КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 20 грудня 2024 р. № 1468
Київ
Про внесення змін до Положення про організаційно-технічну модель кіберзахисту
Кабінет Міністрів України постановляє:
Внести до Положення про організаційно-технічну модель кіберзахисту, затвердженого постановою Кабінету Міністрів України від 29 грудня 2021 р. № 1426 (Офіційний вісник України, 2022 р., № 4, ст. 219), зміни, що додаються.
| Прем'єр-міністр України | Д. ШМИГАЛЬ |
| Інд. 49 | |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 20 грудня 2024 р. № 1468
ЗМІНИ,
що вносяться до Положення про організаційно-технічну модель кіберзахисту
( Див. текст )
1. В абзаці другому пункту 1 слово "вразливості" замінити словом "вразливостей".
2. У пункті 2:
1) в абзаці другому слова "об’єктів критичної інформаційної інфраструктури, комунікаційних і технологічних систем підприємств, установ та організацій, що належать до об’єктів" замінити словами "об’єктів кіберзахисту операторів", а після слів "розвитку національних електронних" доповнити словом "інформаційних";
2) в абзаці четвертому слова "комунікаційних, інформаційних та/або технологічних систем" замінити словами "об’єктів кіберзахисту";
3) в абзаці шостому слова "інформаційно-телекомунікаційних" замінити словами "інформаційно-комунікаційних";
4) в абзаці сьомому слова "послуги, пов’язані з кіберзахистом" замінити словами "послуги з кіберзахисту";
5) в абзаці восьмому слова "Про захист інформації в інформаційно-телекомунікаційних системах", "Про електронні довірчі послуги" замінити словами "Про захист інформації в інформаційно-комунікаційних системах", "Про критичну інфраструктуру", "Про електронні комунікації", "Про електронну ідентифікацію та електронні довірчі послуги".
3. У пункті 3:
1) в абзаці третьому слова "суб’єктів кіберзахисту" замінити словами "суб’єктів забезпечення кібербезпеки", а слова "щодо забезпечення кібербезпеки об’єктів критичної інформаційної інфраструктури" - словами "з кіберзахисту об’єктів кіберзахисту";
2) абзаци четвертий та дванадцятий викласти в такій редакції:
"кіберзахисту інформаційно-комунікаційних систем, що обробляють національні електронні інформаційні ресурси, інших об’єктів кіберзахисту, забезпечення їх стійкості, здійснення постійного моніторингу стану їх кіберзахисту;";
"розвитку та вдосконалення систем кіберзахисту за результатами оцінки повноти, адекватності, результативності та ефективності здійснення заходів з кіберзахисту.".
4. У пункті 4 слова "в інтересах забезпечення кіберзахисту національних електронних інформаційних ресурсів, комунікаційних і технологічних систем, а також об’єктів критичної інформаційної інфраструктури" замінити словами "з метою забезпечення кіберзахисту національних електронних інформаційних ресурсів та об’єктів кіберзахисту".
5. Пункт 5 доповнити абзацом такого змісту:
"У рамках впровадження організаційно-технічної моделі кіберзахисту сили кіберзахисту у межах своєї компетенції здійснюють базові заходи з кіберзахисту, в тому числі щодо проведення аналізу ефективності та корегування здійснених заходів з кіберзахисту, затвердження планів кіберзахисту та планів реагування на кіберінциденти/кібератаки.".
6. Пункт 6 викласти в такій редакції:
"6. Базовими заходами з кіберзахисту є заходи з:
управління - визначення стратегій, політик, ролей та обов’язків, здійснення моніторингу щодо управління ризиками у сфері кібербезпеки;
ідентифікації - оцінка реальних та потенційних ризиків у сфері кібербезпеки для запобігання та нейтралізації кіберзагроз;
забезпечення захисту - розроблення та впровадження методів, засобів, процедур кіберзахисту, спрямованих на забезпечення сталого та надійного функціонування об’єктів кіберзахисту, удосконалення систем реагування на кіберінциденти та кібератаки з урахуванням необхідності забезпечення пропорційності та/або співрозмірності можливостей таких систем реальним та потенційним ризикам;
виявлення - проведення ідентифікації, збору та обробки кіберінцидентів/кібератак;
реагування - запобігання кіберінцидентам та кібератакам, належне інформування про них, запобігання негативним наслідкам, їх мінімізація та усунення;
відновлення - поновлення штатного режиму функціонування об’єктів кіберзахисту після кібератаки, відновлення інформації та відомостей у разі їх пошкодження або видалення, створення умов для проведення розслідування кібератаки та кіберінциденту.
