SlideShare a Scribd company logo

Cybersec requirements implementation by OKI (KMU 518)

A
Anastasiia Konoplova

Аналіз вимог постанови КМУ №518 від 19.06.2019 щодо кібербезпеки об'єктів критичної інфраструктури. З додатком та посиланням на чеклист.

Technology
1 of 30
Download to read offline
Впровадження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури Київ, 01 жовтня 2019 Анастасія Конопльова CISA, LLC UAG Президент Київського відділення ISACA a.konopleva@uag.kiev.ua +38(050)9570596 1
Підґрунтя аналізу 2 Аналогії Впровадження СУІБ за ISO 27к в банківській системі з 2010 Впровадження Незалежного аудиту фінансової звітності з 1993 Пов’язані документи Закон України від 05.10.2017 № 2163- VIII Про основні засади забезпечення кібербезпеки України Закон України від 14.08.2014 № 1644- VII Про санкції Постанова КМУ; Правила від 29.03.2006 № 373 Про затвердження Правил забезпечен- ня захисту інформації в інформаційних, телекомунікаційних та інформаційно- телекомунікаційних системах Закон України від 05.07.1994 № 80/94- ВР Про захист інформації в інформаційно-телекомунікаційних системах НД ТЗІ 3.7-003-05 “Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно- телекомунікаційній системі” НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу” ДСТУ ISO/IEC 27005 Додаткова інформація ЗУ від 23.02.2006 № 3475-IV Про Державну службу спеціального зв'язку та захисту інформації України Адміністрація ДССЗЗІ УКРАЇНИ НАКАЗ від 16.05.2007 № 93 Про затверджен- ня Положення про державну експертизу в сфері технічного захисту інформації Власна аудиторська практика ISA (з 2005) ITAF (з 2014) IPPF (з 2016)
Одним поглядом 19.06.2019 КСЗІ vs ISO 27k Перелік «базових вимог безпеки» Повідомлення інцидентів CERT-UA Держінформресурси та ДСК vs все інше «Компенсуючі контролі» при невпровадженні базових вимог …Зміна парадигми для ліцензіатів Оцінка ризиків Щорічне обстеження (за НД ТЗІ) та пентенст *Державні інформаційні ресурси - систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень; Про Державну службу спеціального зв'язку та захисту інформації України Закон України від 23.02.2006 № 3475-IV * 3
Що, куди і коли впроваджувати за вимогами в ОКІ – в організацію в цілому Кібербезпека загалом, політика, управління ризиками, сегментація мереж в ОКІІ ОКІ – для попередньо визначеної окремої критичної системи Заходи безпеки (логування, МFA,FW, AV,…) В Загальних вимогах: ОКІ – 244 згадки ОКІІ ОКІ – 161 згадка Вибір ОКІІ з переліку ІС КУДИ ЩО КОЛИ 1) При віднесенні організації до переліку ОКІ п.1 Вимог 2) протягом 5 років*, якщо є атестат відповідності КСЗІ під час створення (модернізації) на ОКІІ ОКІ КСЗІ п.6 Вимог 3) Протягом 1 року** при перегляді СУІБ, якщо впроваджена під час створення (модернізації) системи інформаційної безпеки п.7 Вимог + п.5 Переліку *пп.7, 28 Адміністрація ДССЗЗІ УКРАЇНИ НАКАЗ від 16.05.2007 № 93 Про затвердження Положення про державну експертизу в сфері технічного захисту інформації **п.9 ДСТУ ІSO/IEC 27001:2015 4
Процес впровадження кібербезпеки за вимогами PLAN DO CHECKACT •Оцінка ризиків за методикою на підставі 27005 •для КСЗІ п.6 Вимог+п.4 Переліку •для ІБ п.7 Вимог +п.4 Переліку •Технічне завдання (п.6-7 Вимог) •КСЗІ (ДІС+ДСК), •СІБ (інше) •Оновлення технічного завдання за змін (п.5 Переліку) •Підтримання актуального стану документації (п.6, 53 Переліку) •Політика (всеоохоплююча) п.12.1 Вимог+п.7 Переліку •Заходи за Переліком (п.1-53 Переліку) або компенсуючі контролі (п.13 Вимог) •(Само)обстеження раз на рік за НД ТЗІ 3.7-003-05 (п.5 Переліку) •Пентест щорічно (п. 33 Переліку) 5
Визначення обсягу впровадження вимог Технічне завдання Компенсуючі контролі (п.13 Вимог) Виключення з переліку (п.13 Вимог) Доповнення переліку (п. 12 Вимог) Перелік заходів безпеки (п. 3 Вимог+п. 12 Вимог) Вразливості, ймовірність, вплив... Загрози (з оцінки ризиків? - п.5 Переліку) Незалежний аудит ІБ Державна експертиза КСЗІ Оцінка при підтвердженні відповідності Вибір ОКІІ 6
Нормативні визначення ОКІІ • 16) критично важливі об’єкти інфраструктури (далі - об’єкти критичної інфраструктури) - підприємства, установи та організації незалежно від форми власності, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки та промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей; • 19) об’єкт критичної інформаційної інфраструктури - комунікаційна або технологічна система об’єкта критичної інфраструктури, кібератака на яку безпосередньо вплине на стале функціонування такого об’єкта критичної інфраструктури; Закон України від 05.10.2017 № 2163-VIII Про основні засади забезпечення кібербезпеки України • критичні бізнес/операційні процеси об’єкта критичної інфраструктури - процеси організації функціонування об’єктів критичної інфраструктури, реалізація загроз на які призводить до виведення з ладу або порушення функціонування самого об’єкта критичної інфраструктури та відповідно справляє негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіює майнову шкоду та/або становить загрозу для суспільства, життя і здоров’я людей Постанова КМУ 518 від 19.06.2019 7
Організаційні норми Відповідальна особа/підрозділ ЦОД в Україні, в резидента АСУ ТП on-site Провайдер з КСЗІ, для держоргана з сервісами – 2 8
Оцінка ризиків за ISO 27005 План обробки ризиків (перелік заходів безпеки) Аналіз залишкових ризиків Розрахунок ризику: maxі{(Кі+Ці+Ді)*Рі} Оцінка впливу пари «загроза-вразливість» на конфіденційність, цілісність, доступність активу Оцінка ймовірності експлуатації загрозою вразливості Оцінка вразливостей Оцінка загроз Ідентифікація активів 9
Вимоги безпеки, основне Оцінка ризиків, політика та методика Відповідальність керівництва Адекватна повна документація на все Мінімальні повноваження та MFA Відмовостійка архітектура ІС (Security by design) Мережевий захист Логування всього, архів 1 рік Резервні копії 10
DMZ App DB Test Security • control SCADA ASA, IDS, IPS …External interfaces Mail serverWeb-serverTerminal server WSUS Offline log archive ASA EPP SIEM Admin Users Вимоги до архітектури мережи п.25-32, 35, 39, 49, 52 Переліку Сommand and control PLC Operator In Ukraine On Site 11
(Не)підтверджувана відповідність, наприклад • 6. Власник/керівник ОКІ зобов’язаний забезпечити розроблення та підтримання в актуальному стані технічної, проектної та іншої документації на комплексну систему захисту інформації (систему інформаційної безпеки) ОКІІ ОКІ (в захищеній від модифікації формі, зокрема електронній) з обов’язковим описом реалізованих у системі організаційних та технічних заходів безпеки інформації. • (в Політиці)…опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів ОКІІ ОКІ, які задіяні в цьому процесі; • 14. Засоби ОКІІ ОКІ повинні надавати можливість ідентифікації кожної операції користувача та адміністратора на ОКІІ ОКІ та їх протоколювання в журналах реєстрації подій. 12
Ризики впровадження вимог • Без процесного підходу в організації – «паперовий тигр» • За неадекватного підходу підтвердження відповідності - «паперовий тигр» + криза довіри • Окремі впроваджені заходи, за невиконання яких будуть реальні санкції або за ініціативи відповідальних власників/керівників • Бюджетні обмеження (пентести, SIEM, IPS, ємності для резервних копій та логів (на все) за 1 рік, тощо) Досвід подібного регулювання: • Впровадження стандартів СУІБ в банківській системі (474) з 2010 • Впровадження обов’язкового підтвердження достовірності фінансової звітності суб’єктів суспільного інтересу (світ – з 1970х, Україна – з 1993) Кібербезпека ОКІ Відповідність Переліку 13
Крім Загальних вимог мають бути: Перелік об’єктів критичної інфраструктури Порядок та періодичність підтвердження відповідності кіберзахисту Правове поле незалежного аудиту кібербезпеки, узгодженого з ДАСУ та АПУ Правове поле процесного підходу для об’єктів критичної інфраструктури 14
15 Анастасія Конопльова CISA, LLC UAG Президент Київського відділення ISACA a.konopleva@uag.kiev.ua +38(050)9570596 1939, Британія, авіанапади Новини та події ISACA Kyiv: https://www.facebook.com/Kyiv.ISACA/
Додаток Аналіз Загальних вимог до кіберзахисту об’єктів критичної інфраструктури (постанова КМУ №518 від 19.06.2019), зроблений з метою (само)оцінки відповідності вимогам. Розподіл на групи умовний. На слайди винесені окремі положення, варті уваги (за аудиторським досвідом). 16
