Відповідно до частини другої статті 6 Закону України "Про основні засади забезпечення кібербезпеки України" Кабінет Міністрів України постановляє:

Затвердити Загальні вимоги до кіберзахисту об’єктів критичної інфраструктури, що додаються.

1. Ці Загальні вимоги визначають організаційно-методологічні, технічні та технологічні умови кіберзахисту об’єктів критичної інфраструктури, що є обов’язковими до виконання підприємствами, установами та організаціями, які відповідно до законодавства віднесені до об’єктів критичної інфраструктури.

2. У цих Загальних вимогах терміни вживаються у такому значенні:

критичні бізнес/операційні процеси об’єкта критичної інфраструктури - процеси організації функціонування об’єктів критичної інфраструктури, реалізація загроз на які призводить до виведення з ладу або порушення функціонування самого об’єкта критичної інфраструктури та відповідно справляє негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіює майнову шкоду та/або становить загрозу для суспільства, життя і здоров’я людей; для організації функціонування цього процесу можуть використовуватися декілька інформаційно-комунікаційних систем;

система інформаційної безпеки - сукупність організаційних та технічних заходів, а також засобів і методів захисту інформації, які впроваджуються на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури з метою запобігання кіберінцидентам, виявлення та захисту від кібератак, порушення конфіденційності, цілісності та доступності інформаційних ресурсів, що обробляються (передаються, зберігаються) на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури, запобігання порушенню режиму функціонування та/або недоступності служб (функцій) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, порушенню функціонування компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури; забезпечення спостережності за діями користувачів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та функціонуванням засобів захисту об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;

політика інформаційної безпеки - політика, що визначає підхід підприємства, установи та організації, які відповідно до законодавства віднесені до об’єктів критичної інфраструктури, до інформаційної безпеки, вимоги, правила, обмеження, рекомендації, що регламентують порядок дотримання та забезпечення інформаційної безпеки.

Інші терміни вживаються у значенні, наведеному в Законах України "Про основні засади забезпечення кібербезпеки України", " Про захист інформації в інформаційно-комунікаційних системах", Правилах забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 р. № 373 (Офіційний вісник України, 2006 p., № 13, ст. 878).

3. Кіберзахист об’єкта критичної інфраструктури забезпечується шляхом впровадження на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури комплексної системи захисту інформації або системи інформаційної безпеки з підтвердженою відповідністю.

4. Кіберзахист об’єкта критичної інфраструктури є складовою частиною робіт із створення (модернізації) та експлуатації об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури. Заходи з кіберзахисту передбачаються та впроваджуються на всіх стадіях життєвого циклу об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури.

5. Кіберзахист об’єкта критичної інфраструктури забезпечується власником та/або керівником об’єкта критичної інфраструктури відповідно до цих Загальних вимог та законодавства в сфері захисту інформації та кібербезпеки.

6. У випадку, якщо на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, положення цих Загальних вимог повинні бути враховані під час створення (модернізації) на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури комплексної системи захисту інформації, а їх відповідність перевіряється під час її державної експертизи в сфері технічного захисту інформації.

Створення комплексної системи захисту інформації об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та її державна експертиза здійснюються відповідно до вимог законодавства в сфері захисту інформації та охорони державної таємниці.

7. У випадку, якщо на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури не обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, положення цих Загальних вимог враховуються під час створення (модернізації) системи інформаційної безпеки об’єкта критичної інфраструктури. Виконання Загальних вимог перевіряється під час незалежного аудиту інформаційної безпеки на об’єкті критичної інфраструктури.

Створення системи інформаційної безпеки об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури здійснюється відповідно до вимог технічного завдання на створення системи інформаційної безпеки.

Технічне завдання формується за результатами оцінки ризиків, які зазначаються в звіті за результатами оцінки ризиків на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури. Методичною основою для оцінки ризиків на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури є стандарт ДСТУ ISO/IEC 27005.

Власник та/або керівник об’єкта критичної інфраструктури організовує проведення незалежного аудиту інформаційної безпеки на об’єкті критичної інфраструктури згідно з вимогами законодавства в сфері захисту інформації та кібербезпеки.

8. Власник та/або керівник об’єкта критичної інфраструктури організовує невідкладне інформування урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA (у разі наявності - галузевої команди реагування на комп’ютерні надзвичайні події), а також функціонального підрозділу контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Центрального управління СБУ (Ситуаційний центр забезпечення кібербезпеки СБУ) або відповідного підрозділу регіонального органу СБУ про кіберінциденти та кібератаки, які стосуються його об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури.

