Правительство утвердило Общие требования к киберзащите объектов критической инфраструктуры.
Соответствующее постановление № 518 принято на правительственном заседании 19 июня.
https://jurliga.ligazakon.net/ua/news/170010_zakon - pro - kberbezpeku - nabuv - chinnost |
Решение принято во исполнение требований Закона "Об основных принципах обеспечения кибербезопасности Украины".
Указанные требования являются устоявшейся практикой в ЕС и в США и гармонизированы с требованиями международных стандартов ЕС, НАТО и NIST по вопросам обеспечения киберзащиты.
Установлено, что киберзащита объекта критической инфраструктуры является составной частью работ по созданию (модернизации) и эксплуатации объекта критической информационной инфраструктуры соответствующего объекта. Меры по киберзащите будут предусматриваться и внедряться на всех стадиях жизненного цикла объекта критической информационной инфраструктуры соответствующего объекта.
Создание системы информационной безопасности объекта критической информационной инфраструктуры соответствующего объекта будет осуществляться в соответствии с требованиями технического задания на создание системы информационной безопасности. Такое задание будет формироваться по результатам оценки рисков, которые указываются в отчете по результатам оценки рисков на объекте критической информационной инфраструктуры.
Собственник и/или руководитель объекта критической инфраструктуры будет организовывать проведение независимого аудита информационной безопасности на объекте критической инфраструктуры согласно требованиям законодательства в сфере защиты информации и кибербезопасности. Он безотлагательно будет информировать правительственную команду реагирования на компьютерные чрезвычайные события Украины CERT-UA (в случае наличия - отраслевую команду реагирования на компьютерные чрезвычайные события), а также функциональное подразделение контрразведывательной защиты интересов государства в сфере информационной безопасности Центрального управления СБУ (Ситуационный центр обеспечения кибербезопасности СБУ) или соответствующее подразделение регионального органа СБУ о киберинцидентах и кибератаках, касающихся его объекта критической информационной инфраструктуры.
Государственные органы будут получать доступ к сети через систему защищенного доступа государственных органов к Интернету Государственного центра киберзащиты, через операторов, провайдеров телекоммуникаций, имеющих защищенные узлы доступа к глобальным сетям передачи данных с созданными комплексными системами защиты информации с подтвержденным соответствием, или через собственные системы защищенного доступа к Интернету с созданными комплексными системами защиты информации с подтвержденным соответствием. Это требование не распространяется на информационно-телекоммуникационные системы заграничных дипломатических учреждений Украины.
Государственные органы для сохранения резервных копий своих информационных ресурсов и их оперативного восстановления используют основной и резервный защищенный дата-центр сохранения государственных электронных информационных ресурсов Государственного центра киберзащиты.
В приложении к общим требованиям приведен перечень базовых требований по обеспечению киберзащиты объектов критической инфраструктуры. Сюда включено формирование на объекте критической инфраструктуры общей политики информационной безопасности, управление доступом пользователей и администраторов к объектам защиты объекта критической информационной инфраструктуры, идентификацию и аутентификацию пользователи и администраторы соответствующего объекта критической информационной инфраструктуры и т. п.
Внедрение мероприятий киберзащиты даст возможность предприятиям, учреждениям и организациям, которые отнесены к объектам критической инфраструктуры, обеспечить защиту от кибератак, предотвратить нарушение конфиденциальности, целостности и доступности своих информационных ресурсов, нарушение режима постоянного функционирования объекта критической инфраструктуры.
О правовых принципах киберзащиты предприятия как объекта критической инфраструктуры можно узнать из одноименной ситуации для юриста из ИПС ЛІГА:ЗАКОН. Вопросам киберзащиты уделено внимание и в издании ЮРИСТ&ЗАКОН, где можно узнать об объектах и субъектах киберзащиты, а также кого касаются положения нового Закона.
