RS.MI-3. Вперше виявлені вразливості усунено або задокументовано як прийняті ризики. Нововиявлені чинники уразливості оцінюються оператором критичної інфраструктури з урахуванням масштабів можливих наслідків для діяльності (надання життєво важливих послуг, виконання життєво важливих функцій), визначених у процесі управління вразливістю. Оператор критичної інфраструктури визначає, яких заходів слід вжити у зв’язку з цими факторами вразливості зважаючи на політику управління ризиками.
Категорія заходів кіберзахисту RS.IM - удосконалення. Заходи з реагування вдосконалюються шляхом урахування досвіду з поточних або виконаних заходів виявлення/реагування:
RS.IM-1. У планах реагування враховано отриманий досвід. Оператор критичної інфраструктури вивчає минулі кіберінциденти після того, як вони будуть врегульовані для того, щоб врахувати досвід. Аналізується вся інформація, яка відома про кіберінцидент, визначивши, що добре спрацювало і що необхідно поліпшити у процесі розгляду кіберінцидентів, для того щоб оператор критичної інфраструктури і його системи були більш стійкими до майбутніх інцидентів;
RS.IM-2. Плани реагування оновлено. Плани реагування оновлюються з урахуванням внутрішніх змін після врегулювання кіберінцидентів;
5) клас заходів кіберзахисту RC - відновлення стану кібербезпеки. Визначає діяльність щодо забезпечення спроможностей ОКІІ щодо стійкого, надійного та безперервного надання життєво важливих послуг та функцій, які були порушені внаслідок кіберінциденту (кібератаки). Ці заходи забезпечують своєчасне відновлення штатної роботи ОКІІ та зменшення негативного впливу кіберінциденту (кібератаки).
Категорія заходів кіберзахисту RC.RP - планування відновлення. Процеси та процедури відновлення виконуються та підтримуються з метою своєчасного відновлення систем або активів, постраждалих від кіберінцидентів:
RC.RP-1. План відновлення виконується під час або після кіберінцидентів. Оператор критичної інфраструктури розробляє свій план ліквідації наслідків кіберінцидентів, для того щоб забезпечити належний розподіл ресурсів (людських і технічних) для врегулювання інцидентів. Процес ліквідації наслідків кіберінцидентів, забезпечує збереження і наявність активів, необхідних для проведення найважливіших видів діяльності.
Категорія заходів кіберзахисту RC.IM - удосконалення. Процеси й планування відновлення удосконалюються шляхом урахування отриманого досвіду для реалізації майбутніх заходах:
RC.IM-1. Плани відновлення враховують отриманий досвід. Оператор критичної інфраструктури забезпечує, щоб плани відновлення оновлювалися з урахуванням заходів, прийнятих на основі накопиченого досвіду;
RC.IM-2. Плани відновлення оновлено. Плани відновлення у разі виникнення інцидентів оновлюються з урахуванням внутрішніх змін.
Категорія заходів кіберзахисту RC.CO - комунікації. Заходи з відновлення координуються з внутрішніми та зовнішніми партнерами оператора критичної інфраструктури, такими як координаційні центри, оператори, провайдери комунікацій, власники атакуючих систем, інші групи реагування на інциденти, пов’язані з інформаційною та/або кібербезпекою (CSIRT), постачальники, тощо:
RC.CO-1. Процес зв’язків з громадськістю організовано та є керованим. Оператор критичної інфраструктури повідомляє про те, що є актуальним у контексті кібербезпеки. Інформація надається оператором критичної інфраструктури таким чином, щоб звести до мінімуму потенційний вплив на репутацію та довіру;
RC.CO-2. Репутація після кіберінцидентів відновлюється. Оператор критичної інфраструктури оглядає і коригує політику, принципи, стандарти, процедури і методологію для забезпечення безпечного функціонування ІКС ОКІ. Одночасно робляться кроки на відновлення репутації;
RC.CO-3. Заходи з відновлення повідомлено внутрішнім та зовнішнім партнерам оператора критичної інфраструктури, а також керівництву. Оператор критичної інфраструктури забезпечує інформування внутрішніх і зовнішніх партнерів оператора критичної інфраструктури про серйозні кіберінциденти.
