Рекомендації

 

Обстеження ІТ-систем органів виконавчої влади - це системний процес, відповідно до стандартів і процедур отримання й оцінки об’єктивних даних щодо поточного стану інформаційних систем, їх програмного та апаратного забезпечення, з метою подальшого аналізу процесів, технологій та структури, надання висновків щодо стратегії їх управління.

Обстеження ІТ-систем проводиться на виконання розпоряджень Кабінету Міністрів України від 11 квітня 2018 року № 238-р  та № 239-р, щодо типових завдань, ключових показників результативності, ефективності та якості службової діяльності державних службовців, які займають посади керівників центральних органів виконавчої влади, державних секретарів міністерств, на 2018 рік.

Обстеження пов’язує інформаційно-комунікаційні технології та дії працівників ОВВ, враховуючи рекомендації стандартів ISO/IEC 27001:2013 «Інформаційні технології. Технології безпеки. Системи управління інформаційною безпекою. Вимоги» та CobiT 4.1 «Цілі контролю для інформаційних та суміжних технологій».

Строки обстеження: червень–жовтень 2018 року.

Суб’єкти обстеження: 66 ЦОВВ, 24 ОДА.

Інструмент обстеження: http://audit.gov.ua.

Надалі проведення обстеження стане щорічним і поетапно буде поширюватись на все більшу кількість суб’єктів владних повноважень (до об'єднаної територіальної громади включно), які є власниками чи розпорядниками (держателями) інформаційних систем, що випливають із повноважень на здійснення органами влади своїх адміністративних та публічних функцій.

Типові рекомендації за результатами обстеження IT-систем ОВВ розроблено Державним агентством з питань електронного урядування спільно з Національним агентством з питань державної служби, проектом EGOV4UKRAINE та пропонується врахувати при складанні планів заходів з створення, модернізації чи розвитку IT-інфраструктури ОВВ, контролю за функціонуванням та працездатністю створених інформаційно-телекомунікаційних систем.

При розробці плану заходів з розвитку ІТ-інфраструктури рекомендується приділити увагу таким основним напрямкам: 

  • модернізація вимог до розробки та управління інформаційними системами;
  • організаційне забезпечення та забезпечення ІТ-фахівцями;
  • запровадження принципу «єдиного вікна» (one-stop-shop);
  • забезпечення безпеки та конфіденційності даних;
  • кібербезпека та захист мереж (інформаційно-телекомунікаційних систем);
  • розвиток відкритих даних;
  • модернізація веб-сайтів/веб-порталів/веб-сторінок;
  • внутрішній електронний документообіг та його інтеграція з СЕВ ОВВ;
  • інтеграція інформаційних ресурсів до системи електронної взаємодії державних електронних інформаційних ресурсів (Трембіта);
  • інтеграція ІТ-систем до інтегрованої системи електронної ідентифікації;
  • модернізація та розвиток мережевої інфраструктури, широкосмуговий доступ до мережі Інтернет;
  • модернізація апаратного забезпечення;
  • оновлення та легалізація операційних систем, прикладного програмного забезпечення;
  • джерела фінансування.

Нижче у Типових рекомендаціях наведено обґрунтування вмісту кожного напрямку.

Модернізація вимог до розробки та управління інформаційними системами

Для підвищення прозорості, досягнення стійкості, вдосконалення планування, рекомендується вдосконалити вимоги до розробки та управління інформаційними системами. Для досягнення стійкості життєвого циклу інформаційної системи всі компоненти архітектури повинні бути обґрунтованими та задокументованими.

Побудова інформаційних, телекомунікаційних та/або інформаційно-телекомунікаційних систем повинна відповідати вимогам чинних нормативно-правових документів, а саме:

