Проект Постанови КМУ «Про затвердження ...Œni...Проект...
Transcript of Проект Постанови КМУ «Про затвердження ...Œni...Проект...
![Page 1: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/1.jpg)
Постанова КМУ №518 «Про затвердження Загальних вимог з кіберзахисту
об’єктів критичної інфраструктури» від 19 червня 2019 р.
Проблеми впровадження
Бакалинський О.О.
Заступник директора Департаменту формування та реалізації державної політики в сфері кіберзахисту Адміністрації Держспецзв'язку
![Page 2: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/2.jpg)
Вступ Ці Вимоги є обов’язковими до виконання підприємствами, установами та організаціями, які згідно до законодавства віднесені до об’єктів критичної інфраструктури.
Критично важливі об’єкти інфраструктури (далі - об’єкти критичної інфраструктури) - підприємства, установи та організації незалежно від форми власності, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки та промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей.
(Закон України «Про основні засади забезпечення кібербезпеки України» від 5 жовтня 2017 року № 2163-VIII)
![Page 3: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/3.jpg)
Терміни, які вживаються у Постанові
Кіберзахист - сукупність організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем. (Закон України «Про основні засади забезпечення кібербезпеки України» від 5 жовтня 2017 року № 2163-VIII)
Інші терміни вживаються у значенні, наведеному в Законах України «Про основні засади забезпечення кібербезпеки України», «Про захист інформації в інформаційно-телекомунікаційних системах», Правилах забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених постановою Кабінету Міністрів України від 29.03.2006 № 373, НД ТЗІ 1.1-003-99, ДСТУ ISO/IEC 27000:2015.
![Page 4: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/4.jpg)
Вперше введено визначення
СИСТЕМА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - сукупність організаційних та технічних заходів, а також засобів і методів захисту інформації, які впроваджуються на ОКІІ ОКІ з метою запобігання кіберінцидентам, виявлення та захисту від кібератак, порушення конфіденційності, цілісності та доступності інформаційних ресурсів, що обробляються (передаються, зберігаються) на ОКІІ ОКІ, запобігання порушенню режиму функціонування та/або недоступності служб (функцій) ОКІІ ОКІ, порушенню функціонування компонентів ОКІІ ОКІ; забезпечення спостережності за діями користувачів ОКІІ ОКІ та функціонуванням засобів захисту ОКІІ ОКІ.
![Page 5: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/5.jpg)
Життєвий цикл кіберзахисту ОКІ
Кіберзахист ОКІ є складовою частиною робіт із створення (модернізації) та експлуатації ОКІІ ОКІ. Заходи з кіберзахисту передбачаються та впроваджуються на всіх стадіях життєвого циклу ОКІІ ОКІ.
Кіберзахист ОКІ забезпечується власником та/або керівником ОКІ відповідно до цих Загальних вимог та законодавства в сфері захисту інформації та кібербезпеки.
![Page 6: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/6.jpg)
В ОКІІ обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом
• Створюється (модернізується) КСЗІ + застосуються Загальні вимоги.
• Перевірка відповідності - державна експертиза в сфері ТЗІ.
+ • Будується відповідно до вимог законодавства в сфері захисту інформації.
• ТЗ КСЗІ ОКІІ - погоджується з Адміністрацією Держспецзв’язку України.
• Засоби захисту інформації - підтверджена відповідність, якщо ні - оцінювання проводиться під час її державної експертизи КСЗІ ОКІІ в сфері ТЗІ.
![Page 7: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/7.jpg)
В ОКІІ не обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом
+ • Створення СІБ ОКІІ здійснюється відповідно до вимог ТЗ.
• ТЗ формується за результатами оцінки загроз інформації та ризиків, які викладаються в Звіті. Методична основа - стандарт ДСТУ ISO/IEC 27005.
• ТЗ СІБ - погоджується з Адміністрацією Держспецзв’язку України.
• Незалежний аудит ІБ на ОКІ організовує власник та/або керівник ОКІ, порядок аудиту визначає КМУ.
• Створюється (модернізується) система інформаційної безпеки ОКІ.
• Відповідність перевіряється під час незалежного аудиту інформаційної безпеки ОКІІ.
![Page 8: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/8.jpg)
Інформування та взаємозв'язок Власник та/або керівник ОКІ організовує невідкладне інформування урядової команди
реагування на комп’ютерні надзвичайні події України CERT-UA (у разі наявності - галузевої команди реагування на комп’ютерні надзвичайні події), а також функціонального підрозділу контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Центрального управління СБУ (Ситуаційний центр забезпечення кібербезпеки СБУ) або відповідного підрозділу регіонального органу СБУ про кіберінциденти та кібератаки, які стосуються його ОКІІ ОКІ.
