Відповідно до пункту 5 Порядку розроблення та погодження паспорта безпеки на об'єкт критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 04 серпня 2023 року N 818, пункту 10 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року N 411, наказу Адміністрації Держспецзв'язку від 28 липня 2023 року N 219/ДСК "Про затвердження Проектних загроз критичній інфраструктурі національного рівня", наказу Адміністрації Держспецзв'язку від 04 жовтня 2023 року N 877 "Про затвердження форми Плану захисту об'єкта критичної інфраструктури за проєктною загрозою національного рівня "кібератака/кіберінцидент" наказую:

1. Затвердити Рекомендації з розроблення плану захисту об'єкта критичної інфраструктури за проєктною загрозою національного рівня "кібератака/кіберінцидент", що додаються.

2. Відділу інформаційних комунікацій Адміністрації Держспецзв'язку забезпечити розміщення цього наказу на офіційному вебсайті Держспецзв'язку.

3. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв'язку та захисту інформації України відповідно до розподілу обов'язків.

I. Загальні положення

1. Ці Рекомендації призначені для операторів критичної інфраструктури, які розробляють план захисту об'єкта критичної інфраструктури (далі - ОКІ) за проєктною загрозою національного рівня "кібератака/кіберінцидент" (далі - Рекомендації).

2. Рекомендації розроблено відповідно до Законів України "Про основні засади забезпечення кібербезпеки України", "Про критичну інфраструктуру", постанови Кабінету Міністрів України від 09.10.2020 N 1109 "Деякі питання об'єктів критичної інфраструктури", постанови Кабінету Міністрів України від 09.10.2020 N 943 "Деякі питання об'єктів критичної інформаційної інфраструктури", постанови Кабінету Міністрів України від 14.10.2022 N 1174 "Про затвердження Регламенту обміну інформацією між суб'єктами національної системи захисту критичної інфраструктури", постанови Кабінету Міністрів України від 04.08.2023 N 818 "Деякі питання паспортизації об'єктів критичної інфраструктури" та з урахуванням Методичних рекомендацій щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури, затверджених наказом Адміністрації Держспецзв'язку від 06.10.2021 N 601 (зі змінами), Методичних рекомендацій щодо реагування суб'єктами забезпечення кібербезпеки на різні види подій у кіберпросторі, затверджених наказом Адміністрації Держспецзв'язку від 03.07.2023 N 570.

3. Рекомендації не є нормативно-правовим актом, мають інформаційний та рекомендаційний характер, не встановлюють правових норм і є добровільними для використання.

4. У цих Рекомендаціях терміни вживаються в такому значенні:

унікальний ідентифікатор об'єкта критичної інформаційної інфраструктури - унікальний буквено-цифровий номер, який присвоюється кожному індивідуально визначеному об'єкту критичної інформаційної інфраструктури (далі - ОКІІ) після внесення його до державного реєстру ОКІІ.

Інші терміни вживаються у значеннях, наведених в Законах України "Про основні засади забезпечення кібербезпеки України", "Про критичну інфраструктуру", Загальних вимогах до кіберзахисту об'єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19.06.2019 N 518, Порядку формування переліку об'єктів критичної інформаційної інфраструктури, затвердженого постановою Кабінету Міністрів України від 09.10.2020 N 943, Порядку розроблення та погодження паспорта безпеки на об'єкт критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 04.08.2023 N 818, Методичних рекомендацій щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури, затверджених наказом Адміністрації Держспецзв'язку від 06.10.2021 N 601 (зі змінами), Методичних рекомендацій щодо реагування суб'єктами забезпечення кібербезпеки на різні види подій у кіберпросторі, затверджених наказом Адміністрації Держспецзв'язку від 03.07.2023 N 570.

5. План захисту за проектною загрозою національного рівня "кібератака/кіберінцидент" розробляється оператором критичної інфраструктури (далі - оператор) відповідно до форми, затвердженої наказом Адміністрації Держспецзв'язку від 04.10.2023 N 877 (далі - План захисту).

6. Порядок погодження Плану захисту передбачений пунктами 6 - 14 Порядку розроблення та погодження паспорта безпеки на об'єкт критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 04.08.2023 N 818.

7. Заповнений План захисту затверджується керівником або уповноваженою особою оператора.

8. Порядок перегляду Плану захисту передбачений пунктом 12 Порядку розроблення та погодження паспорта безпеки на об'єкт критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 04.08.2023 N 818.

