Указ No 82 / 2018 Coll.
Ординанс на заходи безпеки, інциденти з кібербезпеки, реактивні заходи, процесуальні формальності в галузі кібербезпеки та знищення даних (Регуляція на кібербезпеку)
Чинний
Чинний від 28.05.2018
Zobrazeno prvních 200 z celkem 899 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
80 р.
ВИЗНАЧЕННЯ
від 21 травня 2018
про заходи безпеки, інциденти з кібербезпеки, реактивні заходи, процесуальні формальності у сфері кібербезпеки та знищення даних (Cyber Security Order)
Національне Бюро кібербезпеки визначає, відповідно до статті 28 (2) (a) до (d) та (f) Акту No 181 / 2014 Coll, з питань кібербезпеки та про внесення змін до законів про захист (Cyber) у зв'язку з змінами Закону No 104 / 2017 Coll. та Акт No 205 / 2017 Coll., (" Акту '):
ІНТРОДУКТОРИ ПРОВІЗІЇ
Тема питання
Цей декрет впроваджує відповідну європейську систему регулювання та критичну інформаційну інфраструктуру інформації, систему зв'язку критичної інформаційної інфраструктури, Значну інформаційну систему, базову систему інформації про послуги або систему електронних комунікацій, що використовується постачальником цифрових послуг (далі – інформаційна система)
(а) зміст та структура документації з безпеки;
(b) зміст та обсяг заходів безпеки;
(c) види, категорії та оцінки значення інцидентів з кібербезпеки;
(d) формальності та засоби звітності з питань кібербезпеки;
(e) специфіки повідомлення про здійснення реактивного виміру та його результат;
(f) модель повідомлення про контактні дані та її форму;
(г) спосіб, в якому вводяться дані, оперативні дані, відомості та копії.
Визначення умов
Для цілей цієї постанови:
(а) адміністратора особи, що забезпечує управління, роботу, використання, обслуговування та безпеку технічного майна;
(b) прийнятний ризик, який приймається до повноважень або особи, яка зобов’язана впровадити заходи безпеки в законі (далі – «обов’язкова особа») та не потрібно здійснювати інші заходи безпеки;
(c) політика безпеки – це сукупність принципів та правил, які визначають спосіб захисту активів;
(d) оцінка ризику загального процесу виявлення, аналізу та оцінки ризиків;
(e) загроза потенційній причині інциденту з кібербезпеки або інциденту з кібербезпеки, що може призвести до пошкодження;
(f) технічного активу, персоналу та постачальників, залучених до роботи, розробки, управління або безпеки інформаційної та комунікаційної системи;
(г) первинний актив – це інформація або сервіс, що його обробляє або надає інформаційні та комунікаційні системи;
(h) ризик виникнення загрози, що скористалися вразливістю активів та завдаючи шкоди;
(i) діяльність з управління ризиками за участю оцінки ризику, вибору та впровадження заходів з управління ризиками, поширення інформації про ризики та моніторинг та огляд ризиків;
(j) частина системи управління інформаційною безпекою суб’єкта господарювання на основі доступу до ризиків інформаційної та комунікаційної системи, що забезпечує створення, впровадження, функціонування, моніторинг, огляд, обслуговування та вдосконалення інформаційної безпеки;
(k) технічного активу такого технічного обладнання, засобів зв’язку та програмного забезпечення інформаційної та комунікаційної системи та об’єктів, в яких розміщені такі системи, неспроможність яких може вплинути на інформаційні та комунікаційні системи;
(l) користувачем, фізичної або юридичної особи або державного органу з використанням активів;
(м) старший менеджмент особи або групи осіб під управлінням обов’язкової особи або статутного органу зобов’язаної особи;
(n) важливим постачальником оператора інформаційної або комунікаційної системи (далі – «Оператор») та будь-яким, хто входить в юридичні зв’язки з зобов’язаною особою, яка є актуальною для забезпечення безпеки інформаційної та комунікаційної системи;
(o) значна зміна, яка має або може мати вплив на кібербезпеку та несе високий ризик;
(p) вразливість до слабкої точки активу або слабкої точки вимірювання безпеки, яка може бути використана однією або більш загрозою.