Статистика Вимог КМУ 518* 17 Загальні положення та принципи Ролі та відповідаль- ність Управління доступом Архітектура та компоненти •з них мережа: 18 Мережевий захист Процедури Логування Документу- вання 162 абзаци (норми), 14 пунктів Вимог (абзаци 1-39), 53 пункти Переліку (абзаци 40-162) 17 7 15 39 14 22 16 32 *Джерело документу: https://zakon.rada.gov.ua/laws/show/518-2019-%D0%BF
Зведений перелік (абзаци) • Загальні положення та принципи, всього 17: 1, 2, 6, 7, 8, 13, 21, 31, 32, 34, 38, 39, 52, 53, 3, 4, 5 • Ролі та відповідальність, всього 7: 9, 15, 40, 41, 42, 43, 44 • Управління доступом, всього 15: 19, 20, 23, 24, 77, 78, 79, 80, 82, 84, 85, 86, 153, 159, 160 • Архітектура та компоненти, всього 39: 27, 30, 81, 87, 102, 103, 105, 106, 107, 108, 120, 121, 122, 123, 124, 125, 126, 127, 128, 129, 130, 133, 134, 135, 137, 138, 139, 140, 141, 142, 143, 144, 151, 152, 155, 156, 157, 158, 161 з них мережа - 18: 107, 108, 120, 121, 122, 123, 124, 125, 126, 127, 128, 129, 130, 134, 141, 143, 144, 161 • Мережевий захист, всього 14: 26, 109, 110, 111, 112, 113, 114, 115, 116, 117, 118, 119, 131, 149 • Процедури, всього 22: 10, 11, 12, 16, 17, 18, 22, 25, 28, 29, 33, 35, 36, 75, 132, 136, 145, 146, 147, 148, 150, 154 • Логування, всього 16: 83, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 104 • Документування, всього 32: 14, 37, 45, 46, 47, 48, 49, 50, 51, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 76, 162 18
Принципи, зокрема • 3. Кіберзахист ОКІ забезпечується шляхом впровадження на ОКІІ ОКІ комплексної системи захисту інформації або системи інформаційної безпеки з підтвердженою відповідністю. • 4. Кіберзахист ОКІ є складовою частиною робіт із створення (модернізації) та експлуатації ОКІІ ОКІ. Заходи з кіберзахисту передбачаються та впроваджуються на всіх стадіях життєвого циклу ОКІІ ОКІ. • Програмні та апаратні компоненти ОКІІ ОКІ повинні бути налаштовані відповідно до затвердженої політики інформаційної безпеки та технічної, проектної та іншої документації на комплексну систему захисту інформації (систему інформаційної безпеки) ОКІІ ОКІ . • Створення системи інформаційної безпеки ОКІІ ОКІ здійснюється відповідно до вимог технічного завдання на створення системи інформаційної безпеки. • Перелік базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури може бути доповнено відповідно до технології обробки інформації на ОКІІ ОКІ , особливостей функціонування та програмно-апаратного складу ОКІІ ОКІ , складу інформаційних ресурсів та компонентів ОКІІ ОКІ , які підлягають захисту, тощо. Формування додаткових заходів із забезпечення кіберзахисту об’єктів критичної інфраструктури розробник комплексної системи захисту інформації (системи інформаційної безпеки) ОКІІ ОКІ здійснює з урахуванням вимог нормативних документів у сфері технічного захисту інформації, міжнародних стандартів з питань інформаційної безпеки. • В інтересах національної безпеки інформація щодо програмно-апаратного складу ОКІІ ОКІ , налаштування та конфігураційна інформація програмних та апаратних компонентів ОКІІ ОКІ , інформація про параметри та режими їх функціонування, журнали реєстрації подій (логи) та дані аудиту компонентів ОКІІ ОКІ , інформація про облікові записи користувачів, їх атрибути та права доступу, об’єкти захисту та їх атрибути доступу, інша інформація, яка розкриває параметри та особливості функціонування компонентів ОКІІ ОКІ , є інформацією з обмеженим доступом. Ступінь обмеження доступу до цієї інформації визначається відповідно до закону. 19
Ролі, зокрема • підрозділ або посадову особу з інформаційної безпеки, що відповідають за політику інформаційної безпеки, прийняту на об’єкті критичної інфраструктури, та контроль за її дотриманням. Під час визначення відповідальних за інформаційну безпеку перевага повинна надаватися особам, які мають фахову освіту та досвід роботи у сфері технічного захисту інформації або інформаційної безпеки. Функції підрозділу або посадової особи з інформаційної безпеки можуть бути покладені на службу захисту інформації підприємства, установи, організації. • відповідальні за функціонування та інформаційну безпеку критичних бізнес/операційних процесів з числа керівників ОКІ , працівники яких забезпечують функціонування цих критичних процесів • всіх категорій користувачів та адміністраторів ОКІІ ОКІ, (навчання, логування, політика під підпис) • обов’язки адміністраторів з обслуговування компонентів ОКІІ ОКІ (далі - компоненти об’єкта) та забезпечення її інформаційної безпеки • власника та/або керівника ОКІ • внесення змін до складу та в налаштування компонентів об’єкта. Повинні бути визначені відповідальні особи, які мають право • Право на встановлення або видалення програмного забезпечення уповноважений адміністратор • адміністраторів та операторів ОКІІ ОКІ 20
Архітектура, підхід • 38. Інформаційна інфраструктура ОКІ повинна будуватися на базі відмовостійкого підходу. Для забезпечення відмовостійкості ОКІІ ОКІ повинно здійснюватися, як мінімум, таке: • періодичне створення резервних копій інформаційних ресурсів ОКІІ ОКІ та критичних бізнес/операційних процесів ОКІ , включаючи інформацію, яка зберігається на ОКІІ ОКІ , технологічну інформацію компонентів об’єкта та образів серверів ОКІІ ОКІ , а також їх відновлення у випадку втрати або пошкодження; • резервування критичних для функціонування ОКІІ ОКІ та бізнес/операційних процесів ОКІ програмних та апаратних компонентів для забезпечення його сталого функціонування у випадку виходу з ладу одного з критичних компонентів. У разі використання на ОКІІ ОКІ віртуальних серверів необхідно забезпечити їх резервування; • дублювання (кластеризація) критичних для функціонування ОКІІ ОКІ та бізнес/операційних процесів ОКІ програмних та апаратних компонентів об’єкта для забезпечення його сталого функціонування, зниження навантаження та збільшення продуктивності; • використання засобів балансування навантаження; • використання джерел безперебійного живлення для критичних компонентів об’єкта; • зв’язок з Інтернетом з використанням двох та більше каналів передачі даних, які надаються різними операторами мережі передачі даних (провайдерами), - для ОКІ , які надають свої послуги через Інтернет. 21
Архітектура, походження та розміщення компонентів • 45. У складі ОКІІ ОКІ повинно використовуватися програмне та апаратне забезпечення, для якого не припинено підтримку виробника. Повинні використовуватися офіційні стабільні версії прикладного програмного забезпечення та драйверів. • На ОКІІ ОКІ повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації. • 48. Програмні та апаратні засоби, які використовуються у складі ОКІІ ОКІ , не повинні мати походження з іноземної держави, до якої застосовано санкції згідно із Законом України “Про санкції”, чи бути розроблені/виготовлені юридичною особою - резидентом такої іноземної держави або юридичною особою, частка статутного капіталу якої перебуває у власності зазначеної іноземної держави, або юридичною особою, яка перебуває під контролем юридичної особи такої іноземної держави. • Компоненти та інформація (дані) систем управління технологічними процесами ОКІ повинні бути розміщені тільки у власному центрі обробки даних. • 49. Компоненти та/або інформація ОКІІ ОКІ , крім систем управління технологічними процесами, можуть перебувати в сторонньому (не власному) центрі обробки даних тільки за умови, що центр обробки даних розташований на території України (за винятком тимчасово окупованої території України), а власником центру обробки даних є резидент України. При цьому у договорі із центром обробки даних повинні зазначатися його зобов’язання щодо виконання тієї частини Загальних вимог до кіберзахисту об’єктів критичної інфраструктури, які він надає об’єкту критичної інфраструктури. • 50. З метою створення резервних копій своїх інформаційних ресурсів та їх оперативного відновлення у разі пошкодження або знищення державні органи використовують основний та резервний захищений дата-центр збереження державних електронних інформаційних ресурсів Державного центру кіберзахисту. 22
