МІНІСТЕРСТВО ЕНЕРГЕТИКИ УКРАЇНИ
НАКАЗ
від 15.12.2022 р. № 417
Зареєстровано в Міністерстві юстиції України
08 лютого 2023 р. за № 249/39305
Про Вимоги з кібербезпеки паливно-енергетичного сектору критичної інфраструктури
Відповідно до пункту 14 Загальних вимог до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 року № 518, з метою реалізації державної політики захисту об’єктів критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури
НАКАЗУЮ:
1. Затвердити Вимоги з кібербезпеки паливно-енергетичного сектору критичної інфраструктури, що додаються.
2. Управлінню цифрового розвитку та кібербезпеки забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на заступника Міністра з питань цифрового розвитку, цифрових трансформацій і цифровізації САФАРОВА Фаріда.
Міністр
Герман ГАЛУЩЕНКО
ПОГОДЖЕНО:
Т. в. о. Голови Державної служби
спеціального зв’язку та захисту
інформації України
Дмитро МАКОВСЬКИЙ
Голова Державної
регуляторної служби України
Олексій КУЧЕР
Перший заступник Міністра
цифрової трансформації України
Олексій ВИСКУБ
Заступник Голови
Служби безпеки України
Олександр ЯКУШЕВ
ЗАТВЕРДЖЕНО
Наказ Міністерства енергетики України
15 грудня 2022 року № 417
Вимоги
з кібербезпеки паливно-енергетичного сектору критичної інфраструктури
1. Ці Вимоги визначають заходи кіберзахисту об’єктів критичної інформаційної інфраструктури, що експлуатуються на об’єктах критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури для досягнення конкретного цільового стану кібербезпеки.
2. В цих Вимогах терміни вживаються у такому значенні:
1) активи – дані, персонал, пристрої та носії інформації, що дозволяють оператору критичної інфраструктури забезпечити надання життєво важливих послуг та функцій;
2) віртуальна приватна мережа (Virtual Private Network, VPN) – технологія, що дозволяє створити окремо виділені віртуальні мережі із одним або кількома зашифрованими з’єднаннями через мережу Інтернет;
3) екосистема – сукупність об’єктів критичної інфраструктури, які взаємодіють та/або взаємозалежать одні від одних як постачальники або отримувачі основних послуг, або об’єднані між собою за галузевою (секторальною) ознакою та/або процесом надання основної послуги, або які безпосередньо впливають на можливість надання основної послуги;
4) профіль кіберзахисту – структурований опис заходів кіберзахисту, які реалізовані на об’єкті критичної інформаційної інфраструктури, що експлуатується на об’єкті критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури, що враховує практику реалізації заходів кіберзахисту та потреби діяльності об’єкта критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури;
5) система (таксономія) заходів кіберзахисту – впорядкований набір заходів з кіберзахисту та бажаних результатів кіберзахисту.
Інші терміни вживаються у значеннях, наведених у Законах України “Про критичну інфраструктуру”, “Про основні засади кібербезпеки України”, постановах Кабінету Міністрів України від 09 жовтня 2020 року № 943 “Деякі питання об’єктів критичної інформаційної інфраструктури”, від 09 жовтня 2020 року № 1109 “Деякі питання об’єктів критичної інфраструктури”, від 19 червня 2019 року № 518 “Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури” (далі – постанова № 518).
3. У цих Вимогах вживаються скорочення, що мають такі значення:
ІКС – інформаційно-комунікаційна система;
КСЗІ – комплексна система захисту інформації;
ОКІ – об’єкт критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури;
ОКІІ – об’єкт критичної інформаційної інфраструктури, що експлуатується на об’єкті критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури;
ПЗ – програмне забезпечення;
СУІБ – система управління інформаційної безпеки.
4. Ці Вимоги запроваджують однаковий опис застосованих механізмів кіберзахисту, визначених постановою № 518, нормативними документами у сфері технічного захисту інформації, міжнародними стандартами з питань інформаційної безпеки, кібербезпеки та кіберзахисту, а також механізмів захисту інформації, що вже впроваджені на ОКІ операторами критичної інфраструктури.
5. Ці Вимоги обов’язкові під час здійснення діяльності з:
впровадження заходів кіберзахисту, які спрямовані на управління ризиками кібербезпеки для ОКІІ, що є елементами одного ОКІ, і у співпраці з іншими ОКІ, операторами критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури та інших секторів критичної інфраструктури;
впровадження системного процесу для визначення, оцінки та управління ризиками у сфері кібербезпеки, розроблення плану удосконалення цієї діяльності для відповідного затвердження оператором критичної інфраструктури та планування фінансування заходів з його реалізації;
захисту інформації або впровадженні КСЗІ для зіставлення із заходами кіберзахисту, що викладені у цих Вимогах, з метою визначення недоліків у поточній діяльності із захисту інформації та управління ризиками кібербезпеки, а також вдосконалення системи захисту інформації;
на всіх етапах створення КСЗІ, СУІБ, систем інформаційної безпеки або інших систем захисту інформації, що визначені міжнародними та національними стандартами;
розроблення, виготовлення, випробувань, приймання та постачання ПЗ;
проектування, комплектування, монтажу, налагоджувальних робіт, введення в експлуатацію, експлуатації та модифікації ІКС;
розроблення документів, що обґрунтовують безпеку ІКС та/або їх компонентів.
6. Ці Вимоги описують загальний підхід до забезпечення кібербезпеки, що дозволяє:
здійснити аналіз та надати характеристику поточного стану кібербезпеки ОКІІ;
описати цільовий стан кібербезпеки ОКІІ;
ідентифікувати та визначити пріоритети, рівень впровадження заходів кіберзахисту в контексті безперервного та повторюваного процесу управління ризиками у сфері кібербезпеки ОКІІ;
оцінити прогрес у досягненні цільового стану кібербезпеки ОКІІ;
забезпечити комунікацію між суб’єктами, які безпосередньо знаходяться на ОКІ, операторі критичної інфраструктури та із суб’єктами, які є партнерами ОКІ, оператора критичної інфраструктури щодо управління ризиками у сфері кібербезпеки.
7. Рівень ризиків кібербезпеки ОКІ пропонується знижувати шляхом:
покращення практик застосування засобів захисту інформації;
вдосконалення організаційних заходів із кіберзахисту на ОКІ, операторі критичної інфраструктури;
впровадження політик управління ризиками кібербезпеки у контексті надання основних послуг ОКІ;
налагодження та/або покращення взаємодії між ОКІ, операторами критичної інфраструктури та пов’язаними ОКІ, операторами критичної інфраструктури з інших секторів з метою покращення кібербезпеки в цілому.
8. Система заходів кіберзахисту базується на нормативних документах у сфері технічного захисту інформації, міжнародних стандартах з питань інформаційної безпеки, кібербезпеки та кіберзахисту, що розвиваються разом з технологіями забезпечення кібербезпеки. Це забезпечує ефективність реалізації заходів кіберзахисту та можливість підтримки нових технологій і методів забезпечення кібербезпеки.
9. Ці Вимоги визначають систему (таксономію) заходів кіберзахисту для досягнення конкретного цільового стану кібербезпеки. Систему заходів кіберзахисту не слід розглядати як вичерпний перелік заходів.
10. Діяльність із забезпечення кібербезпеки спрямована на зниження ризиків кібербезпеки, носить безперервний циклічний характер та формує цикл управління кібербезпекою, який складається з п’яти функцій кібербезпеки:
ідентифікація ризиків;
кіберзахист;
виявлення кіберінцидентів;
реагування;
відновлення поточного стану кібербезпеки.
11. Функції кібербезпеки забезпечують:
прийняття рішення з управління ризиками кібербезпеки на ОКІІ;
вибір та впровадження заходів кіберзахисту;
реагування на загрози кібербезпеки;
удосконалення кіберзахисту, враховуючи набутий досвід.
Функції кібербезпеки узгоджені з чинними підходами щодо управління ризиками кібербезпеки та допомагають продемонструвати ефективність інвестицій в кібербезпеку.
12. Система (таксономія) заходів кіберзахисту складається з трьох елементів:
клас заходів кіберзахисту;
категорія заходів кіберзахисту;
підкатегорія заходів кіберзахисту.
13. Клас заходів кіберзахисту організовує заходи кіберзахисту на системному рівні та визначає зміст циклу управління кібербезпекою. Ці Вимоги визначають п’ять класів заходів кіберзахисту:
ідентифікація ризиків;
кіберзахист;
виявлення кіберінцидентів;
реагування на кіберінциденти;
відновлення поточного стану кібербезпеки.
Кожний клас заходів кіберзахисту має свій ідентифікатор, що складається з двох літер.
14. Категорія заходів кіберзахисту являє собою складові елементи класу заходів кіберзахисту, упорядковані за групою цільових результатів забезпечення кібербезпеки та тісно пов’язані із завданнями забезпечення кібербезпеки та конкретними групами заходів кіберзахисту. Кожна категорія заходів кіберзахисту має власний ідентифікатор, який складається з ідентифікатора класу заходів кіберзахисту (перші дві літери) та ідентифікатора категорії (останні дві літери).
15. Підкатегорія заходів кіберзахисту являє собою складовий елемент категорії заходів кіберзахисту. Підкатегорії заходів кіберзахисту містять сукупність конкретних заходів кіберзахисту, які сформульовані у вигляді конкретного результату, що має бути досягнутий під час упровадження заходів кіберзахисту. По суті це набір результатів, які, хоча і не є вичерпними, але допомагають досягти цільових результатів забезпечення кібербезпеки за кожною категорією заходів кіберзахисту. Кожна підкатегорія заходів кіберзахисту має свій власний ідентифікатор, що складається з ідентифікатора категорії заходів кіберзахисту та порядкового номера підкатегорії.
16. До класів заходів кіберзахисту належать:
1) клас заходів кіберзахисту ID – ідентифікація ризиків кібербезпеки. Передбачає заходи, реалізація яких спрямована на поглиблення знань керівництва та персоналу оператора критичної інфраструктури щодо наявних ризиків, способів управління ризиками кібербезпеки для інформаційних систем, активів, даних, що використовуються для надання життєво важливих послуг та функцій. Реалізація заходів кіберзахисту класу “Ідентифікація ризиків” є чинником для ефективного використання цих Вимог, розуміння умов, ресурсів, що підтримують надання життєво важливих послуг та функцій, а також пов’язаних ризиків кібербезпеки, обґрунтованого вибору конкретних заходів для впровадження. Це дозволяє визначити пріоритетність ризиків кібербезпеки потребами надання життєво важливих послуг та функцій, а також розподіляти ресурси і зусилля відповідно до встановлених пріоритетів.
Категорія заходів кіберзахисту ID.AM – управління активами. Дані, персонал, обладнання, системи, пристрої та носії інформації, інформаційні системи, що дозволяють забезпечити надання життєво важливих послуг та функцій, виявлені та управляються відповідно до їх важливості відносно критично важливих послуг та функцій та стратегії управління ризиками ОКІ:
ID.AM-1. Фізичне обладнання та системи на ОКІ ідентифіковано та задокументовано. На ОКІ проводиться ідентифікація всіх пристроїв, носіїв інформації, інформаційних систем, що використовуються для надання життєво важливих послуг, та функцій здійснюється їх реєстрація;
ID.AM-2. ПЗ, що використовуються ОКІ для надання життєво важливих послуг та функцій, ідентифіковано та задокументовано. ПЗ, що використовуються для забезпечення роботи ОКІІ, які забезпечують надання життєво важливих послуг та виконання життєво важливих функцій, повинні бути ідентифіковані та задокументовані;
ID.AM-3. Комунікації та потоки даних ОКІ ідентифіковано та задокументовано. Здійснюється інвентаризація комунікацій та потоків даних, які в них циркулюють в тому числі із визначенням всіх підмереж, які використовуються для забезпечення надання основної послуги/виконання основної функції ОКІ. Розроблено структурну схему інформаційних потоків, яка відображає інформаційну взаємодію між основним компонентами (завданнями, об’єктами). Визначено, з прив’язкою до кожного елемента схеми, категорії інформації та рівні доступу до неї. Ця інформація є важливою для оператора критичної інфраструктури задля представлення цілісного уявлення про активи, що підтримують її комунікаційну інфраструктуру та існуючі потоки даних;
ID.AM-4. Зовнішні інформаційні системи та ІКС, промислові системи, які взаємодіють з ІКС та іншими системами ОКІ обліковано. ІКС, які взаємодіють з ОКІІ ОКІ (в тому числі, які розташовані, або можуть використовуватись за межами ОКІ), слід віднести до певного каталогу. Необхідно забезпечити безпечну роботу обладнання, яке може санкціоновано використовуватись поза межами ОКІ;
ID.AM-5. Критичність активів (обладнання, устаткування, даних, ПЗ) ОКІ визначено відповідно до оцінки їх впливу на надання життєво важливих послуг та функцій ОКІ. Оператор критичної інфраструктури класифікує свої активи, враховуючи критичність процесів, для яких такі активи використовуються. Під час процесу інвентаризації оператор критичної інфраструктури визначає та затверджує метод класифікації активів;
ID.AM-6. Обов’язки штатного персоналу ОКІ та персоналу партнерів оператора критичної інфраструктури (наприклад – постачальників, клієнтів, тощо) щодо забезпечення кібербезпеки визначено та закріплено у відповідних документах. Визначаються та описуються всі обов’язки та відповідальність штатного персоналу ОКІ та персоналу партнерів оператора критичної інфраструктури пов’язаних із забезпеченням кібербезпеки, взаємодією з іншими підрозділами оператора критичної інфраструктури та зовнішніми організаціями. На ОКІ затверджується та доводиться до персоналу політика інформаційної безпеки. Впроваджуються програми підвищення обізнаності, навчання працівників з питань забезпечення кібербезпеки.
Категорія заходів кіберзахисту ID.BE – середовище надання життєво важливих послуг та функцій. Мета, цілі, постачальники, клієнти, партнери, тощо оператора критичної інфраструктури та діяльність ОКІ відносно надання життєво важливих послуг та функцій є зрозумілими та їх пріоритетність встановлено. Ця інформація використовується для формування обов’язків персоналу щодо забезпечення кібербезпеки, а також рішень з управління ризиками кібербезпеки, а саме:
ID.BE-1. Роль ОКІ в ланцюгу постачання товарів і послуг визначено та повідомлено всім постачальникам оператора критичної інфраструктури. Оператор критичної інфраструктури ідентифікує та класифікує постачальників у відповідних ланцюгах поставок, враховуючи товари і послуги, що надаються згідно з чинними договорами та законодавством. В договорах з постачальниками можуть бути визначені вимоги з обробки ризиків, які пов’язані з безпекою постачання, послуги моніторяться та регулярно переглядаються та змінюються з урахуванням результатів повторної оцінки ризиків;
ID.BE-2. Місце та роль ОКІ в системі надання життєво важливих послуг та функцій паливно-енергетичного сектору критичної інфраструктури визначено і повідомлено всім постачальникам оператора критичної інфраструктури. ОКІ має визначити роль в паливно-енергетичному секторі критичної інфраструктури, категорію критичності, а також визначити ідентифікувати та категоризувати власні ОКІІ;
ID.BE-3. Пріоритетність цілей, завдань і заходів щодо забезпечення кібербезпеки надання життєво важливих послуг та функцій встановлено та повідомлено. На ОКІ визначаються пріоритети цілей, завдань і заходів щодо забезпечення кібербезпеки ОКІІ, що забезпечують надання життєво важливих послуг та функцій. Такі пріоритети на ОКІ встановлюються та здійснюється інформування щодо них;
ID.BE-4. Залежності та найважливіші процеси для забезпечення надання життєво важливих послуг та функцій встановлено. Оператор критичної інфраструктури забезпечує ідентифікацію та реєстрацію критично важливих активів, необхідних для надання життєво важливих послуг та функцій. Реєстрація містить принаймні таку інформацію: ІКС, що підтримують надання критично важливих послуг та функцій, які потребують захисту від відмови енергії або інших збоїв, спричинених аномаліями в службах підтримки; комунікаційні мережі, які підтримують важливі послуги та потребують захисту від фальсифікації та перехоплення; планування потенціалу та моніторинг ІКС, що підтримують критично важливі послуги та функції, що дасть змогу зробити обґрунтовані прогнози майбутніх потреб і забезпечить стійкість до збоїв та кібератак;
ID.BE-5. Вимоги до стійкості ОКІ щодо забезпечення надання життєво важливих послуг та функцій встановлено. Оператор критичної інфраструктури ідентифікує та визначає відповідні вимоги для забезпечення стійкості надання критично важливих послуг та функцій.
Категорія заходів кіберзахисту ID.GV – управління безпекою. Правила, процедури і процеси для управління й моніторингу товарів і послуг, а також вимог законодавства у сфері захисту інформації та кібербезпеки ОКІ усвідомлено:
ID.GV-1. Правила (політики) кібербезпеки ОКІ встановлено та задокументовано. Оператор критичної інфраструктури: визначає політику інформаційної безпеки, кібербезпеки; повідомляє про існування та зміст політики інформаційної безпеки, кібербезпеки для партнерів оператора критичної інфраструктури;
ID.GV-2. Обов’язки щодо забезпечення кібербезпеки ОКІ скоординовано та узгоджено з обов’язками персоналу ОКІ та із зовнішніми партнерами. На ОКІ визначаються усі обов’язки, пов’язані із забезпеченням кібербезпеки ОКІ. Керівництво безпосередньо підтримує впровадження культури кібербезпеки, виконує вимоги з кібербезпеки та забезпечує дотримання вимог з кібербезпеки відповідно до прийнятих політики та процедур оператора критичної інфраструктури всім персоналом. ОКІ може взаємодіяти з органами державної влади, установами та підприємствами, що займаються питанням забезпечення кіберзахисту. У разі потреби, до виконання робіт із забезпечення кіберзахисту можуть залучатися зовнішні організації, що мають ліцензії на відповідний вид діяльності у сфері кібербезпеки. У випадку укладення договору про забезпечення кібербезпеки у ньому можуть бути викладені чіткі вимоги із забезпечення кібербезпеки як постачальником послуг так і клієнтом;
ID.GV-3. Вимоги законодавства у сфері захисту інформації та кібербезпеки ОКІ усвідомлено та управління ними здійснюється. Оператор критичної інфраструктури узагальнює та виконує вимоги законодавства у сфері захисту інформації та кібербезпеки;
ID.GV-4. Процеси управління безпекою та управління ризиками спрямовано на вирішення питання оброблення ризиків кібербезпеки. На ОКІ проводиться оцінка ризиків. Для проведення аналізу ризиків складаються переліки суттєвих загроз, вразливостей, через які загрози можуть бути реалізовано, описуються методи та способи обробки ризиків. Необхідно оцінювати достатність заходів, які застосовуються для обробки, в тому числі зменшення ризиків кібербезпеки ОКІ, під час проведення незалежного аудиту інформаційної безпеки ОКІ або державної експертизи КСЗІ ОКІІ.