9. Державні органи отримують доступ до Інтернету через систему захищеного доступу державних органів до Інтернету Державного центру кіберзахисту, через постачальників електронних комунікаційних мереж та/або послуг, які мають захищені вузли доступу до глобальних мереж передачі даних із створеними комплексними системами захисту інформації з підтвердженою відповідністю, або через власні системи захищеного доступу до Інтернету із створеними комплексними системами захисту інформації з підтвердженою відповідністю. Ця вимога не поширюється на інформаційно-комунікаційні системи закордонних дипломатичних установ України.

10. Власник та/або керівник об’єкта критичної інфраструктури з метою усунення можливих наслідків кіберінцидентів та кібератак забезпечує створення резервних копій інформаційних ресурсів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та критичних бізнес/операційних процесів об’єкта критичної інфраструктури для оперативного їх відновлення у разі пошкодження або знищення.

Державні органи для збереження резервних копій своїх інформаційних ресурсів та їх оперативного відновлення використовують основний та резервний захищений дата-центр збереження державних електронних інформаційних ресурсів Державного центру кіберзахисту.

11. Державні органи з метою здійснення захищеного інформаційного обміну, зберігання резервних копій інформаційних ресурсів, підключення до системи захищеного доступу державних органів до Інтернету Державного центру кіберзахисту використовують ресурси Національної телекомунікаційної мережі.

12. Організаційні та технічні заходи з кіберзахисту, які впроваджуються на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури, повинні забезпечувати:

формування на об’єкті критичної інфраструктури загальної політики інформаційної безпеки;

управління доступом користувачів та адміністраторів до об’єктів захисту об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;

ідентифікацію та автентифікацію користувачів та адміністраторів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;

реєстрацію подій компонентами об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та їх періодичний аудит;

мережевий захист компонентів та інформаційних ресурсів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;

доступність та відмовостійкість компонентів та інформаційних ресурсів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;

визначення умов використання змінних (зовнішніх) пристроїв та носіїв інформації на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури;

визначення умов використання програмного та апаратного забезпечення об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;

визначення умов розміщення компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури.

Перелік базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури, які повинні бути впроваджені під час створення комплексної системи захисту інформації (системи інформаційної безпеки) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, наведено у додатку.

Перелік базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури може бути доповнено відповідно до технології обробки інформації на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури, особливостей функціонування та програмно-апаратного складу об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, складу інформаційних ресурсів та компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, які підлягають захисту, тощо.

Під час доповнення переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури для кожної загрози об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури передбачаються захід або комплекс заходів, що забезпечують блокування однієї чи декількох загроз або знижують ризик її реалізації, та враховуються умови функціонування об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури. У разі коли перелік мінімальних заходів не дає можливості забезпечити блокування (нейтралізацію) усіх загроз об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, повинні бути визначені додаткові заходи, які ці загрози блокують.

Формування додаткових заходів із забезпечення кіберзахисту об’єктів критичної інфраструктури розробник комплексної системи захисту інформації (системи інформаційної безпеки) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури здійснює з урахуванням вимог нормативних документів у сфері технічного захисту інформації, міжнародних стандартів з питань інформаційної безпеки.

13. У разі відсутності можливості виконання окремих вимог із забезпечення кіберзахисту, наведених у додатку, і/або неможливості їх застосування до окремих об’єктів захисту чи користувачів та адміністраторів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, у тому числі внаслідок їх можливого негативного впливу на функціонування об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, або неможливості їх здійснення на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури через особливості функціонування, або відсутності складу компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинні бути розроблені і впроваджені компенсуючі заходи, що забезпечують блокування (нейтралізацію) загроз об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, або обґрунтовано виключені окремі вимоги з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури.

Власник та/або керівник об’єкта критичної інфраструктури у ході розроблення організаційних і технічних заходів щодо забезпечення кіберзахисту об’єкта критичної інфраструктури обґрунтовує застосування компенсуючих заходів або виключення окремих вимог з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури. При цьому під час проведення незалежного аудиту інформаційної безпеки об’єкта критичної інфраструктури або державної експертизи комплексної системи захисту інформації об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури має бути оцінена достатність і адекватність компенсуючих заходів, які застосовані для блокування (нейтралізації) загроз об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та зменшення ризиків об’єкта критичної інфраструктури, або обґрунтованість виключення окремих вимог з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури.