Базові заходи з кіберзахисту, а також методичні рекомендації щодо їх здійснення затверджуються Адміністрацією Держспецзв’язку.
Порядок, вимоги та заходи із забезпечення кіберзахисту та інформаційної безпеки для банків, інших осіб, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, операторами платіжних систем та/або учасниками платіжних систем, технологічними операторами платіжних послуг затверджуються Національним банком.".
7. У пункті 7:
1) в абзаці третьому слова "об’єкти критичної інфраструктури незалежно від форми власності" замінити словами "секторальні органи у сфері захисту критичної інфраструктури, оператори критичної інфраструктури";
2) в абзаці шостому слова "об’єктів критичної інфраструктури" замінити словами "операторів критичної інфраструктури".
8. У пункті 8:
1) абзац другий викласти в такій редакції:
"здійснюють в межах компетенції законодавче та нормативно-правове регулювання питань забезпечення кіберзахисту інформаційно-комунікаційних систем, що обробляють національні електронні інформаційні ресурси, інших об’єктів кіберзахисту;";
2) в абзаці третьому слова "інформаційної безпеки," замінити словами "в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах";
3) абзац п’ятий викласти в такій редакції:
"організовують здійснення базових заходів з кіберзахисту;";
4) в абзаці восьмому слова "комунікаційних та технологічних систем" замінити словами "об’єктів кіберзахисту";
5) в абзаці дванадцятому слова "кіберзагрози, проводять заходи щодо протидії кіберзагрозам," замінити словами "кібератаки та кіберінциденти, рекомендації щодо відновлення після кібератак та кіберінцидентів, а також заходи".
9. У пункті 9:
1) абзац третій після слів "на базі сил кіберзахисту" доповнити словами "секторальних органів у сфері захисту критичної інфраструктури, інших";
2) в абзаці четвертому слова "підприємств, установ та організацій незалежно від форми власності, насамперед тих, що належать до об’єктів критичної інфраструктури" замінити словами "інших суб’єктів забезпечення кібербезпеки, операторів критичної інфраструктури".
10. Абзац перший пункту 10 після слів "обмін інформацією про" доповнити словами "загрози та".
11. У пункті 11:
1) в абзаці третьому слова "вразливостей комунікаційних систем" замінити словами "вразливостей об’єктів кіберзахисту";
2) в абзаці четвертому слова "об’єктів критичної інформаційної інфраструктури, комунікаційних систем" замінити словами "об’єктів кіберзахисту";
3) в абзаці п’ятому слова "оцінювання ризиків у сфері кібербезпеки і" виключити;
4) в абзаці восьмому слова "кібератаки та потенційні кіберризики інших" замінити словами "кібератаки/кіберінциденти та потенційні ризики у сфері кібербезпеки інші сили кіберзахисту та";
5) доповнити пункт абзацом такого змісту:
"отримують і надають послуги з кіберзахисту.".
12. Пункт 12 виключити.
13. У пункті 13:
1) абзаци другий і третій викласти в такій редакції:
"захист у кіберпросторі національних електронних інформаційних ресурсів, що обробляються на об’єктах кіберзахисту;
захист об’єктів кіберзахисту, у тому числі шляхом здійснення базових заходів з кіберзахисту;";
2) в абзаці шостому слова "в установах, на об’єктах критичної інфраструктури і підприємствах незалежно від форми власності" замінити словами "суб’єктами забезпечення кібербезпеки".