Категорія заходів кіберзахисту ID.RA – оцінка ризиків. ОКІ усвідомлює ризик кібербезпеки для процесів надання життєво важливих послуг та функцій (включаючи імідж або репутацію), а також активів ОКІ:
ID.RA-1. Вразливості активів ОКІ проаналізовано, ідентифіковано та задокументовано. Управління вразливістю є одним із процесів оператора критичної інфраструктури для пом’якшення ризику в контексті кібербезпеки. Усі відомі вразливості були виявлені, але ще не пом’якшені чи не виправлені, оцінюються оператором критичної інфраструктури та розглядаються шляхи їх виправлення або необхідність впровадження додаткових заходів із кіберзахисту;
ID.RA-2. Інформацію про загрози безпеки та вразливості отримано з форумів обміну інформацією та офіційних джерел. Оператор критичної інфраструктури встановлює контакти з групами, які обмінюються інформацією про проблеми кібербезпеки та вразливості, обмінюються ідеями та досвідом, отримує доступ до постійно обновлюваної інформації про кіберзагрози, в тому числі, яка отримується іншими суб’єктами забезпечення кіберзахисту в наслідок проведення технічного розслідування кіберінцидентів, кібератак;
ID.RA-3. Загрози кібербезпеки (модель загроз) як внутрішні, так і зовнішні визначено й задокументовано. Відповідно до стратегії (політики) управління ризиками оператор критичної інфраструктури визначає та задокументує можливі загрози, які можуть бути реалізовані через ідентифіковані вразливості в її активах;
ID.RA-4. Потенційні наслідки (рівень шкоди), які можуть завдати загрози в наслідок їх реалізації на безперервне надання життєво важливих послуг та функцій та ймовірності їх реалізації визначено. Виконується кількісна або якісна оцінка збитків, що можуть бути нанесені ОКІ внаслідок реалізації загроз. Оцінка складається з величин очікуваних збитків від втрати інформації або кожної з її властивостей (конфіденційність, доступність та цілісність) або від втрати керованості ОКІ внаслідок реалізації загрози;
ID.RA-5. Для визначення ризику застосовуються данні щодо загроз, вразливостей, їх ймовірностей та рівня шкоди використано для визначення ризику кібербезпеки. Оператор критичної інфраструктури визначає у методології управління ризиками, які є критерії для визначення ймовірності та впливу ризику. Ці критерії визначають рівень ризику. Вразливість та загрози враховуються під час процесу ідентифікації ризиків;
ID.RA-6. Заходи реагування на ризик кібербезпеки визначено та їх пріоритетність встановлено. На підставі визначеної методології оператор критичної інфраструктури впроваджує заходи реагування на ризики, які ідентифіковані та рівні яких розраховано, з урахуванням їх пріоритетності.
Категорія заходів кіберзахисту ID.RM – стратегія управління ризиками оператора критичної інфраструктури. Пріоритети, обмеження, допустимий рівень ризику та припущення визначено та використано для підтримки таких операційних рішень щодо зниження (обробки) ризиків кібербезпеки:
ID.RM-1. Процеси управління ризиками визначено, узгоджено із партнерами оператора критичної інфраструктури та управляються. Оператор критичної інфраструктури забезпечує належне визначення процесу управління ризиками та керується ними. Відповідно до стратегії (політики) управління ризиками оператор критичної інфраструктури: формулює комплексний підхід до управління ризиками, пов’язаний з використанням комп’ютерних мереж та інформаційних систем (ОКІІ); переконується, що визначений підхід послідовно застосовується в ОКІ; вказує осіб відповідальних за процес управління ризиками; вказує осіб відповідальних за обробку ризиків;
ID.RM-2. Допустимий рівень ризику кібербезпеки визначено та чітко виражено. Оператор критичної інфраструктури формулює в методології управління ризиками свій підхід до обробки ризиків та відповідний допустимий рівень ризику, встановлений оператором критичної інфраструктури;
ID.RM-3. Визначення допустимого рівня ризику ґрунтується на ролі ОКІ як складової частини паливно-енергетичного сектору критичної інфраструктури та аналізі ризиків, притаманних паливно-енергетичному сектору критичної інфраструктури. Оператор критичної інфраструктури визначає порядок обробки ризиків, врахування наявності остаточних ризиків з запобіганням їх взаємовпливу та можливих каскадних ефектів з урахуваннями визначеного рівня допустимості ризиків.
Категорія заходів кіберзахисту ID.SC – управління ризиками системи постачання. Пріоритети, обмеження, допустимий рівень ризику та припущення щодо системи постачання ОКІ визначені та використовуються для підтримки таких рішень щодо ризиків, які пов’язані з системою постачання послуг третіми особами (ланцюгами постачання):
ID.SC-1. Процеси управління ризиками кібербезпеки системи постачання визначено, узгоджено з партнерами оператора критичної інфраструктури та управляються. Оператор критичної інфраструктури проводить аудит постачальників товарів і послуг, використовуючи ту саму методологію, яку він використовує внутрішньо для управління ризиками;
ID.SC-2. Постачальники (розпорядники) інформаційних систем, товарів і послуг для ОКІ ідентифіковано, рівень їх критичності оцінено у відповідності до політики управління ризиками кібербезпеки з урахуванням ризиків, притаманних системі постачання. Постачальники товарів і послуг для ОКІ ідентифікується. Оператор критичної інфраструктури класифікує своїх постачальників за: доступом до конфіденційної інформації; можливим впливом на ланцюг поставок; товарами і послугами, що надаються;
ID.SC-3. Постачальники товарів і послуг та партнери, у відповідності до договору, можуть впроваджувати заходи, спрямовані на досягнення мети політики інформаційної безпеки, кібербезпеки ОКІ та плану управління ризиками постачання. У випадку укладення договору із постачальниками товарів і послуг у ньому можуть бути прямо вказані вимоги із забезпечення належного рівня надання послуг, в тому числі взаємні обов’язки із кіберзахисту інформації, до якої постачальник може отримати доступ (обробка, зберігання, взаємодія), або ОКІІ;
ID.SC-4. З постачальниками здійснюється планування та тестування реагування за відповідними політиками реагування на кіберінциденти та відновлення стану кібербезпеки. Оператор критичної інфраструктури визначає, які постачальники братимуть участь у опрацюванні заходів реагування та планах відновлення, щоб забезпечити їх участь у запланованих навчаннях з реагування на кіберінциденти. Плани реагування існують та регулярно тестуються та покращуються;
2) клас заходів кіберзахисту PR – кіберзахист. Визначає діяльність із розробки та впровадження відповідних методів, засобів, процедур кіберзахисту для забезпечення стійкого, безперервного та безпечного надання життєво важливих послуг та функцій ОКІ. Ці заходи дозволяють обмежити або стримати вплив кіберінцидентів.
Категорія заходів кіберзахисту PR.AC – управління ідентифікацією, автентифікацією та контроль доступу. Доступ до фізичних і логічних ресурсів ОКІ та пов’язаних з ними об’єктів надається тільки авторизованим користувачам, адміністраторам, процесам або пристроям та управляється відповідно до встановленого рівня ризику несанкціонованого доступу:
PR.AC-1. Ідентифікатори та дані автентифікації для авторизованих користувачів, адміністраторів та процесів призначаються, верифікуються, адмініструються, відкликаються (скасовуються) та перевіряються. Оператор критичної інфраструктури забезпечує управління та перевірку, періодичний перегляд особистих обов’язків та повноважень користувачів, адміністраторів оператора критичної інфраструктури, керує ними, перевіряє, скасовує відповідно до встановлених внутрішніх процесів;
PR.AC-2. Фізичний доступ до ОКІІ захищений та управляється. Оператор критичної інфраструктури охороняє та керує фізичним доступом до своїх ОКІ та інфраструктури, що підтримують її ІКС. Цей контроль застосовується до всіх співробітників та відвідувачів, “чутливих” зон, до яких доступ обмежений, або до “чутливих” районів, в яких обробляється конфіденційна інформація, в яких розміщені ІКС;
PR.AC-3. Здійснюється контроль та управління віддаленого доступу. Оператор критичної інфраструктури має політику віддаленого доступу у відповідності до якої здійснюється управління ним та контролюється віддалений доступ до своїх ІКС. Віддалений доступ включає всі види доступу до мережевих або інформаційних систем через зовнішні комунікаційні мережі, які не підконтрольні оператору критичної інфраструктури. VPN в разі їх створення, розглядаються як внутрішні засоби доступу і мають принаймні однаковий контроль безпеки; доступ до публічної інформації не вважається віддаленим доступом;
PR.AC-4. Права доступу встановлено із застосуванням розподілу обов’язків. Доступ надається на основі поділу обов’язків. Розподіл обов’язків передбачає розмежування між кількома особами, щоб особливо критичні процеси не виконувалися однією особою. Основною причиною розподілу обов’язків є запобігання кіберінцидентам, які можуть вплинути на операційну діяльність оператора критичної інфраструктури. Тимчасово встановлені привілеї щодо прав доступу постійно переглядаються та скасовуються одразу після виконання завдання, задля виконання якого такі привілеї було встановлено;
PR.AC-5. Цілісність комунікаційної мережі захищено (наприклад, сегментація мережі). Цілісність комунікаційної мережі захищена за допомогою поділу і сегментації мережі. Проєктування комунікаційної мережі унеможливлює отримання доступу до будь-якої системи з будь-якої підмережі. Зони безпеки визначаються з чітко сформульованими цілями та чітко визначеними бар’єрами, які забезпечують обладнання безпеки;
PR.AC-6. Автентифікація користувачів, адміністраторів, пристроїв та інших активів здійснюється (наприклад методами однофакторної, багатофакторної автентифікації) відповідно до встановленого ризику порушення безпеки. Механізми автентифікації визначаються та оновлюються з метою забезпечення цілісності та конфіденційності інформації.