17. Рівні впровадження заходів кіберзахисту характеризують ступінь практичного впровадження оператором критичної інфраструктури заходів із кіберзахисту, здатність оператора критичної інфраструктури досягти запланованих результатів кіберзахисту та надають інструментарій оцінювання ступеня впровадження процесів управління кібербезпекою.
Визначаються чотири ієрархічних рівні впровадження заходів кіберзахисту.
Під час вибору рівня впровадження, оператору критичної інфраструктури доцільно розглянути свою поточну практику управління ризиками, навколишнє середовище загроз, вимоги законодавства у сфері захисту інформації та кібербезпеки.
18. Процес вибору рівня впровадження враховує поточну практику щодо реалізації заходів кіберзахисту та управління ризиками кібербезпеки на ОКІІ, характеристики загроз кібербезпеки, вимоги законодавства у сфері захисту інформації та кібербезпеки, комерційні та стратегічні цілі ОКІ, вимоги до кібербезпеки в ланцюзі поставок програмного, апаратного забезпечення та організаційні обмеження, а також інші наявні обмеження.
Необхідно визначати цільовий рівень впровадження, переконавшись, що вибраний рівень зменшує ризик кібербезпеки до критично важливих активів і ресурсів, прийнятних для оператора критичної інфраструктури. Необхідно враховувати вимоги нормативно-правових актів у сфері кібербезпеки та захисту інформації, рекомендації урядової або секторальної, міжсекторальної команди реагування на комп’ютерні інциденти (CERT-UA, CERT), інциденти комп’ютерної безпеки (CSIRT) або галузевих центрів кібербезпеки паливно-енергетичного комплексу України, існуючі моделі зрілості або інші джерела, які допоможуть визначити бажаний рівень ризику кібербезпеки.
ОКІІ, що досягли певного рівня впровадження, розглядають можливість просування до наступного або більшого рівня. Рівні призначено для підтримки прийняття організаційних рішень про те, як керувати ризиком кібербезпеки, які заходи для ОКІІ мають вищий пріоритет та на які заходи можуть виділятися додаткові ресурси.
Успішність упровадження заходів з кіберзахисту базується на досягненні результатів, описаних у цільовому профілі оператора критичної інфраструктури, а не на визначеному рівні впровадження.
19. Існують такі рівні впровадження заходів з кіберзахисту:
1) 1 рівень - частковий. Практична діяльність із реалізації заходів кіберзахисту та управління ризиками кібербезпеки не є формалізованою. Діяльність з упровадження заходів кіберзахисту та управління ризиками носить довільний та ситуативний характер. Пріоритетність виконання заходів кіберзахисту безпосередньо не враховує цілі ОКІІ щодо управління ризиками, характеристики загроз, завдання щодо надання життєво важливих послуг та функцій.
Політика управління ризиками: обмежене розуміння ризику кібербезпеки на організаційному рівні. Інформованість керівництва та персоналу оператора критичної інфраструктури про ризики кібербезпеки є недостатньою. Загальний підхід до управління ризиками кібербезпеки в масштабі всього ОКІІ не встановлено. Заходи кіберзахисту впроваджуються нерегулярно, ситуативно, використовуючи різноманітний практичний досвід або інформацію, отриману із зовнішніх джерел. Процесів, що забезпечують внутрішній обмін інформацією про стан кібербезпеки, не зафіксовано.
Взаємодія з іншими ОКІ: оператор критичної інфраструктури не опрацьовує або отримує інформацію (дослідження загроз, кращі практики, технології) від інших організацій (споживачі, постачальники, залежні від нього або від яких він залежить організацій, організацій аналізу та поширення інформації, дослідники, органи державної влади) та не поширює таку інформацію. Оператор критичної інфраструктури взагалі не усвідомлює ризиків кібербезпеки, пов’язаних з послугами, які він надає та якими користується;
2) 2 рівень - ризик-орієнтований. Практика реалізації заходів кіберзахисту та управління ризиками затверджується керівництвом оператора критичної інфраструктури, але може не встановлюватися як загальна політика для оператора критичної інфраструктури. Пріоритетність діяльності з кібербезпеки та потреби захисту безпосередньо залежать від цілей організаційного ризику, середовища загроз або вимог щодо надання життєво важливих послуг та функцій.
