Про затвердження Порядку проведення огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом
Відповідно до пункту 4 частини третьої статті 27 Закону України “Про національну безпеку України” Кабінет Міністрів України постановляє:
Затвердити Порядок проведення огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, що додається.
ПОРЯДОК
проведення огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом
1. Цей Порядок визначає організаційні засади проведення огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом (далі - огляд).
Цей Порядок не поширюється на проведення огляду стану кіберзахисту стосовно інформаційної інфраструктури, призначеної для оброблення інформації, що становить державну таємницю.
2. У цьому Порядку терміни вживаються у такому значенні:
1) життєво важливі послуги та функції (далі - основні послуги) - послуги та функції, які надаються та виконуються органами державної влади, підприємствами, установами та організаціями незалежно від форми власності, збої та переривання у наданні та виконанні яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони;
2) кіберстійкість критичної інформаційної інфраструктури - стан критичної інформаційної інфраструктури, за якого забезпечується її спроможність надійно функціонувати та надавати основні послуги в умовах кіберзагроз;
3) оцінювання стану кіберзахисту - процес вивчення результатів застосування засобів і заходів з кіберзахисту для визначення стану захищеності об’єктів огляду та ефективності вжитих заходів;
4) суб’єкт критичної інформаційної інфраструктури - орган державної влади, підприємство, установа або організація, юридична та/або фізична особа, яким на правах власності, оренди або на інших законних підставах належить об’єкт критичної інформаційної інфраструктури, що використовується для надання основних послуг за призначенням у відповідних секторах (підсекторах) економіки або сферах діяльності;
5) уповноважений орган державної влади, відповідальний за сектор (підсектор) економіки або сферу діяльності (далі - уповноважений орган), - центральний орган виконавчої влади, інший державний орган, який забезпечує формування та/або реалізацію державної політики в одній чи кількох сферах.
Інші терміни вживаються у значенні, наведеному у Законах України “Про основні засади забезпечення кібербезпеки України”, “Про національну безпеку України”, “Про Державну службу спеціального зв’язку та захисту інформації України”.
3. Об’єктами огляду є об’єкти критичної інформаційної інфраструктури, державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом.
Суб’єктами огляду є уповноважені органи, команди реагування на комп’ютерні надзвичайні події (інциденти комп’ютерної безпеки), визначені уповноваженими органами підрозділи кіберзахисту та кібербезпеки.
4. Огляд проводиться з метою оцінювання стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, і готовності підрозділів суб’єктів огляду, до повноважень яких належить забезпечення кіберзахисту об’єктів критичної інформаційної інфраструктури, захист державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, до ефективного і оперативного реагування на кіберзагрози, попередження, виявлення та захисту від кібератак і кіберінцидентів, ліквідації їх наслідків, відновлення функціонування об’єктів критичної інформаційної інфраструктури.
5. За результатами огляду визначаються напрями вдосконалення і розвитку національної системи кібербезпеки в частині кіберзахисту з урахуванням реальних і потенційних загроз у кіберпросторі та фінансово-економічних можливостей держави.
проведення аналізу кіберстійкості критичної інформаційної інфраструктури, стану кіберзахисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом;
формування пропозицій щодо вдосконалення законодавства у сфері кібербезпеки та кіберзахисту та визначення напрямів розвитку національної системи кібербезпеки в частині кіберзахисту;
формування пропозицій щодо вдосконалення суб’єктами критичної інформаційної інфраструктури та уповноваженими органами заходів з кіберзахисту;
планування заходів щодо забезпечення кіберстійкості критичної інформаційної інфраструктури.
7. Проведення огляду ґрунтується на таких принципах:
централізоване управління процесом проведення огляду;
об’єктивність, що передбачає проведення огляду на основі вихідних даних, які відображають реальний стан справ у сфері кіберзахисту;
системність здійснення заходів з проведення огляду та колегіальність під час прийняття рішень щодо його результатів.
8. Огляд проводиться на підставі результатів:
аналізу стану дотримання вимог законодавства у сфері кіберзахисту об’єктів огляду;
внутрішнього аудиту та державного контролю у сферах криптографічного та технічного захисту інформації, захисту у кіберпросторі державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, кіберзахисту об’єктів огляду;
аудиту інформаційної безпеки об’єктів критичної інформаційної інфраструктури;
аналізу інформації щодо стану кіберзахисту об’єктів огляду, отриманої за результатами опитувань суб’єктів критичної інформаційної інфраструктури.
9. Загальне керівництво оглядом здійснює Адміністрація Держспецзв’язку.
10. Для здійсненя заходів з проведення огляду утворюється міжвідомча робоча група з питань проведення огляду (далі - робоча група).
До складу робочої групи входять визначені уповноваженими органами представники з числа керівників та/або співробітників підрозділів кіберзахисту та кібербезпеки, команд реагування на комп’ютерні надзвичайні події (інциденти комп’ютерної безпеки).
11. Адміністрація Держспецзв’язку затверджує положення про робочу групу та її посадовий склад.
Забезпечення діяльності робочої групи та міжвідомчу координацію заходів з проведення огляду здійснює Адміністрація Держспецзв’язку.
12. Уповноважені органи для здійснення заходів з проведення огляду забезпечують підготовку матеріалів щодо стану кіберзахисту на об’єктах огляду, які належать до сфери їх управління, відповідно до встановленої Адміністрацією Держспецзв’язку форми.