  • Конституції України;
  • Закону України «Про інформацію»;
  • Закону України «Про доступ до публічної інформації»;
  • Закону України «Про захист інформації в інформаційно-телеко-мунікаційних системах»;
  • Закону України «Про електронні довірчі послуги»;
  • Закону України «Про захист персональних даних»;
  • Указу Президента України від 20.10.2005 № 1497 «Про першочергові завдання щодо впровадження новітніх інформаційних технологій»;
  • Указу Президента України від 01.08.2002 № 683/2002 «Про додаткові заходи щодо забезпечення відкритості у діяльності органів державної влади»;
  • Указу Президента України від 27.09.1999 № 1229 «Про затвердження Положення про технічний захист інформації в Україні»;
  • Постанови Кабінету Міністрів України від 29.08.2002 № 1302 «Про заходи щодо подальшого забезпечення відкритості у діяльності органів виконавчої влади»;
  • Постанови Кабінету Міністрів України від 04.02.1998 № 121 «Про затвердження переліку обов'язкових етапів робіт під час проектування, впровадження та експлуатації систем і засобів автоматизованої обробки та передачі даних»;
  • Постанови Кабінету Міністрів України від 12.04.2002 №522 «Про затвердження Порядку підключення до глобальних мереж передачі даних»;
  • Постанови Кабінету Міністрів України від 04.02.2002 № 3 «Про Порядок оприлюднення у мережі Інтернет інформації про діяльність органів виконавчої влади»;
  • Постанови Кабінету Міністрів України від 10.09.2003 № 1433 «Про затвердження Порядку використання комп'ютерних програм в органах виконавчої влади»;
  • Постанови Кабінету Міністрів України від 28.10.2004 № 1452 «Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності»;
  • Постанови Кабінету Міністрів України від 12.09.2009 № 869 «Про затвердження загальних вимог до програмних продуктів, які закуповуються та створюються на замовлення державних органів»;
  • Постанови Кабінету Міністрів України від 29.03.2006 №373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах»;
  • ДК 010-98 «Державний класифікатор управлінської документації»;
  • ДСТУ 3396.0-96 «Захист інформації»;
  • ДСТУ 3396 0-96. Захист інформації. Технічний захист інформації. Основні положення;
  • ДСТУ 3396 1-96. Захист інформації. Технічний захист інформації. Порядок проведення робіт;
  • ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення;
  • ДСТУ 3973-2000 - «Система розроблення та поставлення продукції на виробництво. Правила виконання науково-дослідних робіт. Загальні положення»;
  • ДСТУ 3974-2000 - «Система розроблення та поставлення продукції на виробництво. Правила виконання дослідно-конструкторських робіт. Загальні положення»;
  • ДСТУ 3582:2013 - «Інформація та документація. Бібліографічний опис. Скорочення слів і словосполучень в українській мові. Загальні вимоги та правила;
  • ДСТУ ГОСТ 7.1:2006 - «Система стандартів з інформації, бібліотечної та видавничої справи. Бібліографічний опис. Загальні вимоги та правила складання 7.1-2003;
  • ДСТУ 3278-95 - «Система розроблення та поставлення продукції на виробництво. Основні терміни та визначення»;
  • ДСТУ ISO/IEC 33001:2016(ISO/IEC 33001:2015, IDT) Інформаційні технології. Оцінювання процесу. Поняття та термінологія;
  • ДСТУ ISO/IEC 10745:2017 (ISO/IEC 10745:1995, IDT) Інформаційні технології. Взаємозв’язок відкритих систем. Модель безпеки верхніх рівнів;
  • ДСТУ ISO/IEC 2382:2017 (ISO/IEC 2382:2015, IDT) Інформаційні технології. Словник термінів;
  • ДСТУ ISO/IEC 27036-1:2017 (ISO/IEC 27036-1:2014, IDT) Інформаційні технології. Методи захисту. Інформаційна безпека у відносинах з постачальниками. Частина 1. Огляд і поняття;
  • ДСТУ ISO/IEC 27036-2:2017 (ISO/IEC 27036-2:2014, IDT) Інформаційні технології. Методи захисту. Інформаційна безпека у відносинах з постачальниками. Частина 2. Вимоги;
  • ДСТУ ISO/IEC 27036-3:2017 (ISO/IEC 27036-3:2013, IDT) Інформаційні технології. Методи захисту. Інформаційна безпека у відносинах з постачальниками. Частина 3. Настанови щодо безпеки ланцюга постачання інформаційних та комунікаційних технологій;
  • ДСТУ ISO/IEC 27039:2017 (ISO/IEC 27039:2015, IDT) Інформаційні технології. Методи захисту. Вибирання, розгортання та експлуатування систем виявлення та запобігання вторгненням (СВЗВ);
  • ДСТУ ISO/IEC 29182-3:2017 (ISO/IEC 29182-3:2014, IDT) Інформаційні технології. Сенсорні мережі. Еталонна архітектура сенсорних мереж. Частина 3. Огляд еталонної архітектури;
  • ДСТУ ISO/IEC 27013:2017(ISO/IEC 27013:2015, IDT) Інформаційні технології. Методи захисту. Настанови для інтегрованого впровадження ISO/IEC 27001 та ISO/IEC 20000-1;
  • ДСТУ ISO/IEC 14709-1:2017 (ISO/IEC 14709-1:1997; Amd 1:2004, IDT) Інформаційні технології. Конфігурація кабельної мережі приміщень користувачів для застосунків. Частина 1. Базовий доступ до цифрової мережі з інтеграцією послуг (ISDN);
  • ДСТУ ISO/IEC 14709-2:2017 (ISO/IEC 14709-2:1998; Amd 1:2005, IDT) Інформаційні технології. Конфігурація кабельної мережі приміщень користувачів для застосунків. Частина 2. Первинний доступ для цифрової мережі з інтеграцією послуг (ISDN);
  • ДСТУ ISO/IEC 29155-3:2017 (ISO/IEC 29155-3:2015; IDT) Інженерія систем і програмного забезпечення. Структура порівняльного аналізу ефективності проектів інформаційних технологій. Частина 3. Настанова щодо звітності;
  • ДСТУ ISO/IEC 28361:2017 (ISO/IEC 28361:2007, IDT) Інформаційні технології. Телекомунікації та обмін інформацією між системами. Проводовий інтерфейс (NFC-WI) у мережах обміну даними ближнього поля;
  • ДСТУ ISO/IEC 29182-1:2017 (ISO/IEC 29182-1:2013, IDT) Інформаційні технології. Сенсорні мережі. Еталонна архітектура сенсорних мереж. Частина 1. Загальний огляд та вимоги;
  • ДСТУ ISO/IEC TR 18053:2017 (ISO/IEC TR 18053:2000, IDT) Інформаційні технології. Телекомунікації та обмін інформацією між системами. Словник термінів у сфері телекомунікаційних застосунків із комп’ютерною підтримкою, стадія III;
  • ДСТУ ISO/IEC 29155-1:2017 (ISO/IEC 29155-1:2011; IDT) Інженерія систем і програмного забезпечення. Структура порівняльного аналізу ефективності проектів інформаційних технологій. Частина 1. Поняття та визначення;
  • ДСТУ ISO/IEC 29155-2:2017 (ISO/IEC 29155-2:2013; IDT) Інженерія систем і програмного забезпечення. Структура порівняльного аналізу ефективності проектів інформаційних технологій. Частина 2. Вимоги до порівняльного аналізу;
  • ДСТУ ISO 9001-2015. Системи управління якістю. Вимоги.
  • НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації у комп’ютерних системах від несанкціонованого доступу;
  • НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації у комп’ютерних системах від несанкціонованого доступу;
  • НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі;
  • НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації у ком-п’ютерних системах від несанкціонованого доступу;
  • НД ТЗІ 2.5-005-99. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу;
  • НД ТЗІ 3.6-001-2000. Технічний захист інформації. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу;
  • НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автомати¬зованій системі;
  • НД ТЗІ 3.7-003-05. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі;
  • РД 50-34.698-90. Руководящий документ по стандартизации. Мето-дические указания. Информационная технология. Комплекс стандартов и ру¬ководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов;
  • ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем;
  • ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания;
  • ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы;
  • ГОСТ 34.603.-92. Информационная технология. Виды испытаний автоматизированных систем;
Згідно з найкращими практиками, інформаційні системи повинні відповідати чіткій архітектурі, яка включає:
  • необхідність створення та підтримки функціонування (зацікавлені сторони, вимоги, цілі, принципи, можливості, бачення, цільова архітектура);
  • законодавство, яке регулює діяльність інформаційної системи, фінансові аспекти;
  • бізнес-процеси;
  • архітектура даних;
  • архітектура технологій;
  • управління;
  • безпека та конфіденційність;
  • ресурси: фінансові, трудові, матеріально-технічні, інші.