Категорія заходів кіберзахисту PR.AT – обізнаність та навчання. Співробітники ОКІ та партнерів оператора критичної інфраструктури поінформовані та обізнані з питаннями кібербезпеки, мають освіту або пройшли спеціалізовану підготовку для покращення інформованості з питань кібербезпеки, пройшли належну підготовку для виконання своїх обов’язків щодо забезпечення кібербезпеки відповідно до встановлених правил, процедур, вимог договорів:
PR.AT-1. Усі співробітники ОКІ обізнані та пройшли підготовку з питань кібербезпеки. Оператор критичної інфраструктури формує план дій для навчання працівників з питань кібербезпеки. Розробляє процеси і процедури для забезпечення належного проведення заходів і стежить за успіхом навчальних заходів;
PR.AT-2. Користувачі (адміністратори) з перевагами доступу розуміють свої обов’язки з питань кібербезпеки. Співробітники, яким надано привілеї доступу до мереж або інформаційних систем ретельно вивчають свої обов’язки, необхідні для своїх функцій. Оператор критичної інфраструктури окреслює програму необхідного навчання, забезпечує його ефективність;
PR.AT-3. Партнери оператора критичної інфраструктури розуміють свої обов’язки з питань кібербезпеки. Партнери оператора критичної інфраструктури знають та розуміють свої обов’язки в рамках програми кібербезпеки оператора критичної інфраструктури. Оператор критичної інфраструктури проводить навчальні семінари для партнерів оператора критичної інфраструктури, та регулярно надає їх оновлені дані щодо політик і процедур оператора критичної інфраструктури, суттєвих для виконання їх зобов’язань по відношенню до ОКІ;
PR.AT-4. Керівництво ОКІ розуміє свої обов’язки з питань кібербезпеки. Керівництво усвідомлює свої обов’язки з питань кібербезпеки, спрямовує роботу підрозділу кібербезпеки, здійснює відповідне забезпечення;
PR.AT-5. Персонал із забезпечення фізичної та інформаційної безпеки розуміє свої обов’язки. Повинні бути визначені права та обов’язки, пов’язані із забезпеченням фізичної та інформаційної безпеки. Персонал має належну кваліфікацію, на постійній основі здійснюється підвищення кваліфікації та розуміє межі своїх повноважень.
Категорія заходів кіберзахисту PR.DS – безпека даних. Інформація та документація (дані) управляються відповідно до стратегії (політики) управління ризиками кібербезпеки ОКІ з метою захисту конфіденційності, цілісності та доступності інформації:
PR.DS-1. Дані, що зберігаються, захищено. В ІКС забезпечують конфіденційність, цілісність та доступність даних оператора критичної інфраструктури. Криптографічна перевірка збережених даних проводиться;
PR.DS-2. Дані, що передаються, захищено. Оператор критичної інфраструктури забезпечує захист даних, що передаються;
PR.DS-3. Управління активами здійснюється з дотриманням правил видалення, передачі та розміщення. Оператором критичної інфраструктури встановлені правила безпечного видалення, передачі та утилізації інформації або активів, які її містять. У тих випадках, коли така інформація більше не є актуальною для оператора критичної інфраструктури, застосовуються механізми її безпечного видалення з урахуванням політики класифікації інформації. При передачі на знищення обладнання стороннім організаціями забезпечується видалення робочої інформації оператора критичної інфраструктури, персональних даних та ліцензій ПЗ;
PR.DS-4. Необхідні спроможності для забезпечення доступності активів створено та підтримуються. Спроможність ІКС контролюється задля забезпечення доступності активів. При плануванні їх розвитку передбачаються майбутні потреби на основі прогнозів, результатів минулого використання, з метою забезпечення відповідної продуктивності системи вимогам щодо надання життєво важливих послуг та функцій;
PR.DS-5. Захист від витоку даних впроваджено. Оператор критичної інфраструктури запроваджує контроль безпеки на периметрах ІКС, ОКІІ для виявлення несанкціонованих витоків даних;
PR.DS-6. Механізми перевірки цілісності використовуються для верифікації ПЗ, програмно-апаратних засобів та цілісності інформації. Оператор критичної інфраструктури використовує механізми перевірки для забезпечення верифікації ПЗ і цілісності даних. Ці заходи контролю призначені для виявлення несанкціонованого втручання або непередбачених помилок, викликаних неправомірним використанням;
PR.DS-7. Середовища розробки та тестування відокремлені від виробничого середовища. Оператор критичної інфраструктури забезпечує розділення середовищ виробництва, випробувань та розробок, логічно чи фізично. Середовища розробки та тестування розділені не тільки за доступом, але й за рівнем даних.
Категорія заходів кіберзахисту PR.IP – процеси та процедури кіберзахисту. Забезпечення підтримання та управління політикою (правилами) безпеки, процесами та процедурами, які стосуються мети, сфер відповідальності, і координації між підрозділами оператора критичної інфраструктури (ОКІ) та які використовуються для управління захистом інформаційних систем і активів ОКІ:
PR.IP-1. Базова конфігурація ІКС, систем управління виробничими процесами створена й підтримується. Оператор критичної інфраструктури встановлює базову конфігурацію ІКС, систем управління виробничими процесами. Базова конфігурація передбачає: ПЗ, встановлене на робочих станціях; персональне обладнання, ноутбуки, принтери та кінцеве обладнання; сервери та елементи комунікаційної мережі; конфігурацію та параметри у відповідності до встановлених правил (політик); відповідність запланованій топології ІКС;
PR.IP-2. Життєвий цикл розробки, експлуатації та управління системами (SDLC) впроваджено. Оператор критичної інфраструктури застосовує обґрунтовані інженерні принципи захисту інформації щодо специфікації, проєктування, розробки, впровадження та зміни ІКС. Ці принципи застосовуються як до систем, що створюються, так і до існуючих, які зазнають значних змін. До застарілих систем ці принципи застосовуються по можливості, враховуючи стан обладнання, ПЗ тощо;
PR.IP-3. Процеси (заходи) управління змінами конфігурації впроваджено. Оператор критичної інфраструктури запроваджує процес управління змінами конфігурації;
PR.IP-4. Резервне копіювання інформації проводиться, підтримується та періодично тестується. Оператор критичної інфраструктури має політику резервного копіювання та забезпечує відновлення резервних копій, якщо це необхідно. Копії регулярно тестуються та перевіряються шляхом виконання тестів;
PR.IP-5. Правила (політика) та норми фізичної безпеки операційного середовища та обладнання оператора критичної інфраструктури (ОКІ) виконуються. Оператор критичної інфраструктури дотримується національної політики та правил захисту ІКС від природних катастроф, відключення електроенергії, пожежі та повені;
PR.IP-6. Дані знищуються відповідно до політики безпеки. Цифрова та фізична інформація підлягає відповідним методам знищення відповідно до їх класифікації і конфіденційності;
PR.IP-7. Процеси кіберзахисту постійно вдосконалюються. Оператор критичної інфраструктури оцінює та регулярно оновлює свої процеси захисту, щоб на систематичній основі виявляти можливі існуючі вразливості задля визначення їх, як цілі у плані усунення;
PR.IP-8. Плани реагування (реагування на кіберінциденти та забезпечення безперервності бізнесу) і плани відновлення (відновлення після кіберінциденту та відновлення після аварії) наявні та управляються. Плани реагування на кіберінциденти, безперервності бізнесу, обробки аварій та аварійних ситуацій регулярно оновлюються. Оператор критичної інфраструктури забезпечує, щоб партнери оператора критичної інфраструктури як внутрішні, так і зовнішні, були обізнані про оновлення;
PR.IP-9. Плани реагування та відновлення тестуються. Оператор критичної інфраструктури забезпечує на систематичній основі тестування та оцінку планів реагування на кіберінциденти, планів забезпечення безперервності діяльності та планів відновлення для визначення їх ефективності та можливих вразливих місць;
PR.IP-10. План управління вразливостями розроблено й впроваджено. Оператором критичної інфраструктури (на ОКІ) розроблено та впроваджено план управління вразливостями для ІКС, ризики, пов’язані з вразливостями враховані.
Категорія заходів кіберзахисту PR.MA – технічне обслуговування. Технічне обслуговування та ремонт компонентів систем управління виробничими процесами, компонентів ІКС виконуються з дотриманням таких правил та процедур безпеки:
PR.MA-1. Технічне обслуговування та ремонт активів ОКІ виконуються та своєчасно документуються з використанням визначених та контрольованих засобів. Оператор критичної інфраструктури регулярно та за розкладом виконує технічне обслуговування своїх критичних активів. Технічне обслуговування реєструється та проводиться під наглядом уповноваженого персоналу з належними технічними знаннями;
PR.MA-2. Дистанційне обслуговування активів ОКІ схвалено, задокументовано та виконується в спосіб, що унеможливлює несанкціонований доступ. Віддалене обслуговування ІКС підлягає реєстрації та виконується безпечно, щоб уникнути несанкціонованого доступу.
Категорія заходів кіберзахисту PR.PT – технології кіберзахисту. Технічні рішення (технології) кіберзахисту управляються з метою забезпечення безпеки та стійкості систем і активів ОКІ з дотриманням таких політик, правил, процедур з безпеки:
PR.PT-1. Записи аудиту (журналів подій) визначено, задокументовано, впроваджено й перевірено відповідно до політик, правил, процедур з безпеки. Записи аудиту (журналів подій) визначаються, документуються, впроваджуються та регулярно переглядаються відповідно до політик, правил, процедур з безпеки. Забезпечено їх захист від несанкціонованого доступу та фальсифікації;
PR.PT-2. Змінні носії захищено, а їх використання обмежено відповідно до правил, процедур з безпеки. Оператор критичної інфраструктури запроваджує політики (процедури), що забезпечують застосування правил використання знімних носіїв інформації, враховуючи застосовану політику класифікації інформації;
PR.PT-3. Контроль доступу до систем і активів здійснюється із застосуванням принципу мінімальних привілеїв. Оператор критичної інфраструктури впроваджує принцип мінімальних привілеїв, налаштовуючи системи на забезпечення лише життєво важливих послуг та функцій;
PR.PT-4. Комунікаційні мережі та мережі управління захищено. Комунікаційні мережі та мережі управління регулюють передачу інформації і шляхи, які можуть бути відкриті всередині систем і між ними. По відношенню до них реалізовані заходи захисту;
PR.PT-5. Упровадження механізмів на ОКІ для досягнення вимог до стійкості у разі надзвичайних ситуацій та інцидентів у кіберпросторі. Оператор критичної інфраструктури впроваджує необхідні механізми для забезпечення базової стійкості у всіх заздалегідь визначених функціональних станах – під навантаженням, у незвичних ситуаціях, під час відновлення, у нормальних умовах, під атакою. Правила належного розподілу додаткових ресурсів, які необхідні для досягнення стійкості, визначено;
3) клас заходів кіберзахисту DE – виявлення кіберінцидентів.