Рішення з обґрунтуванням щодо впровадження компенсуючих заходів або виключення окремих вимог з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури оформлюється окремим рішенням за підписом власника та/або керівника об’єкта критичної інфраструктури.

14. Міністерства та інші центральні органи виконавчої влади можуть розробляти конкретизовані вимоги з кіберзахисту з урахуванням секторальної (галузевої) специфіки функціонування об’єктів критичної інфраструктури, які відносяться до сфери їх управління. Такі вимоги з кіберзахисту погоджуються з Адміністрацією Держспецзв’язку.

СБУ має право подавати міністерствам та іншим центральним органам виконавчої влади обов’язкові для розгляду пропозиції щодо таких вимог з кіберзахисту.

1. Об’єкт критичної інфраструктури повинен мати у своєму складі підрозділ або посадову особу з інформаційної безпеки, що відповідають за політику інформаційної безпеки, прийняту на об’єкті критичної інфраструктури, та контроль за її дотриманням. Під час визначення відповідальних за інформаційну безпеку перевага повинна надаватися особам, які мають фахову освіту та досвід роботи у сфері технічного захисту інформації або інформаційної безпеки.

Підрозділ або посадова особа з інформаційної безпеки повинні бути підпорядковані безпосередньо керівнику об’єкта критичної інфраструктури.

Функції підрозділу або посадової особи з інформаційної безпеки можуть бути покладені на службу захисту інформації підприємства, установи, організації.

2. На об’єкті критичної інфраструктури повинні бути визначені права та обов’язки всіх категорій користувачів та адміністраторів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, обов’язки адміністраторів з обслуговування компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури (далі - компоненти об’єкта) та забезпечення її інформаційної безпеки, які оформлюються окремим рішенням за підписом власника та/або керівника об’єкта критичної інфраструктури.

На об’єкті критичної інфраструктури повинні бути призначені відповідальні за функціонування та інформаційну безпеку критичних бізнес/операційних процесів з числа керівників об’єкта критичної інфраструктури, працівники яких забезпечують функціонування цих критичних процесів.

3. На об’єкті критичної інфраструктури повинен бути визначений перелік інформаційних, програмних та апаратних ресурсів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, рівень їх критичності для об’єкта критичної інфраструктури та/або функціонування об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури та можливий рівень наслідків у випадку порушення конфіденційності, цілісності та доступності інформації, недоступності служб (функцій) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, порушення функціонування компонентів об’єкта.

4. На об’єкті критичної інфраструктури повинно бути затверджено політику управління ризиками інформаційної безпеки і методику їх оцінювання та оброблення. Методичною основою для вибору методики є стандарт ДСТУ ISO/IEC 27005.

5. Власник/керівник об’єкта критичної інфраструктури зобов’язаний не рідше одного разу на рік організовувати та проводити обстеження своїх об’єктів критичної інформаційної інфраструктури об’єкта критичної інфраструктури з метою оновлення даних щодо програмно-апаратного складу об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, технології обробки інформації на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури, переліку критичних інформаційних ресурсів та компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, які підлягають захисту, тощо. Методичною основою для проведення обстеження об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури є вимоги нормативного документа системи технічного захисту інформації 3.7-003-05 "Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі".

Якщо за результатами обстеження об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури виявлено, що на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури змінено технологію обробки інформації, впроваджено нові програмні або апаратні компоненти, змінено перелік критичних інформаційних ресурсів та компонентів об’єкта, які підлягають захисту, тощо, здійснюється перегляд переліку загроз об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, ризиків інформаційної безпеки та рівня прийнятного ризику.

У випадку виявлення нових загроз та/або ризиків здійснюється оновлення технічного завдання на створення комплексної системи захисту інформації (системи інформаційної безпеки) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, іншої документації та впровадження оновлених вимог на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури.

6. Власник/керівник об’єкта критичної інфраструктури зобов’язаний забезпечити розроблення та підтримання в актуальному стані технічної, проектної та іншої документації на комплексну систему захисту інформації (систему інформаційної безпеки) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури (в захищеній від модифікації формі, зокрема електронній) з обов’язковим описом реалізованих у системі організаційних та технічних заходів безпеки інформації.

Мінімальний перелік документації об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури визначається в технічному завданні на створення комплексної системи захисту інформації (системи інформаційної безпеки) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури.

Програмні та апаратні компоненти об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури повинні бути налаштовані відповідно до затвердженої політики інформаційної безпеки та технічної, проектної та іншої документації на комплексну систему захисту інформації (систему інформаційної безпеки) об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури.

