Про Вимоги з кібербезпеки паливно-енергетичного сектору критичної інфраструктури

Відповідно до пункту 14 Загальних вимог до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 року № 518, з метою реалізації державної політики захисту об’єктів критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури НАКАЗУЮ:

1. Затвердити Вимоги з кібербезпеки паливно-енергетичного сектору критичної інфраструктури, що додаються.

2. Управлінню цифрового розвитку та кібербезпеки забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на заступника Міністра з питань цифрового розвитку, цифрових трансформацій і цифровізації САФАРОВА Фаріда.

1. Ці Вимоги визначають заходи кіберзахисту об’єктів критичної інформаційної інфраструктури, що експлуатуються на об’єктах критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури для досягнення конкретного цільового стану кібербезпеки.

2. В цих Вимогах терміни вживаються у такому значенні:

1) активи - дані, персонал, пристрої та носії інформації, що дозволяють оператору критичної інфраструктури забезпечити надання життєво важливих послуг та функцій;

2) віртуальна приватна мережа (Virtual Private Network, VPN) - технологія, що дозволяє створити окремо виділені віртуальні мережі із одним або кількома зашифрованими з’єднаннями через мережу Інтернет;

3) екосистема - сукупність об’єктів критичної інфраструктури, які взаємодіють та/або взаємозалежать одні від одних як постачальники або отримувачі основних послуг, або об’єднані між собою за галузевою (секторальною) ознакою та/або процесом надання основної послуги, або які безпосередньо впливають на можливість надання основної послуги;

4) профіль кіберзахисту - структурований опис заходів кіберзахисту, які реалізовані на об’єкті критичної інформаційної інфраструктури, що експлуатується на об’єкті критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури, що враховує практику реалізації заходів кіберзахисту та потреби діяльності об’єкта критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури;

5) система (таксономія) заходів кіберзахисту - впорядкований набір заходів з кіберзахисту та бажаних результатів кіберзахисту.

Інші терміни вживаються у значеннях, наведених у Законах України "Про критичну інфраструктуру", "Про основні засади кібербезпеки України", постановах Кабінету Міністрів України від 09 жовтня 2020 року № 943 "Деякі питання об’єктів критичної інформаційної інфраструктури", від 09 жовтня 2020 року № 1109 "Деякі питання об’єктів критичної інфраструктури", від 19 червня 2019 року № 518 "Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури" (далі - постанова № 518).

3. У цих Вимогах вживаються скорочення, що мають такі значення:

ІКС - інформаційно-комунікаційна система;

КСЗІ - комплексна система захисту інформації;

ОКІ - об’єкт критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури;

ОКІІ - об’єкт критичної інформаційної інфраструктури, що експлуатується на об’єкті критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури;

ПЗ - програмне забезпечення;

СУІБ - система управління інформаційної безпеки.

4. Ці Вимоги запроваджують однаковий опис застосованих механізмів кіберзахисту, визначених постановою № 518, нормативними документами у сфері технічного захисту інформації, міжнародними стандартами з питань інформаційної безпеки, кібербезпеки та кіберзахисту, а також механізмів захисту інформації, що вже впроваджені на ОКІ операторами критичної інфраструктури.

5. Ці Вимоги обов’язкові під час здійснення діяльності з:

впровадження заходів кіберзахисту, які спрямовані на управління ризиками кібербезпеки для ОКІІ, що є елементами одного ОКІ, і у співпраці з іншими ОКІ, операторами критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури та інших секторів критичної інфраструктури;

впровадження системного процесу для визначення, оцінки та управління ризиками у сфері кібербезпеки, розроблення плану удосконалення цієї діяльності для відповідного затвердження оператором критичної інфраструктури та планування фінансування заходів з його реалізації;

захисту інформації або впровадженні КСЗІ для зіставлення із заходами кіберзахисту, що викладені у цих Вимогах, з метою визначення недоліків у поточній діяльності із захисту інформації та управління ризиками кібербезпеки, а також вдосконалення системи захисту інформації;

на всіх етапах створення КСЗІ, СУІБ, систем інформаційної безпеки або інших систем захисту інформації, що визначені міжнародними та національними стандартами;

розроблення, виготовлення, випробувань, приймання та постачання ПЗ;

проектування, комплектування, монтажу, налагоджувальних робіт, введення в експлуатацію, експлуатації та модифікації ІКС;

розроблення документів, що обґрунтовують безпеку ІКС та/або їх компонентів.

6. Ці Вимоги описують загальний підхід до забезпечення кібербезпеки, що дозволяє:

здійснити аналіз та надати характеристику поточного стану кібербезпеки ОКІІ;

описати цільовий стан кібербезпеки ОКІІ;

ідентифікувати та визначити пріоритети, рівень впровадження заходів кіберзахисту в контексті безперервного та повторюваного процесу управління ризиками у сфері кібербезпеки ОКІІ;

оцінити прогрес у досягненні цільового стану кібербезпеки ОКІІ;

забезпечити комунікацію між суб’єктами, які безпосередньо знаходяться на ОКІ, операторі критичної інфраструктури та із суб’єктами, які є партнерами ОКІ, оператора критичної інфраструктури щодо управління ризиками у сфері кібербезпеки.

7. Рівень ризиків кібербезпеки ОКІ пропонується знижувати шляхом:

покращення практик застосування засобів захисту інформації;

вдосконалення організаційних заходів із кіберзахисту на ОКІ, операторі критичної інфраструктури;

впровадження політик управління ризиками кібербезпеки у контексті надання основних послуг ОКІ;

налагодження та/або покращення взаємодії між ОКІ, операторами критичної інфраструктури та пов’язаними ОКІ, операторами критичної інфраструктури з інших секторів з метою покращення кібербезпеки в цілому.

8. Система заходів кіберзахисту базується на нормативних документах у сфері технічного захисту інформації, міжнародних стандартах з питань інформаційної безпеки, кібербезпеки та кіберзахисту, що розвиваються разом з технологіями забезпечення кібербезпеки. Це забезпечує ефективність реалізації заходів кіберзахисту та можливість підтримки нових технологій і методів забезпечення кібербезпеки.

9. Ці Вимоги визначають систему (таксономію) заходів кіберзахисту для досягнення конкретного цільового стану кібербезпеки. Систему заходів кіберзахисту не слід розглядати як вичерпний перелік заходів.

