Неофициальный перевод (с) ООО СоюзПравоИнформ

ПРИКАЗ МИНИСТЕРСТВА ЭНЕРГЕТИКИ УКРАИНЫ

от 5 августа 2024 года №285

Об утверждении Методики оценки состояния кибербезопасности электрических сетей и практики кибербезопасности электрических сетей

В соответствии с пунктом 8 Положения о Министерстве энергетики Украины, утвержденного постановлением Кабинета Министров Украины от 17 июня 2020 года №507, пункта 2 плана мероприятий по реализации Концепции внедрения "умных сетей" в Украине до 2035 года, утвержденного распоряжением Кабинета Министров Украины от 14 октября 2022 года №908-р, ПРИКАЗЫВАЮ:

1. Утвердить прилагаемые:

1) Методику оценки состояния кибербезопасности электрических сетей;

2) Практику кибербезопасности электрических сетей.

2. Управлению кибербезопасности и цифрового развития обеспечить представление настоящего приказа на государственную регистрацию в Министерство юстиции Украины в установленном порядке.

3. Настоящий приказ вступает в силу со дня его официального опубликования.

4. Контроль за выполнением настоящего приказа возложить на заместителя Министра по вопросам цифрового развития, цифровых трансформаций и цифровизации Андарака Романа.

Согласован: Первым заместителем Министра цифровой трансформации Украины

О.Выскуб

Председателем Государственной службы специальной связи защиты информации Украины

Ю.Мироненко

В.и.о. Министра образования и науки Украины

Г.Винницкий

Председателем Национальной комиссии, который осуществляет государственное регулирование в сферах энергетики и коммунальных услуг

B.Тapacюк

Заместителем Председателя Службы безопасности Украины

С.Наумюк

Председателем Государственной регуляторной службы Украины

А.Кучер

Утверждена Приказом Министерства энергетики Украины от 5 августа 2024 года №285

Методика оценки состояния кибербезопасности электрических сетей

1. Настоящая Методика определяет модель зрелости возможностей кибербезопасности электрических сетей (далее - модель зрелости), как объектов критической инфраструктуры топливно-энергетического сектора критической инфраструктуры и/или их систем, их частей и их совокупностей (далее - электрические сети).

2. Действие настоящей Методики распространяется на операторов критической инфраструктуры (далее - операторы), которые на правах собственности, аренды или на других законных основаниях осуществляют управление электрическими сетями.

3. В настоящей Методике термины употребляются в следующих значениях:

1) активы информационных технологий (далее - ИТ-активы) - отдельный набор электронных информационных ресурсов, организованных для сбора, обработки, поддержки, использования, совместного использования, распространения или размещения информации.

Это определение включает взаимосвязанные или взаимозависимые системы и среду, в которой они работают.

ИТ-активы включают рабочие станции, коммутаторы, маршрутизаторы, межсетевые экраны, серверы, виртуальные машины, программное обеспечение, мобильные компьютерные устройства, облачные ресурсы;

2) активы операционных технологий (далее - OT-активы) - активы, которые находятся в сегменте операционных технологий электрических сетей и необходимы для предоставления услуг или производственной деятельности.

Большинство систем управления электрическими сетями включают ИТ-активы.

К ОТ-активам относятся рабочие станции, коммутаторы, маршрутизаторы, межсетевые экраны, серверы, виртуальные машины, программное обеспечение, мобильные компьютерные устройства, облачные активы, программируемые логические контроллеры, удаленные терминалы, промышленные системы управления (ICS), системы безопасности, устройства контроля физического доступа;

3) зрелость-измеримая способность оператора постоянно совершенствоваться в рамках кибербезопасности электрических сетей;

4) индекс кибербезопасности электрических сетей (далее - индекс MIL) - периодические информационные материалы, содержащие экспертные, аналитические, статистические сведения о состоянии кибербезопасности электрических сетей, а также об отдельных показателях вредного воздействия реализованных киберугроз, составленные с целью оценки состояния кибербезопасности электрических сетей;

5) индикатор зрелости кибербезопасности (далее-индикатор зрелости) - значение показателя зрелости кибербезопасности электрических сетей;

6) информационные активы - любое сообщение или представление знаний, таких как факты, данные, которые являются ценными для электрических сетей.