Враховуючи, що Україна взяла на себе зобов'язання гармонізувати своє законодавство відповідно до вимог законодавства Європейського Союзу, то при розробці архітектури рекомендується використовувати, окрім державних, ще й міжнародні стандарти, такі як TOGAF, ArchiMate та ін. Ці стандарти застосовуються в Європейському збірнику приписів сумісності (EIF), в Європейській довідковій архітектурі сумісності (EIRA) та багатьох державах-членах.

На існуючі (вже створені) інформаційні системи документація має бути приведена до вимог архітектурних стандартів.

Окремо варто зазначити на необхідності раціонального використання бюджетних коштів направлених на розробку інформаційних систем, так у договорі на розробку інформаційної системи обов’язково має бути передбачено повне набуття державним органом майнових прав на об’єкти інтелектуальної власності, недопущення включення до собівартості робіт і послуг витрат, які безпосередньо не пов’язані з виконанням таких робіт і наданням послуг, або необґрунтованого збільшення їх вартості. 

Умови використання комп’ютерних програм з метою створення і (або) використання інформаційно-аналітичних систем або державних електронних реєстрів повинні передбачати, що строком ліцензії є строк чинності виключних майнових прав інтелектуальної власності на відповідну комп’ютерну програму.

Закупівля комп’ютерних програм, якщо ліцензія передбачає виплату винагороди правовласнику у вигляді відсотків плати за надані від імені держави послуги, забороняється.

Організаційно-правовий механізм державного управління ІТ-сферою окреслений Законом України «Про Національну програму інформатизації» та іншими актами. 

Пріоритетні напрями запровадження електронного урядування визначені Пріоритетним планом дій Уряду на відповідний бюджетний рік, Концепцією розвитку електронного урядування в Україні та Планом заходів щодо реалізації концепції розвитку електронного урядування в Україні.

Закупівля товарів, робіт та послуг має відповідати Закону України “Про публічні закупівлі”.

Організаційне забезпечення та забезпечення ІТ-фахівцями

Належна робота інформаційних систем неможлива без чітких правил, порядків та інструкцій по роботі в інформаційній інфраструктурі та кваліфікованого персоналу, який несе відповідальність за організацію роботи інформаційної інфраструктури органу влади.

В ОВВ мають бути затверджені такі документи:

  • положення про інформаційну систему;
  • порядок оброблення інформації в інформаційній системі;
  • регламент функціонування інформаційної системи;
  • план захисту інформації.
  • Внутрішні інструкції мають регламентувати:
  • правила роботи в інформаційній системі;
  • правила доступу до інформаційної інфраструктури та інформаційної системи органу влади;
  • політики безпеки (інформаційна, мережева, адміністративна);
  • стандартизовані правила роботи з електронним документообігом, внутрішнім порталом, корпоративною поштою (поштовим сервером);
  • розмежування доступу користувачів до внутрішньої мережі та внутрішньої інфраструктури органу влади, відповідно до їх повноважень, та рівня прав (адміністратор, модератор, авторизований користувач та ін.);
  • правила ідентифікації користувачів в мережі та їх авторизованого доступу (монітор стану).

Розвиток електронного урядування та цифрову трансформацію ОВВ покладається на відповідний структурний підрозділ. Координація цього структурного підрозділу ОВВ здійснюється керівником ОВВ або його заступником. Структурні підрозділи, відповідальні за ІКТ, мають бути віднесені до основних структурних підрозділів ОВВ та повинні бути повністю укомплектованими фахівцями ІТ відповідно до штатної чисельності, яка в свою чергу не може бути меншою за штатну чисельність відповідного основного структурного підрозділу ОВВ. У випадках високого навантаження на підрозділ, відповідальний за ІКТ, повинна бути передбачена можливість збільшення штатної чисельності такого підрозділу до фактично необхідної.