10. Діяльність із забезпечення кібербезпеки спрямована на зниження ризиків кібербезпеки, носить безперервний циклічний характер та формує цикл управління кібербезпекою, який складається з п’яти функцій кібербезпеки:

ідентифікація ризиків;

кіберзахист;

виявлення кіберінцидентів;

реагування;

відновлення поточного стану кібербезпеки.

11. Функції кібербезпеки забезпечують:

прийняття рішення з управління ризиками кібербезпеки на ОКІІ;

вибір та впровадження заходів кіберзахисту;

реагування на загрози кібербезпеки;

удосконалення кіберзахисту, враховуючи набутий досвід.

Функції кібербезпеки узгоджені з чинними підходами щодо управління ризиками кібербезпеки та допомагають продемонструвати ефективність інвестицій в кібербезпеку.

12. Система (таксономія) заходів кіберзахисту складається з трьох елементів:

клас заходів кіберзахисту;

категорія заходів кіберзахисту;

підкатегорія заходів кіберзахисту.

13. Клас заходів кіберзахисту організовує заходи кіберзахисту на системному рівні та визначає зміст циклу управління кібербезпекою. Ці Вимоги визначають п’ять класів заходів кіберзахисту:

ідентифікація ризиків;

кіберзахист;

виявлення кіберінцидентів;

реагування на кіберінциденти;

відновлення поточного стану кібербезпеки.

Кожний клас заходів кіберзахисту має свій ідентифікатор, що складається з двох літер.

14. Категорія заходів кіберзахисту являє собою складові елементи класу заходів кіберзахисту, упорядковані за групою цільових результатів забезпечення кібербезпеки та тісно пов’язані із завданнями забезпечення кібербезпеки та конкретними групами заходів кіберзахисту. Кожна категорія заходів кіберзахисту має власний ідентифікатор, який складається з ідентифікатора класу заходів кіберзахисту (перші дві літери) та ідентифікатора категорії (останні дві літери).

15. Підкатегорія заходів кіберзахисту являє собою складовий елемент категорії заходів кіберзахисту. Підкатегорії заходів кіберзахисту містять сукупність конкретних заходів кіберзахисту, які сформульовані у вигляді конкретного результату, що має бути досягнутий під час упровадження заходів кіберзахисту. По суті це набір результатів, які, хоча і не є вичерпними, але допомагають досягти цільових результатів забезпечення кібербезпеки за кожною категорією заходів кіберзахисту. Кожна підкатегорія заходів кіберзахисту має свій власний ідентифікатор, що складається з ідентифікатора категорії заходів кіберзахисту та порядкового номера підкатегорії.

16. До класів заходів кіберзахисту належать:

1) клас заходів кіберзахисту ID - ідентифікація ризиків кібербезпеки. Передбачає заходи, реалізація яких спрямована на поглиблення знань керівництва та персоналу оператора критичної інфраструктури щодо наявних ризиків, способів управління ризиками кібербезпеки для інформаційних систем, активів, даних, що використовуються для надання життєво важливих послуг та функцій. Реалізація заходів кіберзахисту класу "Ідентифікація ризиків" є чинником для ефективного використання цих Вимог, розуміння умов, ресурсів, що підтримують надання життєво важливих послуг та функцій, а також пов’язаних ризиків кібербезпеки, обґрунтованого вибору конкретних заходів для впровадження. Це дозволяє визначити пріоритетність ризиків кібербезпеки потребами надання життєво важливих послуг та функцій, а також розподіляти ресурси і зусилля відповідно до встановлених пріоритетів.

Категорія заходів кіберзахисту ID.AM - управління активами. Дані, персонал, обладнання, системи, пристрої та носії інформації, інформаційні системи, що дозволяють забезпечити надання життєво важливих послуг та функцій, виявлені та управляються відповідно до їх важливості відносно критично важливих послуг та функцій та стратегії управління ризиками ОКІ:

ID.AM-1. Фізичне обладнання та системи на ОКІ ідентифіковано та задокументовано. На ОКІ проводиться ідентифікація всіх пристроїв, носіїв інформації, інформаційних систем, що використовуються для надання життєво важливих послуг, та функцій здійснюється їх реєстрація;

ID.AM-2. ПЗ, що використовуються ОКІ для надання життєво важливих послуг та функцій, ідентифіковано та задокументовано. ПЗ, що використовуються для забезпечення роботи ОКІІ, які забезпечують надання життєво важливих послуг та виконання життєво важливих функцій, повинні бути ідентифіковані та задокументовані;

ID.AM-3. Комунікації та потоки даних ОКІ ідентифіковано та задокументовано. Здійснюється інвентаризація комунікацій та потоків даних, які в них циркулюють в тому числі із визначенням всіх підмереж, які використовуються для забезпечення надання основної послуги/виконання основної функції ОКІ. Розроблено структурну схему інформаційних потоків, яка відображає інформаційну взаємодію між основним компонентами (завданнями, об’єктами). Визначено, з прив’язкою до кожного елемента схеми, категорії інформації та рівні доступу до неї. Ця інформація є важливою для оператора критичної інфраструктури задля представлення цілісного уявлення про активи, що підтримують її комунікаційну інфраструктуру та існуючі потоки даних;

ID.AM-4. Зовнішні інформаційні системи та ІКС, промислові системи, які взаємодіють з ІКС та іншими системами ОКІ обліковано. ІКС, які взаємодіють з ОКІІ ОКІ (в тому числі, які розташовані, або можуть використовуватись за межами ОКІ), слід віднести до певного каталогу. Необхідно забезпечити безпечну роботу обладнання, яке може санкціоновано використовуватись поза межами ОКІ;

ID.AM-5. Критичність активів (обладнання, устаткування, даних, ПЗ) ОКІ визначено відповідно до оцінки їх впливу на надання життєво важливих послуг та функцій ОКІ. Оператор критичної інфраструктури класифікує свої активи, враховуючи критичність процесів, для яких такі активи використовуються. Під час процесу інвентаризації оператор критичної інфраструктури визначає та затверджує метод класифікації активів;

ID.AM-6. Обов’язки штатного персоналу ОКІ та персоналу партнерів оператора критичної інфраструктури (наприклад - постачальників, клієнтів, тощо) щодо забезпечення кібербезпеки визначено та закріплено у відповідних документах. Визначаються та описуються всі обов’язки та відповідальність штатного персоналу ОКІ та персоналу партнерів оператора критичної інфраструктури пов’язаних із забезпеченням кібербезпеки, взаємодією з іншими підрозділами оператора критичної інфраструктури та зовнішніми організаціями. На ОКІ затверджується та доводиться до персоналу політика інформаційної безпеки. Впроваджуються програми підвищення обізнаності, навчання працівників з питань забезпечення кібербезпеки.