Категорія заходів кіберзахисту DE.AE – аномалії та кіберінциденти. Аномальну активність своєчасно виявлено, потенційний вплив кіберінцидентів усвідомлено:
DE.AE-1. Еталони мережевих операцій та очікуваних потоків даних для користувачів і систем встановлені та управляються. Оператор критичної інфраструктури забезпечує, щоб мережеві операції здійснювалися на структурованій основі кваліфікованим персоналом і щоб були захищені цілісність, конфіденційність, доступність інформації. Для кожної інформаційної системи оператор критичної інфраструктури визначає, створює і підтримує довідкову модель очікуваної комунікації, незалежно від того, генерується вона користувачами або системами (як внутрішніми, так і зовнішніми);
DE.AE-2. Існує практика аналізу виявлених подій. Оператор критичної інфраструктури впроваджує практику виявлення, аналізу подій, класифікації кіберінцидентів, кібератак з метою розуміння цілей і методів атак та причин виникнення кіберінцидентів. Можуть впроваджуватись рішення SIEM, які: підтримують процес виявлення, аналізу і обробки кіберінцидентів (кібератак);
DE.AE-3. Дані про кіберінциденти агрегуються та корелюються з декількох джерел і датчиків. Оператор критичної інфраструктури впроваджує технологічні та процесні механізми, що дозволяють збирати і зіставляти кіберінциденти, які виявляються в ІКС. Ці кіберінциденти співвідносяться між собою і по можливості збагачені додатковою аналітичною інформацією про зовнішні загрози;
DE.AE-4. Існує процес визначення можливих впливів кіберінцидентів. Оператор критичної інфраструктури проводить класифікацію та категоризацію кіберінцидентів і оцінює їх можливий вплив на мережеві інформаційні системи (ОКІІ). Категоризація кіберінцидентів підтримує процес прийняття рішень про те, які дії виконувати для кожного типу;
DE.AE-5. Пороги оповіщення про кіберінциденти встановлено. На основі категоризації кіберінцидентів оператор критичної інфраструктури визначає критерії, завдяки яким приймається рішення щодо оповіщення про інцидент.
Категорія заходів кіберзахисту DE.CM – безперервний моніторинг кібербезпеки. Безпека інформаційних систем та активів ОКІІ відстежуються через дискретні інтервали для виявлення кіберінцидентів та перевірки ефективності заходів кібербезпеки:
DE.CM-1. ІКС (ОКІІ) відстежується для виявлення потенційних кіберінцидентів. Оператор критичної інфраструктури контролює свої ІКС. Процес моніторингу інтегровано в існуючий процес управління заходами кіберзахисту;
DE.CM-2. Фізичне середовище відстежується для виявлення потенційних кіберінцидентів. Компоненти ОКІ повинні забезпечити реєстрацію, збереження в електронних журналах та захист від модифікації інформації про події кібербезпеки;
DE.CM-3. Активність персоналу відстежується для виявлення потенційних кіберінцидентів. Моніторинг діяльності співробітників інтегровано в сферу управління подіями. Ця діяльність генерує достатню інформацію, що дозволяє оперативно вживати заходів у разі виникнення загрози кібербезпеці, яка виникає в результаті діяльності користувача;
DE.CM-4. Шкідливий код виявляється. Оператор критичної інфраструктури впроваджує механізми, що дозволяють виявляти шкідливі коди в її ІКС (в ОКІІ). По можливості, працює політика запобігання запуску таких кодів;
DE.CM-5. Несанкціоноване ПЗ виявлено. Оператор критичної інфраструктури виявляє несанкціоновані ПЗ, що працюють у його ІКС (в ОКІІ);
DE.CM-6. Активність зовнішнього постачальника товарів і послуг відстежується з метою виявлення потенційних кіберінцидентів. Здійснюється контроль за послугами, наданими зовнішніми постачальниками товарів і послуг, з метою виявлення несанкціонованого доступу до ІКС (ОКІІ), а також інших негативних подій кібербезпеки;
DE.CM-7. Моніторинг неавторизованого персоналу, з’єднань, пристроїв і ПЗ здійснюється на постійній основі. Оператор критичної інфраструктури стежить за доступом співробітників до ІКС (ОКІІ), пристроїв та процесів;
DE.CM-8. Сканування вразливостей виконується. Оператор критичної інфраструктури здійснює процес управління вразливістю в тому числі, шляхом регулярного сканування вразливостей як автоматично, так і за запитом.
Категорія заходів кіберзахисту DE.DP – процеси виявлення кіберінцидентів. Процеси й процедури виявлення кіберінцидентів підтримуються й тестуються для забезпечення своєчасного та адекватного оповіщення про аномальні події кібербезпеки:
DE.DP-1. Обов’язки щодо виявлення кіберінцидентів чітко визначено задля забезпечення звітності. Оператором критичної інфраструктури визначено обов’язки щодо виявлення кіберінцидентів, забезпечується ведення звітності щодо них;
DE.DP-2. Заходи виявлення кіберінцидентів відповідають всім застосованим вимогам. Оператор критичної інфраструктури проводить моніторинг ефективності заходів виявлення кіберінцидентів та співставлення дій щодо виявлення з усіма вимогами;
DE.DP-3. Процеси виявлення кіберінцидентів протестовані. Оператор критичної інфраструктури проводить випробування і перевірку ефективності процесів виявлення за планом, та, коли: відбулася суттєва зміна системи; нові прикладні програми розробляються у значних масштабах; в існуючу інфраструктуру додано нову систему; з’являється новий тип вразливості;
DE.DP-4. Інформацію про виявлені кіберінциденти повідомлено партнерів оператора критичної інфраструктури. Оператор критичної інфраструктури розробляє комунікаційну стратегію (політику), згідно з якою забезпечує інформування партнерів оператора критичної інфраструктури про кіберінциденти у сфері безпеки. Стратегія (політика) підкріплюється комунікаційним планом, який може бути об’єднаний з іншими комунікаційними планами;
DE.DP-5. Процеси виявлення кіберінцидентів постійно вдосконалюються. Оператор критичної інфраструктури аналізує кіберінциденти, які відбуваються в їх ІКС (на ОКІІ), та шляхом визначення оперативних і/або процесних заходів, підвищує потенціал виявлення нових кіберінцидентів;
4) клас заходів кіберзахисту RS – реагування на кіберінциденти. Містить заходи реагування на кіберінциденти та кібератаки. Реалізація заходів спрямована на зниження потенційного негативного впливу кіберінциденту (кібератаки) на надання життєво важливих послуг та функцій.
Категорія заходів кіберзахисту RS.RP – планування реагування. Процеси та процедури реагування на кіберінциденти виконуються та підтримуються з метою забезпечення своєчасного реагування на виявлені кіберінциденти:
RS.RP-1. План реагування виконується під час або після події. Оператором критичної інфраструктури (на ОКІ) розроблено план реагування на кіберінциденти. При зборі даних щодо події та аналізі подій (кіберінцидентів) забезпечується збереженість і цілісність доказів.
Категорія заходів кіберзахисту RS.CO – комунікації. Заходи з реагування координуються з внутрішніми та зовнішніми партнерами оператора критичної інфраструктури, такими як координаційні центри, оператори, провайдери комунікацій, власники атакуючих систем, інші групи реагування на інциденти, пов’язані з інформаційною та/або кібербезпекою (CSIRT), постачальники, тощо:
RS.CO-1. Персонал знає свої обов’язки та порядок дій у ситуаціях, коли необхідне реагування на кіберінциденти. Під час реагування на кіберінциденти оператор критичної інфраструктури забезпечує, щоб усі співробітники залучалися до зазначеної роботи;
RS.CO-2. Факти про кіберінциденти задокументовано та повідомляються відповідно до встановлених критерій. Оператор критичної інфраструктури створює і розповсюджує серед партнерів оператора критичної інфраструктури повідомлення про кіберінциденти та належної класифікації інцидентів з точки зору інформаційної безпеки;
RS.CO-3. Здійснюється обмін інформацією про кіберінциденти відповідно до планів реагування. Оператор критичної інфраструктури використовує належні канали для поширення інформації про кіберінциденти у сфері безпеки серед партнерів оператора критичної інфраструктури. Це допоможе партнерам оператора критичної інфраструктури виявляти, стримувати і розв’язувати аналогічні проблеми, які можуть виникати в їх системах;
RS.CO-4. Координація з партнерами оператора критичної інфраструктури проводиться відповідно до планів реагування. Оператор критичної інфраструктури виконує план координації при ескалації кіберінцидентів у сфері безпеки з урахуванням їх категоризації і важливості;
RS.CO-5. З метою досягнення ширшої ситуативної обізнаності щодо стану кібербезпеки здійснюється обмін інформацією із основними суб’єктами національної системи кібербезпеки та зовнішніми партнерами оператора критичної інфраструктури. На етапі реагування на кіберінциденти оператор критичної інфраструктури визначає інформацію, якою він буде ділитися із зовнішніми партнерами оператора критичної інфраструктури та основними суб’єктами національної системи кібербезпеки, для забезпечення більш широкої поінформованості про ситуацію у сфері кібербезпеки.