Політика управління ризиками: існує усвідомлення ризику кібербезпеки на організаційному рівні, але загальний підхід оператора критичної інфраструктури до управління ризиком кібербезпеки не встановлено. Інформація про кібербезпеку поширюється в межах оператора критичної інфраструктури на неофіційній основі. Розгляд кібербезпеки в цілях та програмах оператора критичної інфраструктури може відбуватися на деяких, але не на всіх рівнях оператора критичної інфраструктури. Оцінка ризиків кібербезпеки для організаційних та зовнішніх активів відбувається, але зазвичай не повторюється або однаково не проводиться.
Взаємодія з іншими ОКІ: загалом оператор критичної інфраструктури розуміє свою роль у екосистемі щодо своїх власних залежностей або залежних від нього інших суб’єктів, але не їх обох. Оператор критичної інфраструктури опрацьовує та отримує деяку інформацію від інших організацій, створює на підставі неї власну інформацію, але може не поширювати таку інформацію між іншими організаціями. Крім того, оператор критичної інфраструктури усвідомлює ризики кібербезпеки, пов’язані з послугами, які він надає та якими користується, але не діє послідовно або за затвердженими правилами;
3) 3 рівень - повторюваний. Практика реалізації заходів кіберзахисту та управління ризиками оператором критичної інфраструктури є офіційно затвердженою і визначена як політика. Результати кіберзахисту регулярно відстежуються та заходи кіберзахисту регулярно оновлюються на основі застосування процесів управління ризиками до змін у вимогах щодо надання життєво важливої функції, мінливих загроз та технологічного ландшафту.
Політика управління ризиками: оператором критичної інфраструктури визначено загальний підхід до управління ризиками кібербезпеки. Політики інформування про ризики, процеси та процедури визначені, реалізуються за призначенням та переглядаються. Існують послідовні методи ефективного реагування на зміни ризику. Персонал володіє знаннями та вміннями виконувати призначені їм обов’язки. Оператор критичної інфраструктури послідовно і точно контролює ризик кібербезпеки для своїх активів. Пов’язані та не пов’язані з кібербезпекою головні виконавці регулярно спілкуються щодо ризику кібербезпеки.
Взаємодія з іншими ОКІ: оператор критичної інфраструктури розуміє свою роль у екосистемі щодо своїх власних залежностей або залежних від нього інших суб’єктів та може сприяти ширшому розумінню спільнотою ризиків. Оператор критичної інфраструктури регулярно опрацьовує та отримує інформацію від інших організацій, що доповнює власну створену інформацію та поширює її між іншими організаціями. Оператор критичної інфраструктури усвідомлює ризики кібербезпеки, пов’язані з послугами, які він надає та якими користується;
4) 4 рівень - адаптивний. Оператор критичної інфраструктури адаптує свою практику в галузі кібербезпеки на основі попередніх та поточних заходів з кібербезпеки, включаючи отримані результати та прогнозні показники. Завдяки процесу безперервного вдосконалення, що передбачає передові технології та практики кібербезпеки, оператор критичної інфраструктури активно адаптується до мінливих кіберзагроз та своєчасно й ефективно реагує на кіберзагрози, що розвиваються та ускладнюються.
Політика управління ризиками: оператором критичної інфраструктури затверджено загальний підхід до управління ризиком кібербезпеки, який використовує політику, процеси та процедури з урахуванням ризиків для вирішення потенційних кіберінцидентів. Взаємозв’язок між ризиком кібербезпеки та цілями оператора критичної інфраструктури чітко усвідомлюється та враховується під час прийняття рішень. Головні виконавці контролюють ризик кібербезпеки в тому самому контексті, що і фінансовий ризик та інші ризики для оператора критичної інфраструктури. Управління ризиками кібербезпеки є частиною організаційної культури і розвивається на основі усвідомлення попередньої діяльності та постійного усвідомлення діяльності у своїх ІКС. Оператор критичної інфраструктури може швидко та ефективно враховувати зміни у тому, як підходити до опрацювання та повідомляти про ризик.