Категорія заходів кіберзахисту ID.BE - середовище надання життєво важливих послуг та функцій. Мета, цілі, постачальники, клієнти, партнери, тощо оператора критичної інфраструктури та діяльність ОКІ відносно надання життєво важливих послуг та функцій є зрозумілими та їх пріоритетність встановлено. Ця інформація використовується для формування обов’язків персоналу щодо забезпечення кібербезпеки, а також рішень з управління ризиками кібербезпеки, а саме:

ID.BE-1. Роль ОКІ в ланцюгу постачання товарів і послуг визначено та повідомлено всім постачальникам оператора критичної інфраструктури. Оператор критичної інфраструктури ідентифікує та класифікує постачальників у відповідних ланцюгах поставок, враховуючи товари і послуги, що надаються згідно з чинними договорами та законодавством. В договорах з постачальниками можуть бути визначені вимоги з обробки ризиків, які пов’язані з безпекою постачання, послуги моніторяться та регулярно переглядаються та змінюються з урахуванням результатів повторної оцінки ризиків;

ID.BE-2. Місце та роль ОКІ в системі надання життєво важливих послуг та функцій паливно-енергетичного сектору критичної інфраструктури визначено і повідомлено всім постачальникам оператора критичної інфраструктури. ОКІ має визначити роль в паливно-енергетичному секторі критичної інфраструктури, категорію критичності, а також визначити ідентифікувати та категоризувати власні ОКІІ;

ID.BE-3. Пріоритетність цілей, завдань і заходів щодо забезпечення кібербезпеки надання життєво важливих послуг та функцій встановлено та повідомлено. На ОКІ визначаються пріоритети цілей, завдань і заходів щодо забезпечення кібербезпеки ОКІІ, що забезпечують надання життєво важливих послуг та функцій. Такі пріоритети на ОКІ встановлюються та здійснюється інформування щодо них;

ID.BE-4. Залежності та найважливіші процеси для забезпечення надання життєво важливих послуг та функцій встановлено. Оператор критичної інфраструктури забезпечує ідентифікацію та реєстрацію критично важливих активів, необхідних для надання життєво важливих послуг та функцій. Реєстрація містить принаймні таку інформацію: ІКС, що підтримують надання критично важливих послуг та функцій, які потребують захисту від відмови енергії або інших збоїв, спричинених аномаліями в службах підтримки; комунікаційні мережі, які підтримують важливі послуги та потребують захисту від фальсифікації та перехоплення; планування потенціалу та моніторинг ІКС, що підтримують критично важливі послуги та функції, що дасть змогу зробити обґрунтовані прогнози майбутніх потреб і забезпечить стійкість до збоїв та кібератак;

ID.BE-5. Вимоги до стійкості ОКІ щодо забезпечення надання життєво важливих послуг та функцій встановлено. Оператор критичної інфраструктури ідентифікує та визначає відповідні вимоги для забезпечення стійкості надання критично важливих послуг та функцій.

Категорія заходів кіберзахисту ID.GV - управління безпекою. Правила, процедури і процеси для управління й моніторингу товарів і послуг, а також вимог законодавства у сфері захисту інформації та кібербезпеки ОКІ усвідомлено:

ID.GV-1. Правила (політики) кібербезпеки ОКІ встановлено та задокументовано. Оператор критичної інфраструктури: визначає політику інформаційної безпеки, кібербезпеки; повідомляє про існування та зміст політики інформаційної безпеки, кібербезпеки для партнерів оператора критичної інфраструктури;

ID.GV-2. Обов’язки щодо забезпечення кібербезпеки ОКІ скоординовано та узгоджено з обов’язками персоналу ОКІ та із зовнішніми партнерами. На ОКІ визначаються усі обов’язки, пов’язані із забезпеченням кібербезпеки ОКІ. Керівництво безпосередньо підтримує впровадження культури кібербезпеки, виконує вимоги з кібербезпеки та забезпечує дотримання вимог з кібербезпеки відповідно до прийнятих політики та процедур оператора критичної інфраструктури всім персоналом. ОКІ може взаємодіяти з органами державної влади, установами та підприємствами, що займаються питанням забезпечення кіберзахисту. У разі потреби, до виконання робіт із забезпечення кіберзахисту можуть залучатися зовнішні організації, що мають ліцензії на відповідний вид діяльності у сфері кібербезпеки. У випадку укладення договору про забезпечення кібербезпеки у ньому можуть бути викладені чіткі вимоги із забезпечення кібербезпеки як постачальником послуг так і клієнтом;

ID.GV-3. Вимоги законодавства у сфері захисту інформації та кібербезпеки ОКІ усвідомлено та управління ними здійснюється. Оператор критичної інфраструктури узагальнює та виконує вимоги законодавства у сфері захисту інформації та кібербезпеки;

ID.GV-4. Процеси управління безпекою та управління ризиками спрямовано на вирішення питання оброблення ризиків кібербезпеки. На ОКІ проводиться оцінка ризиків. Для проведення аналізу ризиків складаються переліки суттєвих загроз, вразливостей, через які загрози можуть бути реалізовано, описуються методи та способи обробки ризиків. Необхідно оцінювати достатність заходів, які застосовуються для обробки, в тому числі зменшення ризиків кібербезпеки ОКІ, під час проведення незалежного аудиту інформаційної безпеки ОКІ або державної експертизи КСЗІ ОКІІ.

