Відповідно до Закону України "Про Службу безпеки України", статей 14, 15 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України", Закону України "Про критичну інфраструктуру", Порядку розроблення та погодження паспорта безпеки на об'єкт критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 04 серпня 2023 року № 818 "Деякі питання паспортизації об'єктів критичної інфраструктури", пункту 10 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та наказу Адміністрації Держспецзв'язку від 28 липня 2023 року № 219/ДСК "Про затвердження Проектних загроз критичній інфраструктурі національного рівня" (із змінами) НАКАЗУЄМО:

1. Затвердити такі, що додаються:

форму Плану захисту об'єкта критичної інфраструктури за проектною загрозою національного рівня "кібератака/кіберінцидент";

Рекомендації з розроблення Плану захисту об'єкта критичної інфраструктури за проектною загрозою національного рівня "кібератака/кіберінцидент".

2. Визначити уповноваженими підрозділами Служби безпеки України та Адміністрації Держспецзв'язку з питань погодження планів захисту об'єктів критичної інфраструктури за проектною загрозою національного рівня "кібератака/кіберінцидент", розроблених за формою, затвердженою пунктом 1 цього наказу (далі - плани захисту), щодо об'єктів критичної інфраструктури I та II категорії критичності Департамент контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Служби безпеки України та Департамент кіберзахисту Адміністрації Держспецзв'язку відповідно.

3. Встановити, що погодження планів захисту щодо об'єктів критичної інфраструктури I та II категорії критичності здійснюють:

начальник Департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Служби безпеки України або його заступник;

директор Департаменту кіберзахисту Адміністрації Держспецзв'язку або його заступник.

4. Визначити уповноваженими органами Служби безпеки України та Адміністрації Держспецзв'язку з питань погодження планів захисту щодо об'єктів критичної інфраструктури III та IV категорії критичності регіональні органи Служби безпеки України та територіальні органи Адміністрації Держспецзв'язку за місцезнаходженням (адресою) оператора критичної інфраструктури.

5. Встановити, що погодження планів захисту щодо об'єктів критичної інфраструктури III та IV категорії критичності здійснюють:

керівник відповідного регіонального органу Служби безпеки України або його заступник;

керівник відповідного територіального органу Адміністрації Держспецзв'язку або його заступник (у місті Києві або Київській області - директор Департаменту кіберзахисту Адміністрації Держспецзв'язку або його заступник).

6. Керівникам уповноважених підрозділів (органів) Служби безпеки України та Адміністрації Держспецзв'язку визначити відповідальних осіб щодо взаємодії із секторальними органами у сфері захисту критичної інфраструктури та операторами критичної інфраструктури з питань розроблення та погодження планів захисту.

7. Керівникам Департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Служби безпеки України та Управління інформаційних комунікацій Адміністрації Держспецзв'язку забезпечити розміщення цього наказу на офіційних вебсайтах Служби безпеки України та Державної служби спеціального зв'язку та захисту інформації України відповідно.

8. Цей наказ набирає чинності з моменту його видання.

1. Ці Рекомендації призначені для операторів критичної інфраструктури, які розробляють план захисту об'єкта критичної інфраструктури (далі - ОКІ) за проектною загрозою національного рівня "кібератака/кіберінцидент" (далі - Рекомендації).

2. Рекомендації розроблено відповідно до Законів України "Про основні засади забезпечення кібербезпеки України", "Про критичну інфраструктуру", "Про захист інформації в інформаційно-комунікаційних системах", постанови Кабінету Міністрів України від 09.10.2020 № 1109 "Деякі питання об'єктів критичної інфраструктури", постанови Кабінету Міністрів України від 09.10.2020 № 943 "Деякі питання об'єктів критичної інформаційної інфраструктури", постанови Кабінету Міністрів України від 14.10.2022 № 1174 "Про затвердження Регламенту обміну інформацією між суб'єктами національної системи захисту критичної інфраструктури", постанови Кабінету Міністрів України від 04.08.2023 № 818 "Деякі питання паспортизації об'єктів критичної інфраструктури" та з урахуванням Методичних рекомендацій щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури, затверджених наказом Адміністрації Держспецзв'язку від 06.10.2021 № 601 (зі змінами), Методичних рекомендацій щодо реагування суб'єктами забезпечення кібербезпеки на різні види подій у кіберпросторі, затверджених наказом Адміністрації Держспецзв'язку від 03.07.2023 № 570, Проектних загроз критичній інфраструктурі національного рівня, затверджених наказом Адміністрації Держспецзв'язку від 28.07.2023 № 219/ДСК.