Взаємодія з іншими ОКІ: оператор критичної інфраструктури розуміє свою роль у екосистемі щодо своїх власних залежностей або залежних від нього інших суб’єктів, сприяє ширшому розумінню спільнотою ризиків. Оператор критичної інфраструктури отримує, генерує та переглядає пріоритетну інформацію для продовження аналізу цих ризиків по мірі розвитку ландшафту загроз та технологій. Оператор критичної інфраструктури поширює цю інформацією як в середині оператора критичної інфраструктури, так і назовні для подальшого опрацювання. Оператор критичної інфраструктури використовує інформацію в режимі реального часу або майже в режимі реального часу і послідовно реагує на ризики кібербезпеки, пов’язані з послугами, які він надає та якими користується.
20. Профіль кіберзахисту дозволяє розробити план впровадження заходів кіберзахисту з метою зниження ризиків кібербезпеки, узгоджений з цілями ОКІ та паливно-енергетичного сектору критичної інфраструктури, врахувати вимоги законодавства у сфері захисту інформації та кібербезпеки та передовий секторальний досвід із забезпечення кібербезпеки, а також відображає пріоритети управління ризиками кібербезпеки. Оскільки більшість ОКІІ мають складну організаційно-технічну структуру, використовують різні ІКС та автоматизовані системи управління технологічними процесами для надання життєво важливих послуг та функцій, можна розробляти кілька профілів кіберзахисту, узгоджених з конкретними системами, процесами та потребами ОКІІ, що призначені для надання життєво важливих послуг та функції.
21. Профіль кіберзахисту використовують для опису поточного стану реалізованих заходів кіберзахисту на ОКІІ (поточний профіль кіберзахисту) або бажаного цільового стану реалізації конкретних заходів кіберзахисту (цільовий профіль кіберзахисту).
22. У поточному профілі кіберзахисту зазначаються заходи та результати ефективності впроваджених заходів кіберзахисту, реалізовані та досягнуті на ОКІІ на цей час.
Поточний профіль кіберзахисту розробляється з використанням класифікації заходів кіберзахисту. В поточному профілі кіберзахисту мають бути описані: функція кібербезпеки, категорії заходів кіберзахисту, заходи кіберзахисту та поточна практика захисту інформації оператора критичної інфраструктури.
Розробку поточного профілю кіберзахисту ОКІІ може здійснювати особа, відповідальна за впровадження заходів захисту інформації на ОКІ. Профіль кіберзахисту необхідно розробляти для кожного ОКІІ окремо.
Розробка поточного профілю кіберзахисту має на меті зіставлення цих Вимог з практикою захисту інформації, що впроваджена на ОКІ. В цьому випадку можна розглядати три типи операторів критичної інфраструктури.
23. Цільовий профіль кіберзахисту зазначає заходи та цільові показники забезпечення кібербезпеки, необхідні для досягнення бажаних цілей управління ризиками кібербезпеки. Профілі підтримують стратегічні цілі ОКІ та допомагають обмінюватися даними про ризики кібербезпеки всередині ОКІІ та між ОКІІ всередині паливно-енергетичного сектору критичної інфраструктури та ОКІ, що належать різним секторам критичної інфраструктури.
24. Окрім цільового профілю кіберзахисту, оператор критичної інфраструктури вибирає цільовий рівень впровадження заходів кіберзахисту, який застосовується до процесу управління ризиками в межах сфери своєї діяльності. Оператор критичної інфраструктури самостійно вибирає прийнятний для нього рівень та визначає заходи кіберзахисту та заходи щодо управління ризиками, необхідні для досягнення цієї мети.
Використовуючи стандарти, інструменти, методи щодо управління кібербезпекою, оператор критичної інфраструктури відображає бажані результати у цільовому профілі кіберзахисту та цільовому рівні впровадження заходів кіберзахисту.
25. Порівняння профілів кіберзахисту (поточного та цільового профілів) сприяє виявленню недоліків, що повинні бути усунуті для досягнення цілей управління ризиками кібербезпеки. Ці Вимоги визначають використання плану усунення недоліків як складової частини плану захисту інформації (плану кіберзахисту) ОКІІ. Пріоритетність заходів усунення недоліків базується на потребах ОКІ щодо надання основних послуг і процесах управління ризиками.