БЕЗПЕКИ БЕЗПЕКИ
ОРГАНІЗАЦІЯ ЗАХИСТІВ
Система управління інформаційною безпекою
Консультаційна особа при системі управління інформаційної безпеки
(а) встановити, враховуючи вимоги сторін, що стосуються та організаційної безпеки, сфери системи управління інформаційної безпеки, в якій визначено організаційні частини та активи, що покриваються системою управління інформаційної безпеки;
(b) визначення цілей системи управління інформаційної безпеки;
(c) впроваджувати належні заходи безпеки для визначеного обсягу системи управління інформаційної безпеки на основі цілей системи управління інформаційної безпеки, забезпечення безпеки та оцінки ризиків;
(d) управляти ризиками, зазначеними у статті 5;
(e) встановити та затвердити політику безпеки в області системи управління інформаційної безпеки, яка містить принципи, завдання, потреби безпеки, права та обов’язки щодо управління інформаційною безпекою, а також на підставі потреб безпеки та результатів оцінки ризиків, встановлення політики безпеки в інших сферах, що стосуються статті 30 та здійснення належних заходів безпеки;
(f) забезпечити проведення перевірок кібербезпеки інформаційної та комунікаційної системи (далі – «аудит циберальної безпеки») відповідно до статті 16;
(g) забезпечити регулярну оцінку ефективності системи управління інформаційною безпекою, яка включає оцінку стану системи управління інформаційної безпеки, включаючи огляд оцінки ризику, оцінку результатів проведення перевірок кібербезпеки та вплив на систему управління інформаційної безпеки;
(h) ідентифікувати безперервно і в подальшому управляти значними змінами, які потрапляють в межах системи управління інформаційної безпеки відповідно до статті 11;
(i) оновити систему управління інформаційною безпекою та відповідну документацію на основі результатів перевірок кібербезпеки, результати оцінки ефективності системи управління інформаційної безпеки та в контексті значних змін;
(j) керувати роботою та ресурсами системи управління інформаційною безпекою та записувати заходи, пов’язані з системою управління інформаційної безпеки та управління ризиками.
Управління активами
(1) Конкурорна особа в управлінні активами
(а) встановити методологію визначення активів;
(b) встановити методологію оцінки активів принаймні визначено в Додатку 1 до цього Указу;
(c) визначення та реєстр активів;
(d) визначення та реєстр гарантій;
(e) оцінювати та реєструвати первинні активи в умовах конфіденційності, цілісності та доступності та включають їх в різні рівні, зазначені в (b);
(f) визначення та реєстр посилань між первинними та дочірніми активами та оцінка наслідків залежностей між первинними та дочірніми активами;
(г) оцінювати активи допоміжного характеру, враховуючи зокрема взаємозв’язок (ф);
(h) на підставі оцінки майна, визначення та введення правил захисту, необхідних для забезпечення захисту різних рівнів активів;
(i) налагоджувати допустимі засоби використання активів та правила обробки активів з урахуванням рівня активів, включаючи правила безпечного електронного розподілу та фізичного перенесення активів;
(j) визначає, як дані, оперативні дані, інформацію та копії інформації чи технічних засобів даних, що містяться у зв’язку з рівнем активів відповідно до Додаток 4 до цього Регламенту.
(2) Оцінка значення основних засобів, принаймні
(а) ступінь і важливість персональних даних, специфічних категорій персональних даних або секретів бізнесу;
(b) обсяг юридичних зобов’язань або інших зобов’язань, пов’язаних з ними;
(c) в залежності від ступеня внутрішнього управління та управління діяльністю;
(d) пошкодження державних, господарських або економічних інтересів та потенційних фінансових втрат;
(e) наслідки надання важливих послуг;
(f) ступінь порушення нормальної діяльності;
(г) наслідки збереження репутації або захисту репутації;
(h) впливає на безпеку та здоров’я осіб;
(i) впливає на міжнародні відносини;
(j) вплив на користувачів інформаційної та комунікаційної системи.
