Please enable JavaScript.

Coggle requires JavaScript to display documents.

Постанова КМУ від 19 червня 2019 року № 518 «Про затвердження Загальних…

- - - - Створення комплексної системи захисту інформації об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та її державна експертиза здійснюються відповідно до вимог законодавства в сфері захисту інформації та охорони державної таємниці.
    - - Створення системи інформаційної безпеки об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури здійснюється відповідно до вимог технічного завдання на створення системи інформаційної безпеки.
        
        Технічне завдання формується за результатами оцінки ризиків, які зазначаються в звіті за результатами оцінки ризиків на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури. Методичною основою для оцінки ризиків на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури є стандарт ДСТУ ISO/IEC 27005
  - - - періодичне створення резервних копій інформаційних ресурсів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та критичних бізнес/операційних процесів об’єкта критичної інфраструктури, включаючи інформацію, яка зберігається на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури, технологічну інформацію компонентів об’єкта та образів серверів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, а також їх відновлення у випадку втрати або пошкодження
      - резервування критичних для функціонування об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та операційних процесів об’єкта критичної інфраструктури програмних та апаратних компонентів для забезпечення його сталого функціонування у випадку виходу з ладу одного з критичних компонентів. У разі використання на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури віртуальних серверів необхідно забезпечити їх резервування
      - дублювання критичних для функціонування об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та операційних процесів об’єкта критичної інфраструктури програмних та апаратних компонентів об’єкта для забезпечення його сталого функціонування, зниження навантаження та збільшення продуктивності
      - використання засобів балансування навантаження
      - використання джерел безперебійного живлення для критичних компонентів об’єкта
      - зв’язок з Інтернетом з використанням двох та більше каналів передачі даних, які надаються різними операторами мережі передачі даних (провайдерами), - для об’єкта критичної інфраструктури, які надають свої послуги через Інтернет
  - - - Компоненти та інформація систем управління технологічними процесами об’єкта критичної інфраструктури повинні бути розміщені тільки у власному центрі обробки даних
- - - - політику фізичної безпеки та захисту об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури від навколишнього природного середовища
      - вимоги до порядку визначення, надання, зміни та скасування прав доступу користувачів та адміністраторів до служб (функцій), інформації та компонентів об’єкта та порядок контролю (аудиту) використання прав доступу користувачами та адміністраторами. При цьому необхідно дотримуватися принципу надання необхідних та мінімально достатніх повноважень користувачам та адміністраторам відповідно до їх службових обов’язків
      - політику управління обліковими записами в програмному та апаратному забезпеченні об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури. Політика повинна визначати порядок створення, блокування та зупинення облікових записів користувачів та адміністраторів в компонентах об’єкта
      - мету та основні принципи забезпечення захисту інформаційних ресурсів, критичних бізнес/операційних процесів тощо на об’єкті критичної інфраструктури
      - опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, які задіяні в цьому процесі
      - вимоги до забезпечення інформаційної безпеки під час взаємодії з постачальниками
      - вимоги до порядку формування, надання, скасування та контролю (аудиту) за використанням автентифікаційних атрибутів користувачів та адміністраторів, у тому числі зовнішніх носіїв автентифікаційних даних, для доступу до служб (функцій), інформації та компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури. Повинні бути визначені також вимоги до складності паролів, періодичності їх зміни, блокування роботи користувача за певної кількості спроб підбору пароля, порядок поводження із зовнішніми носіями автентифікаційних даних тощо
      - політику забезпечення безперебійної роботи об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, зокрема порядок резервування даних та компонентів об’єкта, зберігання резервних копій даних, відновлення даних з резервних копій та заміни компонентів об’єкта у випадку виходу їх з ладу тощо
      - порядок дій персоналу об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури у випадках відмов або збоїв об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури в цілому або окремих його компонентів
      - порядок використання змінних (зовнішніх) пристроїв та носіїв інформації на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури
      - політику мережевого захисту, зокрема щодо сегментації мережі об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, захисту від вірусів, зловмисного коду, шкідливого програмного забезпечення, встановлення та налаштування засобів мережевого захисту тощо
      - політику проведення модернізації (оновлення) компонентів об’єкта, внесення змін до складу та в налаштування компонентів об’єкта. Повинні бути визначені відповідальні особи, які мають право проводити ці робити, а також порядок дотримання політики безпеки, яка прийнята на об’єкті критичної інфраструктури, під час проведення таких робіт
      - опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, які задіяні в цьому процесі
      - політику управління оновленнями (порядок отримання, перевірки, розповсюдження та застосування оновлень програмного забезпечення компонентів об’єкта)
      - політику реєстрації та аудиту подій, що реєструються компонентами об’єкта. Політика повинна містити перелік подій, які реєструються кожним компонентом об’єкта, параметри ведення журналів (логів) реєстрації подій та їх архівування, порядок та періодичність аудиту журналів (логів) реєстрації подій адміністраторами об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури на предмет виявлення ознак кібератак або кіберінцидентів
      - політику управління інцидентами кібербезпеки, яка повинна містити перелік подій, що кваліфікуються як кіберінциденти, описи дій користувачів та адміністраторів у разі їх виникнення, порядок інформування посадових осіб об’єкта критичної інфраструктури, урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA
      - політику використання електронної пошти користувачами об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури
      - політику проведення внутрішнього аудиту інформаційної безпеки об’єкта критичної інфраструктури
- - - - зона із зовнішніми діапазонами адресації мережі для розміщення зовнішніх (публічних) інформаційних ресурсів та сервісів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури
      - зона прикладних застосувань об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури
        
        захищена внутрішня зона із внутрішньою адресацією, призначена для розміщення серверів застосувань, доступна для виконання функціональних запитів користувачів інформаційних сервісів
        
        зона сховищ даних об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури
        
        захищена внутрішня зона із внутрішньою адресацією, призначена для розміщення баз даних, доступу за запитами прикладних застосувань зони (APP-zone)
        
        зона прикладних застосувань системи безпеки
        
        захищена внутрішня зона із внутрішньою адресацією, призначена для розміщення сервісів та служб захисту інформації
        
        тестова зона
        
        захищена внутрішня зона із внутрішньою адресацією, призначена для тестування нових компонентів та/або оновлень програмного та апаратного забезпечення об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, перед тим як впровадити їх в промислову експлуатацію на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури
- - - - Повинно бути унеможливлено використання змінних (зовнішніх) пристроїв та носіїв інформації, які не зареєстровані на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури