АНАЛІЗ ПРОЦЕСУ РЕКОНФІГУРАЦІЇ НОРМАТИВНО-ПРАВОВОГО ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ УКРАЇНИ

Анотація

Генеральна лінія розвитку України полягає в її вступі в ЄС, що вимагає гармонізації законодавчої та
нормативно-правової бази України до вимог ЄС. В сфері захисту інформації ці процеси почались більше 20-и
років тому, однак їх пік відбувається безпосередньо зараз. Керівництвом держави, в рамках підготовки України
до вступу до ЄС, поставлене завдання по оновленню всієї нормативно-правової бази з максимальним
врахуванням вимог NIS 2 та NIST. Однак, дія вказаних нормативних документів не розповсюджується на
структуру та алгоритми дії систем безпеки щодо інформації з обмеженим доступом, особливо такої, що мітить
державну таємницю. В роботі проведено порівняльний аналіз діючої в Україні нормативно-правової бази з
вимогами NIS 2, NIST, NIST-SP-800 та відповідними документами НАТО. Результати дослідження показали
значну нерівномірність по об’ємам робіт щодо реконфігурації нормативно-правової бази України. Так, в
питаннях забезпечення захисту інформації на об’єктах інформаційної діяльності критичної інфраструктури
головним питанням є підвищення рівня теоретичної підготовки працівників нижньої ланки. Практичні навички,
в більшості випадків, у цих працівників знаходяться на високому рівні. При цьому головне питання
реконфігурації полягає в зменшенні рівня формалістики в їх роботі – колосальна кількість звітів, актів,
протоколів та інше, що забирають більшість робочого часу. З іншого боку, в сфері кіберзахисту, Україна має
значні проблеми в нормативно-правовому забезпеченні. Це багато в чому, пов’язане з неможливістю
формалізувати звітність по виконаних роботах і небажанням молодих фахівців, що в більшості випадків мають
високі теоретичні і практичні навички, до роботи з таким рівнем формалізації звітності. Ці проблеми, багато в
чому, вже вирішені в Регламентах ЄС та США щодо побудови систем кібербезпеки. Тим більше, що питання
побудови систем захисту інформації від загроз кібербезпеці, в більшості випадків, є інваріантним до інформації,
що потребує захисту.
Ключові слова: системи захисту інформації, НД ТЗІ, NIS 2, NIST, NIST-SP-800, CIS, STANAG.

Перелік посилань
1. Верховна Рада України. (2019, 7 лютого). Закон України «Про внесення змін до Конституції України
(щодо стратегічного курсу держави на набуття повноправного членства України в Європейському Союзі та в
Організації Північноатлантичного договору)» № 2680-VIII.
2. European Council. (1993, June 21–22). Conclusions of the Copenhagen European Council. Copenhagen,
Denmark
3. European Union, & Ukraine. (2014). Association Agreement between the European Union and its Member
States, of the one part, and Ukraine, of the other part. Official Journal of the European Union, L 161, 3–2137.
4. Кабінет Міністрів України. (2025). Звіт про виконання Угоди про асоціацію між Україною та
Європейським Союзом за 2024 рік. Офіційний вебсайт Кабінету Міністрів України.
5. Європейська Комісія. (2025). Звіт щодо виконання Угоди про асоціацію між Україною та ЄС за 2023-
2024 роки.
6. Рада Європейського Союзу. (2022). Рішення Ради Європейського Союзу щодо кібербезпеки.
7. National Institute of Standards and Technology. (2004). Standards for security categorization of federal
information and information systems (FIPS PUB 199).
8. National Institute of Standards and Technology. (2020). Security and privacy controls for information systems
and organizations (NIST Special Publication 800-53, Revision 5).
9. National Institute of Standards and Technology. (2020). Protecting controlled unclassified information in
nonfederal systems and organizations (NIST Special Publication 800-171, Revision 2).
10. NATO. (2017, December 20). Confidentiality Metadata Label Syntax (STANAG 4774 Ed 1; ADatP-4774 Ed
A Ver 1). NATO.
11. NATO. (2018, October 26). Metadata Binding Mechanism (ADatP-4778 Ed A Ver 1; STANAG 4778 Ed 1).
NATO.
12. NATO (SECAN). (2009, August). TEMPEST Product Qualification and Control (SDIP-55).
13. NATO (SECAN). (n.d.). Emission Security / Compromising Emanations Standard (SDIP-27).
14. NATO (SECAN). (n.d.). Zoning Procedures for Emission Security (SDIP-28).
15. NATO. (2002, 17 червня). Security Within the North Atlantic Treaty Organization (Document C-M(2002)49).
16. NATO. (2002, July 11). The Management of Non-Classified NATO Information (Document C-M(2002)60).
17. НІКС. (2024). Перелік нормативно-методичних документів в галузі захисту інформації.
18. Інститут кібернетики імені В. М. Глушкова НАН України. (2025). Історія.
19. Верховна Рада України. (1994). Закон України «Про державну таємницю» (№ 3855-XII). Офіційний
вісник України.
20. Служба безпеки України. (2020, 23 грудня). Наказ «Про затвердження Зводу відомостей, що становлять
державну таємницю» (№ 383).
21. The White House. (2009, December 29). Executive Order 13526: Classified National Security Information
(Vol. 75, No. 2). Federal Register.
22. North Atlantic Council. (2007, December 11). The NATO Information Management Policy (NIMP) (CM(2007)0118)
23. North Atlantic Treaty Organization. (рік). STANAG 4779: Confidentiality Metadata Binding. NATO
Standardization Office.
24. North Atlantic Treaty Organization. (2020). Directive on personnel security (AC/35-D/2000-REV8). NATO
Security Committee.
25. North Atlantic Treaty Organization. (2020). Directive on physical security (AC/35-D/2001-REV3). NATO
Security Committee.
26. North Atlantic Treaty Organization. (n.d.). NATO Security Incident Reporting Procedures [Internal document].
NATO Communications and Information Agency.
27. Адміністрація Державної служби спеціального зв’язку та захисту інформації України. (2013, 15 квітня).
Захист інформації на об’єктах інформаційної діяльності. Положення про категоріювання об’єктів, де циркулює
інформація з обмеженим доступом, що не становить державної таємниці: НД ТЗІ 1.6-005-2013 (Наказ № 215).
28. Адміністрація Державної служби спеціального зв'язку та захисту інформації України. (2016). НД ТЗІ
3.6-003-2016: Порядок проведення робіт зі створення та атестації комплексів технічного захисту інформації
(Наказ № 41/дск).
29. Адміністрація Державної служби спеціального зв’язку та захисту інформації України. (2024).
НД ТЗІ 2.3-025-24: Методика оцінювання заходів захисту інформації, вимога щодо захисту якої встановлена
законом та не становить державної таємниці, для інформаційних систем (Наказ № 45/дск).
30. Адміністрація Державної служби спеціального зв’язку та захисту інформації України. (2023). НД ТЗІ
3.7-003-2023: Порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційнокомунікаційній системі (Наказ № 924).
31. Державна служба спеціального зв’язку та захисту інформації України. (2003). НД ТЗІ 2.5-010-2003:
Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу. Київ: Держспецзв’язку України.
Затверджено наказом ДСТСЗІ СБ України від 02.04.2003 № 33.