3. Рекомендації не є нормативно-правовим актом, мають інформаційний та рекомендаційний характер, не встановлюють правових норм і не є обов'язковими для використання.

4. У цих Рекомендаціях терміни вживаються в такому значенні:

унікальний ідентифікатор об'єкта критичної інформаційної інфраструктури - унікальний буквено-цифровий номер, який присвоюється кожному індивідуально визначеному об'єкту критичної інформаційної інфраструктури (далі - ОКІІ) після внесення його до державного реєстру ОКІІ.

Інші терміни вживаються у значеннях, наведених в Законах України "Про основні засади забезпечення кібербезпеки України", "Про критичну інфраструктуру", "Про захист інформації в інформаційно-комунікаційних системах", постанові Кабінету Міністрів України від 09.10.2020 № 943 "Деякі питання об'єктів критичної інформаційної інфраструктури", постанові Кабінету Міністрів України від 04.08.2023 № 818 "Деякі питання паспортизації об'єктів критичної інфраструктури" та Методичних рекомендаціях щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури, затверджених наказом Адміністрації Держспецзв'язку від 06.10.2021 № 601 (зі змінами), Методичних рекомендаціях щодо реагування суб'єктами забезпечення кібербезпеки на різні види подій у кіберпросторі, затверджених наказом Адміністрації Держспецзв'язку від 03.07.2023 № 570.

5. План захисту об'єкта критичної інфраструктури за проектною загрозою національного рівня "кібератака/кіберінцидент" (далі - План захисту) розробляється оператором критичної інфраструктури (далі - оператор) відповідно до форми, затвердженої наказом Служби безпеки України і Адміністрації Держспецзв'язку.

6. Інформація, яка вноситься до Плану захисту, є інформацією з обмеженим доступом, захист якої забезпечується відповідно до вимог законодавства у сфері захисту інформації.

7. План захисту подається оператором на погодження функціональним органам у сфері захисту критичної інфраструктури (далі - функціональні органи) разом із супровідним листом і копією загальної характеристики ОКІ.

Підписує супровідний лист і затверджує План захисту керівник оператора або особа, яка виконує його обов'язки.

Оператору необхідно надати дозвіл уповноваженому підрозділу (органу) Служби безпеки України на копіювання поданих документів, що містять інформацію з обмеженим доступом, в порядку, визначеному законодавством.

План захисту, поданий з порушенням встановлених вимог, повертається оператору для усунення недоліків.

8. План захисту погоджується та подається у такій послідовності:

1) до уповноваженого підрозділу (органу) Адміністрації Держспецзв'язку;

2) до уповноваженого підрозділу (органу) Служби безпеки України.

9. У випадку погодження Плану захисту уповноваженим підрозділом (органом) Адміністрації Держспецзв'язку та наявності зауважень (пропозицій) до Плану захисту від уповноваженого підрозділу (органу) Служби безпеки України, План захисту потребує повторного погодження кожним із вказаних уповноважених підрозділів (органів).

10. Порядок перегляду Плану захисту передбачений пунктом 12 Порядку розроблення та погодження паспорта безпеки на об'єкт критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 04.08.2023 № 818.

11. Оператор визначає об'єкти інформаційної інфраструктури (далі - ОІІ), що експлуатуються на ОКІ та інформація про які вноситиметься до Плану захисту.

В обов'язковому порядку до Плану захисту вносяться відомості про всі ОКІІ, що експлуатуються на ОКІ.

Інформація про інші ОІІ (автоматизовані, інформаційні, електронні комунікаційні, інформаційно-комунікаційні системи, автоматизовані системи управління технологічними процесами) ОКІ, які не віднесено до ОКІІ, але є необхідними для забезпечення безперервного та стійкого функціонування ОКІ, також підлягає обов'язковому внесенню до Плану захисту.