26. Розробку та впровадження профілю кіберзахисту необхідно проводити за такими етапами:
I етап - визначення пріоритетів та сфери застосування цих Вимог. Визначаються цілі та організаційні пріоритети щодо надання життєво важливих послуг та функцій. За допомогою отриманої інформації приймається рішення щодо реалізації заходів кіберзахисту та визначається обсяг інформаційних систем та активів, які підтримують надання життєво важливих послуг та функцій. Ці Вимоги можуть бути адаптовані для підтримки різних напрямів діяльності, процесів та систем (ІКС, комп’ютерних систем, автоматизованих систем управління технологічними процесами тощо), необхідних для надання життєво важливих послуг та функцій;
II етап - аналіз середовища для надання життєво важливих послуг та функцій. Визначаються відповідні системи та активи, що безпосередньо забезпечують надання життєво важливих послуг та функцій, аналізуються нормативні вимоги та загальний підхід до управління ризиками для цих систем. На цьому етапі необхідно провести консультації із суб’єктами забезпечення кібербезпеки та отримати інформацію щодо визначення загроз та вразливостей, що застосовуються саме для цих систем та активів і притаманні їм;
III етап - створення поточного профілю кіберзахисту. Розробляється поточний профіль кіберзахисту, вказуючи, які заходи кіберзахисту, що містяться в цих Вимогах, реалізовані на цей час. По суті розробка поточного профілю кіберзахисту є етапом самоаналізу, який дозволяє ОКІІ з’ясувати, які заходи захисту інформації впроваджено на ОКІІ та на якому рівні вони реалізовані;
IV етап - проведення оцінки ризику. Оцінка ризику кібербезпеки має базуватися на процесі оцінки ризику, який вже впроваджено на ОКІІ або на основі результатів попередньої оцінки ризиків (наприклад, отримані під час створення КСЗІ, СУІБ, системи інформаційної безпеки або проведення аудиту безпеки). Аналіз середовища експлуатації інформаційних систем та активів проводиться з метою визначення ймовірності настання кіберінцидентів, реалізації кібератак та оцінки наслідків, які можуть настати у результаті настання такої події. Важливо враховувати нові ризики, дані про загрози та вразливості, що сприяє надійному розумінню ймовірності та наслідків кіберінцидентів;
V етап - створення цільового профілю кіберзахисту. Розробляється цільовий профіль кіберзахисту, що базується на аналізі заходів кіберзахисту цих Вимог. Цільовий профіль кіберзахисту описує бажані результати. із забезпечення кібербезпеки ОКІІ. Оператор критичної інфраструктури може впроваджувати власні заходи кіберзахисту з метою врахування унікальних ризиків, що притаманні системам і процесам надання життєво важливих послуг та функцій. При створенні цільового профілю кіберзахисту мають бути розглянуті та враховані вплив та вимоги з кібербезпеки зовнішніх партнерів оператора критичної інфраструктури;
VI етап - визначення, аналіз та пріоритизація недоліків. Проводиться порівняння поточного профілю кіберзахисту із цільовим профілем кіберзахисту для визначення недоліків. Далі необхідно розробити План дій щодо усунення виявлених недоліків, який відображає завдання, результати аналізу витрат, вигоди, а також ризики досягнення результатів цільового профілю кіберзахисту. Далі ОКІІ може визначити необхідні ресурси (матеріальні, людські), потрібні для усунення недоліків;
VII етап - реалізація плану удосконалення заходів кіберзахисту. Визначається, які дії слід вживати для усунення виявлених недоліків. Під час реалізації плану постійно відстежуються відповідність поточної практики кіберзахисту цільовому профілю кіберзахисту. При цьому визначаються стандарти, нормативні документи, у тому числі ті, що стосуються паливно-енергетичного сектору критичної інфраструктури та впроваджуються для забезпечення кібербезпеки.