![Page 9: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/9.jpg)
Об’єкти критичної інформаційної інфраструктури ОКІ
CERT (SCIRT) галузеві
Загальні вимоги та можливості Центру реагування на кіберзагрози Держспецзв’язку, взаємозв'язок
CRC Збір
Аналіз
Дослід ження
EDR Сенсори
CERT-UA
Банк даних, база інформаційної взаємодії
Ситуаційні центри кібербезпеки
Основний та резервний захищений дата-центр збереження інформації і відомостей
державних інформаційних ресурсів
Галузевий дата-центр збереження інформації
3. НТМ
Відкриті потоки даних
Internet
ЗВІД провайдера з підтвердженою
відповідністю
ЗВІД Держспецзв'язку
![Page 10: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/10.jpg)
Організаційні та технічні заходи з кіберзахисту, які впроваджуються в ОКІІ, повинні забезпечувати:
• визначення в ОКІ загальної політики інформаційної безпеки;
• визначення суб’єктів доступу до об’єктів захисту ОКІІ;
• ідентифікацію та автентифікацію суб’єктів доступу та об’єктів захисту ОКІІ;
• реєстрацію подій компонентами ОКІІ та їх періодичний аудит;
![Page 11: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/11.jpg)
Організаційні та технічні заходи з кіберзахисту, які впроваджуються в ОКІІ, повинні забезпечувати: • мережевий захист компонентів та інформаційних ресурсів ОКІІ;
• забезпечення доступності та відмовостійкості компонентів та ОКІІ;
• визначення умов використання змінних носіїв в ОКІІ;
• визначення умов використання програмного та апаратного забезпечення ОКІІ;
• визначення умов розміщення компонентів ОКІІ.
![Page 12: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/12.jpg)
ПЕРЕЛІК базових вимог із забезпечення кіберзахисту об’єктів
критичної інфраструктури
• Мінімальний склад заходів із забезпечення кіберзахисту ОКІ наведений у Додатку до цих Вимог.
• Може бути доповнений з урахуванням: технології обробки інформації в ОКІІ,
особливостей функціонування та програмно-апаратного складу Системи,
складу інформаційних ресурсів та компонентів ОКІІ, які підлягають захисту, тощо.
![Page 13: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/13.jpg)
Додаткові заходи
загроза інформації
захід
R
НД ТЗІ
НД ТЗІ
НД ТЗІ захід
захід захід
захід
Група заходів
![Page 14: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/14.jpg)
Виключення
Якщо
відсутня можливість реалізації окремих заходів з кіберзахисту
і/або неможливо застосувати Вимоги до окремих об’єктів захисту чи суб’єктів доступу, в тому числі
внаслідок їх можливого негативного впливу на функціонування ОКІІ
або неможливо реалізувати Вимоги в ОКІІ через особливості
функціонування або складу компонентів ОКІІ
необхідно розробити та впровадити
компенсуючі заходи
що забезпечують блокування
(нейтралізацію) загроз інформації в ОКІІ
обґрунтовано виключити
окремі заходи з мінімального складу заходів
із забезпечення кіберзахисту
ОКІ
Обґрунтування, документальне
підтвердження рішення
Підпис
або
![Page 15: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/15.jpg)
Конкретизовані вимоги з кіберзахисту ОКІ
• ЦОВВ можуть розробляти конкретизовані вимоги з кіберзахисту ОКІ підприємств, установ та організацій, які відносяться до сфери їх регулювання.
• Конкретизовані вимоги повинні враховувати специфіку функціонування ОКІІ.
• Конкретизовані вимоги повинні бути погоджені з Адміністрацією Держспецзв’язку.
![Page 16: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/16.jpg)
Проблемні питання
Порядок визначення
ОКІ? Реєстр ОКІ?
Взаємодія в рамках ДПП?
Юридична відповідальні
сть за не виконання Загальних
вимог?
Відсутність системи
незалежного аудиту
Відсутність страхових
продуктів із страхування
ризиків ІБ Мотивація власників
ОКІ? Розвиток системи
CERT, CSIRT
![Page 17: Проект Постанови КМУ «Про затвердження ...Œni...Проект Постанови КМУ «Про затвердження Загальних вимог](https://reader030.fdocuments.net/reader030/viewer/2022012918/5f31e8c90a2cf13f0d64b913/html5/thumbnails/17.jpg)
Дякую за увагу!