Информационные активы могут быть в любом носителе или форме, включая цифровые или нецифровые. Информационные активы включают бизнес-данные, интеллектуальную собственность, информацию о клиентах, контракты, контракты, журналы безопасности, метаданные, оперативные данные, финансовые данные, информацию о безопасности и журналы управления событиями, файлы конфигурации;

7) модель зрелости-структурированный набор практик, инструкций, планов действий для создания эффективных программ кибербезопасности электрических сетей и проведения мероприятий по киберзащите электрических сетей;

8) модель C2M2 - модель зрелости возможностей кибербезопасности электрических сетей для оценки и совершенствования программ по кибербезопасности электрических сетей и укрепления их эксплуатационной устойчивости;

9) область - это логическая группировка практик.

Каждый такой набор практик представляет деятельность, которую операторы выполняют для установления и развития возможностей в сфере кибербезопасности электрических сетей;

10) оценка состояния кибербезопасности электрических сетей-определение или измерение показателей зрелости кибербезопасности электрических сетей;

11) показатель зрелости кибербезопасности электрических сетей-параметр состояния кибербезопасности электрических сетей;

12) практика-это метод, связанный с действиями, которые многократно выполняются в рамках кибербезопасности электрических сетей, что и определяют меру уровня зрелости возможностей кибербезопасности электрических сетей;

13) уровень кибербезопасности электрических сетей (далее - уровень MIL) - уровень индикатора зрелости модели С2М2, который определяется совокупностью практик кибербезопасности электрических сетей (далее - практика) из области кибербезопасности электрических сетей (далее - область), внедренных и выполняемых в электрических сетях.

Другие термины употребляются в значениях, приведенных в Законах Украины "О критической инфраструктуре", "Об основных принципах обеспечения кибербезопасности Украины", "О защите информации в информационно-коммуникационных системах", "О рынке электрической энергии".

4. Целью настоящей Методики является определение алгоритма оценки и совершенствования программ по кибербезопасности электрических сетей.

5. Модель C2M2:

1) формулирует модель зрелости как совокупность характеристик, атрибутов, показателей или образцов, показывающих способности и прогресс реализации мер по киберзащите электрических сетей;

2) определяет управление практикой реализации кибербезопасности электрических сетей и адаптирована для использования операторами;

3) предназначена для использования операторами с целью осуществления самооценки состояния кибербезопасности и выполнения мероприятий по киберзащите электрических сетей.

Для эффективной реализации модели C2M2 лучше всего использовать ее как часть непрерывного процесса управления рисками электрических сетей.

6. Формой применения модели C2M2 является самооценка оператором электрических сетей, осуществляемая по мере их необходимости, но не реже 1 раза в год.

7. По результатам применения модели C2M2 оператор готовит отчет, который направляется Минэнерго в течение 10 дней, но не позднее 01 декабря текущего года.

В отчете указываются:

данные о текущем состоянии кибербезопасности электрических сетей;

данные о реализации оператором мер по киберзащите электрических сетей по результатам применения модели C2M2;

данные об усовершенствовании программ оператора по кибербезопасности электрических сетей по результатам применения модели C2M2.

8. В модели С2М2 термин "функция" относится к электрическим сетям.

9. Модель С2М2 широко определяет понятие "функция", чтобы предоставить операторам наибольшую степень гибкости в определении объема самооценки, которая подходит для них.

10. Выбор функции определяет, какие объекты критической информационной инфраструктуры (далее - объекты), информационные (автоматизированные), электронные коммуникационные, информационно-коммуникационные системы, автоматизированные системы управления технологическими процессами электрических сетей будут подлежать оценке, включая взаимосвязанные или взаимозависимые системы и среду, в которой они работают.

11. Для целей модели C2M2 термин "активы" включает все объекты, информационные (автоматизированные), электронные коммуникационные, информационно-коммуникационные системы, автоматизированные системы управления технологическими процессами электрических сетей в рамках выбранной функции, включая взаимосвязанные или взаимозависимые системы и среду, в которой они работают.

12. Модель C2M2 включает 356 практик, которые классифицированы в 10 областей.

13. Каждая область связана с уникальной целью управления и несколькими целями подхода. В рамках целей как подхода, так и целей управления детализированы практики для описания деятельности по кибербезопасности электрических сетей. В рамках каждой цели практики упорядочены по уровням MIL.

14. Для измерения прогресса модели C2M2 используют шкалу индикаторов и индексов состояния кибербезопасности электрических сетей, определяющую уровни от MIL0 до MIL3 согласно приложению к этой методике. Набор практик определяет каждый уровень MIL. Если оператор реализовал и использует такой набор практик, то он достиг как этого уровня MIL, так и возможностей, которые представляет этот уровень MIL.

15. Наличие измеримых переходных состояний между уровнями MIL позволяет использовать шкалу для:

1) определение текущего состояния электрических сетей в отношении кибербезопасности;

2) определение будущего, более зрелого состояния кибербезопасности электрических сетей;

3) определение возможностей, которые оператор должен обеспечить, чтобы достичь будущего показателя зрелости состояния кибербезопасности электрических сетей.

16. Области модели С2М2:

1) ASSET - Управление активами, изменениями и конфигурацией. Управление ИТ-активами и ОТ-активами электрических сетей, включая аппаратное и программное обеспечение, а также информационные активы в соответствии с риском кибербезопасности для электрических сетей;

2) THREAT - управление угрозами и уязвимостями. Создание и поддержка планов, процедур и технологий для обнаружения, идентификации, анализа, управления и реагирования на угрозы и уязвимости кибербезопасности электрических сетей в соответствии с риском кибербезопасности для них;

3) RISK - управление рисками. Управление ИТ-активами и ОТ-активами электрических сетей, включая аппаратное и программное обеспечение, а также информационные активы в соответствии с риском кибербезопасности для электрических сетей;

4) ACCESS - управление идентификацией и доступом. Создание идентификационных данных для активов, которым может быть предоставлен логический или физический доступ к активам электрических сетей, управление ими. Контроль доступа к активам электрических сетей в соответствии с риском кибербезопасности для них;

5) SITUATION - ситуационная осведомленность. Внедрение и поддержка мер и технологий для сбора, мониторинга, анализа, предупреждения, отчетности и использования операционной информации, информации о безопасности и угрозах, включая информацию о статусе и сводную информацию из других областей модели С2М2, чтобы получить ситуационную осведомленность о рабочем состоянии кибербезопасности электрических сетей;

6) RESPONSE - реагирование на события и инциденты. Создание и поддержка планов, процедур и технологий для обнаружения, анализа, реагирования на события и инциденты кибербезопасности электрических сетей и восстановления после них, а также поддержка работы во время инцидентов кибербезопасности электрических сетей в соответствии с риском кибербезопасности для них;

7) THIRD - PARTIES-управление цепочками поставок и внешними взаимозависимостями. Установка и поддержка средств контроля для управления киберрисками, возникающими при взаимодействии с поставщиками услуг электрических сетей, в соответствии с риском кибербезопасности для электрических сетей и целей оператора;

8) WORKFORCE - управление персоналом. Создание и поддержка планов, процедур, технологий и средств контроля кибербезопасности электрических сетей и обеспечение устойчивой компетентности персонала по кибербезопасности в соответствии с риском кибербезопасности для электрических сетей и целей оператора;

9) ARCHITECTURE - архитектура кибербезопасности. Создание и поддержка архитектуры кибербезопасности электрических сетей, включая элементы управления, процессы, технологии и другие элементы;