Визначені етапи повторюються з метою постійної оцінки стану кібербезпеки та вдосконалення практики кіберзахисту. Термін повторення етапів встановлюється оператором критичної інфраструктури, але не рідше одного разу в рік. Відстеження прогресу проводиться шляхом ітеративного оновлення поточного профілю кіберзахисту, а потім порівняння його із цільовим профілем кіберзахисту.
27. Ці Вимоги визначають однаковий спосіб здійснення інформування з кібербезпеки взаємозалежними партнерами оператора критичної інфраструктури, відповідальними за надання ОКІ основних послуг. Приклади передбачають ситуації, коли:
оператор критичної інфраструктури може використовувати цільовий профіль кіберзахисту, щоб висловити вимоги щодо управління ризиками кібербезпеки зовнішньому постачальнику послуг;
оператор критичної інфраструктури може визначити свій стан кібербезпеки через поточний профіль кіберзахисту для звітування про результати або для порівняння з вимогами щодо придбання товарів і послуг;
оператор критичної інфраструктури, визначивши зовнішнього партнера, від якого залежить критична інфраструктура, може використовувати цільовий профіль кіберзахисту для вираження необхідних категорій і підкатегорій заходів кіберзахисту;
оператор критичної інфраструктури може краще управляти ризиками кібербезпеки своїх партнерів, оцінюючи їхнє становище у критично важливій інфраструктурі та більш широкій цифровій економіці, використовуючи рівні впровадження.
Комунікація та обмін інформацією з кібербезпеки особливо важливі серед партнерів оператора критичної інфраструктури "зверху-вниз" по ланцюгах постачання товарів і послуг.
28. Ці Вимоги визначають загальну систему правил обміну інформацією щодо кіберінцидентів:
між операторами критичної інфраструктури;
при наданні звітів за результатами проведення аналізу даних щодо кіберінцидентів;
взаємодії з командами реагування на комп’ютерні надзвичайні події України, а також іншими підприємствами, установами та організаціями незалежно від форми власності, які провадять діяльність, пов’язану із забезпеченням кібербезпеки;
передачі інформації щодо кіберінцидентів від громадян стосовно ОКІ.
Оператори критичної інфраструктури при обміні та поширенні інформації щодо кіберінцидентів, підготовці звітів і публічних повідомлень щодо кіберінцидентів застосовують визначену цими Вимогами загальну систему правил обміну інформацією щодо кіберінцидентів.
29. Категорія кіберінциденту являє собою наступні складові елементи системи обміну інформацією щодо кіберінцидентів:
шкідливий (образливий) вміст: спам, образливий контент (небажаний контент, в тому числі расистський чи ксенофобний матеріал, погрози особі чи групі осіб), шкідливий контент (в тому числі дитяча порнографія, насильство, пропаганда);
шкідливий програмний код: вірус, хробак, троян, шпигунське ПЗ, діалер, руткіт, шкідливе ПЗ, управління ботами, програма-здирник, конфігурація шкідливого ПЗ, командно-контрольний центр;
збір інформації зловмисником: сканування, перехоплення і аналіз мережевого трафіку, соціальна інженерія;
спроби втручання: експлуатація відомих вразливостей (спроба компрометації чи пошкодження функціонування системи або сервісу шляхом експлуатації вразливостей, які мають стандартизований ідентифікатор, наприклад, CVE), спроби авторизації (підбір паролів, злам паролів), експлуатація раніше невідомих вразливостей;
втручання: компрометація привілейованого облікового запису, компрометація непривілейованого облікового запису, компрометація застосунку, бот, дефейс, компрометація системи, бекдор;
порушення доступності: атака на відмову в обслуговуванні, розподілена атака на відмову в обслуговуванні, саботаж, диверсія, збій без участі зловмисника;
порушення властивостей інформації: несанкціонований доступ до інформації, несанкціоноване внесення змін до інформації, сервер з публічними правами на запис (зловмисники використовують сервери з правами на запис для тимчасового збереження викраденої із скомпрометованих систем інформації, в тому числі даних кейлогерів, скомпрометованих облікових даних);
шахрайство: несанкціоноване використання ресурсів, порушення авторських прав, маскарадинг (використання копії ідентифікаторів суб’єкта або системи, в тому числі крадіжка особистості), фішинг;
відома вразливість: вразливості, відкриті для експлуатації;
інше: чорний список, недостатньо даних, інше (інциденти, які не відносяться до будь-якого вищезазначеної категорії).