Посадові обов’язки фахівців ІТ-відділу повинні бути чітко прописані та затверджені. Для розробки та управління інформаційними системами ІТ-команда потребує багатьох категорій навичок. У штатному розписі необхідно передбачити створення таких посад, як: відповідальна особа за інформаційну безпеку та цілісність даних, відповідальна особа за організацію та підтримку інформаційної взаємодії. 

Типова структура підрозділу відповідального за ІКТ має включати таких фахівців:

  • начальник структурного  підрозділу (головний адміністратор); 
  • головний адміністратор (начальник) відділу інформаційної та кібербезпеки;
  • системний аналітик;
  • системний спеціаліст (інженер);
  • системний адміністратор;
  • мережевий спеціаліст (інженер);
  • мережевий аналітик;
  • мережевий адміністратор;
  • спеціаліст (інженер) з контролю за якістю;
  • інформаційний аналітик (аналітик даних);
  • аналітик з кібербезпеки;
  • аналітик з інформаційної безпеки;
  • спеціаліст (інженер) з інформаційної безпеки;
  • спеціаліст (інженер) з технічної підтримки користувачів;

 

В залежності від типу органу влади, на одну особу може бути покладено кілька завдань, за виключенням обов’язків осіб відповідальних за безпеку.

У зв’язку з імплементацією принципу «Цифровий за замовчуванням» органам влади відповідно до покладених на них повноважень рекомендується передбачити створення (реорганізація існуючого) окремого структурного підрозділу чи окремої посади відповідального за цифровізацію, до повноважень якого серед іншого має бути включений постійний аналіз існуючого стану справ в органі з оцінки його цифрової перебудови, внесення пропозицій щодо пріоритетних напрямків цифровізації діяльності органу, розробку інформаційних стратегій та контроль за їх виконанням. 

Слід окремо підкреслити, що ІТ-фахівці повинні постійно підвищувати свою професійну кваліфікацію, а щорічні курси з підвищення професійної кваліфікації мають проходити не менше 30% персоналу підрозділу відповідального за ІКТ. Це забезпечить належний рівень підготовки кадрів та актуалізацію їх знань до рівня, який відповідає вимогам часу. Тож необхідно створювати як організаційні так і фінансові умови для можливості підвищення професійної кваліфікації фахівців з інформаційних технологій.

Крім того варто наголосити, що органи влади повинні постійно підвищувати цифрову готовність персоналу, їх цифрові навички та вміння.

Реалізація принципу єдиного вікна (one-stop-shop)

Принцип єдиного вікна – це забезпечення функціонування єдиної платформи надання електронних послуг, що дасть змогу покращити якість надання публічних послуг фізичним та юридичним особам, підвищити їх мобільність та конкурентоспроможність, зменшити корупційні ризики та забезпечити, щоб електронні послуги обслуговували економіку майбутнього.

Принцип єдиного вікна є базовою передумовою для розбудови в Україні ефективної цифрової економіки і цифрового ринку та його подальшої інтеграції до єдиного цифрового ринку ЄС (EU Digital Single Market Strategy).

Принцип єдиного вікна повинен бути реалізований ОВВ під час надання електронних послуг і базуватися на таких основних принципах:

 

  • орієнтація на споживача;
  • доступність;
  • безпека та захист персональних даних;
  • дебюрократизація та адміністративне спрощення;
  • прозорість;
  • збереження електронної інформації (суб’єкти звернення повинні мати можливість отримувати інформацію про дії суб’єктів надання адміністративних послуг, пов’язані з отриманням їх персональних даних);
  • відкритість та повторне використання (здатність суб’єктів надання адміністративних послуг взаємодіяти для надання якісних та ефективних електронних послуг, використовуючи дані та технічні рішення один одного);
  • технологічна нейтральність;
  • ефективність і результативність.

 

Принцип єдиного вікна застосовуватись в поєднанні з використанням єдиного електронного кабінету суб’єкта звернення та інтегрованої системи електронної ідентифікації (id.gov.ua).

Захист  інформаційних ресурсів ІТ-систем

Безпека та конфіденційність є основними завданнями у наданні публічних послуг. Європейський збірник приписів сумісності рекомендує державним органам забезпечити:

 

  • дотримання принципу «конфіденційності за замовчуванням» та «безпека за замовчуванням» для забезпечення повної безпечної інфраструктури;
  • надання послуг, яке не є вразливими до атак, що можуть призвести до переривання їх роботи та пошкодженням даних;
  • відповідність законодавчим вимогам та зобов'язанням щодо захисту даних та конфіденційності, що підтверджують ризики для конфіденційності за допомогою розширеної обробки даних та аналітики.
  • Різні типи даних повинні бути класифіковані. Розподіляючи дані, персонал має розуміти, як обробляти кожен тип і які типи дозволено розповсюджувати. Важливими класами для включення в політику класифікації даних є:
  • відкрита інформація;
  • інформація обмеженого доступу, яка у свою чергу поділяється на конфіденційну, службову та секретну інформацію;
  • технологічна інформація.

