ДОТ Міноборони посилює кіберзахист системи забезпечення ЗСУ

Закупівельна агенція Міноборони «Державний оператор тилу» розпочинає процес сертифікації ІТ-системи харчового забезпечення ЗСУ DOT-Chain та її модулів на відповідність NIST RMF.

NIST RMF – це американський стандарт у сфері кібербезпеки, розроблений Національним інститутом стандартів і технологій США. Він спрямований на посилення кіберзахисту у ключових державних секторах: стратегічних підприємствах, державних установах та організаціях.

Стандарт NIST дозволяє не лише ефективно протидіяти кібератакам, а й швидко адаптуватися до нових загроз. Згідно з вимогами Держспецзв’язку, впровадження цього стандарту стане обов’язковим для державних ІКС-систем. На сьогодні в Україні лише дві державні інформаційно-комунікаційні системи мають відповідний сертифікат – інтеграційна платформа «Дельта» та Система виявлення вразливостей і реагування на кіберінциденти та кібератаки «CSOC».

«У сучасній війні захист цифрової інфраструктури – не менш важливий, ніж захист фізичних складів чи маршрутів постачання. У 2025 році на закупівлю продуктів харчування для Збройних сил України ДОТом передбачено понад 44.8 мільярда гривень, і впровадження NIST RMF підвищує стійкість цієї системи до втручання з боку противника», – зазначив директор Департаменту політики закупівель Міноборони України Гліб Канєвський.

Крім того, ДОТ посилює вимоги до політики інформаційної безпеки постачальників продуктів харчування, які взаємодіють з ІТ-системою DOT-Chain.

Це дасть змогу не лише підвищити загальний рівень захисту даних усього процесу забезпечення, а й зробити постачальників більш стійкими до всіх типів кібератак, зокрема й комерційного характеру.

Нові вимоги стануть обов’язковими та включатимуться до умов договорів, зокрема:

• обов’язкова наявність ліцензійного програмного забезпечення
• повна відсутність ПЗ російського походження, зокрема 1С
• регулярне оновлення програмного забезпечення
• наявність політики з кібербезпеки – окремого документа з чітким визначенням відповідальних осіб, їхніх ролей та алгоритму дій щодо захисту інформації. Документ передається до ДОТ
• заборона окремих месенджерів для передавання інформації, пов’язаної з поставками
• розширена взаємодія у випадку кібератак: у разі виявлення вірусу або атаки компанія має невідкладно інформувати Держспецзв’язок, CERT-UA та протягом 12 годин – «Державний оператор тилу»
• чітко прописана політика доступів: визначення відповідальних осіб та їхніх прав щодо доступу до різних типів інформації
• проведення тестування на проникнення (пентест) власними силами або за участі сторонніх спеціалістів з метою виявлення вразливостей у системах захисту
• налагоджене створення та відновлення резервних копій даних (бекапів)
• обов’язкова сертифікація за стандартом ISO 27001 до кінця 2026 року.

«З огляду на ключову роль ДОТ у процесі нелетального забезпечення ЗСУ, захист даних завжди був одним із наших пріоритетів. Кіберзагрози постійно змінюються – щодня з’являються нові виклики. Впровадження міжнародних стандартів допомагає їм протистояти, проте не гарантує повну відсутність загроз. Тому ми підвищуємо рівень безпеки удосконаленням процесу реагування на інциденти та Disaster Recovery, щоб у разі потенційної атаки ворога захистити всю чутливу інформацію», – зазначає Альона Жужа, радниця з ІТ у ДОТ.

З повним переліком нових вимог можна ознайомитися на сайті ДОТ за посиланням: Політика ІБ взаємодії з Постачальниками дотичними DOT-Chain.