Категорія заходів кіберзахисту RS.AN – аналіз. Проводиться аналіз кіберінцидентів для забезпечення адекватних заходів реагування та підтримки відновлення;
RS.AN-1. Повідомлення від систем виявлення кіберінцидентів досліджуються. Оператор критичної інфраструктури забезпечує, щоб кіберінциденти, які генеруються системами виявлення, розслідувалися, класифікувалися і розглядалися послідовним чином;
RS.AN-2. Вплив кіберінциденту усвідомлено. У процесі класифікації кіберінцидентів оператор критичної інфраструктури оцінює їх наслідки для своїх активів та операцій і використовує отримані результати для визначення ступеня серйозності інцидентів;
RS.AN-3. Кіберінциденти класифіковано відповідно до планів реагування. Електронні докази збираються та фіксуються належним чином. Оператор критичної інфраструктури забезпечує, щоб класифікація кіберінцидентів проводилася відповідно плану дій у разі виявлення кіберінцидентів у сфері безпеки. Збір електронних доказів забезпечено;
RS.AN-4. Створено процеси для отримання, аналізу та реагування на чинники уразливості, виявлені оператором критичної інфраструктури з внутрішніх і зовнішніх джерел. Запроваджується процес отримання інформації про фактори уразливості з внутрішніх або зовнішніх джерел. Кожен випадок аналізується, перевіряється виконується за процедурою розгляду кіберінцидентів у сфері безпеки, якщо тільки він не є хибним.
Категорія заходів кіберзахисту RS.MI – мінімізація наслідків. Виконуються такі заходи з метою запобігання розширенню кіберінциденту, мінімізації його наслідків та унеможливлення його повторення:
RS.MI-1. Кіберінциденти стримано. Оператор критичної інфраструктури визначає процеси та процедури для забезпечення ефективного стримування інцидентів у сфері безпеки;
RS.MI-2. Наслідки кіберінцидентів мінімізовано. Оператор критичної інфраструктури визначає процеси та процедури для забезпечення ефективного пом’якшення наслідків кіберінцидентів у сфері безпеки;
RS.MI-3. Вперше виявлені вразливості усунено або задокументовано як прийняті ризики. Нововиявлені чинники уразливості оцінюються оператором критичної інфраструктури з урахуванням масштабів можливих наслідків для діяльності (надання життєво важливих послуг, виконання життєво важливих функцій), визначених у процесі управління вразливістю. Оператор критичної інфраструктури визначає, яких заходів слід вжити у зв’язку з цими факторами вразливості зважаючи на політику управління ризиками.
Категорія заходів кіберзахисту RS.IM – удосконалення. Заходи з реагування вдосконалюються шляхом урахування досвіду з поточних або виконаних заходів виявлення/реагування:
RS.IM-1. У планах реагування враховано отриманий досвід. Оператор критичної інфраструктури вивчає минулі кіберінциденти після того, як вони будуть врегульовані для того, щоб врахувати досвід. Аналізується вся інформація, яка відома про кіберінцидент, визначивши, що добре спрацювало і що необхідно поліпшити у процесі розгляду кіберінцидентів, для того щоб оператор критичної інфраструктури і його системи були більш стійкими до майбутніх інцидентів;
RS.IM-2. Плани реагування оновлено. Плани реагування оновлюються з урахуванням внутрішніх змін після врегулювання кіберінцидентів;
5) клас заходів кіберзахисту RC – відновлення стану кібербезпеки. Визначає діяльність щодо забезпечення спроможностей ОКІІ щодо стійкого, надійного та безперервного надання життєво важливих послуг та функцій, які були порушені внаслідок кіберінциденту (кібератаки). Ці заходи забезпечують своєчасне відновлення штатної роботи ОКІІ та зменшення негативного впливу кіберінциденту (кібератаки).
Категорія заходів кіберзахисту RC.RP – планування відновлення. Процеси та процедури відновлення виконуються та підтримуються з метою своєчасного відновлення систем або активів, постраждалих від кіберінцидентів:
RC.RP-1. План відновлення виконується під час або після кіберінцидентів. Оператор критичної інфраструктури розробляє свій план ліквідації наслідків кіберінцидентів, для того щоб забезпечити належний розподіл ресурсів (людських і технічних) для врегулювання інцидентів. Процес ліквідації наслідків кіберінцидентів, забезпечує збереження і наявність активів, необхідних для проведення найважливіших видів діяльності.
Категорія заходів кіберзахисту RC.IM – удосконалення. Процеси й планування відновлення удосконалюються шляхом урахування отриманого досвіду для реалізації майбутніх заходах:
RC.IM-1. Плани відновлення враховують отриманий досвід. Оператор критичної інфраструктури забезпечує, щоб плани відновлення оновлювалися з урахуванням заходів, прийнятих на основі накопиченого досвіду;
RC.IM-2. Плани відновлення оновлено. Плани відновлення у разі виникнення інцидентів оновлюються з урахуванням внутрішніх змін.
Категорія заходів кіберзахисту RC.CO – комунікації. Заходи з відновлення координуються з внутрішніми та зовнішніми партнерами оператора критичної інфраструктури, такими як координаційні центри, оператори, провайдери комунікацій, власники атакуючих систем, інші групи реагування на інциденти, пов’язані з інформаційною та/або кібербезпекою (CSIRT), постачальники, тощо:
RC.CO-1. Процес зв’язків з громадськістю організовано та є керованим. Оператор критичної інфраструктури повідомляє про те, що є актуальним у контексті кібербезпеки. Інформація надається оператором критичної інфраструктури таким чином, щоб звести до мінімуму потенційний вплив на репутацію та довіру;
RC.CO-2. Репутація після кіберінцидентів відновлюється. Оператор критичної інфраструктури оглядає і коригує політику, принципи, стандарти, процедури і методологію для забезпечення безпечного функціонування ІКС ОКІ. Одночасно робляться кроки на відновлення репутації;
RC.CO-3. Заходи з відновлення повідомлено внутрішнім та зовнішнім партнерам оператора критичної інфраструктури, а також керівництву. Оператор критичної інфраструктури забезпечує інформування внутрішніх і зовнішніх партнерів оператора критичної інфраструктури про серйозні кіберінциденти.
17. Рівні впровадження заходів кіберзахисту характеризують ступінь практичного впровадження оператором критичної інфраструктури заходів із кіберзахисту, здатність оператора критичної інфраструктури досягти запланованих результатів кіберзахисту та надають інструментарій оцінювання ступеня впровадження процесів управління кібербезпекою.
Визначаються чотири ієрархічних рівні впровадження заходів кіберзахисту.
Під час вибору рівня впровадження, оператору критичної інфраструктури доцільно розглянути свою поточну практику управління ризиками, навколишнє середовище загроз, вимоги законодавства у сфері захисту інформації та кібербезпеки.
18. Процес вибору рівня впровадження враховує поточну практику щодо реалізації заходів кіберзахисту та управління ризиками кібербезпеки на ОКІІ, характеристики загроз кібербезпеки, вимоги законодавства у сфері захисту інформації та кібербезпеки, комерційні та стратегічні цілі ОКІ, вимоги до кібербезпеки в ланцюзі поставок програмного, апаратного забезпечення та організаційні обмеження, а також інші наявні обмеження.
Необхідно визначати цільовий рівень впровадження, переконавшись, що вибраний рівень зменшує ризик кібербезпеки до критично важливих активів і ресурсів, прийнятних для оператора критичної інфраструктури. Необхідно враховувати вимоги нормативно-правових актів у сфері кібербезпеки та захисту інформації, рекомендації урядової або секторальної, міжсекторальної команди реагування на комп’ютерні інциденти (CERT-UA, CERT), інциденти комп’ютерної безпеки (CSIRT) або галузевих центрів кібербезпеки паливно-енергетичного комплексу України, існуючі моделі зрілості або інші джерела, які допоможуть визначити бажаний рівень ризику кібербезпеки.
ОКІІ, що досягли певного рівня впровадження, розглядають можливість просування до наступного або більшого рівня. Рівні призначено для підтримки прийняття організаційних рішень про те, як керувати ризиком кібербезпеки, які заходи для ОКІІ мають вищий пріоритет та на які заходи можуть виділятися додаткові ресурси.
Успішність упровадження заходів з кіберзахисту базується на досягненні результатів, описаних у цільовому профілі оператора критичної інфраструктури, а не на визначеному рівні впровадження.
19. Існують такі рівні впровадження заходів з кіберзахисту:
1) 1 рівень – частковий. Практична діяльність із реалізації заходів кіберзахисту та управління ризиками кібербезпеки не є формалізованою. Діяльність з упровадження заходів кіберзахисту та управління ризиками носить довільний та ситуативний характер. Пріоритетність виконання заходів кіберзахисту безпосередньо не враховує цілі ОКІІ щодо управління ризиками, характеристики загроз, завдання щодо надання життєво важливих послуг та функцій.
Політика управління ризиками: обмежене розуміння ризику кібербезпеки на організаційному рівні. Інформованість керівництва та персоналу оператора критичної інфраструктури про ризики кібербезпеки є недостатньою. Загальний підхід до управління ризиками кібербезпеки в масштабі всього ОКІІ не встановлено. Заходи кіберзахисту впроваджуються нерегулярно, ситуативно, використовуючи різноманітний практичний досвід або інформацію, отриману із зовнішніх джерел. Процесів, що забезпечують внутрішній обмін інформацією про стан кібербезпеки, не зафіксовано.
Взаємодія з іншими ОКІ: оператор критичної інфраструктури не опрацьовує або отримує інформацію (дослідження загроз, кращі практики, технології) від інших організацій (споживачі, постачальники, залежні від нього або від яких він залежить організацій, організацій аналізу та поширення інформації, дослідники, органи державної влади) та не поширює таку інформацію. Оператор критичної інфраструктури взагалі не усвідомлює ризиків кібербезпеки, пов’язаних з послугами, які він надає та якими користується;
2) 2 рівень – ризик-орієнтований. Практика реалізації заходів кіберзахисту та управління ризиками затверджується керівництвом оператора критичної інфраструктури, але може не встановлюватися як загальна політика для оператора критичної інфраструктури. Пріоритетність діяльності з кібербезпеки та потреби захисту безпосередньо залежать від цілей організаційного ризику, середовища загроз або вимог щодо надання життєво важливих послуг та функцій.
Політика управління ризиками: існує усвідомлення ризику кібербезпеки на організаційному рівні, але загальний підхід оператора критичної інфраструктури до управління ризиком кібербезпеки не встановлено. Інформація про кібербезпеку поширюється в межах оператора критичної інфраструктури на неофіційній основі. Розгляд кібербезпеки в цілях та програмах оператора критичної інфраструктури може відбуватися на деяких, але не на всіх рівнях оператора критичної інфраструктури. Оцінка ризиків кібербезпеки для організаційних та зовнішніх активів відбувається, але зазвичай не повторюється або однаково не проводиться.
Взаємодія з іншими ОКІ: загалом оператор критичної інфраструктури розуміє свою роль у екосистемі щодо своїх власних залежностей або залежних від нього інших суб’єктів, але не їх обох. Оператор критичної інфраструктури опрацьовує та отримує деяку інформацію від інших організацій, створює на підставі неї власну інформацію, але може не поширювати таку інформацію між іншими організаціями. Крім того, оператор критичної інфраструктури усвідомлює ризики кібербезпеки, пов’язані з послугами, які він надає та якими користується, але не діє послідовно або за затвердженими правилами;
3) 3 рівень – повторюваний. Практика реалізації заходів кіберзахисту та управління ризиками оператором критичної інфраструктури є офіційно затвердженою і визначена як політика. Результати кіберзахисту регулярно відстежуються та заходи кіберзахисту регулярно оновлюються на основі застосування процесів управління ризиками до змін у вимогах щодо надання життєво важливої функції, мінливих загроз та технологічного ландшафту.
Політика управління ризиками: оператором критичної інфраструктури визначено загальний підхід до управління ризиками кібербезпеки. Політики інформування про ризики, процеси та процедури визначені, реалізуються за призначенням та переглядаються. Існують послідовні методи ефективного реагування на зміни ризику. Персонал володіє знаннями та вміннями виконувати призначені їм обов’язки. Оператор критичної інфраструктури послідовно і точно контролює ризик кібербезпеки для своїх активів. Пов’язані та не пов’язані з кібербезпекою головні виконавці регулярно спілкуються щодо ризику кібербезпеки.
Взаємодія з іншими ОКІ: оператор критичної інфраструктури розуміє свою роль у екосистемі щодо своїх власних залежностей або залежних від нього інших суб’єктів та може сприяти ширшому розумінню спільнотою ризиків. Оператор критичної інфраструктури регулярно опрацьовує та отримує інформацію від інших організацій, що доповнює власну створену інформацію та поширює її між іншими організаціями. Оператор критичної інфраструктури усвідомлює ризики кібербезпеки, пов’язані з послугами, які він надає та якими користується;
4) 4 рівень – адаптивний. Оператор критичної інфраструктури адаптує свою практику в галузі кібербезпеки на основі попередніх та поточних заходів з кібербезпеки, включаючи отримані результати та прогнозні показники. Завдяки процесу безперервного вдосконалення, що передбачає передові технології та практики кібербезпеки, оператор критичної інфраструктури активно адаптується до мінливих кіберзагроз та своєчасно й ефективно реагує на кіберзагрози, що розвиваються та ускладнюються.
Політика управління ризиками: оператором критичної інфраструктури затверджено загальний підхід до управління ризиком кібербезпеки, який використовує політику, процеси та процедури з урахуванням ризиків для вирішення потенційних кіберінцидентів. Взаємозв’язок між ризиком кібербезпеки та цілями оператора критичної інфраструктури чітко усвідомлюється та враховується під час прийняття рішень. Головні виконавці контролюють ризик кібербезпеки в тому самому контексті, що і фінансовий ризик та інші ризики для оператора критичної інфраструктури. Управління ризиками кібербезпеки є частиною організаційної культури і розвивається на основі усвідомлення попередньої діяльності та постійного усвідомлення діяльності у своїх ІКС. Оператор критичної інфраструктури може швидко та ефективно враховувати зміни у тому, як підходити до опрацювання та повідомляти про ризик.
Взаємодія з іншими ОКІ: оператор критичної інфраструктури розуміє свою роль у екосистемі щодо своїх власних залежностей або залежних від нього інших суб’єктів, сприяє ширшому розумінню спільнотою ризиків. Оператор критичної інфраструктури отримує, генерує та переглядає пріоритетну інформацію для продовження аналізу цих ризиків по мірі розвитку ландшафту загроз та технологій. Оператор критичної інфраструктури поширює цю інформацією як в середині оператора критичної інфраструктури, так і назовні для подальшого опрацювання. Оператор критичної інфраструктури використовує інформацію в режимі реального часу або майже в режимі реального часу і послідовно реагує на ризики кібербезпеки, пов’язані з послугами, які він надає та якими користується.
20. Профіль кіберзахисту дозволяє розробити план впровадження заходів кіберзахисту з метою зниження ризиків кібербезпеки, узгоджений з цілями ОКІ та паливно-енергетичного сектору критичної інфраструктури, врахувати вимоги законодавства у сфері захисту інформації та кібербезпеки та передовий секторальний досвід із забезпечення кібербезпеки, а також відображає пріоритети управління ризиками кібербезпеки. Оскільки більшість ОКІІ мають складну організаційно-технічну структуру, використовують різні ІКС та автоматизовані системи управління технологічними процесами для надання життєво важливих послуг та функцій, можна розробляти кілька профілів кіберзахисту, узгоджених з конкретними системами, процесами та потребами ОКІІ, що призначені для надання життєво важливих послуг та функції.
21. Профіль кіберзахисту використовують для опису поточного стану реалізованих заходів кіберзахисту на ОКІІ (поточний профіль кіберзахисту) або бажаного цільового стану реалізації конкретних заходів кіберзахисту (цільовий профіль кіберзахисту).
22. У поточному профілі кіберзахисту зазначаються заходи та результати ефективності впроваджених заходів кіберзахисту, реалізовані та досягнуті на ОКІІ на цей час.
Поточний профіль кіберзахисту розробляється з використанням класифікації заходів кіберзахисту. В поточному профілі кіберзахисту мають бути описані: функція кібербезпеки, категорії заходів кіберзахисту, заходи кіберзахисту та поточна практика захисту інформації оператора критичної інфраструктури.
Розробку поточного профілю кіберзахисту ОКІІ може здійснювати особа, відповідальна за впровадження заходів захисту інформації на ОКІ. Профіль кіберзахисту необхідно розробляти для кожного ОКІІ окремо.
Розробка поточного профілю кіберзахисту має на меті зіставлення цих Вимог з практикою захисту інформації, що впроваджена на ОКІ. В цьому випадку можна розглядати три типи операторів критичної інфраструктури.
23. Цільовий профіль кіберзахисту зазначає заходи та цільові показники забезпечення кібербезпеки, необхідні для досягнення бажаних цілей управління ризиками кібербезпеки. Профілі підтримують стратегічні цілі ОКІ та допомагають обмінюватися даними про ризики кібербезпеки всередині ОКІІ та між ОКІІ всередині паливно-енергетичного сектору критичної інфраструктури та ОКІ, що належать різним секторам критичної інфраструктури.
24. Окрім цільового профілю кіберзахисту, оператор критичної інфраструктури вибирає цільовий рівень впровадження заходів кіберзахисту, який застосовується до процесу управління ризиками в межах сфери своєї діяльності. Оператор критичної інфраструктури самостійно вибирає прийнятний для нього рівень та визначає заходи кіберзахисту та заходи щодо управління ризиками, необхідні для досягнення цієї мети.
Використовуючи стандарти, інструменти, методи щодо управління кібербезпекою, оператор критичної інфраструктури відображає бажані результати у цільовому профілі кіберзахисту та цільовому рівні впровадження заходів кіберзахисту.
25. Порівняння профілів кіберзахисту (поточного та цільового профілів) сприяє виявленню недоліків, що повинні бути усунуті для досягнення цілей управління ризиками кібербезпеки. Ці Вимоги визначають використання плану усунення недоліків як складової частини плану захисту інформації (плану кіберзахисту) ОКІІ. Пріоритетність заходів усунення недоліків базується на потребах ОКІ щодо надання основних послуг і процесах управління ризиками.
26. Розробку та впровадження профілю кіберзахисту необхідно проводити за такими етапами:
I етап – визначення пріоритетів та сфери застосування цих Вимог. Визначаються цілі та організаційні пріоритети щодо надання життєво важливих послуг та функцій. За допомогою отриманої інформації приймається рішення щодо реалізації заходів кіберзахисту та визначається обсяг інформаційних систем та активів, які підтримують надання життєво важливих послуг та функцій. Ці Вимоги можуть бути адаптовані для підтримки різних напрямів діяльності, процесів та систем (ІКС, комп’ютерних систем, автоматизованих систем управління технологічними процесами тощо), необхідних для надання життєво важливих послуг та функцій;
II етап – аналіз середовища для надання життєво важливих послуг та функцій. Визначаються відповідні системи та активи, що безпосередньо забезпечують надання життєво важливих послуг та функцій, аналізуються нормативні вимоги та загальний підхід до управління ризиками для цих систем. На цьому етапі необхідно провести консультації із суб’єктами забезпечення кібербезпеки та отримати інформацію щодо визначення загроз та вразливостей, що застосовуються саме для цих систем та активів і притаманні їм;
III етап – створення поточного профілю кіберзахисту. Розробляється поточний профіль кіберзахисту, вказуючи, які заходи кіберзахисту, що містяться в цих Вимогах, реалізовані на цей час. По суті розробка поточного профілю кіберзахисту є етапом самоаналізу, який дозволяє ОКІІ з’ясувати, які заходи захисту інформації впроваджено на ОКІІ та на якому рівні вони реалізовані;
IV етап – проведення оцінки ризику. Оцінка ризику кібербезпеки має базуватися на процесі оцінки ризику, який вже впроваджено на ОКІІ або на основі результатів попередньої оцінки ризиків (наприклад, отримані під час створення КСЗІ, СУІБ, системи інформаційної безпеки або проведення аудиту безпеки). Аналіз середовища експлуатації інформаційних систем та активів проводиться з метою визначення ймовірності настання кіберінцидентів, реалізації кібератак та оцінки наслідків, які можуть настати у результаті настання такої події. Важливо враховувати нові ризики, дані про загрози та вразливості, що сприяє надійному розумінню ймовірності та наслідків кіберінцидентів;
V етап – створення цільового профілю кіберзахисту. Розробляється цільовий профіль кіберзахисту, що базується на аналізі заходів кіберзахисту цих Вимог. Цільовий профіль кіберзахисту описує бажані результати. із забезпечення кібербезпеки ОКІІ. Оператор критичної інфраструктури може впроваджувати власні заходи кіберзахисту з метою врахування унікальних ризиків, що притаманні системам і процесам надання життєво важливих послуг та функцій. При створенні цільового профілю кіберзахисту мають бути розглянуті та враховані вплив та вимоги з кібербезпеки зовнішніх партнерів оператора критичної інфраструктури;
VI етап – визначення, аналіз та пріоритизація недоліків. Проводиться порівняння поточного профілю кіберзахисту із цільовим профілем кіберзахисту для визначення недоліків. Далі необхідно розробити План дій щодо усунення виявлених недоліків, який відображає завдання, результати аналізу витрат, вигоди, а також ризики досягнення результатів цільового профілю кіберзахисту. Далі ОКІІ може визначити необхідні ресурси (матеріальні, людські), потрібні для усунення недоліків;
VII етап – реалізація плану удосконалення заходів кіберзахисту. Визначається, які дії слід вживати для усунення виявлених недоліків. Під час реалізації плану постійно відстежуються відповідність поточної практики кіберзахисту цільовому профілю кіберзахисту. При цьому визначаються стандарти, нормативні документи, у тому числі ті, що стосуються паливно-енергетичного сектору критичної інфраструктури та впроваджуються для забезпечення кібербезпеки.