Категорія заходів кіберзахисту ID.RA - оцінка ризиків. ОКІ усвідомлює ризик кібербезпеки для процесів надання життєво важливих послуг та функцій (включаючи імідж або репутацію), а також активів ОКІ:

ID.RA-1. Вразливості активів ОКІ проаналізовано, ідентифіковано та задокументовано. Управління вразливістю є одним із процесів оператора критичної інфраструктури для пом’якшення ризику в контексті кібербезпеки. Усі відомі вразливості були виявлені, але ще не пом’якшені чи не виправлені, оцінюються оператором критичної інфраструктури та розглядаються шляхи їх виправлення або необхідність впровадження додаткових заходів із кіберзахисту;

ID.RA-2. Інформацію про загрози безпеки та вразливості отримано з форумів обміну інформацією та офіційних джерел. Оператор критичної інфраструктури встановлює контакти з групами, які обмінюються інформацією про проблеми кібербезпеки та вразливості, обмінюються ідеями та досвідом, отримує доступ до постійно обновлюваної інформації про кіберзагрози, в тому числі, яка отримується іншими суб’єктами забезпечення кіберзахисту в наслідок проведення технічного розслідування кіберінцидентів, кібератак;

ID.RA-3. Загрози кібербезпеки (модель загроз) як внутрішні, так і зовнішні визначено й задокументовано. Відповідно до стратегії (політики) управління ризиками оператор критичної інфраструктури визначає та задокументує можливі загрози, які можуть бути реалізовані через ідентифіковані вразливості в її активах;

ID.RA-4. Потенційні наслідки (рівень шкоди), які можуть завдати загрози в наслідок їх реалізації на безперервне надання життєво важливих послуг та функцій та ймовірності їх реалізації визначено. Виконується кількісна або якісна оцінка збитків, що можуть бути нанесені ОКІ внаслідок реалізації загроз. Оцінка складається з величин очікуваних збитків від втрати інформації або кожної з її властивостей (конфіденційність, доступність та цілісність) або від втрати керованості ОКІ внаслідок реалізації загрози;

ID.RA-5. Для визначення ризику застосовуються данні щодо загроз, вразливостей, їх ймовірностей та рівня шкоди використано для визначення ризику кібербезпеки. Оператор критичної інфраструктури визначає у методології управління ризиками, які є критерії для визначення ймовірності та впливу ризику. Ці критерії визначають рівень ризику. Вразливість та загрози враховуються під час процесу ідентифікації ризиків;

ID.RA-6. Заходи реагування на ризик кібербезпеки визначено та їх пріоритетність встановлено. На підставі визначеної методології оператор критичної інфраструктури впроваджує заходи реагування на ризики, які ідентифіковані та рівні яких розраховано, з урахуванням їх пріоритетності.

Категорія заходів кіберзахисту ID.RM - стратегія управління ризиками оператора критичної інфраструктури. Пріоритети, обмеження, допустимий рівень ризику та припущення визначено та використано для підтримки таких операційних рішень щодо зниження (обробки) ризиків кібербезпеки:

ID.RM-1. Процеси управління ризиками визначено, узгоджено із партнерами оператора критичної інфраструктури та управляються. Оператор критичної інфраструктури забезпечує належне визначення процесу управління ризиками та керується ними. Відповідно до стратегії (політики) управління ризиками оператор критичної інфраструктури: формулює комплексний підхід до управління ризиками, пов’язаний з використанням комп’ютерних мереж та інформаційних систем (ОКІІ); переконується, що визначений підхід послідовно застосовується в ОКІ; вказує осіб відповідальних за процес управління ризиками; вказує осіб відповідальних за обробку ризиків;

ID.RM-2. Допустимий рівень ризику кібербезпеки визначено та чітко виражено. Оператор критичної інфраструктури формулює в методології управління ризиками свій підхід до обробки ризиків та відповідний допустимий рівень ризику, встановлений оператором критичної інфраструктури;

ID.RM-3. Визначення допустимого рівня ризику ґрунтується на ролі ОКІ як складової частини паливно-енергетичного сектору критичної інфраструктури та аналізі ризиків, притаманних паливно-енергетичному сектору критичної інфраструктури. Оператор критичної інфраструктури визначає порядок обробки ризиків, врахування наявності остаточних ризиків з запобіганням їх взаємовпливу та можливих каскадних ефектів з урахуваннями визначеного рівня допустимості ризиків.

Категорія заходів кіберзахисту ID.SC - управління ризиками системи постачання. Пріоритети, обмеження, допустимий рівень ризику та припущення щодо системи постачання ОКІ визначені та використовуються для підтримки таких рішень щодо ризиків, які пов’язані з системою постачання послуг третіми особами (ланцюгами постачання):

ID.SC-1. Процеси управління ризиками кібербезпеки системи постачання визначено, узгоджено з партнерами оператора критичної інфраструктури та управляються. Оператор критичної інфраструктури проводить аудит постачальників товарів і послуг, використовуючи ту саму методологію, яку він використовує внутрішньо для управління ризиками;

ID.SC-2. Постачальники (розпорядники) інформаційних систем, товарів і послуг для ОКІ ідентифіковано, рівень їх критичності оцінено у відповідності до політики управління ризиками кібербезпеки з урахуванням ризиків, притаманних системі постачання. Постачальники товарів і послуг для ОКІ ідентифікується. Оператор критичної інфраструктури класифікує своїх постачальників за: доступом до конфіденційної інформації; можливим впливом на ланцюг поставок; товарами і послугами, що надаються;

ID.SC-3. Постачальники товарів і послуг та партнери, у відповідності до договору, можуть впроваджувати заходи, спрямовані на досягнення мети політики інформаційної безпеки, кібербезпеки ОКІ та плану управління ризиками постачання. У випадку укладення договору із постачальниками товарів і послуг у ньому можуть бути прямо вказані вимоги із забезпечення належного рівня надання послуг, в тому числі взаємні обов’язки із кіберзахисту інформації, до якої постачальник може отримати доступ (обробка, зберігання, взаємодія), або ОКІІ;

ID.SC-4. З постачальниками здійснюється планування та тестування реагування за відповідними політиками реагування на кіберінциденти та відновлення стану кібербезпеки. Оператор критичної інфраструктури визначає, які постачальники братимуть участь у опрацюванні заходів реагування та планах відновлення, щоб забезпечити їх участь у запланованих навчаннях з реагування на кіберінциденти. Плани реагування існують та регулярно тестуються та покращуються;

2) клас заходів кіберзахисту PR - кіберзахист. Визначає діяльність із розробки та впровадження відповідних методів, засобів, процедур кіберзахисту для забезпечення стійкого, безперервного та безпечного надання життєво важливих послуг та функцій ОКІ. Ці заходи дозволяють обмежити або стримати вплив кіберінцидентів.