9. Інформація, яка вноситься до Плану захисту, є інформацією з обмеженим доступом, захист якої забезпечується відповідно до вимог законодавства у сфері захисту інформації.

II. Порядок заповнення Плану захисту

1. В пункті 1 Плану захисту зазначається:

в Таблиці 1 Плану захисту - унікальний ідентифікатор ОКІІ (для ОКІ I та II категорій критичності), який присвоюється Адміністрацією Держспецзв'язку кожному індивідуально визначеному ОКІІ під час внесення його до державного реєстру ОКІІ. Повна та скорочена назви ОКІІ;

в Таблиці 2 Плану захисту - інформація стосовно подання відомостей до державного реєстру ОКІІ, для ОКІІ ОКІ I та II категорій критичності;

в Таблиці 3 Плану захисту - опис виконання Загальних вимог до кіберзахисту ОКІ, затверджених постановою Кабінету Міністрів України від 19.06.2019 N 518. Заповнюючи таблицю, необхідно визначити відповідальну особу за виконання вимог до кіберзахисту ОКІ, стан їх виконання у відсотках на момент заповнення Плану захисту та зазначити запланований термін виконання вимог на 100 % у повному обсязі;

в Таблиці 4 Плану захисту - відомості про особу та/або підрозділ, що відповідає за стан захисту інформації (забезпечення інформаційної безпеки) та кіберзахисту ОКІІ, забезпечення постійного зв'язку з відповідними суб'єктами національної системи кібербезпеки, а саме прізвище, власне ім'я, по батькові (у разі наявності), займана посада, назва підрозділу та контактні дані (поштова адреса, номер телефону, e-mail адреса).

2. В Таблиці 5 пункту 2 Плану захисту зазначається:

визначена життєво важлива послуга, що надає ОКІ, яка підтримується ОКІІ та збігається з послугою, що вказана в паспорті ОКІ;

вид інформації за порядком доступу, яка обробляється або планується для оброблення на ОКІІ (вибрати з наданого переліку). В разі якщо в переліку не зазначено вид інформації, яка обробляється або планується для оброблення на ОКІІ, в графі "Інше" зазначити яка саме;

підключення до мережі Інтернет або до інших інформаційно-комунікаційних систем (далі - ІКС), які не входять до складу ОКІІ (за наявності). У разі підключення до мережі Інтернет або до інших ІКС вказати повне найменування постачальників електронних комунікаційних мереж та/або послуг і чи має постачальник електронних комунікаційних мереж та/або послуг захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю, перелік IP-адрес, що використовуються та контактні дані постачальників електронних комунікаційних мереж та/або послуг (номер телефону, e-mail адреса);

взаємодія ОКІІ з іншими ОКІІ та інформаційними системами при наданні послуги, а саме отримання ОКІІ життєво важливих послуг від інших ОКІІ, ненадання яких вплине на функціонування ОКІІ. Надання ОКІІ життєво важливих послуг іншим ОКІІ, неотримання яких вплине на функціонування інших ОКІІ. Вказати повне найменування іншого ОКІІ, унікальний ідентифікатор ОКІІ та контактні дані (номер телефону, e-mail адреса);

атестат відповідності комплексної системи захисту інформації (далі - КСЗІ) ОКІІ або результати незалежного аудиту ОКІ (за наявності). У разі наявності атестату відповідності КСЗІ ОКІІ або елемента ОКІІ зазначити який саме (на що саме виданий атестат, номер, дата та ким виданий). Вказати номер та дату сертифіката відповідності або звіт за результатами незалежного аудиту інформаційної безпеки на ОКІ. За наявності іншого документа, що засвідчує відповідність КСЗІ ОКІІ в графі "Інше" зазначити яка саме;

взаємодія з платформою (платформами) обміну інформацією щодо шкідливого програмного забезпечення (MISP CERT-UA, MISP-UA або інші з переліку) (за наявності) і з якою (якими) саме. В разі якщо в переліку не зазначено платформи обміну інформацією щодо шкідливого програмного забезпечення, з якою є взаємодія, в графі "Інше" зазначити яка;

взаємодія з командою (командами) реагування на кіберінциденти (CERT, CSIRT) (за наявності). У разі якщо є, вказати найменування команди реагування на кіберінциденти, тип за формою власності (вибрати з переліку), тип за належністю (вибрати з переліку) та контактну інформацію (номер телефону, e-mail адреса) зазначеної команди реагування на кіберінциденти.