Управління ризиками
(1) Обов’язкове управління ризиками § 4
(а) встановити методологію оцінки ризику, включаючи встановлення критеріїв прийняття ризику;
(b) визначено відповідні загрози та вразливість щодо активів; розглядаються зокрема категорії загроз та вразливостей, що вказані в додатку 3,
(c) здійснювати оцінку ризику при регулярних інтервалах, зазначених у пункті 2 та у разі суттєвих змін;
(d) при оцінці ризиків, враховують відповідні загрози та вразливість та оцінюють потенційний вплив на активи; ризики оцінюються не менше за обсягом Додаток 2 до цієї Указу;
(e) підготувати звіт про оцінку ризику;
(f) він складається, на підставі потреб безпеки і результатів оцінки ризику, декларацію аплікаційності, яка включає огляд заходів безпеки, передбачених цим Указом, які:
1. не наноситься, включаючи обґрунтування,
2. застосовується, в тому числі спосіб, в якому здійснюється;
(g) розробити та реалізувати план управління ризиками, що містить цілі та переваги заходів безпеки для управління індивідуальними ризиками, ідентифікації особи, що забезпечують виконання заходів безпеки для управління ризиками, необхідні фінансові, технічні, людські та інформаційні ресурси, термін їх реалізації, опис зв’язків між ризиками та відповідними охоронними заходами та здійснення заходів безпеки;
(h) план управління ризиками враховується:
1. суттєві зміни;
2. зміни у сфері системи управління інформаційної безпеки;
3. захід за ст. 11 Закону;
4. інциденти з кібербезпеки, в тому числі раніше адресовані; і
(i) здійснювати заходи безпеки відповідно до плану управління ризиками.
(2) Обов’язкова особа, яка зазначена у § 3 (c), (d) та (f) Акту, здійснює оцінку ризику принаймні один раз на рік та обов’язкову особу, зазначену у § 3 (e) Акту принаймні кожні три роки.
(3) Управління ризиками також може бути передбачено способами, крім випадків, передбачених пунктом 1 (d), за умови, що зобов'язаний забезпечити той самий або більш високий рівень управління ризиками.
Організаційна безпека
(1) Обов’язкова особа щодо системи управління безпекою інформації
(а) забезпечення політики безпеки та цілей системи управління інформаційною безпекою, встановлених відповідно до статті 3, сумісних з стратегічним напрямком зобов’язань;
(b) забезпечення інтеграції системи управління інформаційною безпекою в процеси суб’єкта господарювання;
(c) забезпечення наявності ресурсів, необхідних для системи управління інформаційної безпеки;
(d) повідомити працівників важливості системи управління інформаційною безпекою та важливість дотримання вимог усіх сторін;
(e) забезпечити підтримку цільових виходів системи управління інформаційної безпеки;
(f) веде співробітників для розробки та підтримки ефективності системи управління інформаційної безпеки в цьому розвитку;
(g) сприяти безперервному покращенню системи управління інформаційної безпеки;
(h) підтримка акторів безпеки для просування кібербезпеки у своїх сферах відповідальності;
(i) запевняють, що правила укладаються для ідентифікації адміністраторів та осіб, що представляють роль безпеки;
(j) забезпечити збереження конфіденційності адміністраторів та осіб, що представляють роль безпеки;
(k) забезпечення відповідних повноважень та ресурсів для осіб, що представляють роль безпеки, включаючи бюджетні засоби, для виконання своїх ролей та виконання пов’язаних завдань;
(l) забезпечує тестування планів безперервності діяльності, відновлення та процесів, пов’язаних з управлінням інцидентів з кібербезпеки.
(2) Обов’язкова особа в рамках системи управління інформаційної безпеки визначає склад Комітету з управління кібербезпекою та їх права та обов’язки, пов’язані з системою управління інформаційної безпеки.
(3) Обов'язкова особа, яка зазначена в § 3 (c), (d) та (f) Акту, зобов'язується вказати особи, яка відіграє роль безпеки.
(a) Менеджер з кібербезпеки,
(b) архітектор кібербезпеки
(c) гарантія активів;
(d) аудитор кібербезпеки.
(4) Обов'язкова особа, яка зазначена в розділі 3 (e) Акту, визначить роль менеджера з кібербезпеки та гаранта активу. Інші ролі безпеки, зазначені в пункті 3, будуть визначені відповідно щодо сфери та потреб системи управління інформаційної безпеки.
(5) Обов'язкова особа, яка зазначена в § 3 (c), (d) та (f) Акту, забезпечує, що ролі безпеки, зазначені в пункті 3 (a) та (b) є підпунктом.