До Плану захисту не вносяться відомості про окремі ПЕОМ, які не мають підключень до будь-яких інформаційно-комунікаційних систем або мереж (автоматизовані системи класу "1").

1. На титульній сторінці Плану захисту зазначаються:

гриф обмеження доступу;

назва ОКІ та унікальний реєстровий номер ОКІ.

2. В пункті 1 Плану захисту зазначаються:

в Таблиці 1 Плану захисту - повна та скорочена назви ОІІ. Унікальний ідентифікатор ОКІІ зазначається у випадку, якщо ОІІ віднесено до ОКІІ I або II категорії критичності;

в Таблиці 2 Плану захисту - інформація стосовно подання та внесення відомостей про ОКІІ до державного реєстру ОКІІ. Заповнюється у випадку, якщо ОІІ віднесено до ОКІІ I або II категорії критичності;

в Таблиці 3 Плану захисту - стан виконання Загальних вимог до кіберзахисту об'єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19.06.2019 № 518 "Про затвердження Загальних вимог до кіберзахисту об'єктів критичної інфраструктури". Необхідно вказати відповідальну особу за виконання вимог до кіберзахисту ОКІ з числа керівників оператора, стан виконання цих вимог у відсотках на момент заповнення Плану захисту та зазначити запланований термін виконання вимог у повному обсязі;

в Таблиці 4 Плану захисту - відомості про підрозділ або призначених осіб, на яких покладається забезпечення захисту інформації та контроль за станом кіберзахисту ОКІ, а саме прізвище, власне ім'я, по батькові (у разі наявності), займана посада, назва підрозділу та контактні дані (номер телефону, e-mail адреса).

3. В Таблиці 5 пункту 2 Плану захисту зазначаються:

визначена життєво важлива функція та/або послуга ОКІ, надання якої забезпечується (підтримується) ОІІ. Зазначається відповідно до Переліку секторів критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 09.10.2020 № 1109 "Деякі питання об'єктів критичної інфраструктури", у разі забезпечення (підтримки) ОІІ відповідної послуги;

вид інформації за порядком доступу, яка обробляється або планується для оброблення на ОІІ (вибрати з наданого переліку). У разі якщо, в переліку не зазначено вид інформації, яка обробляється або планується для оброблення на ОІІ, в графі "Інше" зазначити, яка саме;

використання незахищеного середовища для передачі інформації в межах ОІІ (відповідь "Так" обирається для автоматизованих систем класу "3", відповідь "Ні" обирається для автоматизованих систем класу "2");

підключення до мережі Інтернет або до інших інформаційно-комунікаційних систем (далі - ІКС), які не входять до складу ОІІ. У разі підключення до мережі Інтернет вказати повне найменування постачальника електронних комунікаційних мереж та/або послуг і чи має постачальник електронних комунікаційних мереж та/або послуг захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю, перелік IР-адрес, що використовуються, та контактні дані постачальників електронних комунікаційних мереж та/або послуг (номер телефону, e-mail адреса). У разі підключення до інших ІКС, які не входять до складу ОІІ, але мають фізичне підключення до нього, вказати повне найменування таких ІКС;

використання бездротових технологій (Wi-Fi, Bluetooth тощо). У разі використання вказати, що саме. У випадку, якщо в переліку не зазначено необхідного варіанту, - вписати;

взаємодія ОІІ з іншими ОІІ, а саме отримання ОІІ життєво важливих послуг від інших ОІІ (ОКІІ), ненадання яких вплине на функціонування ОІІ. Надання ОІІ життєво важливих послуг іншим ОІІ (ОКІІ), неотримання яких вплине на їх функціонування. Описати цю взаємодію, вказати повне найменування іншого ОІІ, унікальний ідентифікатор ОКІІ (за наявності) та контактні дані (номер телефону, e-mail адреса);

атестат відповідності комплексної системи захисту інформації (далі - КСЗІ) ОІІ або результати незалежного аудиту ОКІ (за наявності). У разі наявності атестата відповідності КСЗІ ОКІІ або елемента ОКІІ, зазначити який саме (на що саме виданий атестат, номер, дата та ким виданий). Вказати номер та дату сертифіката відповідності та/або звіту за результатами незалежного аудиту інформаційної безпеки на ОКІ, висновок за результатами аудиту. За наявності іншого документа, що засвідчує відповідність КСЗІ ОКІІ, в графі "Інше" зазначити, який саме;

