КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
| від 23 грудня 2020 р. № 1295 Київ |
Деякі питання забезпечення функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки
( Із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 )
З метою забезпечення функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки Кабінет Міністрів України постановляє:
1. Затвердити Порядок функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, що додається.
2. Установити, що відповідальним за функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки є Державний центр кіберзахисту Державної служби спеціального зв’язку та захисту інформації.
3. Міністерствам та іншим центральним органам виконавчої влади з метою оперативного виявлення та реагування на кіберінциденти та кібератаки забезпечити можливість встановлення на об’єктах кіберзахисту, які перебувають у сфері їх управління, комплектів обладнання підсистеми збору телеметрії інформаційно-комунікаційних систем.
( Пункт 3 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 )
4. Адміністрації Державної служби спеціального зв’язку та захисту інформації подавати щороку до 10 січня Кабінетові Міністрів України інформацію про результати функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки.
| Прем'єр-міністр України | Д.ШМИГАЛЬ |
| Інд. 49 | |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 23 грудня 2020 р. № 1295
ПОРЯДОК
функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки
1. Цей Порядок визначає засади функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, які здійснюються щодо об’єктів кіберзахисту, визначених частиною другою статті 4 Закону України "Про основні засади забезпечення кібербезпеки України".
Особливості функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки у банківській системі України визначаються Національним банком.
Дія цього Порядку не поширюється на об’єкти критичної інформаційної інфраструктури Міноборони та Збройних Сил в умовах надзвичайного і воєнного стану.
2. Терміни, що вживаються у цьому Порядку, мають таке значення:
адміністратор безпеки об’єкта кіберзахисту - особа з числа співробітників об’єкта кіберзахисту, яка відповідає за дотримання політики безпеки, до завдань якої належить забезпечення процесів експлуатації, функціонування, налаштування програмних, програмно-апаратних та апаратних засобів захисту інформації об’єкта кіберзахисту та здійснення поточного контролю за ними;
адміністратор безпеки системи виявлення вразливостей і реагування на кіберінциденти та кібератаки - особа з числа співробітників (працівників) Державного центру кіберзахисту Держспецзв’язку, яка відповідає за дотримання політики безпеки, до завдань якої належить забезпечення процесів експлуатації, функціонування, налаштування програмних, програмно-апаратних та апаратних засобів захисту інформації об’єкта кіберзахисту системи виявлення вразливостей і реагування на кіберінциденти та кібератаки та здійснення поточного контролю за ними;
галузевий центр з управління кібербезпекою - центр з управління кібербезпекою, який функціонує на об’єкті кіберзахисту певної галузі національної економіки;
мережева телеметрія (телеметрична інформація) - сукупність інформації про стан функціонування програмного, програмно-апаратного або апаратного засобу електронної комунікаційної чи технологічної системи;
( Абзац п'ятий пункту 2 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 )
політика безпеки - це сукупність документованих рішень, що приймаються керівництвом об’єкта кіберзахисту і спрямовані на захист електронних комунікаційних та (або) технологічних мереж і систем, інформації та асоційованих з нею ресурсів (активів);
( Абзац шостий пункту 2 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 )
система виявлення вразливостей і реагування на кіберінциденти та кібератаки - сукупність програмних та програмно-апаратних засобів, які забезпечують проведення цілодобового моніторингу, аналізу та передачі телеметричної інформації про кіберінциденти та кібератаки, які відбулися або відбуваються на об’єктах кіберзахисту і можуть мати негативний вплив на їх стале функціонування;
центр з управління кібербезпекою - сукупність організаційно-технічних засобів, алгоритмів, рішень щодо збору, аналізу, візуалізації та обміну даними про виявлені інциденти інформаційної безпеки.
Інші терміни вживаються у значенні, наведеному у Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні комунікації", "Про Державну службу спеціального зв’язку та захисту інформації України", "Про основні засади забезпечення кібербезпеки України".
( Абзац дев'ятий пункту 2 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 )
3. До складу системи виявлення вразливостей і реагування на кіберінциденти та кібератаки входять:
1) підсистема урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA, яка забезпечує централізований збір та накопичення інформації про кіберзагрози та кіберінциденти, отриманої з різних джерел, включаючи і відкриті;
2) підсистема виявлення і реагування на кібератаки на рівні робочих та серверних станцій ("кінцевих точок"), яка забезпечує виявлення шкідливої активності на них, реагування на неї діями з ліквідації, мінімізації або ізоляції, блокування процесів, що використовуються шкідливим програмним забезпеченням;
3) підсистема збору телеметрії інформаційно-комунікаційних систем (активні сенсори) (далі - сенсор), яка забезпечує:
збір та кореляцію подій безпеки, включаючи збір мережевої телеметрії з детальною інформацією про мережеві потоки та сесії;
проведення моніторингу електронного комунікаційного трафіку з метою виявлення кібератак та кіберінцидентів;
виявлення та аналіз шкідливого програмного забезпечення, включаючи відстеження та запобігання спробам його поширення на мережевому рівні;
( Підпункт 3 пункту 3 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 )
4) підсистема оперативного центру реагування на кіберінциденти, яка є центральною складовою системи виявлення вразливостей і реагування на кіберінциденти та кібератаки і забезпечує:
централізоване управління усіма підсистемами системи виявлення вразливостей і реагування на кіберінциденти та кібератаки;
централізований збір та накопичення інформації про мережеві події інформаційної безпеки;
проведення моніторингу та обробки в режимі реального часу кіберзагроз та кіберінцидентів.