 

Політика, яка керує мережевими службами. У цьому розділі політики безпеки даних вказується, як органи влади повинні розглядати такі проблеми, як віддалений доступ, керування та конфігурація IP-адрес. Він також охоплює безпеку компонентів, таких як маршрутизатори та комутатори. Ця категорія також має визначати політику щодо виявлення вторгнення в мережу.

Сканування на наявність вразливостей. Важливо знайти будь-які вразливі місця в ІТ-інфраструктурі органів влади, перш ніж зловмисники це роблять. Оскільки зловмисники будуть сканувати вразливі місця за лічені хвилини перед потенційною атакою, органи влади повинні здійснювати перевірку своїх власних мереж на регулярній основі.

Політика безпеки системних даних. Конфігурація безпеки всіх важливих серверів та операційних систем є важливою частиною політики захисту даних. Правила, що стосуються серверів, які працюють в мережах органів влади, а також управління обліковими записами та паролями повинні бути чітко визначені. Брандмауер, база даних та антивірусні політики також підпадають під цей розділ.

Реагування на інциденти – якщо виникає порушення безпеки, важливо вживати належних заходів для її усунення. Це включає в себе оцінку та звітність про інцидент, а також як вирішення проблеми, яка призвела до цього, щоб запобігти повторному виникненню проблеми.

Прийнятне використання. Працівникам слід надавати точні визначення того, що становить прийнятне використання. Крім того, рекомендується підписати прийнятну політику використання, щоб органи влади могли вживати дисциплінарні заходи, якщо це необхідно.

Контроль за дотриманням вимог. Використання аудитів є хорошим способом забезпечення того, щоб працівники та керівництво органу влади виконували різні функції політики щодо захисту даних. Ці перевірки повинні проводитися на регулярній основі.

Моніторинг та контроль облікового запису. Необхідно відстежувати, хто має доступ до того, що є важливим компонентом політики захисту даних. Не прийнятно звільняти співробітника, проте залишати його обліковий запис активним в мережі. Такі дії можуть негативно вплинути на підтримку політики безпеки. 

Політика безпеки повинна визначати конкретних членів ІТ-підрозділу, відповідальних за моніторинг та контроль облікових записів користувачів.

Під час створення плану розвитку ІТ-інфраструктури рекомендовано передбачити якомога більшу кількість з вищезазначених заходів.

Окремо варто відмітити, що органи державної влади, які є власниками  систем,  в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої  встановлена законом, мають утворити службу захисту інформації або призначити осіб, на яких покладається  забезпечення захисту інформації та контролю за ним. 

На інформаційні системи з чутливою інформацією має бути отриманий Сертифікат відповідності комплексній системі захисту інформації.

Кожна ІТ-система має мати впроваджену комплексну систему захисту інформації (далі - КСЗІ) із підтвердженою відповідністю - атестат відповідності на КСЗІ, який видається Державною службою спеціального зв'язку та захисту інформації України.

Кібербезпека та захист мереж

Кібербезпека є важливою частиною захисту даних, тому органи влади повинні підготувати власний план забезпечення безпеки, який повинен включати наступні основні елементи:

 

  • надання лише мінімального рівня системних привілеїв, необхідних для роботи будь-якого користувача;
  • підвищення рівня надійності доступу до облікових записів (двофакторна автентифікація, сильні паролі тощо);
  • блокування типів вкладень електронної пошти, які були ідентифіковані для розповсюдження шкідливого програмного забезпечення (наприклад, виконуваних файлів), та перевірити корисне навантаження на весь вхідний трафік електронної пошти;
  • швидке оновлення всіх операційних систем та програм з найновішими оновленнями безпеки;
  • постійна інвентаризація всього наявного ІТ-обладнання, програмного забезпечення та користувачів із їх обліковими даними;
  • регулярне використання перевірених інструментів кібербезпеки для тестування систем та процесів, щоб визначити вразливі місця та виправити наявні проблеми;
  • постійне проведення тренінгів та навчальних курсів з кібербезпеки та протидії загрозам для всього персоналу органу влади.

Розвиток відкритих даних

Оприлюднення публічної інформації у формі відкритих даних для вільного використання згідно із Законом України «Про доступ до публічної інформації» дасть змогу створити додаткові механізми реалізації права на доступ до інформації, що перебуває у володінні органів влади, підвищити прозорість діяльності таких органів, забезпечить вільний обіг інформації та можливість її подальшого використання з метою реалізації особистих прав та свобод людини і громадянина, розвитку інновацій та стимулювання ведення господарської діяльності, а також запобігання та викриття корупції.

З урахуванням переваг технологій відкритих даних основними заходами із забезпечення розвитку електронного урядування в Україні за даним напрямом є:

  • формування та розвиток інфраструктури відкритих даних на базі єдиного державного веб-порталу відкритих даних, інтегрованих з ним інших веб-порталів відкритих даних, публічних інтерфейсів прикладного програмування (API), відкритих стандартів та форматів;
  • оприлюднення та регулярне оновлення наборів даних у формі відкритих даних відповідно до суспільного інтересу, кращих світових практик, встановлених вимог щодо якості даних і відкритості та прозорості діяльності;
  • стимулювання розвитку на базі відкритих даних загальнодоступних проектів і сервісів (соціальних, громадських, медійних та комерційних), у тому числі у співпраці з органами влади, для підвищення відкритості та ефективності їх діяльності, надання якісних послуг та розвитку інноваційного бізнесу.