Архітектура, системи • 12. За можливості реалізації на ОКІІ ОКІ повинна надаватися перевага централізованому поширенню інформації щодо налаштувань прав та атрибутів доступу, параметрів реєстрації подій, інших параметрів безпеки та системних налаштувань компонентів об’єкта. • 22. На об’єкті критичної інфраструктури повинно бути впроваджено систему збору та аналізу журналів реєстрації подій програмного та апаратного забезпечення ОКІІ ОКІ . Така система повинна мати можливість встановлення фільтрів, які дозволяють робити вибірку і аналіз журналів та подій за різними критеріями та за потреби мати інтерфейси обміну з іншими системами. • 24. На ОКІІ ОКІ повинні використовуватися засоби захисту від зловмисного коду, шкідливого програмного забезпечення та вірусів. Повинно бути забезпечене централізоване управління засобами захисту від зловмисного коду, шкідливого програмного забезпечення та вірусів. 23
Логування • 14. Засоби ОКІІ ОКІ повинні надавати можливість ідентифікації кожної операції користувача та адміністратора на ОКІІ ОКІ та їх протоколювання в журналах реєстрації подій. • 20. Журнали реєстрації подій компонентів об’єкта повинні містити інформацію про дату, час, місце, тип і успішність чи неуспішність кожної зареєстрованої події. Журнали реєстрації повинні містити інформацію, достатню для встановлення користувача, процесу і мережевого об’єкта, що мали відношення до кожної зареєстрованої події. • 23. На ОКІІ ОКІ повинна бути забезпечена можливість роботи з архівними журналами реєстрації подій за попередні періоди шляхом завантаження журналів на об’єкт критичної інформаційної інфраструктури ОКІ із зовнішнього джерела. При цьому дані, що завантажуються, повинні тільки доповнювати існуючі журнали, але не затирати і не змінювати інформації, що вже зберігається в них. • Архівні журнали реєстрації подій зберігаються на фізично відокремленому компоненті ОКІІ ОКІ або окремому носії даних не менше року з дати їх утворення. 24
Процедури, впровадження вимог • 13. У разі відсутності можливості виконання окремих вимог із забезпечення кіберзахисту, наведених у додатку, і/або неможливості їх застосування до окремих об’єктів захисту чи користувачів та адміністраторів ОКІІ ОКІ , у тому числі внаслідок їх можливого негативного впливу на функціонування ОКІІ ОКІ , або неможливості їх здійснення на ОКІІ ОКІ через особливості функціонування, або відсутності складу компонентів ОКІІ ОКІ повинні бути розроблені і впроваджені компенсуючі заходи, що забезпечують блокування (нейтралізацію) загроз ОКІІ ОКІ , або обґрунтовано виключені окремі вимоги з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури. Власник та/або керівник ОКІ у ході розроблення організаційних і технічних заходів щодо забезпечення кіберзахисту ОКІ обґрунтовує застосування компенсуючих заходів або виключення окремих вимог з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури. При цьому під час проведення незалежного аудиту інформаційної безпеки ОКІ або державної експертизи комплексної системи захисту інформації ОКІІ ОКІ має бути оцінена достатність і адекватність компенсуючих заходів, які застосовані для блокування (нейтралізації) загроз ОКІІ ОКІ та зменшення ризиків ОКІ , або обґрунтованість виключення окремих вимог з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури. 25
Процедури, доступ до інтернет • 9. Державні органи отримують доступ до Інтернету через систему захищеного доступу державних органів до Інтернету Державного центру кіберзахисту, через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних із створеними комплексними системами захисту інформації з підтвердженою відповідністю, або через власні системи захищеного доступу до Інтернету із створеними комплексними системами захисту інформації з підтвердженою відповідністю. Ця вимога не поширюється на інформаційно- телекомунікаційні системи закордонних дипломатичних установ України. • 37. До глобальних мереж передачі даних, зокрема Інтернету, ОКІІ ОКІ повинні підключатися через тих операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних із створеними комплексними системами захисту інформації з підтвердженою відповідністю. У договорі з надавачем цих послуг зазначаються зобов’язання щодо виконання тієї частини Загальних вимог до кіберзахисту об’єктів критичної інфраструктури, які він надає ОКІЇ ОКІ , та наявність комплексної системи захисту інформації з підтвердженою відповідністю. 26
Процедури, окремі заходи • 9. Власник/керівник ОКІ повинен впровадити програми підвищення обізнаності/навчання працівників з питань інформаційної безпеки та забезпечити щорічний контроль рівня обізнаності. • 33. Власник/керівник ОКІ зобов’язаний проводити перевірку ефективності заходів щодо захисту ОКІІ ОКІ від зовнішнього проникнення шляхом виконання періодичних (не рідше одного разу на рік) тестів на проникнення (Penetration test). У разі отримання негативних результатів після проведення тестів необхідно вжити заходів для усунення їх причин. • 10. Власник та/або керівник ОКІ з метою усунення можливих наслідків кіберінцидентів та кібератак забезпечує створення резервних копій інформаційних ресурсів ОКІІ ОКІ та критичних бізнес/операційних процесів ОКІ для оперативного їх відновлення у разі пошкодження або знищення • 41. На ОКІІ ОКІ повинна здійснюватися ідентифікація всіх змінних (зовнішніх) пристроїв та носіїв інформації за допомогою унікального ідентифікатора. • 44. На ОКІІ ОКІ повинна проводитися перевірка на цілісність та автентичність оновлень компонентів об’єкта. У разі порушення цілісності або непідтвердження автентичності оновлення воно повинно бути відхилене і не повинно застосовуватися, а цю подію необхідно запротоколювати в журналі подій. • 47. Засоби ОКІІ ОКІ повинні забезпечувати неприйняття файла/повідомлення в обробку у разі отримання негативного результату перевірки електронного підпису файла/повідомлення, що надійшов/надійшло. Ця подія повинна відображатися в журналі реєстрації подій. 27
Документування, в цілому • Технічне завдання • Мінімальний перелік документації ОКІІ ОКІ визначається в технічному завданні • Рішення з обґрунтуванням щодо впровадження компенсуючих заходів або виключення окремих вимог з переліку базових вимог • перелік інформаційних, програмних та апаратних ресурсів ОКІІ ОКІ , рівень їх критичності для ОКІ та/або функціонування ОКІІ ОКІ та можливий рівень наслідків у випадку порушення конфіденційності, цілісності та доступності інформації, недоступності служб (функцій) ОКІІ ОКІ , порушення функціонування компонентів об’єкта • політику управління ризиками інформаційної безпеки і методику їх оцінювання та оброблення • Акт обстеження за НД ТЗІ • опис реалізованих у системі організаційних та технічних заходів безпеки інформації • політику інформаційної безпеки • 10. У підрозділі або посадової особи з інформаційної безпеки ОКІ повинен бути створений та підтримуватися в актуальному стані перелік програмного та апаратного забезпечення, що використовується на ОКІІ ОКІ в захищеній від модифікації формі, зокрема електронній. • Схеми (креслення) розміщення обладнання структурованої кабельної системи та кабельних каналів 28
Документування, політика ІБ • опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес- процесу з описом компонентів та користувачів ОКІІ ОКІ , які задіяні в цьому процесі • вимоги до порядку визначення, надання, зміни та скасування прав доступу вимоги до забезпечення інформаційної безпеки під час взаємодії з постачальниками; • політику управління обліковими записами • вимоги до порядку формування, надання, скасування та контролю (аудиту) за використанням автентифікаційних атрибутів користувачів та адміністраторів, у тому числі зовнішніх носіїв автентифікаційних даних, для доступу до служб (функцій), інформації та компонентів ОКІІ ОКІ . Повинні бути визначені також вимоги до складності паролів, періодичності їх зміни, блокування роботи користувача за певної кількості спроб підбору пароля, порядок поводження із зовнішніми носіями автентифікаційних даних тощо; 29 • політику забезпечення безперебійної роботи ОКІІ ОКІ , зокрема порядок резервування даних • порядок використання змінних (зовнішніх) пристроїв та носіїв інформації • політику мережевого захисту • політику проведення модернізації (оновлення) компонентів об’єкта, внесення змін до складу та в налаштування • політику управління оновленнями • політику реєстрації та аудиту подій, що реєструються • політику управління інцидентами кібербезпеки • політику використання електронної пошти • політику проведення внутрішнього аудиту інформаційної безпеки
Корисні посилання • Безкоштовні курси про безпеку АСУ ТП Департаменту безпеки США • https://ics-cert-training.inl.gov/learn • Чек-лист за вимогами в XLSX (права на перегляд за запитом) • https://drive.google.com/file/d/15hDOpBeX_DVHXN0HRvLANQ6jwJW9HXUE/vie w?usp=sharing 30