30. У випадку, коли на початковій стадії реагування кіберінцидент може бути віднесений до декількох категорій, вибирається категорія із більшим рівнем загрози.
31. Ці Вимоги визначають спосіб маркування повідомлень щодо кіберінцидентів з метою обмеження кола осіб, сторін інформаційного обміну, які можуть мати доступ до повідомлення.
32. Спосіб маркування повідомлень щодо кіберінцидентів використовує чотири кольори для позначення того, яким чином повідомлення може в подальшому поширюватись оператором критичної інфраструктури, що отримує інформацію.
Оператор критичної інфраструктури, що поширює інформацію, визначає маркування для повідомлення щодо кіберінцидентів (далі - мітку) та відповідає за те, що одержувачі інформації розуміють та можуть слідувати правилам щодо спільного застосування маркування повідомлень щодо кіберінцидентів. У випадку, якщо одержувачу інформацію необхідно поширити інформацію більш широко, ніж передбачено маркуванням, він повинен отримати дозвіл від оператора критичної інфраструктури, який поширює інформацію.
33. Оператор критичної інфраструктури повинен маркувати повідомлення щодо кіберінцидентів мітками у таких значеннях:
TLP:RED (червоний) - не для поширення, тільки для кінцевого одержувача. Використовується у випадках, коли інформація не може поширюватись для третьої сторони, і її несанкціоноване поширення може вплинути на репутацію або функціонування оператора критичної інфраструктури. Застосовується виключно для обмеженого кола учасників інформаційного обміну та їх працівників, що визначається оператором критичної інфраструктури, що поширює інформацію;
TLP:AMBER (жовтий) - обмежене поширення, доступне тільки серед представників одержувача. Використовується, коли для підвищення ефективності обробки інформації необхідна стороння підтримка або допомога, і в той же час її несанкціоноване поширення створює репутаційні ризики або загрози для функціонування оператора критичної інфраструктури, якщо вона поширюється за межі залучених організацій. Застосовується для обмеженого кола учасників інформаційного обміну, одержувач може поширювати таку інформацію тільки серед представників своєї організації, а також передавати клієнтам або замовникам, яким необхідно знати цю інформацію, щоб захистити себе чи запобігти подальшій шкоді;
TLP:GREEN (зелений) - обмежене поширення, доступне тільки для операторів критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури. Використовується, коли інформація може підвищити обізнаність усіх учасників інформаційного обміну, а також представників інших організацій або секторів критичної інфраструктури. Застосовується виключно для поширення інформації з операторами критичної інфраструктури у паливно-енергетичному секторі критичної інфраструктури, але без поширення через засоби масової інформації, мережу Інтернет, соціальні мережі та не може поширюватись за межами паливно-енергетичного сектору;
TLP:WHITE (білий) - необмежене поширення. Використовується, коли інформація несе мінімальний або нульовий прогнозований ризик неправильного використання.
34. У електронних листах мітка вказується у темі повідомлення та в змісті листа безпосередньо перед інформацією, якою здійснюється обмін.
У паперових документах мітка вказується у верхньому і нижньому колонтитулах кожної друкованої сторінки з урахуванням кольору мітки.
Мітка позначається великими літерами: TLP:RED, TLP:AMBER, TLP:GREEN або TLP:WHITE, шрифтом 12pt або більше.
Кольори мітки у палітрі RGB:
TLP:RED: R=255, G=0, B=51;
TLP:AMBER: R=255, G=192, B=0;
TLP:GREEN: R=51, G=255, B=0;
TLP:WHITE: R=255, G=255, B=255.
35. Спосіб маркування повідомлень щодо кіберінцидентів, встановлений цими Вимогами, не призначений для позначення інформації, що становить державну, банківську таємницю та службову інформацію. Передавання такої інформації здійснюється відповідно до вимог законодавства.
| Начальник управління цифрового розвитку та кібербезпеки | Р. Кравідз |