Також в пункті 2 Плану захисту зазначається:

рисунок загальної функціональної схеми системи (мережі) ОКІІ;

опис загальної функціональної схеми системи (мережі) ОКІІ та технології обробки інформації, де надається стислий опис роботи системи (мережі) ОКІІ (не має перевищувати двох сторінок). Рекомендовано описати основні функції, завдання, принципи функціонування, технології обробки інформації, вплив на надання життєво важливої послуги ОКІІ. Опис має давати загальне уявлення про систему (мережу) ОКІІ.

3. У таблиці 6 пункту 3 Плану захисту зазначаються властивості загроз відповідно до рівня та проєктної загрози національного/секторального/об'єктового рівнів.

4. Загальний порядок реагування на кіберінциденти/кібератаки, який передбачений пунктом 4 Плану захисту, розробляє відповідальна особа за стан захисту інформації та кіберзахисту ОКІІ.

Основною рекомендацією є вивчення та дослідження сучасних видів кіберінцидентів/кібератак, розроблення методів і механізмів запобігання та протидії можливим кіберінцидентам/кібератакам на постійній основі.

Після виявлення кіберінциденту/кібератаки доцільно:

визначити категорію (рівень) критичності кіберінциденту/кібератаки на поточний момент відповідно до трьох критеріїв критичності кіберінциденту/кібератаки відповідно до пункту 5 розділу III Методичних рекомендацій щодо реагування суб'єктами забезпечення кібербезпеки на різні види подій у кіберпросторі, затверджених наказом Адміністрації Держспецзв'язку від 03.07.2023 N 570 (далі - Наказ N 570);

поінформувати про кіберінцидент/кібератаку урядову команду реагування на комп'ютерні надзвичайні події України CERT-UA (у разі наявності - галузевої команди реагування на комп'ютерні надзвичайні події), а також функціональний підрозділ контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Центрального управління СБУ (Ситуаційний центр забезпечення кібербезпеки СБУ) або відповідний підрозділ регіонального органу СБУ про кіберінциденти/кібератаки відповідно до пункту 8 Загальних вимог до кіберзахисту об'єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19.06.2019 N 518;

вжити невідкладних заходів з нейтралізації/зменшення потенційного негативного ефекту від реалізації кіберінциденту/кібератаки відповідно до розділу IV Наказу N 570;

вжити заходів для відновлення штатного режиму функціонування шляхом усунення інциденту і пом'якшення наслідків від реалізації кіберзагроз або інших умов, якими скористався зловмисник або групи таких осіб, відповідно до V розділу Наказу N 570;

пом'якшити наслідки від реалізації кіберзагроз та інших умов, якими скористався зловмисник, відповідно до VI розділу Наказу N 570.

Відповідно до особливостей функціонування та затверджених інструкцій реагування на кіберінциденти на ОКІІ рекомендовано описати стисле викладення дій, що виконуються на ОКІІ.

5. План кіберзахисту, передбачений пунктом 5 Плану захисту, містить мінімальний набір заходів, які (не обмежуючись цим в подальшій діяльності з підвищення рівня кіберзахисту критичної інформаційної інфраструктури) можуть бути впроваджені або заплановані для впровадження на ОКІ. План кіберзахисту передбачає 5 класів заходів кіберзахисту ("Ідентифікація ризиків кібербезпеки (ID)", "Кіберзахист (PR)", "Виявлення кіберінцидентів (DE)", "Реагування на кіберінциденти (RS)", "Відновлення стану кібербезпеки (RC)"), кожний з яких містить категорії заходів кіберзахисту.

Клас "Ідентифікація ризиків кібербезпеки" (ID) має на меті розвинути розуміння того, як краще керувати ризиками кібербезпеки для систем, ресурсів, даних та можливостей, тобто визначити, які процедури та інформаційні активи потребують захисту. Він передбачає заходи щодо інвентаризації апаратного та програмного забезпечення, створення політик кібербезпеки, ідентифікації загроз та вразливостей, збору логів тощо.

Клас "Кіберзахист" (PR) рекомендує запобіжні заходи для захисту, тобто визначає діяльність із розробки та впровадження відповідних методів, засобів, процедур кіберзахисту для забезпечення стійкого, безперервного та безпечного надання життєво важливих функцій та/або послуг. Ці заходи дозволяють обмежити або стримати вплив кіберінцидентів. Основними заходами є керування доступом до інформаційних активів та інформації, захист інформації, регулярне створення резервних копій, захист апаратного забезпечення, керування вразливостями та навчання користувачів.