Recommended

CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Застосування ISO/IEC 27003:2010 в Україні
Застосування ISO/IEC 27003:2010 в УкраїніЗастосування ISO/IEC 27003:2010 в Україні
Застосування ISO/IEC 27003:2010 в УкраїніVladislav Chernish
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobITAnthony Delannoy
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 

Recommended

CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Застосування ISO/IEC 27003:2010 в Україні
Застосування ISO/IEC 27003:2010 в УкраїніЗастосування ISO/IEC 27003:2010 в Україні
Застосування ISO/IEC 27003:2010 в УкраїніVladislav Chernish
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobITAnthony Delannoy
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
FINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptx
FINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptxFINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptx
FINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptxFerry Faisal
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna IvchenkoAnastasiia Konoplova
 
Ebios
EbiosEbios
EbiosLandry Kientega
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...PECB
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?PECB
 
New ISO 20000-1:2018 Changes, Implementation Steps
New ISO 20000-1:2018 Changes, Implementation StepsNew ISO 20000-1:2018 Changes, Implementation Steps
New ISO 20000-1:2018 Changes, Implementation StepsIntegration Technologies Group Inc
 
AVIGILON BROCHURE
AVIGILON BROCHUREAVIGILON BROCHURE
AVIGILON BROCHURETRT Solutions Ltd Singapore
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Harold NGUEGANG
 
How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?Global Manager Group
 
Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...
Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...
Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...Muhammad Bahrudin
 
Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)
Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)
Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)Kanaidi ken
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness TrainingDr Madhu Aman Sharma
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПuisgslide
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vvAlexey Yankovski
 

More Related Content

What's hot

FINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptx
FINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptxFINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptx
FINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptxFerry Faisal
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...PECB
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?PECB
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Harold NGUEGANG
 
How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?Global Manager Group
 
Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...
Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...
Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...Muhammad Bahrudin
 
Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)
Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)
Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)Kanaidi ken
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 

What's hot (20)

FINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptx
FINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptxFINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptx
FINAL .PENYUSUNAN PROFIL RESIKO RUMAH SAKIT SESUAI STANDAR AKREDITASI.pptx
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko
 
Ebios
EbiosEbios
Ebios
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?
 
New ISO 20000-1:2018 Changes, Implementation Steps
New ISO 20000-1:2018 Changes, Implementation StepsNew ISO 20000-1:2018 Changes, Implementation Steps
New ISO 20000-1:2018 Changes, Implementation Steps
 
AVIGILON BROCHURE
AVIGILON BROCHUREAVIGILON BROCHURE
AVIGILON BROCHURE
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 
How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?How to fulfil requirements of ISO 20000:2018 Documents?
How to fulfil requirements of ISO 20000:2018 Documents?
 
Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...
Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...
Manajemen Risiko Berbasis Standar di Lembaga Informasi: Pengenalan SNI ISO 31...
 
Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)
Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)
Link-Link MATERI Training "RISK MANAGEMENT" (Based-on ISO 31000-2018)
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 

Similar to Cybersec requirements implementation by OKI (KMU 518)

Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПuisgslide
 
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Europe without barriers
 
Golovko d
Golovko dGolovko d
Golovko dgarasym
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україніuisgslide
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...IsacaKyiv
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...IsacaKyiv
 
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...IsacaKyiv
 
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть... Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...IsacaKyiv
 
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+Shevchenko Andriy
 
Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...nadeh
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиAsters
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...De Novo
 
Стратегія дерегуляції економіки України
Стратегія дерегуляції економіки УкраїниСтратегія дерегуляції економіки України
Стратегія дерегуляції економіки УкраїниEasyBusiness
 

Similar to Cybersec requirements implementation by OKI (KMU 518) (20)

Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТП
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vv
 
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
 
Golovko d
Golovko dGolovko d
Golovko d
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україні
 
279014.pptx
279014.pptx279014.pptx
279014.pptx
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
 
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
Аналітичне дослідження використання результатів роботи та досвіду ISACA в орг...
 