4. Підсистема оперативного центру реагування на кіберінциденти виявляє шкідливу активність, а також системні і мережеві аномалії на об’єктах кіберзахисту шляхом аналізу даних, отриманих з мережевих пристроїв (активні сенсори, міжмережеві екрани, сканери вразливостей), робочих та серверних станцій, систем авторизації, внутрішніх і зовнішніх джерел даних про кіберзагрози.
5. Сенсор забезпечує проведення моніторингу, виявлення і протидії кіберзагрозам на об’єктах кіберзахисту, на яких він встановлюється, та забезпечує активне реагування на мережеві атаки.
6. Взаємодія між підсистемами системи виявлення вразливостей і реагування на кіберінциденти та кібератаки здійснюється з використанням Національної телекомунікаційної мережі, Національної системи конфіденційного зв’язку, системи захищеного доступу державних органів до Інтернету, інших мереж передачі даних за умови впровадження заходів і засобів захисту у разі підключення до таких мереж.
7. Система виявлення вразливостей і реагування на кіберінциденти та кібератаки з метою інформаційного обміну щодо кіберінцидентів, виявлення і припинення кібератак взаємодіє з центрами з управління кібербезпекою, галузевими центрами з управління кібербезпекою, іншими системами об’єктів критичної інформаційної інфраструктури, підприємств, установ та організацій незалежно від форми власності.
8. Суб’єктами системи виявлення вразливостей і реагування на кіберінциденти та кібератаки є:
1) Адміністрація Держспецзв’язку, яка забезпечує створення та функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки відповідно до повноважень, визначених Законом України "Про основні засади забезпечення кібербезпеки України";
2) Державний центр кіберзахисту Держспецзв’язку, який забезпечує створення та функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки шляхом:
проведення заходів, спрямованих на розвиток, адміністрування та забезпечення функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки;
проведення в реальному часі організаційно-технічних заходів із запобігання, виявлення та реагування на кіберінциденти та кібератаки, усунення їх наслідків;
організації та координації заходів і взаємодії, у тому числі з використанням можливостей підсистем системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, щодо оповіщення та інформаційного обміну з адміністраторами безпеки об’єктів кіберзахисту стосовно зафіксованих кібератак та кіберінцидентів;
збору телеметричної інформації та відомостей, отриманих за допомогою електронного комунікаційного обладнання, встановленого на об’єктах кіберзахисту;
( Абзац п'ятий підпункту 2 пункту 8 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 )
встановлення, налаштування та забезпечення функціонування на об’єктах кіберзахисту сенсорів, їх технічне обслуговування;
надання власникам об’єктів кіберзахисту практичної допомоги з питань запобігання, виявлення та усунення наслідків кіберінцидентів та кібератак, у тому числі щодо об’єктів кіберзахисту, на яких встановлені сенсори;
накопичення і аналізу телеметричної інформації, отриманої від інших систем об’єктів кіберзахисту державної та недержавної форми власності;
3) міністерства та інші центральні органи виконавчої влади, які з метою виявлення і реагування на кіберінциденти та кібератаки у межах своїх повноважень беруть участь у забезпеченні функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки шляхом:
встановлення на об’єктах кіберзахисту, які перебувають у сфері їх управління, комплектів обладнання сенсорів;
обміну інформацією про реалізовані та потенційні кіберзагрози, а також даними телеметрії у разі наявності галузевих систем кіберзахисту, команд реагування на комп’ютерні надзвичайні події тощо з системою виявлення вразливостей і реагування на кіберінциденти та кібератаки.
9. Адміністратори безпеки системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, які забезпечують функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, організовують та здійснюють обмін інформацією про кібератаки та кіберінциденти:
1) зобов’язані:
не розголошувати у будь-який спосіб інформацію, яка стала їм відома у зв’язку з виконанням службових обов’язків, крім випадків, передбачених законом;
дотримуватися законодавства у сфері захисту інформації;
2) мають право:
збирати, узагальнювати та аналізувати інформацію, отриману від сенсорів протягом часу його функціонування на об’єктах кіберзахисту;
на фізичний доступ до сенсорів для проведення його технічного обслуговування, ремонту, контролю за станом функціонування, а також в інших випадках, передбачених умовами експлуатації сенсора та законодавством.
10. На об’єктах кіберзахисту підприємств, установ та організацій недержавної форми власності можуть встановлюватися сенсори за окремим зверненням власника такого об’єкта до Державного центру кіберзахисту Держспецзв’язку.
11. Параметри телеметричної інформації, що передаються від інших систем об’єктів кіберзахисту державної та недержавної форми власності до системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, порядок взаємодії між адміністраторами безпеки системи виявлення вразливостей і реагування на кіберінциденти та кібератаки та адміністраторами безпеки об’єкта кіберзахисту погоджуються власником об’єкта кіберзахисту з Державним центром кіберзахисту Держспецзв’язку.
12. Сенсори передаються до міністерств, інших центральних органів виконавчої влади, об’єктів критичної інфраструктури та інших підприємств, установ та організацій державної та/або недержавної форми власності у порядку, визначеному Адміністрацією Держспецзв’язку.
13. Обмін інформацією та її захист в системі виявлення вразливостей і реагування на кіберінциденти та кібератаки здійснюється відповідно до законодавства.