Методичні рекомендації щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури

06 жовтня 2021 року Адміністрація Державної служби спеціального зв'язку та захисту інформації України  затвердила методичні рекомендації щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури.

Рекомендації можуть використовуватися під час упровадження заходів кіберзахисту, які спрямовані на управління ризиками кібербезпеки для об’єкту критичної інформаційної інфраструктури (ОКІІ), що є елементами одного об’єкту критичної інфраструктури (ОКІ), і у співпраці з іншими ОКІ свого та інших секторів критичної інфраструктури, а також для використання іншими суб’єктами забезпечення кібербезпеки.

Рекомендації описують загальний підхід до забезпечення кібербезпеки, що дозволяє:

• здійснити аналіз та надати характеристику поточного стану кібербезпеки ОКІІ;
• описати цільовий стан кібербезпеки ОКІІ;
• ідентифікувати та визначити пріоритети, рівень упровадження заходів кіберзахисту в контексті безперервного та повторюваного процесу управління ризиками у сфері кібербезпеки ОКІІ;
• оцінити прогрес у досягненні цільового стану кібербезпеки ОКІІ;
• забезпечити комунікацію між суб’єктами, які безпосередньо знаходяться на ОКІ, та із суб’єктами, які є партнерами організації щодо управління ризиками у сфері кібербезпеки.

Підхід, що визначається у рекомендаціях, не є єдиним підходом для управління ризиком кібербезпеки, оскільки ОКІ, що належать різним секторам такої інфраструктури, можуть мати як однакові ризики, так і різні унікальні ризики – унікальні загрози, різні вразливості, різні допустимі рівні ризику. Підхід до забезпечення кібербезпеки залежить від того, яким чином організація буде впроваджувати заходи кіберзахисту.

Система заходів кіберзахисту базується на нормативних документах, національних та міжнародних стандартах, усталеній практиці захисту інформації та забезпечення кібербезпеки, що розвиваються разом з технологіями забезпечення кібербезпеки. Це забезпечує ефективність реалізації заходів кіберзахисту та можливість підтримки нових технологій і методів забезпечення кібербезпеки.

Функції кібербезпеки забезпечують:

• прийняття рішення з управління ризиками кібербезпеки на ОКІІ;
• вибір та впровадження заходів кіберзахисту;
• реагування на загрози кібербезпеки;
• удосконалення кіберзахисту, враховуючи набутий досвід.

Функції кібербезпеки узгоджені з чинними підходами щодо управління ризиками кібербезпеки та допомагають продемонструвати ефективність інвестицій в кібербезпеку. Наприклад, планування забезпечення кібербезпеки та тренування персоналу покращують своєчасне реагування на кіберінциденти та відновлення функціонування ОКІІ, в результаті чого знижується негативний вплив кіберінцидентів на своєчасність та безперервність надання життєво важливих послуг та функцій.

Студенти кафедри Систем інформаційного та кібернетичного захисту  завжди слідкують за появою нових нормативних актів, які стосуються захисту інформації, у тому числі і рекомендації, які надає Адміністрація Державної служби спеціального зв'язку та захисту інформації України. Науково-педагогічний склад кафедри акцентують увагу на особливо важливих моментах, що описані у документації та оновлюють навчально-методичний матеріал з урахуванням нової інформації у навчальний процес.