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть... Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
 
Практика та особливості проведення комп’ютерно-технічних експертиз
Практика та особливості проведення комп’ютерно-технічних експертизПрактика та особливості проведення комп’ютерно-технічних експертиз
Практика та особливості проведення комп’ютерно-технічних експертиз
 
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+
 
Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...Використання безпаперових інформаційних технологій в процесах набуття та охор...
Використання безпаперових інформаційних технологій в процесах набуття та охор...
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
 
ковальчук
ковальчукковальчук
ковальчук
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в Україні
 
пригодська
пригодськапригодська
пригодська
 
Реформа інспекційної системи
Реформа інспекційної системиРеформа інспекційної системи
Реформа інспекційної системи
 
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
Сергей Сумец, ГП "Укрспирт": "Как происходит переход в облако в государственн...
 
Стратегія дерегуляції економіки України
Стратегія дерегуляції економіки УкраїниСтратегія дерегуляції економіки України
Стратегія дерегуляції економіки України
 

More from Anastasiia Konoplova

Shaping future of internal audit with IT
Shaping future of internal audit with ITShaping future of internal audit with IT
Shaping future of internal audit with ITAnastasiia Konoplova
 
Критерії аудиту плана відновлення банка
Критерії аудиту плана відновлення банкаКритерії аудиту плана відновлення банка
Критерії аудиту плана відновлення банкаAnastasiia Konoplova
 
WEF resilience framework for complex organisations
WEF resilience framework for complex organisationsWEF resilience framework for complex organisations
WEF resilience framework for complex organisationsAnastasiia Konoplova
 
Risk management associations review
Risk management associations reviewRisk management associations review
Risk management associations reviewAnastasiia Konoplova
 
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Anastasiia Konoplova
 
An argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate itAn argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate itAnastasiia Konoplova
 
NIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIVNIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIVAnastasiia Konoplova
 
ISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - linksISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - linksAnastasiia Konoplova
 
GDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv ChapterGDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv ChapterAnastasiia Konoplova
 

More from Anastasiia Konoplova (15)

Resilience_Q12022.pdf
Resilience_Q12022.pdfResilience_Q12022.pdf
Resilience_Q12022.pdf
 
Shaping future of internal audit with IT
Shaping future of internal audit with ITShaping future of internal audit with IT
Shaping future of internal audit with IT
 
Критерії аудиту плана відновлення банка
Критерії аудиту плана відновлення банкаКритерії аудиту плана відновлення банка
Критерії аудиту плана відновлення банка
 
Third parties of open banking
Third parties of open bankingThird parties of open banking
Third parties of open banking
 
IoT security Q3 2020 overview
IoT security Q3 2020 overview IoT security Q3 2020 overview
IoT security Q3 2020 overview
 
WEF resilience framework for complex organisations
WEF resilience framework for complex organisationsWEF resilience framework for complex organisations
WEF resilience framework for complex organisations
 
Risk management associations review
Risk management associations reviewRisk management associations review
Risk management associations review
 
IS Risk Governance&Management
IS Risk Governance&ManagementIS Risk Governance&Management
IS Risk Governance&Management
 
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
 
GDPR enforcement 10.10.2019
GDPR enforcement 10.10.2019GDPR enforcement 10.10.2019
GDPR enforcement 10.10.2019
 
An argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate itAn argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate it
 
NIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIVNIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIV
 
ISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - linksISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - links
 
Обговорення GDPR
Обговорення GDPRОбговорення GDPR
Обговорення GDPR
 
GDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv ChapterGDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv Chapter
 

Cybersec requirements implementation by OKI (KMU 518)