взаємодія з платформами обміну інформацією щодо шкідливого програмного забезпечення (MISP CERT-UA, MISP-UA або інші з переліку) (за наявності), і з якою (якими) саме. В разі, якщо в переліку не зазначено платформи обміну інформацією щодо шкідливого програмного забезпечення, з якою є взаємодія, в графі "Інша" зазначити, яка саме;

взаємодія з командами реагування на кіберінциденти (CERT, CSIRT тощо) (за наявності). У разі, якщо є, вказати найменування команди реагування на кіберінциденти, тип за формою власності (вибрати з переліку), тип за належністю (вибрати з переліку) та контактну інформацію (номер телефону, e-mail адреса) зазначеної команди реагування на кіберінциденти;

взаємодія з центрами управління безпекою (SOC). У разі, якщо є, вказати найменування центру управління безпекою, тип за належністю (вибрати з переліку) та контактну інформацію (номер телефону, e-mail адреса) зазначеного SOC;

використання програмних та/або апаратних засобів:

а) що мають походження або виготовлені державою-агресором;

б) виготовлених фізичними або юридичними особами, щодо яких застосовано персональні спеціальні економічні та інші обмежувальні заходи (санкції) згідно із Законом України "Про санкції";

в) отриманих на безоплатній основі від фізичних або юридичних осіб.

У разі використання необхідно вказати назви програмних та/або апаратних засобів, компанії-розробника, компанії-постачальника, компанії, що здійснює підтримку такого(их) засобу(ів), наявність плану по заміщенню такого(их) засобу(ів) (для підпунктів "а" і "б"), орієнтовні терміни заміщення такого(их) засобу(ів) (для підпунктів "а" і "б");

перевірка ефективності заходів щодо захисту ОІІ від зовнішнього проникнення шляхом виконання тестів на проникнення (Penetration test). У разі проведення такого тестування необхідно стисло описати проведені заходи та результати;

використання механізму здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж (Bug Bounty). У разі використання такого механізму необхідно стисло описати вжиті заходи та результати, а також зазначити посилання на публічну пропозицію, де виставляється повна інформація (відповідно до пункту 6 Порядку пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж, затвердженого постановою Кабінету Міністрів України від 16 травня 2023 року № 497).

Також в пункті 2 Плану захисту розміщується:

рисунок загальної функціональної схеми системи (мережі) ОКІ;

опис загальної функціональної схеми системи (мережі) ОКІ та технології обробки інформації, де надається стислий опис роботи системи (мережі) ОКІ (не має перевищувати двох сторінок). Мають бути описані основні функції, завдання, принципи функціонування, технології обробки інформації, вплив на надання життєво важливої(их) функції(й) та/або послуги(г) ОКІ. Опис має давати загальне уявлення про систему (мережу) ОКІ.

4. У таблиці 6 пункту 3 Плану захисту зазначаються властивості проектних загроз національного, секторального та об'єктового (у разі наявності) рівня.

5. Загальний порядок реагування на кібератаки/кіберінциденти, який передбачений пунктом 4 Плану захисту, розробляє підрозділ або призначені особи, на яких покладається забезпечення захисту інформації та контроль за станом кіберзахисту ОКІ.

Основною рекомендацією є вивчення та дослідження сучасних видів кібератак/кіберінцидентів, розроблення методів і механізмів запобігання та протидії можливим кібератакам/кіберінцидентам на постійній основі.

