Сертифікація, регламенти і війна: компроміс без компромісів

У часи стабільності регламенти є фундаментом безпеки. У часи війни вони часто починають працювати проти самих систем, які мають захищати. Український державний сектор і бізнес зіткнулися з парадоксом: дотримання застарілих процедур сертифікації може призводити до втрати критичного часу, тоді як повне ігнорування правил — до хаосу та неконтрольованих вразливостей.

Ключова проблема полягає у несумісності темпів війни та темпів класичної сертифікації. Коли зміни в інформаційній системі потрібні «на вчора», типовий цикл отримання КСЗІ тривалістю у кілька місяців стає неприйнятним з операційної точки зору.

Регуляторна пастка: мирні правила у воєнному середовищі

Більшість чинних вимог до інформаційної безпеки формувалися в умовах передбачуваного середовища, де основною загрозою вважалася регламентована помилка або внутрішній людський фактор. Ці вимоги логічно тяжіють до каскадної (Waterfall) моделі: тривале проєктування, тривала розробка, окремий цикл сертифікації.

У воєнних умовах це створює дві однаково небезпечні крайнощі:

1. Повну відмову від регламентів — швидкі «польові» рішення без належного захисту, які накопичують технічний борг і системні вразливості.
2. Буквальне дотримання всіх процедур — параліч процесів через очікування кожного погодження, що в умовах війни фактично означає втрату керованості.

Очевидно, що жодна з цих крайнощів не є життєздатною.

Інженерний компроміс: зміна архітектурної парадигми

Реальний вихід із цієї пастки лежить не в юридичних обхідних шляхах, а в архітектурному рішенні. Команда IQusion застосувала підхід, який змінює саму логіку сертифікації: замість повторної сертифікації кожного окремого прикладного рішення фокус переноситься на використання базової платформи з підтвердженою відповідністю вимогам безпеки.

Іншими словами, сертифікується не кожне «колесо», а «двигун», на якому ці колеса збираються.

UnityBase: платформа як базовий рівень безпеки

UnityBase — це високопродуктивна веборієнтована платформа рівня Enterprise з відкритим кодом, призначена для створення складних інформаційних систем.

Платформа використовувалася у складі рішень, що проходили сертифікацію та експлуатуються у державному секторі та на об’єктах з підвищеними вимогами до захисту інформації. У типових конфігураціях її архітектура відповідає вимогам рівня захисту Г3, що дозволяє винести значну частину технічних вимог безпеки на рівень ядра системи.

Це означає, що такі критичні елементи, як автентифікація та розмежування доступу, журналювання подій, контроль цілісності та криптографічний захист, реалізуються централізовано, а не відтворюються заново в кожному проєкті.

З точки зору продуктивності платформа демонструє показники, достатні для високонавантажених корпоративних систем: десятки тисяч транзакцій за хвилину, десятки тисяч відповідей на запити за секунду та підтримку десятків тисяч одночасних користувачів у промислових конфігураціях.

Важливо, що low-code підхід і автоматична генерація значної частини прикладної логіки дозволяють прискорювати розробку без руйнування базової безпекової архітектури.

Розподіл відповідальності: платформа і інтегратор

Такий підхід змінює сам процес впровадження і дозволяє розділити його на два паралельні рівні:

1. Технічний рівень (платформа). Базові механізми захисту та архітектурні обмеження вже закладені в платформі і не потребують повторної реалізації при створенні нового функціоналу в межах типової конфігурації.
2. Організаційний рівень (інтегратор). Під час впровадження фахівці IQusion зосереджуються на налаштуванні бізнес-процесів, ролей, регламентів доступу та експлуатаційних процедур, специфічних для конкретного замовника.

Саме на цьому рівні формується відповідність організаційним вимогам, моделі загроз та реальним умовам експлуатації.

Це і є практичний компроміс: замість повторного доведення базової безпечності інструменту ресурси спрямовуються на адаптацію системи до конкретного середовища та задач.

Чому цей підхід працює для Enterprise

Використання UnityBase дозволяє змінювати не лише код, а й логіку процесів без порушення цілісності системи. Відкритий код забезпечує прозорість архітектури, а модульність і масштабованість — можливість розвитку без повного перепроєктування. Платформа підтримує роботу з поширеними СУБД (PostgreSQL, MS SQL, Oracle) і дозволяє ефективно використовувати доступні серверні ресурси, що є критичним фактором в умовах обмеженої інфраструктури та нестабільного середовища.

Компроміс між регламентом і швидкістю лежить у модульності та архітектурній відповідальності. Коли базова платформа бере на себе значну частину технічних вимог безпеки (Compliance by Design), держава та бізнес отримують можливість швидко створювати керовані, легітимні та стійкі інформаційні системи.

Практика реалізованих проєктів IQusion — від окремих рішень до масштабних інформаційних систем — показує, що в умовах війни перемагає не той, хто безкінечно переписує регламенти, а той, хто сертифікує інструментарій і грамотно керує його застосуванням.