  • 1. Впровадження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури Київ, 01 жовтня 2019 Анастасія Конопльова CISA, LLC UAG Президент Київського відділення ISACA a.konopleva@uag.kiev.ua +38(050)9570596 1
  • 2. Підґрунтя аналізу 2 Аналогії Впровадження СУІБ за ISO 27к в банківській системі з 2010 Впровадження Незалежного аудиту фінансової звітності з 1993 Пов’язані документи Закон України від 05.10.2017 № 2163- VIII Про основні засади забезпечення кібербезпеки України Закон України від 14.08.2014 № 1644- VII Про санкції Постанова КМУ; Правила від 29.03.2006 № 373 Про затвердження Правил забезпечен- ня захисту інформації в інформаційних, телекомунікаційних та інформаційно- телекомунікаційних системах Закон України від 05.07.1994 № 80/94- ВР Про захист інформації в інформаційно-телекомунікаційних системах НД ТЗІ 3.7-003-05 “Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно- телекомунікаційній системі” НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу” ДСТУ ISO/IEC 27005 Додаткова інформація ЗУ від 23.02.2006 № 3475-IV Про Державну службу спеціального зв'язку та захисту інформації України Адміністрація ДССЗЗІ УКРАЇНИ НАКАЗ від 16.05.2007 № 93 Про затверджен- ня Положення про державну експертизу в сфері технічного захисту інформації Власна аудиторська практика ISA (з 2005) ITAF (з 2014) IPPF (з 2016)
  • 3. Одним поглядом 19.06.2019 КСЗІ vs ISO 27k Перелік «базових вимог безпеки» Повідомлення інцидентів CERT-UA Держінформресурси та ДСК vs все інше «Компенсуючі контролі» при невпровадженні базових вимог …Зміна парадигми для ліцензіатів Оцінка ризиків Щорічне обстеження (за НД ТЗІ) та пентенст *Державні інформаційні ресурси - систематизована інформація, що є доступною за допомогою інформаційних технологій, право на володіння, використання або розпорядження якою належить державним органам, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, а також інформація, створення якої передбачено законодавством та яка обробляється фізичними або юридичними особами відповідно до наданих їм повноважень суб’єктами владних повноважень; Про Державну службу спеціального зв'язку та захисту інформації України Закон України від 23.02.2006 № 3475-IV * 3
  • 4. Що, куди і коли впроваджувати за вимогами в ОКІ – в організацію в цілому Кібербезпека загалом, політика, управління ризиками, сегментація мереж в ОКІІ ОКІ – для попередньо визначеної окремої критичної системи Заходи безпеки (логування, МFA,FW, AV,…) В Загальних вимогах: ОКІ – 244 згадки ОКІІ ОКІ – 161 згадка Вибір ОКІІ з переліку ІС КУДИ ЩО КОЛИ 1) При віднесенні організації до переліку ОКІ п.1 Вимог 2) протягом 5 років*, якщо є атестат відповідності КСЗІ під час створення (модернізації) на ОКІІ ОКІ КСЗІ п.6 Вимог 3) Протягом 1 року** при перегляді СУІБ, якщо впроваджена під час створення (модернізації) системи інформаційної безпеки п.7 Вимог + п.5 Переліку *пп.7, 28 Адміністрація ДССЗЗІ УКРАЇНИ НАКАЗ від 16.05.2007 № 93 Про затвердження Положення про державну експертизу в сфері технічного захисту інформації **п.9 ДСТУ ІSO/IEC 27001:2015 4
  • 5. Процес впровадження кібербезпеки за вимогами PLAN DO CHECKACT •Оцінка ризиків за методикою на підставі 27005 •для КСЗІ п.6 Вимог+п.4 Переліку •для ІБ п.7 Вимог +п.4 Переліку •Технічне завдання (п.6-7 Вимог) •КСЗІ (ДІС+ДСК), •СІБ (інше) •Оновлення технічного завдання за змін (п.5 Переліку) •Підтримання актуального стану документації (п.6, 53 Переліку) •Політика (всеоохоплююча) п.12.1 Вимог+п.7 Переліку •Заходи за Переліком (п.1-53 Переліку) або компенсуючі контролі (п.13 Вимог) •(Само)обстеження раз на рік за НД ТЗІ 3.7-003-05 (п.5 Переліку) •Пентест щорічно (п. 33 Переліку) 5
  • 6. Визначення обсягу впровадження вимог Технічне завдання Компенсуючі контролі (п.13 Вимог) Виключення з переліку (п.13 Вимог) Доповнення переліку (п. 12 Вимог) Перелік заходів безпеки (п. 3 Вимог+п. 12 Вимог) Вразливості, ймовірність, вплив... Загрози (з оцінки ризиків? - п.5 Переліку) Незалежний аудит ІБ Державна експертиза КСЗІ Оцінка при підтвердженні відповідності Вибір ОКІІ 6
  • 7. Нормативні визначення ОКІІ • 16) критично важливі об’єкти інфраструктури (далі - об’єкти критичної інфраструктури) - підприємства, установи та організації незалежно від форми власності, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки та промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей; • 19) об’єкт критичної інформаційної інфраструктури - комунікаційна або технологічна система об’єкта критичної інфраструктури, кібератака на яку безпосередньо вплине на стале функціонування такого об’єкта критичної інфраструктури; Закон України від 05.10.2017 № 2163-VIII Про основні засади забезпечення кібербезпеки України • критичні бізнес/операційні процеси об’єкта критичної інфраструктури - процеси організації функціонування об’єктів критичної інфраструктури, реалізація загроз на які призводить до виведення з ладу або порушення функціонування самого об’єкта критичної інфраструктури та відповідно справляє негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіює майнову шкоду та/або становить загрозу для суспільства, життя і здоров’я людей Постанова КМУ 518 від 19.06.2019 7
  • 8. Організаційні норми Відповідальна особа/підрозділ ЦОД в Україні, в резидента АСУ ТП on-site Провайдер з КСЗІ, для держоргана з сервісами – 2 8
  • 9. Оцінка ризиків за ISO 27005 План обробки ризиків (перелік заходів безпеки) Аналіз залишкових ризиків Розрахунок ризику: maxі{(Кі+Ці+Ді)*Рі} Оцінка впливу пари «загроза-вразливість» на конфіденційність, цілісність, доступність активу Оцінка ймовірності експлуатації загрозою вразливості Оцінка вразливостей Оцінка загроз Ідентифікація активів 9
  • 10. Вимоги безпеки, основне Оцінка ризиків, політика та методика Відповідальність керівництва Адекватна повна документація на все Мінімальні повноваження та MFA Відмовостійка архітектура ІС (Security by design) Мережевий захист Логування всього, архів 1 рік Резервні копії 10
  • 11. DMZ App DB Test Security • control SCADA ASA, IDS, IPS …External interfaces Mail serverWeb-serverTerminal server WSUS Offline log archive ASA EPP SIEM Admin Users Вимоги до архітектури мережи п.25-32, 35, 39, 49, 52 Переліку Сommand and control PLC Operator In Ukraine On Site 11
  • 12. (Не)підтверджувана відповідність, наприклад • 6. Власник/керівник ОКІ зобов’язаний забезпечити розроблення та підтримання в актуальному стані технічної, проектної та іншої документації на комплексну систему захисту інформації (систему інформаційної безпеки) ОКІІ ОКІ (в захищеній від модифікації формі, зокрема електронній) з обов’язковим описом реалізованих у системі організаційних та технічних заходів безпеки інформації. • (в Політиці)…опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес-процесу з описом компонентів та користувачів ОКІІ ОКІ, які задіяні в цьому процесі; • 14. Засоби ОКІІ ОКІ повинні надавати можливість ідентифікації кожної операції користувача та адміністратора на ОКІІ ОКІ та їх протоколювання в журналах реєстрації подій. 12
  • 13. Ризики впровадження вимог • Без процесного підходу в організації – «паперовий тигр» • За неадекватного підходу підтвердження відповідності - «паперовий тигр» + криза довіри • Окремі впроваджені заходи, за невиконання яких будуть реальні санкції або за ініціативи відповідальних власників/керівників • Бюджетні обмеження (пентести, SIEM, IPS, ємності для резервних копій та логів (на все) за 1 рік, тощо) Досвід подібного регулювання: • Впровадження стандартів СУІБ в банківській системі (474) з 2010 • Впровадження обов’язкового підтвердження достовірності фінансової звітності суб’єктів суспільного інтересу (світ – з 1970х, Україна – з 1993) Кібербезпека ОКІ Відповідність Переліку 13
  • 14. Крім Загальних вимог мають бути: Перелік об’єктів критичної інфраструктури Порядок та періодичність підтвердження відповідності кіберзахисту Правове поле незалежного аудиту кібербезпеки, узгодженого з ДАСУ та АПУ Правове поле процесного підходу для об’єктів критичної інфраструктури 14
  • 15. 15 Анастасія Конопльова CISA, LLC UAG Президент Київського відділення ISACA a.konopleva@uag.kiev.ua +38(050)9570596 1939, Британія, авіанапади Новини та події ISACA Kyiv: https://www.facebook.com/Kyiv.ISACA/
  • 16. Додаток Аналіз Загальних вимог до кіберзахисту об’єктів критичної інфраструктури (постанова КМУ №518 від 19.06.2019), зроблений з метою (само)оцінки відповідності вимогам. Розподіл на групи умовний. На слайди винесені окремі положення, варті уваги (за аудиторським досвідом). 16