Після виявлення кібератаки/кіберінциденту доцільно:

визначити категорію (рівень) критичності кібератаки/кіберінциденту на поточний момент відповідно до трьох критеріїв критичності кібератаки/кіберінциденту відповідно до пункту 5 розділу III Методичних рекомендацій щодо реагування суб'єктами забезпечення кібербезпеки на різні види подій у кіберпросторі, затверджених наказом Адміністрації Держспецзв'язку від 03.07.2023 № 570 (далі - Методичні рекомендації № 570);

поінформувати про кібератаку/кіберінцидент урядову команду реагування на комп'ютерні надзвичайні події України CERT-UA (у разі наявності - галузеву команду реагування на комп'ютерні надзвичайні події), а також Ситуаційний центр забезпечення кібербезпеки СБУ або відповідний підрозділ регіонального органу СБУ (відповідно до пункту 8 Загальних вимог до кіберзахисту об'єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19.06.2019 № 518);

вжити невідкладних заходів з нейтралізації/зменшення потенційного негативного ефекту від реалізації кібератаки/кіберінциденту відповідно до розділу IV Методичних рекомендацій № 570;

вжити заходів для відновлення штатного режиму функціонування шляхом усунення інциденту і пом'якшення наслідків від реалізації кіберзагроз або інших умов, якими скористався зловмисник або групи таких осіб відповідно до розділу V Методичних рекомендацій № 570;

пом'якшити наслідки від реалізації кіберзагроз та інших умов, якими скористався зловмисник, відповідно до розділу VI Методичних рекомендацій № 570 .

Відповідно до особливостей функціонування та затверджених інструкцій реагування на кіберінциденти на ОКІ рекомендовано описати стисле викладення дій, що виконуються на ОКІ.

6. План кіберзахисту ОКІ, передбачений пунктом 5 Плану захисту, містить мінімальний набір завдань, які в першу чергу (але не обмежуючись ними надалі в діяльності з підвищення рівня кіберзахисту критичної інформаційної інфраструктури) мають бути впроваджені або заплановані для впровадження на ОКІ. План кіберзахисту ОКІ передбачає 5 класів завдань кіберзахисту ("Ідентифікація ризиків кібербезпеки (ID)", "Кіберзахист (PR)", "Виявлення кіберінцидентів (DE)", "Реагування на кіберінциденти (RS)", "Відновлення стану кібербезпеки (RC)"), кожний з яких містить категорії заходів кіберзахисту.

Клас "Ідентифікація ризиків кібербезпеки" (ID) має на меті розвинути розуміння того, як краще керувати ризиками кібербезпеки для систем, ресурсів, даних та можливостей, тобто визначити, які процедури та інформаційні активи потребують захисту. Він передбачає заходи щодо інвентаризації апаратного та програмного забезпечення, створення політик кібербезпеки, ідентифікації загроз та вразливостей тощо.

Клас "Кіберзахист" (PR) рекомендує запобіжні заходи для захисту, тобто визначає діяльність із розробки та впровадження відповідних методів, засобів, процедур кіберзахисту для забезпечення стійкого, безперервного та безпечного надання життєво важливих функцій та/або послуг. Ці заходи дозволяють обмежити або стримати вплив кіберінцидентів. Основними заходами є керування доступом до інформаційних активів та інформації, захист інформації, регулярне створення резервних копій, захист апаратного забезпечення, керування вразливостями, навчання користувачів, збір і зберігання журналів (логів) реєстрації подій тощо.

Клас "Виявлення кіберінцидентів" (DE) містить заходи, що допомагають розробити та впровадити відповідні заходи для своєчасної ідентифікації кіберінциденту. Наприклад, тестування та оновлення процесів виявлення, ведення та моніторинг журналів (логів) реєстрації подій, розуміння впливу кіберінцидентів, відстеження потоків даних.

Клас "Реагування на кіберінциденти" (RS) містить заходи щодо розробки та впровадження заходів для реагування на кіберінциденти та кібератаки. Реалізація заходів спрямована на зниження потенційного негативного впливу кіберінциденту на надання життєво важливих послуг та функцій, наприклад, створення, тестування та оновлення планів реагування, координація внутрішніх та зовнішніх зацікавлених сторін тощо.

Клас "Відновлення стану кібербезпеки" (RC) допомагає розробити та впровадити відповідні заходи для підтримання стійкості, своєчасного відновлення штатної роботи після кіберінциденту та зменшення негативного впливу кіберінциденту. Такими заходами є розроблення, тестування, оновлення планів відновлення, керування зв'язками з громадськістю, відновлення репутації після кіберінциденту, а також спілкування з внутрішніми та зовнішніми зацікавленими сторонами.