13. Огляд проводиться за такими етапами:
14. Робоча група під час організаційно-підготовчого етапу огляду:
1) розглядає та затверджує план заходів з проведення огляду;
2) організовує проведення нарад, консультацій тощо;
3) вивчає та аналізує нормативно-правову базу у сфері кіберзахисту та захисту інформації;
4) доводить план заходів з проведення огляду до уповноважених органів.
Організаційно-підготовчий етап огляду розпочинається після введення в дію рішення Ради національної безпеки і оборони України щодо проведення огляду.
15. Під час основного (виконавчого) етапу огляду робоча група:
1) організовує проведення оцінювання стану кіберзахисту об’єктів огляду, ризиків та загроз у кіберпросторі, що передбачає, зокрема, вивчення результатів державного контролю та внутрішнього аудиту стану криптографічного та технічного захисту інформації, результатів аудиту інформаційної безпеки, індикаторів (показників) стану кіберзахисту та їх складових частин;
2) розглядає глобальні та національні аспекти, що впливають (можуть впливати) на стан кіберзахисту, поточну обстановку, реальні та потенційні виклики та загрози у сфері кібербезпеки;
3) аналізує національні та міжнародні стандарти у сфері захисту інформації та інформаційної безпеки, вивчає досвід провідних держав світу щодо досягнення кіберстійкості національної критичної інформаційної інфраструктури;
4) розглядає організаційні аспекти функціонування національної системи кіберзахисту, а також сучасні технології захисту інформації та забезпечення кіберзахисту;
5) проводить аналіз наукової та науково-технічної діяльності у сфері кіберзахисту та захисту інформації;
6) організовує збір відомостей щодо стану кіберзахисту об’єктів огляду у відповідних секторах (підсекторах) згідно з критеріями формування індикаторів (показників) стану кіберзахисту;
7) готує пропозиції щодо шляхів та напрямів вдосконалення законодавства у сфері кіберзахисту та захисту інформації;
8) розробляє пропозиції щодо вдосконалення організаційних заходів у сфері кіберзахисту, щодо впровадження сучасних технологій захисту інформації;
9) готує пропозиції щодо коригування індикаторів (показників) стану кіберзахисту та індикаторів кіберзагроз;
10) проводить оцінювання стану кіберзахисту об’єктів огляду, формує пропозиції щодо напрямів розвитку національної системи кібербезпеки в частині кіберзахисту;
11) готує пропозиції щодо шляхів і напрямів вдосконалення системи підготовки кадрів та науково-технічної підтримки розвитку національної системи кібербезпеки;
12) розробляє пропозиції щодо міжнародного співробітництва з питань кіберзахисту;
13) готує пропозиції щодо коригування стратегічних документів у сфері кібербезпеки та кіберзахисту, формування національних індексів розвитку сфери кіберзахисту та ключових показників досягнення стратегічних цілей у сфері кіберзахисту;
14) готує пропозиції стосовно вжиття заходів, спрямованих на досягнення кіберстійкості критичної інформаційної інфраструктури;
15) проводить аналіз готовності об’єктів огляду щодо здійснення заходів з активного кіберзахисту (кібероборони);
16) здійснює підготовку та подання погоджених з Міноборони та Генеральним штабом Збройних Сил відповідно до компетенції пропозицій стосовно забезпечення кіберзахисту критичної інформаційної інфраструктури в разі введення надзвичайного або воєнного стану.
16. Заключний (підсумковий) етап огляду включає узагальнення робочою групою матеріалів та результатів виконання плану заходів з проведення огляду та складення проекту звіту. Підготовлений проект звіту про результати проведення огляду надсилається Адміністрацією Держспецзв’язку протягом місяця з дня завершення огляду до Кабінету Міністрів України для розгляду та попереднього схвалення.
Після схвалення Кабінетом Міністрів України звіту про результати проведення огляду Адміністрація Держспецзв’язку надсилає його до Апарату Ради національної безпеки і оборони України для внесення на розгляд і затвердження Радою національної безпеки і оборони України.
17. Під час заключного (підсумкового) етапу огляду робоча група забезпечує:
відпрацювання інформаційно-аналітичних матеріалів, що узагальнюють результати огляду та використовуються під час прийняття державних рішень щодо забезпечення кіберзахисту об’єктів огляду;
формування переліку проектів нормативно-правових актів, необхідних для вдосконалення законодавства у сфері кіберзахисту та захисту інформації;
визначення переліку ризиків за результатами проведення огляду;
формування пропозицій до стратегічних документів;
формування пропозицій щодо вдосконалення суб’єктами критичної інформаційної інфраструктури заходів з кіберзахисту.
18. Фінансове забезпечення проведення огляду здійснюється за рахунок коштів державного бюджету відповідно до бюджетних асигнувань, передбачених для утримання уповноважених органів.
19. Інформаційне забезпечення проведення огляду здійснюється шляхом обміну необхідною інформацією.
Робоча група здійснює обмін інформацією з вітчизняними та іноземними експертами стосовно стану та результатів проведення огляду відповідно до законодавства.
20. Допуск осіб, які беруть участь у проведенні огляду, до інформації з обмеженим доступом здійснюється у встановленому законодавством порядку.
21. Надання іноземними експертами консультативно-дорадчої допомоги з питань проведення огляду здійснюється в порядку, визначеному законодавством.
22. Суб’єкти огляду отримують попередні і заключні результати огляду та застосовують їх у подальшому в своїй діяльності відповідно до повноважень.
23. Суб’єкти критичної інформаційної інфраструктури отримують від Адміністрації Держспецзв’язку пропозиції щодо вдосконалення заходів з кіберзахисту, сформовані за результатами огляду.