Будь-яка особа може вільно копіювати, публікувати, поширювати, використовувати, у тому числі в комерційних цілях, у поєднанні з іншою інформацією або шляхом включення до складу власного продукту, публічну інформацію у формі відкритих даних з обов’язковим посиланням на джерело отримання такої інформації.

Бачення розвитку відкритих даних полягає в тому, щоб Україна стала лідером у використанні відкритих даних та створення середовища, в якому визнаються та реалізуються економічні, соціальні та демократичні переваги відкритих даних. 

Відкриття даних органів влади дає нові можливості для досліджень, інновацій, взаємодії та більшої ефективності для всіх секторів економіки з потенціалом для створення ділових можливостей, стимулювання економічного зростання та сприяння відкритому урядуванню. 

Органи державної влади мають забезпечити повне виконання постанови Кабінету Міністрів України від 21 жовтня 2015 року № 835 «Про затвердження Положення про набори даних, які підлягають оприлюдненню у формі відкритих даних».

Модернізація веб-сайтів/веб-порталів/веб-сторінок

Офіційні веб-ресурси (веб-портали / веб-сайти / веб-сторінки) ОВВ повинні відповідати уніфікованим вимогам дизайну (дизайн-код). Кращі практики та загальні вказівки щодо розробки урядових веб-ресурсів, а також рекомендації щодо самого дизайн-коду доступні за посиланням https://design.gov.ua

Орган виконавчої влади повинен адаптувати дизайн веб-сайту до потреб людей з обмеженими можливостями. Найкращий спосіб досягнення цієї мети - повною мірою виконати рекомендації щодо розробки версії веб-ресурсу для людей з порушеннями зору. Рекомендації щодо доступності веб-контенту (WCAG 2.1).

Не рекомендується розробляти окрему версію веб-ресурсу для людей з обмеженими можливостями, найкращий підхід – створити єдиний повністю доступний веб-сайт.

Необхідно також розробити версію веб-ресурсу англійською мовою, розділи якої повинні бути заповнені англійською мовою та паралельно оновлюватися у відповідності до української версії цього веб-ресурсу.

Веб-ресурси повинні бути розроблені на модульній основі, яка передбачає можливість масштабування. Обов'язковим модулем веб-ресурсу повинен бути особистий кабінетом користувача, який забезпечує електронну ідентифікацію, та дозволяє встановлювати зворотній зв'язок з органом державної влади, шляхом подання звернень, скарг, пропозицій та іншого.

На веб-ресурсах органів державної влади, незалежно від того, чи надаються електронні послуги через такий Інтернет-ресурс, має бути встановлена інтегрована система інформаційної безпеки з перевіреною відповідністю та сертифікатом SSL.

Вимоги та порядок створення системи захисту встановлюються Адміністрацією Держспецзв`язку. У складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.

Порядок проведення державної експертизи системи захисту, державної

експертизи та сертифікації засобів технічного і криптографічного захисту інформації встановлюється Адміністрацією Держспецзв`язку.

 Придбання сертифіката SSL має відповідати Закону України «Про державні закупівлі».

Крім того, органам влади необхідно постійно звертати увагу на результати моніторингу веб-сайтів, яке проводиться Держкомтелерадіо, та виправити такі наявні зауваження:

  • відсутність на веб-сторінках дати розміщення та оновлення матеріалів, що не дозволяє визначити рівень актуальності інформації;
  • розташування інформації не в логічних розділах, через що не забезпечується простота та зручність доступу до неї;
  • несправність або неефективна робота пошукових систем (наприклад, пошук інформації здійснюється не по всьому веб-сайту, а лише по розділу «Новини»);
  • обмеження доступу до розміщеної інформації користувачам з порушеннями зору та слуху.

Електронний документообіг

Внутрішня система електронного документообігу державного органу повинна мати такі можливості:

 

  • підключення та інтеграція внутрішньої системи електронного документообігу з системою електронної взаємодії для органів виконавчої влади (СЕВ ОВВ), яка дозволяє здійснювати електронний обмін документами між державними органами, а також електронне схвалення проектів нормативно-правових актів;
  • обов'язкова інтеграція із системою електронної взаємодії органів виконавчої влади з обміну електронними документами;
  • використання електронного підпису (кваліфікованого) та печатки у внутрішній системі електронного документообігу;
  • підтримка модуля для реалізації схвалення проектів нормативно-правових актів Кабінету Міністрів України;
  • забезпечення повністю електронного документообігу в одночасному сеансі необхідної кількості завдань, у тому числі віддаленого та мобільного;
  • функціональність архівування електронних документів відповідно до законодавчих вимог, а також використання формату документа ASIC для надсилання електронних архівних справ до централізованого електронного архіву.

 

Система електронного документообігу має відповідати таким державним стандартам:

ДСТУ 3986:2000 (ISO 8879:1986) Інформаційні технології. Електронний документообіг. Стандартна мова узагальненої розмітки (SGML)

ДСТУ 3719:1998 (ISO/IEC 8613:1989) Інформаційні технології. Електронний документообіг. Архітектура службових документів (ODA) та обмінний формат. Частини 1-4.

До системи електронного документообігу мають бути підключені усі працівники ОВВ.