У Плані кіберзахисту рекомендовано заповнити Таблиці 7 - 11 Плану захисту, де описується поточний стан виконання завдань кіберзахисту та наявні ресурси, а як підтвердження вказати назву документа, номер та дату реєстрації, в якому підтверджується виконання завдання кіберзахисту. Для заповнення поля "Поточний стан виконання завдання (реалізовано / не реалізовано) та наявні ресурси" доцільно використовувати Методичні рекомендації щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури, затверджені наказом Адміністрації Держспецзв'язку від 06.10.2021 № 601. У разі наявності секторальних вимог або стандартів, або рекомендацій, затверджених відповідною міжнародною організацією (наприклад, МАГАТЕ, IKAO тощо), перед заповненням Таблиці 7 Плану кіберзахисту доцільно навести перелік відповідних секторальних документів та спосіб їх врахування щодо ОКІ, для яких вони передбачені. При цьому, якщо заходи безпеки застосовуються постійно, рекомендовано наводити підтвердження цього. Також варто зазначити заплановані заходи для виконання завдань кіберзахисту, визначити та вказати відповідальну особу за їх виконання, зазначити запланований термін та додаткові ресурси для реалізації запланованих завдань кіберзахисту.

У випадку, якщо в Плані захисту буде описано декілька ОІІ, обов'язково зазначати його назву.

Таблиця 7 пункту 5 Плану захисту заповнюється шляхом описання виконання наступних завдань із кіберзахисту:

Завдання 1. Провести ідентифікацію інформаційних, програмних та апаратних ресурсів (програмних та апаратних компонентів, змінних (зовнішніх) пристроїв та носіїв інформації тощо). Доцільно проводити інвентаризацію інформаційних та операційних активів, не рідше ніж раз на рік. Для виконання цього можуть бути заплановані такі заходи:

проведення інвентаризації усього інформаційного та операційного обладнання. Бажано зафіксувати у документі, визначеному керівництвом ОКІ, результати інвентаризації та всі складові, які беруть участь у технологічному процесі обробки та впливають на безпеку ОКІ: точно описує поточну мережу ОКІ, охоплює всі компоненти в межах акредитації ОКІ, визначає рівень деталізації, який вважається необхідним для відстеження та звітування;

бажано створити календарний план змін усього інформаційного та операційного обладнання ОКІ.

Завдання 2. Створити підрозділ (або призначити посадову особу) з інформаційної безпеки, що відповідає за політику інформаційної безпеки, прийняту на ОКІ, та контроль за її дотриманням. Підрозділ або посадова особа повинні бути підпорядковані безпосередньо керівнику ОКІ. Бажано визначити обов'язки персоналу ОКІ, відповідального за планування діяльності з кібербезпеки, та забезпечити його ресурсами для виконання такої діяльності. На виконання цього завдання можуть бути заплановані такі заходи:

на ОКІ затвердити положення про визначення керівної посадової особи, відповідальної за кібербезпеку на всьому ОКІ, в тому числі систем управління технологічними процесами, а також систем, що впливають на безпеку функціонування ОКІ;

затвердити функціональні обов'язки персоналу ОКІ щодо планування діяльності з кібербезпеки та ознайомити з ними;

визначити термін перегляду та оновлення документів з організації діяльності відповідальної особи за кібербезпеку на всьому ОКІ, в тому числі систем управління технологічними процесами, а також систем, що впливають на безпеку функціонування ОКІ;

визначити перелік персоналу ОКІ, відповідального за планування діяльності з кібербезпеки.

Завдання 3. Забезпечити належну взаємодію підрозділів ІТ та кіберзахисту шляхом розроблення Порядку взаємодії та обміну інформацією між підрозділами ІТ та кіберзахисту з урахуванням повноважень підрозділів під час реагування на кіберінциденти.

Завдання 4. Опрацювати вплив відомих вразливостей, тобто виправляти або іншим чином пом'якшувати протягом визначеного проміжку часу усі відомі використовувані вразливості у системах, що підключаються до мережі Інтернет, в першу чергу для важливіших інформаційних активів ОКІ. Для виконання зазначеного завдання можуть бути заплановані заходи: