Professional Documents
Culture Documents
Рекомендації кіберзахист
Рекомендації кіберзахист
МЕТОДИЧНІ РЕКОМЕНДАЦІЇ
щодо підвищення рівня кіберзахисту критичної
інформаційної інфраструктури
І. Загальні положення
Примітки
1
https://www.nist.gov/system/files/documents/cyberframework/cybersecurity-framework-021214.pdf
2
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
2
III. Скорочення
Категорія заходів
кіберзахисту
Підкатегорія заходів
кіберзахисту Інформаційні посилання
1 2 3
ID.GV Формування правил, процедур і процесів для ID.GV-1
Управління управління й моніторингу впроваджених ID.GV-2
безпекою нормативних, екологічних та експлуатаційних вимог, ID.GV-3
а також вимог щодо забезпечення кібербезпеки. ID.GV-4
ID.RA Визначення ризиків у сфері кібербезпеки для процесів ID.RA-1
Оцінка ризиків надання життєво важливих послуг та функцій, а також ID.RA-2
активів організації. ID.RA-3
ID.RA-4
ID.RA-5
ID.RA-6
ID.RM Визначення пріоритетів, обмежень, допустимого ID.RM-1
Стратегія рівня ризику для підтримки рішень щодо зниження ID.RM-2
управління ризиків кібербезпеки. ID.RM-3
ризиками
організації
ID.SC Визначення пріоритетів, обмежень, допустимого ID.SC-1
Управління рівня ризику щодо системи постачання для ID.SC-2
ризиками системи підтримки рішень щодо ризиків, пов’язаних із ID.SC-3
постачання системою постачання послуг третіми особами. ID.SC-4
1 2 3
PR.IP-5
PR.IP-6
PR.IP-7
PR.IP-8
PR.IP-9
PR.IP-10
PR.MA Технічне обслуговування та ремонт компонентів PR.MA-1
Технічне системи управління виробничими процесами, PR.MA-2
обслуговування компонентів інформаційно-телекомунікаційних
систем виконуються з дотриманням правил та
процедур безпеки.
PR.PT Управління технічними рішеннями (технологіями) PR.PT-1
Технології кіберзахисту з метою забезпечення безпеки та стійкості PR.PT-2
кіберзахисту систем і активів організації з дотриманням правил, PR.PT-3
процедур з безпеки. PR.PT-4
PR.PT-5
1 2 3
RS.AN Проведення аналізу кіберінцидентів для забезпечення RS.AN-1
Аналіз адекватних заходів реагування та підтримки RS.AN-2
відновлення. RS.AN-3
RS.AN-4
RS.MI Виконання заходів з метою запобігання розширенню RS.MI-1
Мінімізація кіберінциденту, мінімізації його наслідків та RS.MI-2
наслідків. унеможливлення його повторення. RS.MI-3
RS.IM Удосконалення заходів з реагування шляхом RS.IM-1
Удосконалення врахування досвіду з поточних або виконаних заходів RS.IM-2
виявлення/реагування.
Рівень I. Частковий
Практика кіберзахисту існує, але вона не є формалізованою,
обмежене розуміння ризиків, власник ОКІ не розуміє місце та
роль ОКІ у системі забезпечення кібербезпеки сектору
інфраструктури
Час, ресурси
1 2 3 4
ризиками загальний підхід власних залежностей або
затверджується організації до управління залежних від неї інших
керівництвом ризиком кібербезпеки не суб’єктів, але не їх обох.
організації, але може встановлено. Інформація Організація опрацьовує
не встановлюватися про кібербезпеку та отримує деяку
як загальна політика поширюється в межах інформацію від інших
для організації. організації на неофіційній організацій, створює на
Пріоритетність основі. Розгляд підставі неї власну
діяльності з кібербезпеки в цілях та інформацію, але може не
кібербезпеки та програмах організації поширювати таку
потреби захисту може відбуватися на інформацію між іншими
безпосередньо деяких, але не на всіх організаціями. Крім того,
залежать від цілей рівнях організації. Оцінка організація усвідомлює
організаційного ризиків кібербезпеки для ризики кібербезпеки,
ризику, середовища організаційних та пов'язані з послугами, які
загроз або вимог зовнішніх активів вона надає та якими
щодо надання відбувається, але зазвичай користується, але не діє
життєво важливих не повторюється або послідовно або за
послуг та функцій. однаково не проводиться. затвердженими
правилами.
Повторюваний Практика реалізації В організації існує Організація розуміє свою
заходів кіберзахисту загальний підхід до роль у екосистемі щодо
та управління управління ризиками своїх власних
ризиками в кібербезпеки. Політики залежностей або залежних
організації є інформування про ризики, від неї інших суб’єктів та
офіційно процеси та процедури може сприяти ширшому
затвердженою і визначені, реалізуються за розумінню спільнотою
визначена як призначенням та ризиків.
політика. Результати переглядаються. Існують Організація регулярно
кіберзахисту послідовні методи опрацьовує та отримує
регулярно ефективного реагування інформацію від інших
відстежуються та на зміни ризику. організацій, що доповнює
заходи кіберзахисту Персонал володіє власну створену
регулярно знаннями та вміннями інформацію та поширює її
оновлюються на виконувати призначені їм між іншими
основі застосування обов’язки. Організація організаціями.
процесів управління послідовно і точно Організація усвідомлює
ризиками до змін у контролює ризик ризики кібербезпеки,
вимогах щодо кібербезпеки для активів пов'язані з послугами, які
надання життєво- організації. вона надає та якими
важливої функції, Пов’язані та не пов’язані з користується.
мінливих загроз та кібербезпекою головні
технологічного виконавці регулярно
ландшафту. спілкуються щодо ризику
кібербезпеки.
Адаптивний Організація адаптує В організації існує Організація розуміє свою
свою практику в загальний підхід до роль у екосистемі щодо
галузі кібербезпеки управління ризиком своїх власних
15
1 2 3 4
на основі попередніх кібербезпеки, який залежностей або залежних
та поточних заходів використовує політику, від неї інших суб’єктів,
з кібербезпеки, процеси та процедури з сприяє ширшому
включаючи урахуванням ризиків для розумінню спільнотою
отримані результати вирішення потенційних ризиків.
та прогнозні кіберінцидентів. Організація отримує,
показники. Завдяки Взаємозв’язок між генерує та переглядає
процесу ризиком кібербезпеки та пріоритетну інформацію
безперервного цілями організації чітко для продовження аналізу
вдосконалення, що усвідомлюється та цих ризиків по мірі
передбачає передові враховується під час розвитку ландшафту
технології та прийняття рішень. загроз та технологій.
практики Головні виконавці Організація поширює цю
кібербезпеки, контролюють ризик інформацією як в середині
організація активно кібербезпеки в тому організації, так і назовні
адаптується до самому контексті, що і для подальшого
мінливих фінансовий ризик та інші опрацювання.
кіберзагроз та ризики для організації. Організація використовує
своєчасно й Управління ризиками інформацію в режимі
ефективно реагує на кібербезпеки є частиною реального часу або майже
кіберзагрози, що організаційної культури і в режимі реального часу і
розвиваються та розвивається на основі послідовно реагує на
ускладнюються. усвідомлення попередньої ризики кібербезпеки,
діяльності та постійного пов'язані з послугами, які
усвідомлення діяльності у вона надає та якими
своїх системах та користується.
телекомунікаційних
мережах.
Організація може швидко
та ефективно враховувати
зміни у тому, як підходити
до опрацювання та
повідомляти про ризик.