Інтеграція інформаційних ресурсів до системи електронної взаємодії державних електронних інформаційних ресурсів (Трембіта)

Система електронної взаємодії державних електронних інформаційних ресурсів “Трембіта” - це сучасне організаційно-технічне рішення, призначене для автоматизації та технологічного забезпечення обміну електронними даними між суб’єктами владних повноважень між державними електронними інформаційними ресурсами під час надання адміністративних послуг та здійснення інших повноважень відповідно до покладених на них завдань завдяки єдиним вимогам до побудови державних інформаційних ресурсів, а також шляхом використання єдиних форматів, протоколів, довідників, шаблонів та класифікаторів.

Завдяки Трембіті кожен державний орган може, відповідно до своєї компетенції, підключитися до необхідного інформаційного ресурсу та отримати встановлений набір даних як у автоматичному, так і в ручному режимі.

Автоматичний режим використовується для генерації запитів за допомогою автоматизованих систем. Ручний режим передбачає розгортання на стороні запитуючого інформаційного сайту, що дозволяє генерувати запити та отримувати релевантні результати.

Обидва режими вимагають надійної ідентифікації користувача та системи, використовуючи електронний цифровий підпис та печатку власника електронної системи.

Державні органи, які бажають брати участь у обміні, повинні забезпечити функціонування наступних локальних компонентів:

 

  • модуль інтеграції (постачальник і одержувач);
  • модуль веб-сервісу (постачальник);
  • модуль веб-клієнта (одержувач).

 

Додатково, Учаснику обміну рекомендовано забезпечити функціонування тестового середовища з подібним набором локальних компонентів з метою тестування функцій Системи та розроблення модулів веб-сервісів та/або веб-клієнтів.

Модуль інтеграції являє собою сервер (апаратний або віртуальний) з встановленим програмним забезпеченням Системи «Unified Exchange Platform Security Server». 

Вимоги до апаратної платформи:

Кількість процесорів (або ядер процесорів) 2 віртуальних процесора (або 2 ядра процесора)
Обсяг оперативної пам’яті 3 ГБ
Обсяг вільного місця постійного сховища даних Мінімум: 40 ГБ
Для більш детального розрахунку необхідно враховувати середню кількість повідомлень за день, їх розмір і необхідність повного збереження всіх переданих та прийнятих повідомлень на протязі 90 днів у модулі інтеграції. Більш старі повідомлення можуть бути переміщені до архівного сховища
Мережеві адаптери Мінімум: 1
Рекомендовано 2 мережевих адаптери — один для підключення до зовнішньої мережі, другий для підключення до внутрішньої мережі (де функціонують модуль веб-сервісу та/або модуль веб-клієнту)

Модуль веб-сервісу може бути представлений як окремим сервером (апаратним або віртуальним) з встановленим програмним забезпеченням Системи «Unified Exchange Platform Connector», так і самостійно розробленим програмним забезпеченням, яке працює у відомчій інформаційній системі та сумісне з протоколами Системи. Рекомендовано використовувати варіант з окремим сервером для модуля веб-сервісу на етапі впровадження Системи з метою зменшення часових та грошових витрат на тестування функцій. Вимоги до апаратної платформи наведені нижче:

Кількість процесорів (або ядер процесорів) 2 віртуальних процесора (або 2 ядра процесора)
Обсяг оперативної пам’яті 3 ГБ
Обсяг вільного місця постійного сховища даних Мінімум: 40 ГБ
Для більш детального розрахунку необхідно враховувати середню кількість повідомлень за день, їх розмір і необхідність повного збереження всіх переданих та прийнятих повідомлень на протязі 90 днів у модулі інтеграції. Біль старі повідомлення можуть бути передані до архівного сховища
Мережеві адаптери 1

Модуль веб-клієнту може бути представлений як окремим сервером (апаратним або віртуальним) з встановленим програмним забезпеченням Системи «Unified Exchange Platform Portal», так і самостійно розробленим програмним забезпеченням, яке працює у відомчій інформаційній системі та сумісне з протоколами Системи. Вимоги до апаратної платформи наведені нижче.

Кількість процесорів (або ядер процесорів) 2 віртуальних процесора (або 2 ядра процесора)
Обсяг оперативної пам’яті 3 ГБ
Обсяг вільного місця постійного сховища даних Мінімум: 40 ГБ
Для більш детального розрахунку необхідно враховувати середню кількість повідомлень за день, їх розмір і необхідність повного збереження всіх переданих та прийнятих повідомлень на протязі 90 днів у модулі інтеграції. Біль старі повідомлення можуть бути передані до архівного сховища
Мережеві адаптери 1

Впровадження електронної ідентифікації

ОВВ мають забезпечити виконання комплексних заходів за наступними напрямами:

 

  • вдосконалення нормативної бази сфери електронної ідентифікації, у тому числі імплементації норм Закону України «Про електронні довірчі послуги»;
  • формування інформаційно-телекомунікаційної інфраструктури, яка забезпечує електронну ідентифікацію;
  • розвиток системи, схем та засобів електронної ідентифікації;
  • підвищення готовності фізичних та юридичних осіб
  • до використання засобів та схем електронної ідентифікації;
  • забезпечити інтеграцію інформаційно-телекомунікаційних систем, власниками/держателями яких вони є, (що потребують електронної ідентифікації фізичних, юридичних осіб та їх представників) до інтегрованої системи електронної ідентифікації.

