Держспецзв’язку затвердила Методичні рекомендації щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури (ОКІІ). Рекомендації об’єднують найкращі світові практики та чинну нормативну базу для відповідних об’єктів: атомних станцій, комунальних господарств, підприємств енергетичного сектору, банків та багатьох інших.
Рекомендації передбачають наявний в Україні інструментарій, а також стандарти, розроблені NIST (Національний інститут стандартів і технології США), ISACA (Асоціація аудиту і контролю інформаційних систем), IEC (Міжнародна електротехнічна комісія).
Підприємства, які належать до ОКІІ, відповідно до документа можуть:
– здійснити аналіз і дати характеристику поточного стану забезпечення кібербезпеки;
– описати цільовий стан кібербезпеки;
– ідентифікувати та визначити пріоритети, рівень впровадження заходів кіберзахисту в контексті безперервного та повторюваного процесу управління ризиками у сфері кібербезпеки;
– оцінити прогрес у досягненні цільового стану кібербезпеки;
– оцінити наявність та ефективність комунікації між суб’єктами, які безпосередньо розміщені на об’єктах критичної інфраструктури, і суб’єктами, які є партнерами організації щодо управління ризиками у сфері кібербезпеки.
Крім того, для ОКІІ пропонується до впровадження стандартизований спосіб обміну інформацією з кібербезпеки. Представники об’єктів критичної інформаційної інфраструктури після порівняння Поточного профілю (заходи, що містяться в профілі, реалізовані на цей час) і Цільового профілю (бажані результати із забезпечення кібербезпеки) можуть не лише відстежувати прогрес та усувати виявлені недоліки, а й добровільно ділитися відповідною інформацією з іншими ОКІІ.
Документ регулярно переглядатимуть, адже ОКІІ мають бути здатними протистояти ризикам кібербезпеки, які постійно змінюються. Рекомендації можуть бути застосовані на всіх етапах створення комплексної системи захисту інформації (КСЗІ), системи інформаційної безпеки (на підставі Постанови Кабінету Міністрів України від 19.06.2019 № 518 “Про затвердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури”), створення системи управління інформаційною безпекою (СУІБ, відповідно до вимог ДСТУ ISO/IEC 27 001) або інших систем захисту інформації, побудованих за міжнародними та національними стандартами.