Категорія заходів кіберзахисту PR.AC - управління ідентифікацією, автентифікацією та контроль доступу. Доступ до фізичних і логічних ресурсів ОКІ та пов’язаних з ними об’єктів надається тільки авторизованим користувачам, адміністраторам, процесам або пристроям та управляється відповідно до встановленого рівня ризику несанкціонованого доступу:

PR.AC-1. Ідентифікатори та дані автентифікації для авторизованих користувачів, адміністраторів та процесів призначаються, верифікуються, адмініструються, відкликаються (скасовуються) та перевіряються. Оператор критичної інфраструктури забезпечує управління та перевірку, періодичний перегляд особистих обов’язків та повноважень користувачів, адміністраторів оператора критичної інфраструктури, керує ними, перевіряє, скасовує відповідно до встановлених внутрішніх процесів;

PR.AC-2. Фізичний доступ до ОКІІ захищений та управляється. Оператор критичної інфраструктури охороняє та керує фізичним доступом до своїх ОКІ та інфраструктури, що підтримують її ІКС. Цей контроль застосовується до всіх співробітників та відвідувачів, "чутливих" зон, до яких доступ обмежений, або до "чутливих" районів, в яких обробляється конфіденційна інформація, в яких розміщені ІКС;

PR.AC-3. Здійснюється контроль та управління віддаленого доступу. Оператор критичної інфраструктури має політику віддаленого доступу у відповідності до якої здійснюється управління ним та контролюється віддалений доступ до своїх ІКС. Віддалений доступ включає всі види доступу до мережевих або інформаційних систем через зовнішні комунікаційні мережі, які не підконтрольні оператору критичної інфраструктури. VPN в разі їх створення, розглядаються як внутрішні засоби доступу і мають принаймні однаковий контроль безпеки; доступ до публічної інформації не вважається віддаленим доступом;

PR.AC-4. Права доступу встановлено із застосуванням розподілу обов’язків. Доступ надається на основі поділу обов’язків. Розподіл обов’язків передбачає розмежування між кількома особами, щоб особливо критичні процеси не виконувалися однією особою. Основною причиною розподілу обов’язків є запобігання кіберінцидентам, які можуть вплинути на операційну діяльність оператора критичної інфраструктури. Тимчасово встановлені привілеї щодо прав доступу постійно переглядаються та скасовуються одразу після виконання завдання, задля виконання якого такі привілеї було встановлено;

PR.AC-5. Цілісність комунікаційної мережі захищено (наприклад, сегментація мережі). Цілісність комунікаційної мережі захищена за допомогою поділу і сегментації мережі. Проєктування комунікаційної мережі унеможливлює отримання доступу до будь-якої системи з будь-якої підмережі. Зони безпеки визначаються з чітко сформульованими цілями та чітко визначеними бар’єрами, які забезпечують обладнання безпеки;

PR.AC-6. Автентифікація користувачів, адміністраторів, пристроїв та інших активів здійсню-ється (наприклад методами однофакторної, багатофакторної автентифікації) відповідно до встановленого ризику порушення безпеки. Механізми автентифікації визначаються та оновлюються з метою забезпечення цілісності та конфіденційності інформації.

Категорія заходів кіберзахисту PR.AT - обізнаність та навчання. Співробітники ОКІ та партнерів оператора критичної інфраструктури поінформовані та обізнані з питаннями кібербезпеки, мають освіту або пройшли спеціалізовану підготовку для покращення інформованості з питань кібербезпеки, пройшли належну підготовку для виконання своїх обов’язків щодо забезпечення кібербезпеки відповідно до встановлених правил, процедур, вимог договорів:

PR.AT-1. Усі співробітники ОКІ обізнані та пройшли підготовку з питань кібербезпеки. Оператор критичної інфраструктури формує план дій для навчання працівників з питань кібербезпеки. Розробляє процеси і процедури для забезпечення належного проведення заходів і стежить за успіхом навчальних заходів;

PR.AT-2. Користувачі (адміністратори) з перевагами доступу розуміють свої обов’язки з питань кібербезпеки. Співробітники, яким надано привілеї доступу до мереж або інформаційних систем ретельно вивчають свої обов’язки, необхідні для своїх функцій. Оператор критичної інфраструктури окреслює програму необхідного навчання, забезпечує його ефективність;

PR.AT-3. Партнери оператора критичної інфраструктури розуміють свої обов’язки з питань кібербезпеки. Партнери оператора критичної інфраструктури знають та розуміють свої обов’язки в рамках програми кібербезпеки оператора критичної інфраструктури. Оператор критичної інфраструктури проводить навчальні семінари для партнерів оператора критичної інфраструктури, та регулярно надає їх оновлені дані щодо політик і процедур оператора критичної інфраструктури, суттєвих для виконання їх зобов’язань по відношенню до ОКІ;

PR.AT-4. Керівництво ОКІ розуміє свої обов’язки з питань кібербезпеки. Керівництво усвідомлює свої обов’язки з питань кібербезпеки, спрямовує роботу підрозділу кібербезпеки, здійснює відповідне забезпечення;

PR.AT-5. Персонал із забезпечення фізичної та інформаційної безпеки розуміє свої обов’язки. Повинні бути визначені права та обов’язки, пов’язані із забезпеченням фізичної та інформаційної безпеки. Персонал має належну кваліфікацію, на постійній основі здійснюється підвищення кваліфікації та розуміє межі своїх повноважень.

Категорія заходів кіберзахисту PR.DS - безпека даних. Інформація та документація (дані) управляються відповідно до стратегії (політики) управління ризиками кібербезпеки ОКІ з метою захисту конфіденційності, цілісності та доступності інформації:

PR.DS-1. Дані, що зберігаються, захищено. В ІКС забезпечують конфіденційність, цілісність та доступність даних оператора критичної інфраструктури. Криптографічна перевірка збережених даних проводиться;

PR.DS-2. Дані, що передаються, захищено. Оператор критичної інфраструктури забезпечує захист даних, що передаються;

PR.DS-3. Управління активами здійснюється з дотриманням правил видалення, передачі та розміщення. Оператором критичної інфраструктури встановлені правила безпечного видалення, передачі та утилізації інформації або активів, які її містять. У тих випадках, коли така інформація більше не є актуальною для оператора критичної інфраструктури, застосовуються механізми її безпечного видалення з урахуванням політики класифікації інформації. При передачі на знищення обладнання стороннім організаціями забезпечується видалення робочої інформації оператора критичної інфраструктури, персональних даних та ліцензій ПЗ;

PR.DS-4. Необхідні спроможності для забезпечення доступності активів створено та підтримуються. Спроможність ІКС контролюється задля забезпечення доступності активів. При плануванні їх розвитку передбачаються майбутні потреби на основі прогнозів, результатів минулого використання, з метою забезпечення відповідної продуктивності системи вимогам щодо надання життєво важливих послуг та функцій;

PR.DS-5. Захист від витоку даних впроваджено. Оператор критичної інфраструктури запроваджує контроль безпеки на периметрах ІКС, ОКІІ для виявлення несанкціонованих витоків даних;

PR.DS-6. Механізми перевірки цілісності використовуються для верифікації ПЗ, програмно-апаратних засобів та цілісності інформації. Оператор критичної інфраструктури використовує механізми перевірки для забезпечення верифікації ПЗ і цілісності даних. Ці заходи контролю призначені для виявлення несанкціонованого втручання або непередбачених помилок, викликаних неправомірним використанням;

PR.DS-7. Середовища розробки та тестування відокремлені від виробничого середовища. Оператор критичної інфраструктури забезпечує розділення середовищ виробництва, випробувань та розробок, логічно чи фізично. Середовища розробки та тестування розділені не тільки за доступом, але й за рівнем даних.

Категорія заходів кіберзахисту PR.IP - процеси та процедури кіберзахисту. Забезпечення підтримання та управління політикою (правилами) безпеки, процесами та процедурами, які стосуються мети, сфер відповідальності, і координації між підрозділами оператора критичної інфраструктури (ОКІ) та які використовуються для управління захистом інформаційних систем і активів ОКІ:

PR.IP-1. Базова конфігурація ІКС, систем управління виробничими процесами створена й підтримується. Оператор критичної інфраструктури встановлює базову конфігурацію ІКС, систем управління виробничими процесами. Базова конфігурація передбачає: ПЗ, встановлене на робочих станціях; персональне обладнання, ноутбуки, принтери та кінцеве обладнання; сервери та елементи комунікаційної мережі; конфігурацію та параметри у відповідності до встановлених правил (політик); відповідність запланованій топології ІКС;

PR.IP-2. Життєвий цикл розробки, експлуатації та управління системами (SDLC) впроваджено. Оператор критичної інфраструктури застосовує обґрунтовані інженерні принципи захисту інформації щодо специфікації, проєктування, розробки, впровадження та зміни ІКС. Ці принципи застосовуються як до систем, що створюються, так і до існуючих, які зазнають значних змін. До застарілих систем ці принципи застосовуються по можливості, враховуючи стан обладнання, ПЗ тощо;

PR.IP-3. Процеси (заходи) управління змінами конфігурації впроваджено. Оператор критичної інфраструктури запроваджує процес управління змінами конфігурації;

PR.IP-4. Резервне копіювання інформації проводиться, підтримується та періодично тестується. Оператор критичної інфраструктури має політику резервного копіювання та забезпечує відновлення резервних копій, якщо це необхідно. Копії регулярно тестуються та перевіряються шляхом виконання тестів;

PR.IP-5. Правила (політика) та норми фізичної безпеки операційного середовища та обладнання оператора критичної інфраструктури (ОКІ) виконуються. Оператор критичної інфраструктури дотримується національної політики та правил захисту ІКС від природних катастроф, відключення електроенергії, пожежі та повені;

PR.IP-6. Дані знищуються відповідно до політики безпеки. Цифрова та фізична інформація підлягає відповідним методам знищення відповідно до їх класифікації і конфіденційності;

PR.IP-7. Процеси кіберзахисту постійно вдосконалюються. Оператор критичної інфраструктури оцінює та регулярно оновлює свої процеси захисту, щоб на систематичній основі виявляти можливі існуючі вразливості задля визначення їх, як цілі у плані усунення;

PR.IP-8. Плани реагування (реагування на кіберінциденти та забезпечення безперервності бізнесу) і плани відновлення (відновлення після кіберінциденту та відновлення після аварії) наявні та управляються. Плани реагування на кіберінциденти, безперервності бізнесу, обробки аварій та аварійних ситуацій регулярно оновлюються. Оператор критичної інфраструктури забезпечує, щоб партнери оператора критичної інфраструктури як внутрішні, так і зовнішні, були обізнані про оновлення;

PR.IP-9. Плани реагування та відновлення тестуються. Оператор критичної інфраструктури забезпечує на систематичній основі тестування та оцінку планів реагування на кіберінциденти, планів забезпечення безперервності діяльності та планів відновлення для визначення їх ефективності та можливих вразливих місць;

PR.IP-10. План управління вразливостями розроблено й впроваджено. Оператором критичної інфраструктури (на ОКІ) розроблено та впроваджено план управління вразливостями для ІКС, ризики, пов’язані з вразливостями враховані.

Категорія заходів кіберзахисту PR.MA - технічне обслуговування. Технічне обслуговування та ремонт компонентів систем управління виробничими процесами, компонентів ІКС виконуються з дотриманням таких правил та процедур безпеки:

PR.MA-1. Технічне обслуговування та ремонт активів ОКІ виконуються та своєчасно документуються з використанням визначених та контрольованих засобів. Оператор критичної інфраструктури регулярно та за розкладом виконує технічне обслуговування своїх критичних активів. Технічне обслуговування реєструється та проводиться під наглядом уповноваженого персоналу з належними технічними знаннями;

PR.MA-2. Дистанційне обслуговування активів ОКІ схвалено, задокументовано та виконується в спосіб, що унеможливлює несанкціонований доступ. Віддалене обслуговування ІКС підлягає реєстрації та виконується безпечно, щоб уникнути несанкціонованого доступу.

