Методичні рекомендації щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури

06 жовтня 2021 року було затверджено наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України № 601 «МЕТОДИЧНІ РЕКОМЕНДАЦІЇ щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури».

Рекомендації розроблено з урахуванням Настанови для підвищення кібербезпеки критичної інфраструктури (Framework for Improving Critical Infrastructure Cybersecurity1 ), виданої у 2014 році та оновленої у 2018 році Національним інститутом стандартів та технології Сполучених Штатів Америки (National Institute of Standards and Technology).

Рекомендації запроваджують однаковий опис застосованих механізмів кіберзахисту, визначених постановою № 518, національними та міжнародними стандартами, керівництвами та практиками, а також механізмів захисту інформації, що вже впроваджені на ОКІ організаціями в будь-яких секторах економіки.

Рекомендації можуть використовуватися під час упровадження заходів кіберзахисту, які спрямовані на управління ризиками кібербезпеки для ОКІІ, що є елементами одного ОКІ, і у співпраці з іншими ОКІ свого та інших секторів критичної інфраструктури, а також для використання іншими суб’єктами забезпечення кібербезпеки.

Рекомендації описують загальний підхід до забезпечення кібербезпеки, що дозволяє:

• здійснити аналіз та надати характеристику поточного стану кібербезпеки ОКІІ;
• описати цільовий стан кібербезпеки ОКІІ;
• ідентифікувати та визначити пріоритети, рівень упровадження заходів кіберзахисту в контексті безперервного та повторюваного процесу управління ризиками у сфері кібербезпеки ОКІІ;
• оцінити прогрес у досягненні цільового стану кібербезпеки ОКІІ;
• забезпечити комунікацію між суб’єктами, які безпосередньо знаходяться на ОКІ, та із суб’єктами, які є партнерами організації щодо управління ризиками у сфері кібербезпеки.

Рекомендації складаються з трьох основних частин:

• системи (таксономії) заходів кіберзахисту;
• рівнів упровадження заходів кіберзахисту; профілю кіберзахисту.

Підхід, що визначається у Рекомендаціях, не є єдиним підходом для управління ризиком кібербезпеки, оскільки ОКІ, що належать різним секторам такої інфраструктури, можуть мати як однакові ризики, так і різні унікальні ризики – унікальні загрози, різні вразливості, різні допустимі рівні ризику. Підхід до забезпечення кібербезпеки залежить від того, яким чином організація буде впроваджувати заходи кіберзахисту, що наведені у цих Рекомендаціях.

Студенти Кафедри Систем інформаційного та кібернетичного захисту слідкують за публікаціями на тему захисту інформації, зокрема і в державних органах. Враховуючи методичні рекомендації студенти можуть ефективніше використовувати свої знання під час опису ризиків для автоматизованих систем різного типу.

Ознайомитися з методичними рекомендаціями можна за посиланням: https://cip.gov.ua/ua/docs/nakaz-administraciyi-derzhspeczv-yazku-vid-06-zhovtnya-2021-roku-601-pro-zatverdzhennya-metodichnikh-rekomendacii-shodo-pidvishennya-rivnya-kiberzakhistu-kritichnoyi-informaciinoyi-infrastrukturi