Клас "Виявлення кіберінцидентів" (DE) містить заходи, що допомагають розробити та впровадити відповідні заходи для своєчасної ідентифікації кіберінциденту. Наприклад, тестування та оновлення процесів виявлення, ведення та моніторинг журналів логів, розуміння впливу кіберінцидентів, відстеження потоків даних.

Клас "Реагування на кіберінциденти" (RS) містить заходи щодо розробки та впровадження заходів для реагування на кіберінциденти та кібератаки. Реалізація заходів спрямована на зниження потенційного негативного впливу кіберінциденту на надання життєво важливих послуг та функцій, наприклад, створення, тестування та оновлення планів реагування, координація внутрішніх та зовнішніх зацікавлених сторін тощо.

Клас "Відновлення стану кібербезпеки" (RC) допомагає розробити та впровадити відповідні заходи для підтримання стійкості, своєчасного відновлення штатної роботи після кіберінциденту та зменшення негативного впливу кіберінциденту. Такими заходами є розроблення, тестування, оновлення планів відновлення, керування зв'язків з громадськістю, відновлення репутації після кіберінциденту, а також спілкування з внутрішніми та зовнішніми зацікавленими сторонами.

У Плані кіберзахисту рекомендовано заповнити Таблиці 7 - 11 Плану захисту, де описується поточний стан виконання завдань кіберзахисту та наявні ресурси, а як підтвердження вказати назву документа, номер та дату реєстрації, в якому підтверджується виконання заходу кіберзахисту. Для створення Поточного стану виконання завдання та наявні ресурси доцільно використовувати Методичні рекомендації щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури, затверджених наказом Адміністрації Держспецзв'язку від 06.10.2021 N 601 (далі - Наказ N 601). У разі наявності секторальних вимог або стандартів, або рекомендацій, затверджених відповідною міжнародною організацією (наприклад МАГАТЕ, IKAO тощо), перед заповненням Таблиці 7 Плану кіберзахисту доцільно навести перелік відповідних секторальних документів та спосіб їх врахування щодо ОКІІ, для яких вони передбачені. При цьому, якщо заходи безпеки застосовуються постійно, рекомендовано наводити підтвердження цього. Також варто зазначити заплановані заходи для виконання завдань кіберзахисту, визначити та вказати відповідальну особу за їх виконання, зазначити запланований термін та додаткові ресурси для реалізації запланованих завдань кіберзахисту.

Таблиця 7 пункту 5 Плану захисту заповнюється шляхом описання виконання наступних завдань із кіберзахисту:

Завдання 1. Доцільно проводити інвентаризацію інформаційних та операційних активів, не рідше ніж раз на рік. Для виконання цього можуть бути заплановані наступні заходи:

проведення інвентаризації усього інформаційного та операційного обладнання. Бажано зафіксувати у документі, визначеному керівництвом ОКІ, результати інвентаризації та всі складові, які беруть участь у технологічному процесі обробки та впливають на безпеку ОКІІ: точно описує поточну мережу ОКІІ, охоплює всі компоненти в межах акредитації ОКІІ, визначає рівень деталізації, який вважається необхідним для відстеження та звітування;

бажано створити календарний план змін усього інформаційного та операційного обладнання ОКІІ.

Завдання 2. Визначити керівну посадову особу, відповідальну за кібербезпеку на всьому ОКІ, в тому числі систем управління технологічними процесами, а також систем, що впливають на безпеку функціонування ОКІ. Бажано визначити обов'язки персоналу ОКІІ, відповідального за планування діяльності з кібербезпеки, та забезпечити його ресурсами для виконання такої діяльності. На виконання цього завдання можуть бути заплановані такі заходи:

на ОКІ затвердити положення про визначення керівної посадової особи, відповідальної за кібербезпеку на всьому ОКІ, в тому числі систем управління технологічними процесами, а також систем, що впливають на безпеку функціонування ОКІ;

затвердити функціональні обов'язки персоналу ОКІІ щодо планування діяльності з кібербезпеки та ознайомити з ними;

визначити термін перегляду та оновлення документів з організації діяльності відповідальної особи за кібербезпеку на всьому ОКІ, в тому числі систем управління технологічними процесами, а також систем, що впливають на безпеку функціонування ОКІ;

визначити перелік персоналу ОКІІ, відповідального за планування діяльності з кібербезпеки.