Категорія заходів кіберзахисту PR.PT - технології кіберзахисту. Технічні рішення (технології) кіберзахисту управляються з метою забезпечення безпеки та стійкості систем і активів ОКІ з дотриманням таких політик, правил, процедур з безпеки:

PR.PT-1. Записи аудиту (журналів подій) визначено, задокументовано, впроваджено й перевірено відповідно до політик, правил, процедур з безпеки. Записи аудиту (журналів подій) визначаються, документуються, впроваджуються та регулярно переглядаються відповідно до політик, правил, процедур з безпеки. Забезпечено їх захист від несанкціонованого доступу та фальсифікації;

PR.PT-2. Змінні носії захищено, а їх використання обмежено відповідно до правил, процедур з безпеки. Оператор критичної інфраструктури запроваджує політики (процедури), що забезпечують застосування правил використання знімних носіїв інформації, враховуючи застосовану політику класифікації інформації;

PR.PT-3. Контроль доступу до систем і активів здійснюється із застосуванням принципу мінімальних привілеїв. Оператор критичної інфраструктури впроваджує принцип мінімальних привілеїв, налаштовуючи системи на забезпечення лише життєво важливих послуг та функцій;

PR.PT-4. Комунікаційні мережі та мережі управління захищено. Комунікаційні мережі та мережі управління регулюють передачу інформації і шляхи, які можуть бути відкриті всередині систем і між ними. По відношенню до них реалізовані заходи захисту;

PR.PT-5. Упровадження механізмів на ОКІ для досягнення вимог до стійкості у разі надзвичайних ситуацій та інцидентів у кіберпросторі. Оператор критичної інфраструктури впроваджує необхідні механізми для забезпечення базової стійкості у всіх заздалегідь визначених функціональних станах - під навантаженням, у незвичних ситуаціях, під час відновлення, у нормальних умовах, під атакою. Правила належного розподілу додаткових ресурсів, які необхідні для досягнення стійкості, визначено;

3) клас заходів кіберзахисту DE - виявлення кіберінцидентів.

Категорія заходів кіберзахисту DE.AE - аномалії та кіберінциденти. Аномальну активність своєчасно виявлено, потенційний вплив кіберінцидентів усвідомлено:

DE.AE-1. Еталони мережевих операцій та очікуваних потоків даних для користувачів і систем встановлені та управляються. Оператор критичної інфраструктури забезпечує, щоб мережеві операції здійснювалися на структурованій основі кваліфікованим персоналом і щоб були захищені цілісність, конфіденційність, доступність інформації. Для кожної інформаційної системи оператор критичної інфраструктури визначає, створює і підтримує довідкову модель очікуваної комунікації, незалежно від того, генерується вона користувачами або системами (як внутрішніми, так і зовнішніми);

DE.AE-2. Існує практика аналізу виявлених подій. Оператор критичної інфраструктури впроваджує практику виявлення, аналізу подій, класифікації кіберінцидентів, кібератак з метою розуміння цілей і методів атак та причин виникнення кіберінцидентів. Можуть впроваджуватись рішення SIEM, які: підтримують процес виявлення, аналізу і обробки кіберінцидентів (кібератак);

DE.AE-3. Дані про кіберінциденти агрегуються та корелюються з декількох джерел і датчиків. Опе-ратор критичної інфраструктури впроваджує технологічні та процесні механізми, що дозволяють збирати і зіставляти кіберінциденти, які виявляються в ІКС. Ці кіберінциденти співвідносяться між собою і по можливості збагачені додатковою аналітичною інформацією про зовнішні загрози;

DE.AE-4. Існує процес визначення можливих впливів кіберінцидентів. Оператор критичної інфраструктури проводить класифікацію та категоризацію кіберінцидентів і оцінює їх можливий вплив на мережеві інформаційні системи (ОКІІ). Категоризація кіберінцидентів підтримує процес прийняття рішень про те, які дії виконувати для кожного типу;

DE.AE-5. Пороги оповіщення про кіберінциденти встановлено. На основі категоризації кіберінцидентів оператор критичної інфраструктури визначає критерії, завдяки яким приймається рішення щодо оповіщення про інцидент.

Категорія заходів кіберзахисту DE.CM - безперервний моніторинг кібербезпеки. Безпека інформаційних систем та активів ОКІІ відстежуються через дискретні інтервали для виявлення кіберінцидентів та перевірки ефективності заходів кібербезпеки:

DE.CM-1. ІКС (ОКІІ) відстежується для виявлення потенційних кіберінцидентів. Оператор критичної інфраструктури контролює свої ІКС. Процес моніторингу інтегровано в існуючий процес управління заходами кіберзахисту;

DE.CM-2. Фізичне середовище відстежується для виявлення потенційних кіберінцидентів. Компоненти ОКІ повинні забезпечити реєстрацію, збереження в електронних журналах та захист від модифікації інформації про події кібербезпеки;

DE.CM-3. Активність персоналу відстежується для виявлення потенційних кіберінцидентів. Моніторинг діяльності співробітників інтегровано в сферу управління подіями. Ця діяльність генерує достатню інформацію, що дозволяє оперативно вживати заходів у разі виникнення загрози кібербезпеці, яка виникає в результаті діяльності користувача;

DE.CM-4. Шкідливий код виявляється. Оператор критичної інфраструктури впроваджує механізми, що дозволяють виявляти шкідливі коди в її ІКС (в ОКІІ). По можливості, працює політика запобігання запуску таких кодів;

DE.CM-5. Несанкціоноване ПЗ виявлено. Оператор критичної інфраструктури виявляє несанкціоновані ПЗ, що працюють у його ІКС (в ОКІІ);

DE.CM-6. Активність зовнішнього постачальника товарів і послуг відстежується з метою виявлення потенційних кіберінцидентів. Здійснюється контроль за послугами, наданими зовнішніми постачальниками товарів і послуг, з метою виявлення несанкціонованого доступу до ІКС (ОКІІ), а також інших негативних подій кібербезпеки;

DE.CM-7. Моніторинг неавторизованого персоналу, з’єднань, пристроїв і ПЗ здійснюється на постійній основі. Оператор критичної інфраструктури стежить за доступом співробітників до ІКС (ОКІІ), пристроїв та процесів;

DE.CM-8. Сканування вразливостей виконується. Оператор критичної інфраструктури здійснює процес управління вразливістю в тому числі, шляхом регулярного сканування вразливостей як автоматично, так і за запитом.

