Please enable JavaScript.

Coggle requires JavaScript to display documents.

Постанова КМУ від 19 червня 2019 року № 518 «Про затвердження Загальних…

- - - - періодичне створення резервних копій інформаційних ресурсів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та критичних бізнес/операційних процесів об’єкта критичної інфраструктури, включаючи інформацію, яка зберігається на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури, технологічну інформацію компонентів об’єкта та образів серверів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, а також їх відновлення у випадку втрати або пошкодження;
      - резервування критичних для функціонування об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та бізнес/операційних процесів об’єкта критичної інфраструктури програмних та апаратних компонентів для забезпечення його сталого функціонування у випадку виходу з ладу одного з критичних компонентів. У разі використання на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури віртуальних серверів необхідно забезпечити їх резервування;
      - дублювання (кластеризація) критичних для функціонування об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та бізнес/операційних процесів об’єкта критичної інфраструктури програмних та апаратних компонентів об’єкта для забезпечення його сталого функціонування, зниження навантаження та збільшення продуктивності;
      - використання засобів балансування навантаження;
      - використання джерел безперебійного живлення для критичних компонентів об’єкта;
      - зв’язок з Інтернетом з використанням двох та більше каналів передачі даних, які надаються різними операторами мережі передачі даних (провайдерами), - для об’єкта критичної інфраструктури, які надають свої послуги через Інтернет.
  - - - охоплювати всі інформаційні ресурси об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури (інформацію, яка зберігається та обробляється на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури, технологічну інформацію програмного та апаратного забезпечення об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, журнали реєстрації подій тощо);
      - визначати права на виконання операцій для всіх користувачів та адміністраторів (за необхідності також активних процесів) над інформаційними ресурсами об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури (читання, модифікація, створення, видалення тощо);
      - за необхідності також визначати права доступу користувачів та адміністраторів до служб (функцій) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури.
  - - - мету та основні принципи забезпечення захисту інформаційних ресурсів, критичних
        бізнес/операційних процесів тощо на об’єкті критичної інфраструктури;
      - опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, які задіяні в цьому процесі;
      - вимоги до порядку визначення, надання, зміни та скасування прав доступу користувачів та адміністраторів до служб (функцій), інформації та компонентів об’єкта та порядок контролю (аудиту) використання прав доступу користувачами та адміністраторами. При цьому необхідно дотримуватися принципу надання необхідних та мінімально достатніх повноважень користувачам та адміністраторам відповідно до їх службових обов’язків;
      - політику фізичної безпеки та захисту об’єкта критичної інформаційної інфраструктури
        об’єкта критичної інфраструктури від навколишнього природного середовища;
      - вимоги до забезпечення інформаційної безпеки під час взаємодії з постачальниками;
      - політику управління обліковими записами в програмному та апаратному забезпеченні об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури. Політика повинна визначати порядок створення, блокування та зупинення облікових записів користувачів та адміністраторів в компонентах об’єкта;
      - вимоги до порядку формування, надання, скасування та контролю (аудиту) за використанням автентифікаційних атрибутів користувачів та адміністраторів, у тому числі зовнішніх носіїв автентифікаційних даних, для доступу до служб (функцій), інформації та компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури. Повинні бути визначені також вимоги до складності паролів, періодичності їх зміни, блокування роботи користувача за певної кількості спроб підбору пароля, порядок поводження із зовнішніми носіями автентифікаційних даних тощо;
      - політику забезпечення безперебійної роботи об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, зокрема порядок резервування даних та компонентів об’єкта, зберігання резервних копій даних, відновлення даних з резервних копій та заміни компонентів об’єкта у випадку виходу їх з ладу тощо;
      - порядок дій персоналу об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури у випадках відмов або збоїв об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури в цілому або окремих його компонентів;
      - порядок використання змінних (зовнішніх) пристроїв та носіїв інформації на об’єкті
        критичної інформаційної інфраструктури об’єкта критичної інфраструктури;
      - політику мережевого захисту, зокрема щодо сегментації мережі об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, захисту від вірусів, зловмисного коду, шкідливого програмного забезпечення, встановлення та налаштування засобів мережевого захисту тощо;
      - політику проведення модернізації (оновлення) компонентів об’єкта, внесення змін до складу та в налаштування компонентів об’єкта. Повинні бути визначені відповідальні особи, які мають право проводити ці робити, а також порядок дотримання політики безпеки, яка прийнята на об’єкті критичної інфраструктури, під час проведення таких робіт;
      - опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, які задіяні в цьому процесі;
      - політику управління оновленнями (порядок отримання, перевірки, розповсюдження та
        застосування оновлень програмного забезпечення компонентів об’єкта);
      - політику реєстрації та аудиту подій, що реєструються компонентами об’єкта. Політика повинна містити перелік подій, які реєструються кожним компонентом об’єкта, параметри ведення журналів (логів) реєстрації подій та їх архівування, порядок та періодичність аудиту журналів (логів) реєстрації подій адміністраторами об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури на предмет виявлення ознак кібератак або кіберінцидентів;
      - політику управління інцидентами кібербезпеки, яка повинна містити перелік подій, що кваліфікуються як кіберінциденти, описи дій користувачів та адміністраторів у разі їх виникнення, порядок інформування посадових осіб об’єкта критичної інфраструктури, урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA (у разі наявності - галузевої команди реагування на комп’ютерні надзвичайні події);
      - політику використання електронної пошти користувачами об’єкта критичної
        інформаційної інфраструктури об’єкта критичної інфраструктури;
      - політику проведення внутрішнього аудиту інформаційної безпеки об’єкта критичної
        інфраструктури
  - - - захист від атак “нульового дня” (вразливості програмного забезпечення, які ще невідомі користувачам чи розробникам програмного забезпечення та проти яких ще не розроблені механізми захисту), виявлення зловмисного коду та шкідливого програмного забезпечення;
      - фільтрація трафіку та розмежування доступу між мережею об’єкта критичної інфраструктури та зовнішніми мережами за критеріями дозволених та заборонених служб, протоколів, портів, мережевих адрес, мережевих з’єднань, небажаних веб-сайтів тощо. Блокування трафіку та з’єднань, які не відповідають визначеним критеріям;
      - моніторинг трафіку на наявність зловмисного коду, вірусів зловмисного програмного забезпечення та за іншими визначеними відповідно до політики інформаційної безпеки критеріями;
      - виявлення та запобігання атакам та вторгненням, спрямованим на програмні та апаратні компоненти та інформацію об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;
      - захист від атак типу “відмова в обслуговуванні”;
      - захист від несанкціонованого доступу через Інтернет;
      - балансування навантаження;
      - маскування структури і мережевих адрес мережі;
      - завершення з’єднання з вузлом у разі атаки;
      - здійснення реєстрації подій, що мають відношення до безпеки.
    - - зовнішня зона (DMZ-zone): зона із зовнішніми діапазонами адресації мережі для розміщення зовнішніх (публічних) інформаційних ресурсів та сервісів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;
      - зона прикладних застосувань об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури (APP-zone): захищена внутрішня зона із внутрішньою адресацією, призначена для розміщення серверів застосувань, доступна для виконання функціональних запитів користувачів інформаційних сервісів;
      - зона сховищ даних об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури (DB-zone): захищена внутрішня зона із внутрішньою адресацією, призначена для розміщення баз даних, для доступу за запитами прикладних застосувань зони (APP-zone);
      - зона прикладних застосувань системи безпеки (Security-zone): захищена внутрішня зона із внутрішньою адресацією, призначена для розміщення сервісів та служб захисту інформації;
      - тестова зона (Test-zone): захищена внутрішня зона із внутрішньою адресацією, призначена для тестування нових компонентів та/або оновлень програмного та апаратного забезпечення об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, перед тим як впровадити їх в промислову експлуатацію на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури.
  - - - доступ та дії з інформацією, яка зберігається та обробляється на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури, а також з налаштуваннями програмного та апаратного забезпечення об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, журналами реєстрації подій тощо (читання, модифікація, створення, видалення тощо);
      - реєстрація подій, пов’язаних із встановленням та зміною прав доступу до служб (функцій), інформації та компонентів об’єкта;
      - вхід/вихід користувачів та адміністраторів в/із компонентів об’єкта;
      - невдалі спроби входу користувачів та адміністраторів на об’єкт критичної інформаційної інфраструктури об’єкта критичної інфраструктури та перевищення граничної кількості спроб введення пароля;
      - реєстрація, видалення (блокування) облікових записів користувачів та адміністраторів
        у компонентах об’єкта;
      - зміна пароля користувача в компонентах об’єкта;
      - реєстрація подій, пов’язаних із зміною конфігураційних налаштувань компонентів
        об’єкта;
      - спроби здійснення несанкціонованого доступу до ресурсів об’єкта критичної
        інформаційної інфраструктури об’єкта критичної інфраструктури;
      - негативні результати перевірок цілісності даних та програмного і апаратного забезпечення об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;
      - всі дії адміністратора з журналами реєстрації подій компонентів об’єкта та
        налаштування ним параметрів реєстрації.
      - Повний перелік подій, які реєструються компонентами об’єкта, визначається виходячи
        із встановленої на об’єкті критичної інфраструктури політики інформаційної безпеки.