Кабінет Міністрів України вніс значні зміни до «Обов’язкових вимог до створення (модернізації, модифікації, розвитку), адміністрування та забезпечення функціонування засобу інформатизації», затверджених постановою КМУ від 21 лютого 2025 р. № 205. Метою цих змін є актуалізація та оптимізація процесів, пов’язаних з життєвим циклом засобів інформатизації, у зв’язку із законодавчими змінами підходів до створення систем інформаційної безпеки.
Основні новації та зміни:
1. Скасування інституту комплексної системи захисту інформації (КСЗІ)
Одним із ключових нововведень є скасування інституту комплексної системи захисту інформації (КСЗІ) як обов’язкового елементу забезпечення безпеки інформаційно-комунікаційних систем. Це зумовило необхідність приведення Обов’язкових вимог у відповідність до оновленого законодавства шляхом:
- Виключення положень, що стосуються КСЗІ, її розроблення, впровадження та затвердження.
- Адаптації вимог до сучасної системи забезпечення кіберзахисту.
- Спрощення вимог до підготовки проєктної та експлуатаційної документації.
2. Оновлення термінології та принципів
Проєкт постанови переглядає та уточнює низку термінів, що вживаються в Обов’язкових вимогах, таких як «експлуатаційна документація», «компонент засобу інформатизації», «технічний адміністратор засобу інформатизації», «технічна підтримка» та інші. Також наголошується, що створення та функціонування засобів інформатизації ґрунтується на принципах актуальності, системності, розвитку, інтероперабельності, ефективності, уніфікації, безпечності та доступності.
3. Спрощено вимоги до документації
Рекомендації щодо складу проєктної та експлуатаційної документації стали гнучкішими та адаптивнішими. Обов’язковими залишаються лише технічні вимоги та технічне завдання, тоді як перелік експлуатаційної документації визначатиметься в технічному завданні з урахуванням специфіки засобу інформатизації. Також деталізовано вимоги щодо надання вихідного коду та його опису, а також випадки, коли його передача замовнику не вимагається (наприклад, для готових програмних продуктів без передачі майнових прав або для компонентів з відкритим вихідним кодом).
4. Уточнено стадії життєвого циклу
Збережено 5 ключових стадій:
- ініціювання
- проектування
- створення та впровадження
- промислова експлуатація
- виведення з експлуатації.
Найважливішою новацією є кардинально переосмислена матриця дій, яка тепер супроводжує кожну стадію життєвого циклу. Це допомагає уніфікувати підхід до планування й управління цифровими проєктами, забезпечуючи послідовність та відповідність виконуваних заходів на кожному етапі.
Ці зміни спрямовані на актуалізацію нормативної бази у сфері інформатизації, спрощення процедур та підвищення ефективності створення й функціонування державних інформаційних систем, з урахуванням сучасних стандартів кібербезпеки.
