Неофициальный перевод (с) ООО СоюзПравоИнформ

ПРИКАЗ МИНИСТЕРСТВА ЭНЕРГЕТИКИ УКРАИНЫ

от 15 декабря 2022 года №417

О требованиях по кибербезопасности топливно-энергетического сектора критической инфраструктуры

В соответствии с пунктом 14 общих требований к киберзащите объектов критической инфраструктуры, утвержденных постановлением Кабинета Министров Украины от 19 июня 2019 года №518, с целью реализации государственной политики защиты объектов критической инфраструктуры топливно-энергетического сектора критической инфраструктуры приказываю:

1. Утвердить прилагаемые требования по кибербезопасности топливно-энергетического сектора критической инфраструктуры.

2. Управлению цифрового развития и кибербезопасности обеспечить представление настоящего приказа на государственную регистрацию в Министерство юстиции Украины в установленном порядке.

3. Настоящий приказ вступает в силу со дня его официального опубликования.

4. Контроль за выполнением настоящего приказа возложить на заместителя министра по вопросам цифрового развития, цифровых трансформаций и цифровизации САФАРОВА Фарида.

Утверждены Приказом Министерства энергетики Украины от 15 декабря 2022 года №417

Требования к кибербезопасности топливно-энергетического сектора критической инфраструктуры

1. Настоящие требования определяют меры киберзащиты объектов критической информационной инфраструктуры, эксплуатируемых на объектах критической инфраструктуры топливно-энергетического сектора критической инфраструктуры для достижения конкретного целевого состояния кибербезопасности.

2. В настоящих требованиях термины употребляются в следующем значении:

1) активы-данные, персонал, устройства и носители информации, позволяющие оператору критической инфраструктуры обеспечить предоставление жизненно важных услуг и функций;

2) виртуальная частная сеть ( VirtualPrivateNetwork, VPN) - технология, позволяющая создать отдельно выделенные виртуальные сети с одним или несколькими зашифрованными соединениями через сеть Интернет;

3) экосистема-совокупность объектов критической инфраструктуры, которые взаимодействуют и/ или взаимозависимы друг от друга как поставщики или получатели основных услуг, или объединены между собой по отраслевому (секторальному) признаку и/или процессу предоставления основной услуги, или которые непосредственно влияют на возможность предоставления основной услуги;

4) профиль киберзащиты-структурированное описание мер киберзащиты, реализованных на объекте критической информационной инфраструктуры, эксплуатируемой на объекте критической инфраструктуры топливно-энергетического сектора критической инфраструктуры, учитывающее практику реализации мер киберзащиты и потребности деятельности объекта критической инфраструктуры топливно-энергетического сектора критической инфраструктуры;

5) система (таксономия) мер киберзащиты - упорядоченный набор мер по киберзащите и желаемых результатов киберзащиты.

Другие термины употребляются в значениях, приведенных в Законах Украины "О критической инфраструктуре", "Об основных принципах кибербезопасности Украины", постановлениях Кабинета Министров Украины от 09 октября 2020 года №943 "Некоторые вопросы объектов критической информационной инфраструктуры", от 09 октября 2020 года №1109 "Некоторые вопросы объектов критической инфраструктуры", от 19 июня 2019 года №518 "Об утверждении общих требований к киберзащите объектов критической инфраструктуры" (далее - постановление №518).

3. В настоящих требованиях используются сокращения, имеющие следующие значения:

ИКС-информационно-коммуникационная система;

КСЗИ-комплексная система защиты информации;

ОКИ-объект критической инфраструктуры топливно-энергетического сектора критической инфраструктуры;

ОКИИ-объект критической информационной инфраструктуры, эксплуатируемый на объекте критической инфраструктуры топливно-энергетического сектора критической инфраструктуры;

ПО-программное обеспечение;

СУИБ-система управления информационной безопасности.

4. Настоящие требования вводят одинаковое описание примененных механизмов киберзащиты, определенных постановлением №518, нормативными документами в сфере технической защиты информации, международными стандартами по вопросам информационной безопасности, кибербезопасности и киберзащиты, а также механизмов защиты информации, которые уже внедрены на ОКИ операторами критической инфраструктуры.

5. Настоящие требования обязательны при осуществлении деятельности с:

внедрением мер киберзащиты, направленных на управление рисками кибербезопасности для ОКИИ, являющихся элементами одного ОКИ, и в сотрудничестве с другими ОКИ, операторами критической инфраструктуры топливно-энергетического сектора критической инфраструктуры и других секторов критической инфраструктуры;

внедрение системного процесса для определения, оценки и управления рисками в сфере кибербезопасности, разработка плана усовершенствования этой деятельности для соответствующего утверждения оператором критической инфраструктуры и планирование финансирования мероприятий по его реализации;

защиты информации или внедрении КСЗИ для сопоставления с мерами киберзащиты, изложенными в настоящих требованиях, с целью определения недостатков в текущей деятельности по защите информации и управлению рисками кибербезопасности, а также совершенствования системы защиты информации;

на всех этапах создания КСЗИ, СУИБ, систем информационной безопасности или других систем защиты информации, определенных международными и национальными стандартами;

разработка, изготовление, испытания, приемка и поставка по;

проектирование, комплектование, монтажа, наладочных работ, ввод в эксплуатацию, эксплуатации и модификации ИКС;

разработка документов, обосновывающих безопасность ИКС и/или их компонентов.