Визначені етапи повторюються з метою постійної оцінки стану кібербезпеки та вдосконалення практики кіберзахисту. Термін повторення етапів встановлюється оператором критичної інфраструктури, але не рідше одного разу в рік. Відстеження прогресу проводиться шляхом ітеративного оновлення поточного профілю кіберзахисту, а потім порівняння його із цільовим профілем кіберзахисту.
27. Ці Вимоги визначають однаковий спосіб здійснення інформування з кібербезпеки взаємозалежними партнерами оператора критичної інфраструктури, відповідальними за надання ОКІ основних послуг. Приклади передбачають ситуації, коли:
оператор критичної інфраструктури може використовувати цільовий профіль кіберзахисту, щоб висловити вимоги щодо управління ризиками кібербезпеки зовнішньому постачальнику послуг;
оператор критичної інфраструктури може визначити свій стан кібербезпеки через поточний профіль кіберзахисту для звітування про результати або для порівняння з вимогами щодо придбання товарів і послуг;
оператор критичної інфраструктури, визначивши зовнішнього партнера, від якого залежить критична інфраструктура, може використовувати цільовий профіль кіберзахисту для вираження необхідних категорій і підкатегорій заходів кіберзахисту;
оператор критичної інфраструктури може краще управляти ризиками кібербезпеки своїх партнерів, оцінюючи їхнє становище у критично важливій інфраструктурі та більш широкій цифровій економіці, використовуючи рівні впровадження.
Комунікація та обмін інформацією з кібербезпеки особливо важливі серед партнерів оператора критичної інфраструктури “зверху-вниз” по ланцюгах постачання товарів і послуг.
28. Ці Вимоги визначають загальну систему правил обміну інформацією щодо кіберінцидентів:
між операторами критичної інфраструктури;
при наданні звітів за результатами проведення аналізу даних щодо кіберінцидентів;
взаємодії з командами реагування на комп’ютерні надзвичайні події України, а також іншими підприємствами, установами та організаціями незалежно від форми власності, які провадять діяльність, пов’язану із забезпеченням кібербезпеки;
передачі інформації щодо кіберінцидентів від громадян стосовно ОКІ.
Оператори критичної інфраструктури при обміні та поширенні інформації щодо кіберінцидентів, підготовці звітів і публічних повідомлень щодо кіберінцидентів застосовують визначену цими Вимогами загальну систему правил обміну інформацією щодо кіберінцидентів.
29. Категорія кіберінциденту являє собою наступні складові елементи системи обміну інформацією щодо кіберінцидентів:
шкідливий (образливий) вміст: спам, образливий контент (небажаний контент, в тому числі расистський чи ксенофобний матеріал, погрози особі чи групі осіб), шкідливий контент (в тому числі дитяча порнографія, насильство, пропаганда);
шкідливий програмний код: вірус, хробак, троян, шпигунське ПЗ, діалер, руткіт, шкідливе ПЗ, управління ботами, програма-здирник, конфігурація шкідливого ПЗ, командно-контрольний центр;
збір інформації зловмисником: сканування, перехоплення і аналіз мережевого трафіку, соціальна інженерія;
спроби втручання: експлуатація відомих вразливостей (спроба компрометації чи пошкодження функціонування системи або сервісу шляхом експлуатації вразливостей, які мають стандартизований ідентифікатор, наприклад, CVE), спроби авторизації (підбір паролів, злам паролів), експлуатація раніше невідомих вразливостей;
втручання: компрометація привілейованого облікового запису, компрометація непривілейованого облікового запису, компрометація застосунку, бот, дефейс, компрометація системи, бекдор;
порушення доступності: атака на відмову в обслуговуванні, розподілена атака на відмову в обслуговуванні, саботаж, диверсія, збій без участі зловмисника;
порушення властивостей інформації: несанкціонований доступ до інформації, несанкціоноване внесення змін до інформації, сервер з публічними правами на запис (зловмисники використовують сервери з правами на запис для тимчасового збереження викраденої із скомпрометованих систем інформації, в тому числі даних кейлогерів, скомпрометованих облікових даних);
шахрайство: несанкціоноване використання ресурсів, порушення авторських прав, маскарадинг (використання копії ідентифікаторів суб’єкта або системи, в тому числі крадіжка особистості), фішинг;
відома вразливість: вразливості, відкриті для експлуатації;
інше: чорний список, недостатньо даних, інше (інциденти, які не відносяться до будь-якого вищезазначеної категорії).
30. У випадку, коли на початковій стадії реагування кіберінцидент може бути віднесений до декількох категорій, вибирається категорія із більшим рівнем загрози.
31. Ці Вимоги визначають спосіб маркування повідомлень щодо кіберінцидентів з метою обмеження кола осіб, сторін інформаційного обміну, які можуть мати доступ до повідомлення.
32. Спосіб маркування повідомлень щодо кіберінцидентів використовує чотири кольори для позначення того, яким чином повідомлення може в подальшому поширюватись оператором критичної інфраструктури, що отримує інформацію.
Оператор критичної інфраструктури, що поширює інформацію, визначає маркування для повідомлення щодо кіберінцидентів (далі – мітку) та відповідає за те, що одержувачі інформації розуміють та можуть слідувати правилам щодо спільного застосування маркування повідомлень щодо кіберінцидентів. У випадку, якщо одержувачу інформацію необхідно поширити інформацію більш широко, ніж передбачено маркуванням, він повинен отримати дозвіл від оператора критичної інфраструктури, який поширює інформацію.
33. Оператор критичної інфраструктури повинен маркувати повідомлення щодо кіберінцидентів мітками у таких значеннях:
TLP:RED (червоний) – не для поширення, тільки для кінцевого одержувача. Використовується у випадках, коли інформація не може поширюватись для третьої сторони, і її несанкціоноване поширення може вплинути на репутацію або функціонування оператора критичної інфраструктури. Застосовується виключно для обмеженого кола учасників інформаційного обміну та їх працівників, що визначається оператором критичної інфраструктури, що поширює інформацію;
TLP:AMBER (жовтий) – обмежене поширення, доступне тільки серед представників одержувача. Використовується, коли для підвищення ефективності обробки інформації необхідна стороння підтримка або допомога, і в той же час її несанкціоноване поширення створює репутаційні ризики або загрози для функціонування оператора критичної інфраструктури, якщо вона поширюється за межі залучених організацій. Застосовується для обмеженого кола учасників інформаційного обміну, одержувач може поширювати таку інформацію тільки серед представників своєї організації, а також передавати клієнтам або замовникам, яким необхідно знати цю інформацію, щоб захистити себе чи запобігти подальшій шкоді;
TLP:GREEN (зелений) – обмежене поширення, доступне тільки для операторів критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури. Використовується, коли інформація може підвищити обізнаність усіх учасників інформаційного обміну, а також представників інших організацій або секторів критичної інфраструктури. Застосовується виключно для поширення інформації з операторами критичної інфраструктури у паливно-енергетичному секторі критичної інфраструктури, але без поширення через засоби масової інформації, мережу Інтернет, соціальні мережі та не може поширюватись за межами паливно-енергетичного сектору;
TLP:WHITE (білий) – необмежене поширення. Використовується, коли інформація несе мінімальний або нульовий прогнозований ризик неправильного використання.
34. У електронних листах мітка вказується у темі повідомлення та в змісті листа безпосередньо перед інформацією, якою здійснюється обмін.
У паперових документах мітка вказується у верхньому і нижньому колонтитулах кожної друкованої сторінки з урахуванням кольору мітки.
Мітка позначається великими літерами: TLP:RED, TLP:AMBER, TLP:GREEN або TLP:WHITE, шрифтом 12pt або більше.
Кольори мітки у палітрі RGB:
TLP:RED : R=255, G=0, B=51;
TLP:AMBER : R=255, G=192, B=0;
TLP:GREEN : R=51, G=255, B=0;
TLP:WHITE : R=255, G=255, B=255.
35. Спосіб маркування повідомлень щодо кіберінцидентів, встановлений цими Вимогами, не призначений для позначення інформації, що становить державну, банківську таємницю та службову інформацію. Передавання такої інформації здійснюється відповідно до вимог законодавства.
Начальник управління
цифрового розвитку та кібербезпеки
Роман КРАВІДЗ