Правительство утвердило общие требования к киберзащите
Постановлением Кабинета Министров Украины № 518 утвержден Общие требования к киберзащите объектов критической инфраструктуры. Решение принято во исполнение требований Закона Украины «Об основных принципах обеспечения кибербезопасности Украины».
Киберзащита объекта критической инфраструктуры является составной частью работ по созданию (модернизации) и эксплуатации объекта критической информационной инфраструктуры объекта критической инфраструктуры. Мероприятия по киберзащите предусматриваются и внедряются на всех стадиях жизненного цикла объекта критической информационной инфраструктуры объекта критической инфраструктуры.
Киберзащита объекта критической инфраструктуры обеспечивается владельцем и/или руководителем объекта критической инфраструктуры в соответствии с настоящими Общими требованиями и законодательства в сфере защиты информации и кибербезопасности.
В случае, если на объекте критической информационной инфраструктуры объекта критической инфраструктуры обрабатываются государственные информационные ресурсы или информация с ограниченным доступом, требование относительно защиты которой установлено законом, положения настоящих Общих требованиях должны быть учтены при создании (модернизации) на объекте критической информационной инфраструктуры объекта критической инфраструктуры комплексной системы защиты информации, а их соответствие проверяется во время ее государственной экспертизы в сфере технической защиты информации.
Создание комплексной системы защиты информации объекта критической информационной инфраструктуры объекта критической инфраструктуры и ее государственная экспертиза осуществляется в соответствии с требованиями законодательства в сфере защиты информации и государственной тайны.
Владелец и/или руководитель объекта критической инфраструктуры организует безотлагательное информирование правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA (при наличии - отраслевой команды реагирования на компьютерные чрезвычайные события), а также функционального подразделения контрразведывательной защиты интересов государства в сфере информационной безопасности Центрального управления СБУ (Ситуационный центр обеспечения кибербезопасности СБУ) или соответствующего подразделения регионального органа СБУ о киберинциденты и кибератаки, как касающимися объекта критической информационной инфраструктуры объекта критической инфраструктуры.
Государственные органы получают доступ к Интернету через систему защищенного доступа государственных органов к Интернету Государственного центра киберзащиты, через операторов, провайдеров телекоммуникаций, имеющих защищены узлы доступа к глобальным сетям передачи данных с созданными комплексными системами защиты информации с подтвержденной соответствием, или через собственные системы защищенного доступа к Интернету с созданными комплексными системами защиты информации с подтвержденной соответствием. Это требование не распространяется на информационно-телекоммуникационные системы зарубежных дипломатических учреждений Украины.
Государственные органы в целях осуществления защищенного информационного обмена, хранения резервных копий информационных ресурсов, подключение к системе защищенного доступа государственных органов к Интернету Государственного центра киберзащиты используют ресурсы Национальной телекоммуникационной сети.
Организационные и технические мероприятия по защите от киберугроз, которые внедряются на объекте критической информационной инфраструктуры объекта критической инфраструктуры, должны обеспечивать:
- формирование на объекте критической инфраструктуры общей политики информационной безопасности;
- управления доступом пользователей и администраторов к объектам защиты объекта критической информационной инфраструктуры объекта критической инфраструктуры;
- идентификацию и аутентификацию пользователей и администраторов объекта критической информационной инфраструктуры объекта критической инфраструктуры;
- регистрацию событий компонентами объекта критической информационной инфраструктуры объекта критической инфраструктуры и их периодический аудит и тому подобное.
Министерства и другие центральные органы исполнительной власти могут разрабатывать конкретизированы требования по киберзащиты с учетом секторальной (отраслевой) специфики функционирования объектов критической инфраструктуры, которые относятся к сфере их управления. Такие требования по киберзащиты соглашаются с Администрацией Госспецсвязи.
СБУ имеет право подавать министерствам и другим центральным органам исполнительной власти обязательные для рассмотрения предложения по таким требованиям с киберзащиты.
Также утвержден Перечень базовых требований по обеспечению киберзащиты объектов критической инфраструктуры.
ukrainepravo.com
Комментарии к материалу