(6) Обов'язкова особа, яка зазначена в розділі 3 (e) Акту, забезпечує підступність ролі безпеки управління кібербезпекою.
(7) Комітет з управління кібербезпеки складається з осіб з відповідними повноваженнями та компетенцією для загального управління та розвитку системи управління інформаційної безпеки та осіб, які значно залучені до управління та координації діяльності кібербезпеки, з яких принаймні один представник керівного управління або старшого управління та менеджера з кібербезпеки є членом. Обов'язкова особа Комітету з питань кібербезпеки враховує рекомендації, викладені в додатку 6.
Роль безпеки
(1) Менеджер з кібербезпеки
(а) роль безпеки несе відповідальність за систему управління інформаційною безпекою, виконання якої може бути довірена особа, яка навчається за цю діяльність і демонструє компетенцію досвіду управління кібербезпекою або управління інформаційної безпеки.
1. протягом принаймні трьох років; або
2. за один рік, якщо закінчила університет,
(b) обов’язкові для регулярного інформування старшого управління:
1. діяльність, що призводить до її відповідальності;
2. стан системи управління інформаційної безпеки;
(c) не буде довірено з виконанням ролей, відповідальних за роботу інформаційної та комунікаційної системи.
(2) Архітектор з кібербезпеки несе відповідальність за забезпечення виконання заходів безпеки, щоб забезпечити безпечну архітектуру інформаційної та комунікаційної системи, виконання якої може бути довірена особа, яка навчається за цією діяльністю і продемонструвати компетентність практики проектування виконання заходів безпеки і забезпечення безпеки.
(а) принаймні три роки; або
(б) за один рік, якщо закінчила університет.
(3) Посада активу – роль безпеки, відповідальна за забезпечення розвитку, використання та безпеки майна.
(4) Аудит кібербезпеки
(а) роль безпеки несе відповідальність за проведення аудиту кібербезпеки, виконання якого може бути довірена особа, яка навчається цій діяльності і демонструє компетентність практики проведення перевірок кібербезпеки або перевірок системи управління інформаційної безпеки.
1. протягом принаймні трьох років; або
2. за один рік, якщо закінчила університет,
(b) забезпечує проведення аудиту кібербезпеки;
(c) не несе відповідальності за виконання інших ролей безпеки.
(5) При визначенні осіб, які здійснюють ролі безпеки, обов'язкова особа враховує рекомендації, викладені в додатку 6 до цього Указу.
Управління постачальниками
(1) Компульсиорна особа
(а) укладають правила для постачальників, які враховують вимоги системи управління інформаційної безпеки;
(b) зберігати записи своїх значних постачальників;
(c) верифіковано інформувати своїх суттєвих постачальників у письмовій формі своїх записів (b);
(d) повідомляти постачальників правил, зазначених в (a) і вимагати дотримання цих правил;
(e) управляти ризиками, пов'язані з постачальниками;
(f) у зв'язку з управлінням ризиків, пов'язаних з значними постачальниками, забезпечують, що контракти, укладені з значними постачальниками, включають відповідні ділянки, що вказані в Додаток 7 до цієї Указу; і
(g) регулярно переглядають виконання контрактів з значними постачальниками в умовах системи управління інформаційної безпеки.
(2) Компульсиорна особа для значних постачальників
(а) в контексті процедури відбору та перед укладенням договору, проведення оцінки ризиків, пов’язаних з виконанням предметно-матетера процедури відбору, мутатів мутанди, відповідно до Додаток 2 до цього Указу;
(b) встановити, в рамках укладених договірних відносин, методи та рівні реалізації заходів безпеки та визначення змісту взаємодійної відповідальності за встановлення та контроль заходів безпеки;
(c) здійснювати регулярні оцінки ризиків та періодичні перевірки на заходи безпеки, передбачені власними ресурсами або третіми особами;
(d) гарантує, що вони звертаються у відповідь на ризики та недоліки, визначені.
(3) Елементи верифікованої інформації, що зазначені в пункті 1 (c) є:
(а) визначення AIFM або оператора;
(b) визначення інформаційної та комунікаційної системи;
(c) визначення значного постачальника;
(d) розуміння того, що постачальник є важливим постачальником для AIFM і, де доречно, що значний постачальник також є оператором; і
(e) зміст правил, зазначених в пункті 1 (a).