Завдання 3. Забезпечити належну взаємодію підрозділів IT та кіберзахисту шляхом розроблення Інструкції про Порядок взаємодії та обміну інформацією між підрозділами IT та кіберзахисту з урахуванням повноважень підрозділів під час реагування на кіберінциденти.

Завдання 4. Опрацювати вплив відомих вразливостей, тобто виправляти або іншим чином пом'якшувати протягом визначеного проміжку часу усі відомі використовувані вразливості у системах, що підключаються до мережі Інтернету, в першу чергу для важливіших інформаційних активів ОКІІ. Для виконання зазначеного завдання можуть бути заплановані заходи:

сканування на наявність вразливостей в інформаційній системі та інстальованих застосунках щотижня та коли виявляються нові вразливості, які потенційно впливають на систему (мережу) ОКІІ;

виявлення, виправлення та повідомлення про недоліки системи, що підключаються до мережі Інтернету, враховуючи ризики в першу чергу для важливіших інформаційних активів ОКІІ;

виправлення помилок в організаційному процесі управління конфігурацією.

Завдання 5. Залучити сторонню організацію для проведення незалежного аудиту інформаційної безпеки. Для виконання зазначеного завдання можуть бути заплановані заходи:

розробити план оцінювання безпеки та приватності, який описує сферу й охоплює:

заходи захисту та посилені заходи, що підлягають оцінюванню;

процедури оцінювання, які використовуватимуться для визначення заходів;

середовище оцінювання, групу оцінювання, ролі й обов'язки з оцінювання.

Завдання 6. Забезпечити реагування на інформування постачальниками про виявлені ними інциденти. Для виконання зазначеного завдання можуть бути заплановані заходи:

затвердження договору та процедури інформування між ОКІ та постачальниками про інциденти безпеки;

визначення та задокументування організаційного нагляду, повноваження та обов'язки користувачів щодо постачальників послуг та партнерів;

оцінка та перегляд ризиків ланцюга постачання, пов'язані з постачальниками або підрядниками, системою, системним компонентом або системною послугою, яку вони надають.

Завдання 7. Забезпечити реагування на інформування постачальниками про виявлені ними вразливості. Для виконання зазначеного завдання можуть бути заплановані заходи:

за можливості укласти договір та процедури інформування постачальників послуг та партнерів про інциденти безпеки;

оцінка і перегляд ризиків ланцюга постачання, пов'язані з постачальниками або підрядниками, системою, системним компонентом або системною послугою, яку вони надають.

Завдання 8. Затвердити вимоги щодо кібербезпеки до постачальників послуг та партнерів. Для виконання зазначеного завдання можуть бути заплановані заходи:

розроблення, затвердження та використання стратегії придбання та методи закупівель, для захисту від загроз в ланцюзі постачання, визначити та пом'якшити їх;

оцінка і перегляд загроз ланцюга постачання, пов'язані з постачальниками або підрядниками, системою, системними компонентами або системною послугою, яку вони надають.

Таблиця 8 у пункті 5 Плану захисту заповнюється шляхом описання виконання наступних завдань із кіберзахисту:

Завдання 1. Провести зміну паролів, встановлених за замовчуванням. Рекомендується впровадити політику та/або процес для всього ОКІ щодо зміни паролів виробника за замовчуванням - для будь-якого/всіх апаратних засобів, програмного та інформаційного перед підключенням до внутрішньої чи зовнішньої мережі. Для виконання зазначеного завдання можуть бути заплановані заходи:

управління паролями шляхом: перевірки, як частини початкового розподілу паролів, особи, групи, ролі або пристрою, який отримує пароль; заборони повторного використання паролів; забезпечення використання механізмів перевірки надійності паролів для їх використання за призначенням;

створення та реалізація процедур для первинного розповсюдження паролів або втрачених/скомпрометованих або пошкоджених паролів, а також для відкликання паролів;

зміна під час першого використання паролів для програмного та апаратного забезпечення, запропонованих розробниками та постачальниками;

зміна/оновлення паролів у щомісячний термін або коли фіксуються кіберінциденти;

захист вмісту паролів від несанкціонованого розкриття та модифікацій;

змінювання паролів для облікових записів груп/ролей при зміні ролей в цих облікових записах;

ведення списку часто використовуваних або скомпрометованих паролів та оновлення його;

заборона використання користувачами часто використовуваних або скомпрометованих паролів;