Категорія заходів кіберзахисту DE.DP - процеси виявлення кіберінцидентів. Процеси й процедури виявлення кіберінцидентів підтримуються й тестуються для забезпечення своєчасного та адекватного оповіщення про аномальні події кібербезпеки:

DE.DP-1. Обов’язки щодо виявлення кіберінцидентів чітко визначено задля забезпечення звітності. Оператором критичної інфраструктури визначено обов’язки щодо виявлення кіберінцидентів, забезпечується ведення звітності щодо них;

DE.DP-2. Заходи виявлення кіберінцидентів відповідають всім застосованим вимогам. Оператор критичної інфраструктури проводить моніторинг ефективності заходів виявлення кіберінцидентів та співставлення дій щодо виявлення з усіма вимогами;

DE.DP-3. Процеси виявлення кіберінцидентів протестовані. Оператор критичної інфраструктури проводить випробування і перевірку ефективності процесів виявлення за планом, та, коли: відбулася суттєва зміна системи; нові прикладні програми розробляються у значних масштабах; в існуючу інфраструктуру додано нову систему; з’являється новий тип вразливості;

DE.DP-4. Інформацію про виявлені кіберінциденти повідомлено партнерів оператора критичної інфраструктури. Оператор критичної інфраструктури розробляє комунікаційну стратегію (політику), згідно з якою забезпечує інформування партнерів оператора критичної інфраструктури про кіберінциденти у сфері безпеки. Стратегія (політика) підкріплюється комунікаційним планом, який може бути об’єднаний з іншими комунікаційними планами;

DE.DP-5. Процеси виявлення кіберінцидентів постійно вдосконалюються. Оператор критичної інфраструктури аналізує кіберінциденти, які відбуваються в їх ІКС (на ОКІІ), та шляхом визначення оперативних і/або процесних заходів, підвищує потенціал виявлення нових кіберінцидентів;

4) клас заходів кіберзахисту RS - реагування на кіберінциденти. Містить заходи реагування на кіберінциденти та кібератаки. Реалізація заходів спрямована на зниження потенційного негативного впливу кіберінциденту (кібератаки) на надання життєво важливих послуг та функцій.

Категорія заходів кіберзахисту RS.RP - планування реагування. Процеси та процедури реагування на кіберінциденти виконуються та підтримуються з метою забезпечення своєчасного реагування на виявлені кіберінциденти:

RS.RP-1. План реагування виконується під час або після події. Оператором критичної інфраструктури (на ОКІ) розроблено план реагування на кіберінциденти. При зборі даних щодо події та аналізі подій (кіберінцидентів) забезпечується збереженість і цілісність доказів.

Категорія заходів кіберзахисту RS.CO - комунікації. Заходи з реагування координуються з внутрішніми та зовнішніми партнерами оператора критичної інфраструктури, такими як координаційні центри, оператори, провайдери комунікацій, власники атакуючих систем, інші групи реагування на інциденти, пов’язані з інформаційною та/або кібербезпекою (CSIRT), постачальники, тощо:

RS.CO-1. Персонал знає свої обов’язки та порядок дій у ситуаціях, коли необхідне реагування на кіберінциденти. Під час реагування на кіберінциденти оператор критичної інфраструктури забезпечує, щоб усі співробітники залучалися до зазначеної роботи;

RS.CO-2. Факти про кіберінциденти задокументовано та повідомляються відповідно до встановлених критерій. Оператор критичної інфраструктури створює і розповсюджує серед партнерів оператора критичної інфраструктури повідомлення про кіберінциденти та належної класифікації інцидентів з точки зору інформаційної безпеки;

RS.CO-3. Здійснюється обмін інформацією про кіберінциденти відповідно до планів реагування. Оператор критичної інфраструктури використовує належні канали для поширення інформації про кіберінциденти у сфері безпеки серед партнерів оператора критичної інфраструктури. Це допоможе партнерам оператора критичної інфраструктури виявляти, стримувати і розв’язувати аналогічні проблеми, які можуть виникати в їх системах;

RS.CO-4. Координація з партнерами оператора критичної інфраструктури проводиться відповідно до планів реагування. Оператор критичної інфраструктури виконує план координації при ескалації кіберінцидентів у сфері безпеки з урахуванням їх категоризації і важливості;

RS.CO-5. З метою досягнення ширшої ситуативної обізнаності щодо стану кібербезпеки здійснюється обмін інформацією із основними суб’єктами національної системи кібербезпеки та зовнішніми партнерами оператора критичної інфраструктури. На етапі реагування на кіберінциденти оператор критичної інфраструктури визначає інформацію, якою він буде ділитися із зовнішніми партнерами оператора критичної інфраструктури та основними суб’єктами національної системи кібербезпеки, для забезпечення більш широкої поінформованості про ситуацію у сфері кібербезпеки.

Категорія заходів кіберзахисту RS.AN - аналіз. Проводиться аналіз кіберінцидентів для забезпечення адекватних заходів реагування та підтримки відновлення;

RS.AN-1. Повідомлення від систем виявлення кіберінцидентів досліджуються. Оператор критичної інфраструктури забезпечує, щоб кіберінциденти, які генеруються системами виявлення, розслідувалися, класифікувалися і розглядалися послідовним чином;

RS.AN-2. Вплив кіберінциденту усвідомлено. У процесі класифікації кіберінцидентів оператор критичної інфраструктури оцінює їх наслідки для своїх активів та операцій і використовує отримані результати для визначення ступеня серйозності інцидентів;

RS.AN-3. Кіберінциденти класифіковано відповідно до планів реагування. Електронні докази збираються та фіксуються належним чином. Оператор критичної інфраструктури забезпечує, щоб класифікація кіберінцидентів проводилася відповідно плану дій у разі виявлення кіберінцидентів у сфері безпеки. Збір електронних доказів забезпечено;

RS.AN-4. Створено процеси для отримання, аналізу та реагування на чинники уразливості, виявлені оператором критичної інфраструктури з внутрішніх і зовнішніх джерел. Запроваджується процес отримання інформації про фактори уразливості з внутрішніх або зовнішніх джерел. Кожен випадок аналізується, перевіряється виконується за процедурою розгляду кіберінцидентів у сфері безпеки, якщо тільки він не є хибним.

Категорія заходів кіберзахисту RS.MI - мінімізація наслідків. Виконуються такі заходи з метою запобігання розширенню кіберінциденту, мінімізації його наслідків та унеможливлення його повторення:

RS.MI-1. Кіберінциденти стримано. Оператор критичної інфраструктури визначає процеси та процедури для забезпечення ефективного стримування інцидентів у сфері безпеки;

RS.MI-2. Наслідки кіберінцидентів мінімізовано. Оператор критичної інфраструктури визначає процеси та процедури для забезпечення ефективного пом’якшення наслідків кіберінцидентів у сфері безпеки;