В інтересах національної безпеки інформація щодо програмно-апаратного складу об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, налаштування та конфігураційна інформація програмних та апаратних компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, інформація про параметри та режими їх функціонування, журнали реєстрації подій (логи) та дані аудиту компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, інформація про облікові записи користувачів, їх атрибути та права доступу, об’єкти захисту та їх атрибути доступу, інша інформація, яка розкриває параметри та особливості функціонування компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, є інформацією з обмеженим доступом. Ступінь обмеження доступу до цієї інформації визначається відповідно до закону.

7. На об’єкті критичної інфраструктури необхідно затвердити політику інформаційної безпеки, яка визначає:

мету та основні принципи забезпечення захисту інформаційних ресурсів, критичних бізнес/операційних процесів тощо на об’єкті критичної інфраструктури;

опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, які задіяні в цьому процесі;

вимоги до порядку визначення, надання, зміни та скасування прав доступу користувачів та адміністраторів до служб (функцій), інформації та компонентів об’єкта та порядок контролю (аудиту) використання прав доступу користувачами та адміністраторами. При цьому необхідно дотримуватися принципу надання необхідних та мінімально достатніх повноважень користувачам та адміністраторам відповідно до їх службових обов’язків;

політику фізичної безпеки та захисту об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури від навколишнього природного середовища;

вимоги до забезпечення інформаційної безпеки під час взаємодії з постачальниками;

політику управління обліковими записами в програмному та апаратному забезпеченні об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури. Політика повинна визначати порядок створення, блокування та зупинення облікових записів користувачів та адміністраторів в компонентах об’єкта;

вимоги до порядку формування, надання, скасування та контролю (аудиту) за використанням автентифікаційних атрибутів користувачів та адміністраторів, у тому числі зовнішніх носіїв автентифікаційних даних, для доступу до служб (функцій), інформації та компонентів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури. Повинні бути визначені також вимоги до складності паролів, періодичності їх зміни, блокування роботи користувача за певної кількості спроб підбору пароля, порядок поводження із зовнішніми носіями автентифікаційних даних тощо;

політику забезпечення безперебійної роботи об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, зокрема порядок резервування даних та компонентів об’єкта, зберігання резервних копій даних, відновлення даних з резервних копій та заміни компонентів об’єкта у випадку виходу їх з ладу тощо;

порядок дій персоналу об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури у випадках відмов або збоїв об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури в цілому або окремих його компонентів;

порядок використання змінних (зовнішніх) пристроїв та носіїв інформації на об’єкті критичної інформаційної інфраструктури об’єкта критичної інфраструктури;

політику мережевого захисту, зокрема щодо сегментації мережі об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, захисту від вірусів, зловмисного коду, шкідливого програмного забезпечення, встановлення та налаштування засобів мережевого захисту тощо;

політику проведення модернізації (оновлення) компонентів об’єкта, внесення змін до складу та в налаштування компонентів об’єкта. Повинні бути визначені відповідальні особи, які мають право проводити ці роботи, а також порядок дотримання політики безпеки, яка прийнята на об’єкті критичної інфраструктури, під час проведення таких робіт;

опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури, які задіяні в цьому процесі;

політику управління оновленнями (порядок отримання, перевірки, розповсюдження та застосування оновлень програмного забезпечення компонентів об’єкта);

політику реєстрації та аудиту подій, що реєструються компонентами об’єкта. Політика повинна містити перелік подій, які реєструються кожним компонентом об’єкта, параметри ведення журналів (логів) реєстрації подій та їх архівування, порядок та періодичність аудиту журналів (логів) реєстрації подій адміністраторами об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури на предмет виявлення ознак кібератак або кіберінцидентів;

політику управління інцидентами кібербезпеки, яка повинна містити перелік подій, що кваліфікуються як кіберінциденти, описи дій користувачів та адміністраторів у разі їх виникнення, порядок інформування посадових осіб об’єкта критичної інфраструктури, урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA (у разі наявності - галузевої команди реагування на комп’ютерні надзвичайні події);

політику використання електронної пошти користувачами об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури;

політику проведення внутрішнього аудиту інформаційної безпеки об’єкта критичної інфраструктури.

Політика інформаційної безпеки може затверджуватися окремими рішеннями за підписом власника та/або керівника об’єкта критичної інфраструктури. Повинен бути встановлений порядок внесення змін до таких документів.