  • 17. Статистика Вимог КМУ 518* 17 Загальні положення та принципи Ролі та відповідаль- ність Управління доступом Архітектура та компоненти •з них мережа: 18 Мережевий захист Процедури Логування Документу- вання 162 абзаци (норми), 14 пунктів Вимог (абзаци 1-39), 53 пункти Переліку (абзаци 40-162) 17 7 15 39 14 22 16 32 *Джерело документу: https://zakon.rada.gov.ua/laws/show/518-2019-%D0%BF
  • 18. Зведений перелік (абзаци) • Загальні положення та принципи, всього 17: 1, 2, 6, 7, 8, 13, 21, 31, 32, 34, 38, 39, 52, 53, 3, 4, 5 • Ролі та відповідальність, всього 7: 9, 15, 40, 41, 42, 43, 44 • Управління доступом, всього 15: 19, 20, 23, 24, 77, 78, 79, 80, 82, 84, 85, 86, 153, 159, 160 • Архітектура та компоненти, всього 39: 27, 30, 81, 87, 102, 103, 105, 106, 107, 108, 120, 121, 122, 123, 124, 125, 126, 127, 128, 129, 130, 133, 134, 135, 137, 138, 139, 140, 141, 142, 143, 144, 151, 152, 155, 156, 157, 158, 161 з них мережа - 18: 107, 108, 120, 121, 122, 123, 124, 125, 126, 127, 128, 129, 130, 134, 141, 143, 144, 161 • Мережевий захист, всього 14: 26, 109, 110, 111, 112, 113, 114, 115, 116, 117, 118, 119, 131, 149 • Процедури, всього 22: 10, 11, 12, 16, 17, 18, 22, 25, 28, 29, 33, 35, 36, 75, 132, 136, 145, 146, 147, 148, 150, 154 • Логування, всього 16: 83, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 104 • Документування, всього 32: 14, 37, 45, 46, 47, 48, 49, 50, 51, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 76, 162 18
  • 19. Принципи, зокрема • 3. Кіберзахист ОКІ забезпечується шляхом впровадження на ОКІІ ОКІ комплексної системи захисту інформації або системи інформаційної безпеки з підтвердженою відповідністю. • 4. Кіберзахист ОКІ є складовою частиною робіт із створення (модернізації) та експлуатації ОКІІ ОКІ. Заходи з кіберзахисту передбачаються та впроваджуються на всіх стадіях життєвого циклу ОКІІ ОКІ. • Програмні та апаратні компоненти ОКІІ ОКІ повинні бути налаштовані відповідно до затвердженої політики інформаційної безпеки та технічної, проектної та іншої документації на комплексну систему захисту інформації (систему інформаційної безпеки) ОКІІ ОКІ . • Створення системи інформаційної безпеки ОКІІ ОКІ здійснюється відповідно до вимог технічного завдання на створення системи інформаційної безпеки. • Перелік базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури може бути доповнено відповідно до технології обробки інформації на ОКІІ ОКІ , особливостей функціонування та програмно-апаратного складу ОКІІ ОКІ , складу інформаційних ресурсів та компонентів ОКІІ ОКІ , які підлягають захисту, тощо. Формування додаткових заходів із забезпечення кіберзахисту об’єктів критичної інфраструктури розробник комплексної системи захисту інформації (системи інформаційної безпеки) ОКІІ ОКІ здійснює з урахуванням вимог нормативних документів у сфері технічного захисту інформації, міжнародних стандартів з питань інформаційної безпеки. • В інтересах національної безпеки інформація щодо програмно-апаратного складу ОКІІ ОКІ , налаштування та конфігураційна інформація програмних та апаратних компонентів ОКІІ ОКІ , інформація про параметри та режими їх функціонування, журнали реєстрації подій (логи) та дані аудиту компонентів ОКІІ ОКІ , інформація про облікові записи користувачів, їх атрибути та права доступу, об’єкти захисту та їх атрибути доступу, інша інформація, яка розкриває параметри та особливості функціонування компонентів ОКІІ ОКІ , є інформацією з обмеженим доступом. Ступінь обмеження доступу до цієї інформації визначається відповідно до закону. 19
  • 20. Ролі, зокрема • підрозділ або посадову особу з інформаційної безпеки, що відповідають за політику інформаційної безпеки, прийняту на об’єкті критичної інфраструктури, та контроль за її дотриманням. Під час визначення відповідальних за інформаційну безпеку перевага повинна надаватися особам, які мають фахову освіту та досвід роботи у сфері технічного захисту інформації або інформаційної безпеки. Функції підрозділу або посадової особи з інформаційної безпеки можуть бути покладені на службу захисту інформації підприємства, установи, організації. • відповідальні за функціонування та інформаційну безпеку критичних бізнес/операційних процесів з числа керівників ОКІ , працівники яких забезпечують функціонування цих критичних процесів • всіх категорій користувачів та адміністраторів ОКІІ ОКІ, (навчання, логування, політика під підпис) • обов’язки адміністраторів з обслуговування компонентів ОКІІ ОКІ (далі - компоненти об’єкта) та забезпечення її інформаційної безпеки • власника та/або керівника ОКІ • внесення змін до складу та в налаштування компонентів об’єкта. Повинні бути визначені відповідальні особи, які мають право • Право на встановлення або видалення програмного забезпечення уповноважений адміністратор • адміністраторів та операторів ОКІІ ОКІ 20
  • 21. Архітектура, підхід • 38. Інформаційна інфраструктура ОКІ повинна будуватися на базі відмовостійкого підходу. Для забезпечення відмовостійкості ОКІІ ОКІ повинно здійснюватися, як мінімум, таке: • періодичне створення резервних копій інформаційних ресурсів ОКІІ ОКІ та критичних бізнес/операційних процесів ОКІ , включаючи інформацію, яка зберігається на ОКІІ ОКІ , технологічну інформацію компонентів об’єкта та образів серверів ОКІІ ОКІ , а також їх відновлення у випадку втрати або пошкодження; • резервування критичних для функціонування ОКІІ ОКІ та бізнес/операційних процесів ОКІ програмних та апаратних компонентів для забезпечення його сталого функціонування у випадку виходу з ладу одного з критичних компонентів. У разі використання на ОКІІ ОКІ віртуальних серверів необхідно забезпечити їх резервування; • дублювання (кластеризація) критичних для функціонування ОКІІ ОКІ та бізнес/операційних процесів ОКІ програмних та апаратних компонентів об’єкта для забезпечення його сталого функціонування, зниження навантаження та збільшення продуктивності; • використання засобів балансування навантаження; • використання джерел безперебійного живлення для критичних компонентів об’єкта; • зв’язок з Інтернетом з використанням двох та більше каналів передачі даних, які надаються різними операторами мережі передачі даних (провайдерами), - для ОКІ , які надають свої послуги через Інтернет. 21
  • 22. Архітектура, походження та розміщення компонентів • 45. У складі ОКІІ ОКІ повинно використовуватися програмне та апаратне забезпечення, для якого не припинено підтримку виробника. Повинні використовуватися офіційні стабільні версії прикладного програмного забезпечення та драйверів. • На ОКІІ ОКІ повинна надаватися перевага програмному забезпеченню, яке має більш вищий рівень гарантій відповідно до нормативного документа системи технічного захисту інформації 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу”, за результатами державної експертизи у сфері технічного захисту інформації. • 48. Програмні та апаратні засоби, які використовуються у складі ОКІІ ОКІ , не повинні мати походження з іноземної держави, до якої застосовано санкції згідно із Законом України “Про санкції”, чи бути розроблені/виготовлені юридичною особою - резидентом такої іноземної держави або юридичною особою, частка статутного капіталу якої перебуває у власності зазначеної іноземної держави, або юридичною особою, яка перебуває під контролем юридичної особи такої іноземної держави. • Компоненти та інформація (дані) систем управління технологічними процесами ОКІ повинні бути розміщені тільки у власному центрі обробки даних. • 49. Компоненти та/або інформація ОКІІ ОКІ , крім систем управління технологічними процесами, можуть перебувати в сторонньому (не власному) центрі обробки даних тільки за умови, що центр обробки даних розташований на території України (за винятком тимчасово окупованої території України), а власником центру обробки даних є резидент України. При цьому у договорі із центром обробки даних повинні зазначатися його зобов’язання щодо виконання тієї частини Загальних вимог до кіберзахисту об’єктів критичної інфраструктури, які він надає об’єкту критичної інфраструктури. • 50. З метою створення резервних копій своїх інформаційних ресурсів та їх оперативного відновлення у разі пошкодження або знищення державні органи використовують основний та резервний захищений дата-центр збереження державних електронних інформаційних ресурсів Державного центру кіберзахисту. 22
