резидентів ЄС, незалежно від розташування цих компаній. А отже, GDPR обов’язковий і для українських компаній, які яким-небудь чином взаємодіють із персональними даними осіб, що перебувають на території ЄС.

У межах ЄС і низки інших країн, як-от Великої Британії, Австралії та США, також діє стандарт ISO/IEC 27001, який вимагає від організацій встановлення, впровадження, збереження та постійного вдосконалення системи управління інформаційною безпекою.

А ще є ISO/IEC 15408, ETSI EN 303 645, EU CRA, DORA, NIST CSF, NIS2…

Через наявність і без того великої кількості стандартів, які начебто регулюють практично одне й те саме, виникає раціональне запитання:

Для чого тоді ще один стандарт?

Серед стандартів кібербезпеки частина є міжнародними, а частина — національними стандартами безпеки окремих країн, які можуть сильно відрізнятися від міжнародних і один від одного, з огляду на чинні місцеві правила та норми. До таких регламентів можна віднести стандарти від Національного інституту стандартів і технології (National Institute of Standards and Technology, NIST), які регулюють широкий спектр видів діяльності в США та є обов’язковими для багатьох федеральних установ, що працюють із державними даними. Або ж окремі стандарти безпеки в Австралії та Канаді, відмінні від загальних регламентів Сполученого Королівства.

Проблеми, виклики та складнощі в усіх країнах однакові, але контекст різний, і саме він диктує потребу в окремих стандартах.

Контекст України — це нестача кадрів і висока вартість фахівців із кібербезпеки для малого й середнього бізнесу та держустанов. Це корупція та високий рівень інертності й недовіри серед населення, а також низький рівень комунікації. З урахуванням цих реалій і створюється Стандарт кіберстійкості DigVel — як адаптоване рішення, у якому зібрано найкращі практики кіберзахисту та враховано обмеження українського контексту.

Мета компанії DigVel — робити світ, а особливо місцевий український, безпечнішим і максимально розвивати обізнаність щодо кіберзахисту серед бізнесу та населення. Тому головною вимогою до Стандарту під час роботи над ним була його прозорість і зрозумілість для людей не зі світу кібербезпеки. Звісно ж, наскільки це можливо.

Варто зазначити, що Стандарт кіберстійкості DigVel аж ніяк не є рівноцінним ISO 27001, GDPR або NIST CSF — він навіть не є національним стандартом в Україні. Його слід вважати таким собі стартовим майданчиком, тренувальним курсом перед отриманням сертифікації за міжнародними стандартами.

Просуваючись рівнями вимог Стандарту DigVel, ви отримаєте краще розуміння системи кіберзахисту вашої організації, визначите найсерйозніші ризики, які загрожують її діяльності, а також критично важливі ресурси, які необхідно захистити в першу чергу. Ви налаштуєте базовий захист для своєї компанії, а також здобудете досвід і навички, з якими в майбутньому вам буде легше просуватися хащами вимог міжнародних стандартів.

Як відбувається досягнення відповідності Стандарту DigVel?

Як уже згадувалося вище, Стандарт кіберстійкості DigVel поки ще пишеться, але застосовувати його для аналізу своєї організації можна починати вже сьогодні.

Стандарт DigVel розділений на чотири етапи — рівні кіберстійкості, яких досягатиме ваша компанія:

  • Визначення наявних ризиків і загроз діяльності організації
  • Усунення ризиків, критичних для діяльності організації
  • Захист критично важливих процесів і функцій від відомих загроз
  • Досягнення сталого рівня стійкості організації перед кіберзагрозами

Перший етап — присвячений визначенню наявних ризиків і загроз діяльності компанії — уже повністю готовий. Вимоги, які стосуються цього рівня, зібрані в зручну табличку, а процес їх виконання детально описаний. За потреби ви можете звернутися до фахівців DigVel, які завжди готові допомогти й мають досвід роботи з різноманітними організаціями.

Досягнувши першого рівня кіберстійкості за Стандартом DigVel, ви вже знизите ймовірність настання кіберінцидентів, пов’язаних із людським фактором, — адже один із фокусів цього етапу полягає в підвищенні обізнаності щодо кібербезпеки серед керівництва та працівників компанії — і сформуєте основу для подальших впроваджень захисних заходів.

З досягненням останнього, четвертого рівня ви матимете власний процес керування ризиками та високий рівень захисту всіх бізнес-процесів від кіберзагроз. У цій точці ви будете готові до здобуття відповідності світовим стандартам кібербезпеки, якщо це вам знадобиться.

Досягнення кожного рівня Стандарту кіберстійкості DigVel підтверджуватиметься акредитованими незалежними аудиторами. У разі успішного виконання вимог ви отримаєте сертифікат.

Навіщо це власне DigVel?

Команда DigVel живе та працює в Україні — і хоче жити й працювати тут і надалі. Але, як сказав CEO DigVel, який із лютого 2022 року перебуває в лавах ЗСУ, поточне ставлення до кібербезпеки в країні нас уб’є. Тому варто щось із цим робити вже зараз, адже за сучасних умов високий рівень кіберзахисту є дійсно питанням виживання.

Ситуація покращується. І DigVel долучається до цього руху.

Кіберстійкість бізнесу не лише допомагає йому вистояти в умовах війни, а й робить його більш конкурентоспроможним і успішним. У наш час, коли користувачі стають дедалі освіченішими стосовно кібергігієни, будь-який недогляд — як-от відсутність літери S у назві протоколу вашого сайту — може відвернути потенційного клієнта. Не кажучи вже про зловмисників, які постійно шукають лазівки в системі безпеки жертв, якими може стати кожен — а хтось і не один раз, — і здатні завиграшки паралізувати роботу компанії або й зовсім знищити її.

Ознайомитись із публічною версією Стандарту можна за посиланням.

Щоб дізнатися більше про DigVel, відвідайте офіційний сайт компанії, а також її сторінки у Facebook і LinkedIn.

Поділитися статтею:
Стандарт кіберстійкості DigVel: як зробити Україну безпечнішою

Кібербезпека — це важливо. У світі вже давно застосовуються міжнародні стандарти кібербезпеки, сертифікати яких підтверджують рівень захищеності організацій, що відповідають їх вимогам. Ця практика не лише запевняє користувачів у захищеності послуг і програмних продуктів, які вони вибирають, а й заохочує решту компаній розвивати свої системи захисту, аби залишатися конкурентоспроможними. В Україні подібні стандарти поки не […]

https://itcluster.lviv.ua/wp-content/uploads/2024/11/795526379858029436.png
Скопійовано!