 

Також, органам державної влади, які є володільцями державних електронних реєстрів необхідно передбачити можливість обов’язкового включення до реєстрів унікального номеру запису в реєстрі (УНЗР), а також прибрати з реєстрів персональні дані, які дублюються в інших реєстрах і не є критично важливими для функціональних цілей конкретного ресурсу, що значно спростить електронну взаємодію між різними ресурсами, спростить та здешевить доступ до них, а також підвищить якість надання адміністративних та соціальних послуг.

Модернізація мережевої інфраструктури 

Мережева інфраструктура є важливим аспектом функціонування інформаційних систем, кібербезпеки, доступності та відкритості послуг. Сталий розвиток державних органів неможливий без модернізації мережевої інфраструктури.

ОВВ необхідно створити мережеву інфраструктуру відповідно до існуючих міжнародних стандартів, передбачити можливість отримання Сертифікату комплексної системи захисту інформації для мережевої інфраструктури.

Мережева інфраструктура повинна відповідати таким загальним вимогам: 

 

  • ґрунтуватися на типових уніфікованих технічних рішеннях, які дозволяють знизити витрати на інтеграцію існуючого обладнання, а також скорочувати відповідні експлуатаційні витрати;
  • бути масштабованою, тобто повинна забезпечувати можливість розширення продуктивності і функціоналу з мінімальними витратами і перервами в наданні сервісів; 
  • мати високу надійність за рахунок дублювання обладнання та ліній зв'язку на основних ділянках мережевої інфраструктури і застосування автоматизованих механізмів резервування; 
  • мати можливість зручного централізованого управління своєю інфраструктурою і оперативного моніторингу її стану в реальному часі.

 

Мережева інфраструктура повинна включати в себе підсистему інформаційної безпеки.

Надійність мережевої інфраструктури повинна забезпечуватися такими засобами:

 

  • проведення організаційно-технічних заходів, спрямованих на підвищення надійності;
  • контроль, моніторинг і діагностування компонентів мережевої інфраструктури;
  • використання можливості без зупинки сервісів проводити роботи по ремонту/модернізації обладнання або оновлення ПЗ комутаційного обладнання в мережі;
  • відмовостійка топологія мережевої інфраструктури;
  • резервування обладнання мережевої інфраструктури, що виключає виникнення єдиних точок відмови.

 

 Модернізація апаратного забезпечення

Сучасне апаратне забезпечення державних органів є актуальним та важливим питанням. Робочі станції, сервери та мережеве обладнання не повинні бути старшими за 5 років, а також їх слід модернізувати під сучасні потреби кожні 2 роки. Модернізація апаратного забезпечення передбачає внесення змін та доповнень до усієї робочо-конструкторської документації та комплексної системи захисту інформації.

Варто забезпечити кожного працівника державного органу робочою станцією, а також передбачити можливість створення віддаленого (цифрового робочого місця).

Орган державної влади має передбачити план по утилізації старого обладнання з врахуванням вимог чинного законодавства, та оновлювати його на регулярній основі. Закупівля нового обладнання має здійснюватися у відповідності до Закону України «Про публічні закупівлі»

Рекомендоване апаратне забезпечення робочої станції:

Процесор: Чотири ядра, 2,4-2,6 ГГц і більше

Оперативна пам’ять: 8 Гб і більше

Тип накопичувача: SSD

Обсяг вільного місця: 256 Гб і більше

Пропускна здатність мережевої карти: 1 Гбіт/с і більше

 

Рекомендоване апаратне забезпечення фізичного серверу:

Процесор: Чотири ядра, 3,4-3,6 ГГц і більше

Оперативна пам’ять: 32 Гб і більше

Тип накопичувача: SSD

Обсяг вільного місця: 512 Гб і більше

Пропускна здатність мережевої карти: 1 Гбіт/с і більше

Оновлення та легалізація операційних систем, прикладного програмного забезпечення

Операційні системи загального призначення встановлені на робочих станціях мають бути ліцензійними та версії не нижче ніж Microsoft Windows 10 Pro/Enterprise.

Операційні системи комп’ютерних мереж встановлені на серверах мають бути ліцензійними та версії не нижче ніж Microsoft Windows Server 2016.

В разі використання вільного програмного забезпечення UNIX-подібних  операційних систем комп’ютерних мереж має бути встановлена остання стабільна версія програмного забезпечення.

Прикладне програмне забезпечення має бути ліцензійним, по можливості з розширеною підтримкою та обслуговуванням. В разі використання вільного прикладного програмного забезпечення, джерелом для його завантаження має виступати офіційний сайт розробника з встановленим та дійсним на момент завантаження SSL-сертифікатом. Оновлення вільного прикладного програмного забезпечення мусить відбуватись регулярно до останньої стабільної версії.

Не допускається використання програмного забезпечення, яке більше не підтримується розробником, або якщо розробник знаходить у переліку фізичних чи юридичних осіб до яких державою Україна вжито обмежуючих заходів (санкцій).

Органи державної влади мають передбачити план виводу старого програмного забезпечення з експлуатації, та його утилізацію.

Джерела фінансування

Джерелами фінансування реалізації плану модернізації інформаційної інфраструктури ОВВ є державний та місцеві бюджети, зокрема кошти Національної програми інформатизації, а також міжнародна технічна підтримка та інші джерела фінансування, які не заборонені законом.

Використання коштів державного та місцевого бюджету мають використовуватися ОВВ згідно із Бюджетним кодексом України та нормативно-правовими актами.