Please enable JavaScript.

Coggle requires JavaScript to display documents.

Про затвердження Загальних вимог до кіберзахисту об’єктів критичної…

- - - - мету та основні принципи забезпечення захисту інформаційних ресурсів, критичних бізнес/операційних процесів тощо на об’єкті критичної інфраструктури;
      - опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів об’єктів, які задіяні в цьому процесі;
      - вимоги до порядку визначення, надання, зміни та скасування прав доступу користувачів та адміністраторів до служб (функцій), інформації та компонентів об’єкта та порядок контролю (аудиту) використання прав доступу користувачами та адміністраторами;
      - політику фізичної безпеки та захисту об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури від навколишнього природного середовища;
      - вимоги до забезпечення інформаційної безпеки під час взаємодії з постачальниками;
      - політику управління обліковими записами в програмному та апаратному забезпеченні об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури
      - вимоги до порядку формування, надання, скасування та контролю за використанням автентифікаційних атрибутів користувачів та адміністраторів, у тому числі зовнішніх носіїв автентифікаційних даних, для доступу до служб, інформації та компонентів об’єкта критичної інформаційної інфраструктури;
      - вимоги до складності паролів, періодичності їх зміни, блокування роботи користувача за певної кількості спроб підбору пароля, порядок поводження із зовнішніми носіями автентифікаційних даних тощо;
      - політику забезпечення безперебійної роботи об’єкта критичної інформаційної інфраструктури, зокрема порядок резервування даних та компонентів об’єкта, зберігання резервних копій даних, відновлення даних з резервних копій та заміни компонентів об’єкта у випадку виходу їх з ладу тощо;
      - порядок дій персоналу об’єкта критичної інформаційної інфраструктури у випадках відмов або збоїв об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури в цілому або окремих його компонентів;
      - порядок використання змінних (зовнішніх) пристроїв та носіїв інформації на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури;
      - політику мережевого захисту, зокрема щодо сегментації мережі об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, захисту від вірусів, зловмисного коду, шкідливого програмного забезпечення, встановлення та налаштування засобів мережевого захисту тощо;
      - політику проведення модернізації компонентів об’єкта, внесення змін до складу та в налаштування компонентів об’єкта;
      - опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, які задіяні в цьому процесі;
      - політику управління оновленнями (порядок отримання, перевірки, розповсюдження та застосування оновлень програмного забезпечення компонентів об’єкта);
      - політику реєстрації та аудиту подій, що реєструються компонентами об’єкта;
      - політику управління інцидентами кібербезпеки, яка повинна містити перелік подій, що кваліфікуються як кіберінциденти, описи дій користувачів та адміністраторів у разі їх виникнення, порядок інформування посадових осіб об’єкта критичної інфраструктури, урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA;
      - політику використання електронної пошти користувачами об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;
      - політику проведення внутрішнього аудиту інформаційної безпеки об’єкта критичної інфраструктури.
  - - - Якщо за результатами обстеження об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури виявлено, що на об’єкті критичної інформаційної інфраструктури змінено технологію обробки інформації, впроваджено нові програмні або апаратні компоненти, змінено перелік критичних інформаційних ресурсів та компонентів об’єкта, які підлягають захисту, тощо, здійснюється перегляд переліку загроз об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, ризиків інформаційної безпеки та рівня прийнятного ризику.
      - У випадку виявлення нових загроз та/або ризиків здійснюється оновлення технічного завдання на створення комплексної системи захисту інформації (системи інформаційної безпеки) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, іншої документації та впровадження оновлених вимог на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури.
    - - Мінімальний перелік документації об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури визначається в технічному завданні на створення комплексної системи захисту інформації (системи інформаційної безпеки) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури.
      - Програмні та апаратні компоненти об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинні бути налаштовані відповідно до затвердженої політики інформаційної безпеки та технічної, проектної та іншої документації на комплексну систему захисту інформації (систему інформаційної безпеки) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури.
      - В інтересах національної безпеки інформація щодо програмно-апаратного складу об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури інформація, яка розкриває параметри та особливості функціонування компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, є інформацією з обмеженим доступом.