Уряд затвердив Загальні вимоги до кіберзахисту об'єктів критичної інфраструктури.
Відповідну постанову № 518 прийнято на урядовому засіданні 19 червня.
https://jurliga.ligazakon.net/ua/news/170010_zakon-pro-kberbezpeku-nabuv-chinnost |
Рішення прийняте на виконання вимог Закону «Про основні засади забезпечення кібербезпеки України».
Зазначені вимоги є усталеною практикою в ЄС та в США і гармонізовані з вимогами міжнародних стандартів ЄС, НАТО та NIST з питань забезпечення кіберзахисту.
Установлено, що кіберзахист об'єкта критичної інфраструктури є складовою частиною робіт із створення (модернізації) та експлуатації об'єкта критичної інформаційної інфраструктури відповідного об'єкта. Заходи з кіберзахисту передбачатимуться та впроваджуватимуться на всіх стадіях життєвого циклу об'єкта критичної інформаційної інфраструктури відповідного об'єкта.
Створення системи інформаційної безпеки об'єкта критичної інформаційної інфраструктури відповідного об'єкта здійснюватиметься відповідно до вимог технічного завдання на створення системи інформаційної безпеки. Таке завдання формуватиметься за результатами оцінки ризиків, які зазначаються в звіті за результатами оцінки ризиків на об'єкті критичної інформаційної інфраструктури.
Власник та/або керівник об'єкта критичної інфраструктури організовуватиме проведення незалежного аудиту інформаційної безпеки на об'єкті критичної інфраструктури згідно з вимогами законодавства у сфері захисту інформації та кібербезпеки. Він невідкладно інформуватиме урядову команду реагування на комп'ютерні надзвичайні події України CERT-UA (у разі наявності - галузеву команду реагування на комп'ютерні надзвичайні події), а також функціональний підрозділ контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Центрального управління СБУ (Ситуаційний центр забезпечення кібербезпеки СБУ) або відповідний підрозділ регіонального органу СБУ про кіберінциденти та кібератаки, які стосуються його об'єкта критичної інформаційної інфраструктури.
Державні органи отримуватимуть доступ до мережі через систему захищеного доступу державних органів до Інтернету Державного центру кіберзахисту, через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних із створеними комплексними системами захисту інформації з підтвердженою відповідністю, або через власні системи захищеного доступу до Інтернету із створеними комплексними системами захисту інформації з підтвердженою відповідністю. Ця вимога не поширюється на інформаційно-телекомунікаційні системи закордонних дипломатичних установ України.
Державні органи для збереження резервних копій своїх інформаційних ресурсів та їх оперативного відновлення використовують основний та резервний захищений дата-центр збереження державних електронних інформаційних ресурсів Державного центру кіберзахисту.
У додатку до загальних вимог наведено перелік базових вимог із забезпечення кіберзахисту об'єктів критичної інфраструктури. Сюди включено формування на об'єкті критичної інфраструктури загальної політики інформаційної безпеки, управління доступом користувачів та адміністраторів до об'єктів захисту об'єкта критичної інформаційної інфраструктури, ідентифікацію та автентифікацію користувачів та адміністраторів відповідного об'єкта критичної інформаційної інфраструктури тощо.
Впровадження заходів кіберзахисту дасть змогу підприємствам, установам та організаціям, які віднесені до об'єктів критичної інфраструктури, забезпечити захист від кібератак, запобігти порушенню конфіденційності, цілісності та доступності своїх інформаційних ресурсів, порушенню режиму сталого функціонування об'єкта критичної інфраструктури.
Про правові засади кіберзахисту підприємства як об'єкта критичної інфраструктури можна дізнатися із однойменної ситуації для юриста із ІПС ЛІГА:ЗАКОН. Питанням кіберзахисту приділено увагу і у виданні ЮРИСТ&ЗАКОН, де можна дізнатися про об'єкти та суб'єкти кіберзахисту, а також кого стосуються положення нового Закону.