(4) Обов'язкова особа, зазначена в § 3 (c) до (f) Акту, який є оператором і демонстровано відповідно до пункту 1 (c), повідомляє контактні дані у вигляді, викладеній у § 34.
Безпека людських ресурсів
(1) Консультативна особа в управлінні безпекою людських ресурсів
(а) у світлі держави та потреб системи управління інформаційною безпекою, це дозволить встановити план розвитку інформаційної безпеки, спрямованого на забезпечення належної освіти та вдосконалення обізнаності про безпеку, що включає форму, зміст та сферу:
1. уроки користувачів, адміністраторів, акторів безпеки та постачальників на своїх обов’язках та політиці безпеки;
2. необхідне теоретичне та практичне навчання користувачів, адміністраторів та акторів безпеки;
(b) позначення осіб, відповідальних за проведення індивідуальних заходів, зазначених в плані;
(c) забезпечити, відповідно до Плану розвитку безпеки, що користувачі, адміністратори, особи, які здійснюють ролі безпеки та постачальників, поінформовані про свої обов’язки та політики безпеки шляхом введення та регулярного навчання;
(d) надавати регулярні тренінги для осіб, які здійснюють ролі безпеки відповідно до Плану розвитку безпеки, що базуються на поточних потребах зобов’язань суб’єкта господарювання у сфері кібербезпеки;
(e) забезпечити, відповідно до Плану розвитку безпеки, регулярне навчання та перевірку обізнаності про безпеку персоналу відповідно до їх працездатності;
(f) забезпечує моніторинг дотримання політики безпеки користувачами, адміністраторами та особами, що представляють роль безпеки;
(г) у разі припинення договірних відносин з адміністраторами та особами, які здійснюють ролі безпеки, забезпечують перерахування відповідальності;
(h) оцінити ефективність плану розвитку обізнаності про безпеку, навчання та інших заходів, пов’язаних з підвищенням обізнаності про безпеку;
(i) виявляти правила та процедури боротьби з порушеннями користувачами, адміністраторами та особами, що представляють роль безпеки.
(2) Обов'язкова особа повинна тримати резюме навчання, зазначеного в пункті 1, що містить предметну матерію навчання і перелік осіб, які отримали навчання.
Управління трафіком та зв'язком
(1) Обов’язкова особа в контексті управління трафіком та зв’язком забезпечує безпечну роботу системи інформаційно-комунікаційного зв’язку та укладає операційні правила та процедури, зокрема:
(а) права та обов’язки адміністраторів, користувачів та осіб, що представляють роль безпеки;
(b) процедури запуску та закінчення системи, для перезапуску або відновлення системи після збою, а також для лікування умов несправності або виняткових заходів;
(c) процедури моніторингу інцидентів з кібербезпеки та заходів щодо захисту доступу до оповіщення про такі інциденти;
(d) правила та процедури захисту від шкідливого коду;
(e) управління технічної вразливості;
(f) контактні особи, що відповідають за виконання системи та технічної підтримки;
(г) процедури управління та затвердження операційних змін;
(h) процедури моніторингу, планування та управління персоналом та технічних ресурсів;
(i) правила та процедури захисту інформації та даних протягом усього життєвого циклу;
(j) правила та процедури монтажу технічних засобів;
(k) проведення регулярних авансових платежів та перевірки аплікації авансових платежів;
(l) правила та процедури забезпечення безпеки мережевих послуг.
(2) У контексті управління трафіком та зв’язком обов’язкова особа повинна відповідати правилам та процедурам, викладеними у відповідності з пунктом 1 та оновлювати ці правила та процедури в контексті внесених змін або запланованих змін.
(3) Відповідальна особа зобов’язана забезпечити поділ розвитку, тестування та оперативного середовища.
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Указ No 82 / 2018 Coll., з питань забезпечення безпеки, інцидентів з кібербезпеки, реактивних заходів, процесуальних вимог у сфері кібербезпеки та знищення даних (замовлення безпеки) |
|---|---|
| Тип нормативного акту | - |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 28.05.2018 |
|---|---|
| Чинний від | 28.05.2018 |
| Чинний до | - |
| Стан | Чинний |
Текст нормативного акту має інформаційний характер.
Коментарі 0