  • 23. Архітектура, системи • 12. За можливості реалізації на ОКІІ ОКІ повинна надаватися перевага централізованому поширенню інформації щодо налаштувань прав та атрибутів доступу, параметрів реєстрації подій, інших параметрів безпеки та системних налаштувань компонентів об’єкта. • 22. На об’єкті критичної інфраструктури повинно бути впроваджено систему збору та аналізу журналів реєстрації подій програмного та апаратного забезпечення ОКІІ ОКІ . Така система повинна мати можливість встановлення фільтрів, які дозволяють робити вибірку і аналіз журналів та подій за різними критеріями та за потреби мати інтерфейси обміну з іншими системами. • 24. На ОКІІ ОКІ повинні використовуватися засоби захисту від зловмисного коду, шкідливого програмного забезпечення та вірусів. Повинно бути забезпечене централізоване управління засобами захисту від зловмисного коду, шкідливого програмного забезпечення та вірусів. 23
  • 24. Логування • 14. Засоби ОКІІ ОКІ повинні надавати можливість ідентифікації кожної операції користувача та адміністратора на ОКІІ ОКІ та їх протоколювання в журналах реєстрації подій. • 20. Журнали реєстрації подій компонентів об’єкта повинні містити інформацію про дату, час, місце, тип і успішність чи неуспішність кожної зареєстрованої події. Журнали реєстрації повинні містити інформацію, достатню для встановлення користувача, процесу і мережевого об’єкта, що мали відношення до кожної зареєстрованої події. • 23. На ОКІІ ОКІ повинна бути забезпечена можливість роботи з архівними журналами реєстрації подій за попередні періоди шляхом завантаження журналів на об’єкт критичної інформаційної інфраструктури ОКІ із зовнішнього джерела. При цьому дані, що завантажуються, повинні тільки доповнювати існуючі журнали, але не затирати і не змінювати інформації, що вже зберігається в них. • Архівні журнали реєстрації подій зберігаються на фізично відокремленому компоненті ОКІІ ОКІ або окремому носії даних не менше року з дати їх утворення. 24
  • 25. Процедури, впровадження вимог • 13. У разі відсутності можливості виконання окремих вимог із забезпечення кіберзахисту, наведених у додатку, і/або неможливості їх застосування до окремих об’єктів захисту чи користувачів та адміністраторів ОКІІ ОКІ , у тому числі внаслідок їх можливого негативного впливу на функціонування ОКІІ ОКІ , або неможливості їх здійснення на ОКІІ ОКІ через особливості функціонування, або відсутності складу компонентів ОКІІ ОКІ повинні бути розроблені і впроваджені компенсуючі заходи, що забезпечують блокування (нейтралізацію) загроз ОКІІ ОКІ , або обґрунтовано виключені окремі вимоги з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури. Власник та/або керівник ОКІ у ході розроблення організаційних і технічних заходів щодо забезпечення кіберзахисту ОКІ обґрунтовує застосування компенсуючих заходів або виключення окремих вимог з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури. При цьому під час проведення незалежного аудиту інформаційної безпеки ОКІ або державної експертизи комплексної системи захисту інформації ОКІІ ОКІ має бути оцінена достатність і адекватність компенсуючих заходів, які застосовані для блокування (нейтралізації) загроз ОКІІ ОКІ та зменшення ризиків ОКІ , або обґрунтованість виключення окремих вимог з переліку базових вимог із забезпечення кіберзахисту об’єктів критичної інфраструктури. 25
  • 26. Процедури, доступ до інтернет • 9. Державні органи отримують доступ до Інтернету через систему захищеного доступу державних органів до Інтернету Державного центру кіберзахисту, через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних із створеними комплексними системами захисту інформації з підтвердженою відповідністю, або через власні системи захищеного доступу до Інтернету із створеними комплексними системами захисту інформації з підтвердженою відповідністю. Ця вимога не поширюється на інформаційно- телекомунікаційні системи закордонних дипломатичних установ України. • 37. До глобальних мереж передачі даних, зокрема Інтернету, ОКІІ ОКІ повинні підключатися через тих операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних із створеними комплексними системами захисту інформації з підтвердженою відповідністю. У договорі з надавачем цих послуг зазначаються зобов’язання щодо виконання тієї частини Загальних вимог до кіберзахисту об’єктів критичної інфраструктури, які він надає ОКІЇ ОКІ , та наявність комплексної системи захисту інформації з підтвердженою відповідністю. 26
  • 27. Процедури, окремі заходи • 9. Власник/керівник ОКІ повинен впровадити програми підвищення обізнаності/навчання працівників з питань інформаційної безпеки та забезпечити щорічний контроль рівня обізнаності. • 33. Власник/керівник ОКІ зобов’язаний проводити перевірку ефективності заходів щодо захисту ОКІІ ОКІ від зовнішнього проникнення шляхом виконання періодичних (не рідше одного разу на рік) тестів на проникнення (Penetration test). У разі отримання негативних результатів після проведення тестів необхідно вжити заходів для усунення їх причин. • 10. Власник та/або керівник ОКІ з метою усунення можливих наслідків кіберінцидентів та кібератак забезпечує створення резервних копій інформаційних ресурсів ОКІІ ОКІ та критичних бізнес/операційних процесів ОКІ для оперативного їх відновлення у разі пошкодження або знищення • 41. На ОКІІ ОКІ повинна здійснюватися ідентифікація всіх змінних (зовнішніх) пристроїв та носіїв інформації за допомогою унікального ідентифікатора. • 44. На ОКІІ ОКІ повинна проводитися перевірка на цілісність та автентичність оновлень компонентів об’єкта. У разі порушення цілісності або непідтвердження автентичності оновлення воно повинно бути відхилене і не повинно застосовуватися, а цю подію необхідно запротоколювати в журналі подій. • 47. Засоби ОКІІ ОКІ повинні забезпечувати неприйняття файла/повідомлення в обробку у разі отримання негативного результату перевірки електронного підпису файла/повідомлення, що надійшов/надійшло. Ця подія повинна відображатися в журналі реєстрації подій. 27
  • 28. Документування, в цілому • Технічне завдання • Мінімальний перелік документації ОКІІ ОКІ визначається в технічному завданні • Рішення з обґрунтуванням щодо впровадження компенсуючих заходів або виключення окремих вимог з переліку базових вимог • перелік інформаційних, програмних та апаратних ресурсів ОКІІ ОКІ , рівень їх критичності для ОКІ та/або функціонування ОКІІ ОКІ та можливий рівень наслідків у випадку порушення конфіденційності, цілісності та доступності інформації, недоступності служб (функцій) ОКІІ ОКІ , порушення функціонування компонентів об’єкта • політику управління ризиками інформаційної безпеки і методику їх оцінювання та оброблення • Акт обстеження за НД ТЗІ • опис реалізованих у системі організаційних та технічних заходів безпеки інформації • політику інформаційної безпеки • 10. У підрозділі або посадової особи з інформаційної безпеки ОКІ повинен бути створений та підтримуватися в актуальному стані перелік програмного та апаратного забезпечення, що використовується на ОКІІ ОКІ в захищеній від модифікації формі, зокрема електронній. • Схеми (креслення) розміщення обладнання структурованої кабельної системи та кабельних каналів 28
  • 29. Документування, політика ІБ • опис критичних бізнес/операційних процесів, який повинен включати схему кожного критичного бізнес- процесу з описом компонентів та користувачів ОКІІ ОКІ , які задіяні в цьому процесі • вимоги до порядку визначення, надання, зміни та скасування прав доступу вимоги до забезпечення інформаційної безпеки під час взаємодії з постачальниками; • політику управління обліковими записами • вимоги до порядку формування, надання, скасування та контролю (аудиту) за використанням автентифікаційних атрибутів користувачів та адміністраторів, у тому числі зовнішніх носіїв автентифікаційних даних, для доступу до служб (функцій), інформації та компонентів ОКІІ ОКІ . Повинні бути визначені також вимоги до складності паролів, періодичності їх зміни, блокування роботи користувача за певної кількості спроб підбору пароля, порядок поводження із зовнішніми носіями автентифікаційних даних тощо; 29 • політику забезпечення безперебійної роботи ОКІІ ОКІ , зокрема порядок резервування даних • порядок використання змінних (зовнішніх) пристроїв та носіїв інформації • політику мережевого захисту • політику проведення модернізації (оновлення) компонентів об’єкта, внесення змін до складу та в налаштування • політику управління оновленнями • політику реєстрації та аудиту подій, що реєструються • політику управління інцидентами кібербезпеки • політику використання електронної пошти • політику проведення внутрішнього аудиту інформаційної безпеки
  • 30. Корисні посилання • Безкоштовні курси про безпеку АСУ ТП Департаменту безпеки США • https://ics-cert-training.inl.gov/learn • Чек-лист за вимогами в XLSX (права на перегляд за запитом) • https://drive.google.com/file/d/15hDOpBeX_DVHXN0HRvLANQ6jwJW9HXUE/vie w?usp=sharing 30