Общие требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан (Приложение N 2 к Постановлению Президента РУз от 31.05.2023 г. N ПП-167)

Функция недоступна

ПРИЛОЖЕНИЕ N 2

к Постановлению Президента РУз

от 31.05.2023 г. N ПП-167

ОБЩИЕ ТРЕБОВАНИЯ

по обеспечению кибербезопасности объектов

критической информационной инфраструктуры

Республики Узбекистан

ГЛАВА 1. ОСНОВНЫЕ ПОЛОЖЕНИЯ

1. Настоящие Требования определяют общие требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры (далее - КИИ) Республики Узбекистан.

2. Субъект КИИ обеспечивает кибербезопасность принадлежащего ему объекта КИИ в соответствии с Законом Республики Узбекистан "О кибербезопасности", настоящими Требованиями и иными актами законодательства.

ГЛАВА 2. ОСНОВНЫЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ

КИБЕРБЕЗОПАСНОСТИ ОБЪЕКТОВ КИИ

3. К объектам КИИ предъявляются следующие требования обеспечения кибербезопасности:

создание системы эффективного обеспечения кибербезопасности объекта КИИ;

предотвращение несанкционированного использования информации в информационной системе, ее уничтожения, модификации, блокирования (ограничения), копирования, предоставления и распространения, а также иных действий, приводящих к нарушению и (или) прекращению деятельности объектов КИИ;

соответствие параметров системы обеспечения кибербезопасности требованиям технических регламентов, внедрение мероприятий по обеспечению кибербезопасности и бесперебойной работы объекта КИИ;

наличие возможности быстрого восстановления системы киберзащиты в случае инцидента кибербезопасности;

эффективно налаженная система мониторинга, аудита и анализа кибератак, выявления, принятия мер и устранение их последствий;

наличие документов по кибербезопасности и кибербезопасности объекта КИИ и его эксплуатации.

4. Руководитель объекта КИИ является ответственным за обеспечение его кибербезопасности. В установленном порядке руководителем объекта КИИ назначаются специалисты или структурное подразделение, ответственные за обеспечение функционирования системы защиты, обеспечивающей кибербезопасность на объекте.

5. Руководитель объекта КИИ утверждает политику обеспечения информационной безопасности объекта, положения, инструкции, требования, порядок применения средств защиты, организации и контроля над работой системы защиты, обеспечивающей кибербезопасность, а также принимает меры по их постоянному совершенствованию.

6. У объекта КИИ должны быть следующие документы:

документы, подтверждающие назначение руководителем кибербезопасности и объекта КИИ ответственных за обеспечение работы системы киберзащиты на объекте специалистов и/или наличие структурного подразделения киберзащиты;

документы, подтверждающие утверждение и постоянное совершенствование политики информационной безопасности кибербезопасности и объекта КИИ, положений, инструкций, требований, порядка применения средств защиты, организации и контроля работы системы киберзащиты;

мониторинг состояния кибербезопасности и важных показателей информационных систем, а также документы, подтверждающие анализ угроз информационной безопасности и возможных способов (сценариев) и моделей их реализации, ее слабых сторон, принятие мер по предупреждению и устранению последствий инцидентов кибербезопасности;

документы, подтверждающие опытную эксплуатацию системы и подсистем киберзащиты, приемо-сдаточные испытания и практику испытаний системы киберзащиты;

документы, подтверждающие повышение знаний и практических навыков сотрудников по обеспечению информационной безопасности и кибербезопасности;

утвержденные рабочие или эксплуатационные документы по обеспечению кибербезопасности объекта КИИ;

документы, подтверждающие проведение плановых и внеплановых проверок состояния системы защиты в соответствии с нормативными документами в области технического регулирования в сфере информационной и кибербезопасности;

документы, подтверждающие соблюдение правил, регламентирующих процесс ввоза и вывоза, хранения, передачи и списания всех носителей информации на территорию объекта;

документы, подтверждающие выполнение мероприятий по обеспечению кибербезопасности, определенных годовыми планами.

7. Все аппаратные, программно-аппаратные и программные средства, обеспечивающие кибербезопасность объектов КИИ, должны иметь необходимые сертификаты соответствия и соответствовать законодательству по кибербезопасности.

8. Помимо требований по обеспечению кибербезопасности объектов КИИ дополнительно предусматриваются:

планирование, разработка, совершенствование и введение мероприятий по обеспечению кибербезопасности объектов КИИ;

принятие организационных, правовых и технических мер по обеспечению кибербезопасности объектов КИИ;

определение показателей и характеристик аппаратных, программно-аппаратных и программных средств, используемых для обеспечения кибербезопасности объектов КИИ.

9. Органы государственной власти и управления, объединения, предприятия, учреждения и организации по согласованию с уполномоченным государственным органом и его рабочим органом могут устанавливать дополнительные требования к разработке политики информационной безопасности, при ее реализации, средствам обеспечения кибербезопасности объектов КИИ, исходя из особенностей деятельности объектов.

ГЛАВА 3. ТРЕБОВАНИЯ К СРЕДСТВАМ ОБЕСПЕЧЕНИЯ

БЕЗОПАСНОСТИ КОНФИДЕНЦИАЛЬНОЙ И СЕКРЕТНОЙ

ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ В АВТОМАТИЗИРОВАННЫХ

И ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЪЕКТА КИИ

10. Система защиты кибербезопасности должна обеспечить:

недопущение несанкционированного использования, уничтожения, изменения, блокирования (ограничения), копирования, представления, распространения и иных подобных действий с данными, обрабатываемыми средствами КИИ;

предотвращение информационного воздействия на аппаратные, программно-аппаратные и программные средства, способного привести к неисправности и/или остановке деятельности объекта КИИ;

обеспечение полноценного функционирования объекта КИИ в условиях угроз кибербезопасности информации, не составляющей государственные секреты и охраняемой законодательством (далее - конфиденциальная информация);

обеспечить возможность восстановления работы объекта КИИ.

11. В автоматизированных и информационных системах подлежат защите:

все обрабатываемые данные;

аппаратные, программно-аппаратные и программные средства, в том числе компьютерные запоминающие устройства, рабочие станции, сервера, телекоммуникационное оборудование, линии связи, средства обработки графической, видео- и речевой информации;

программное обеспечение программно-аппаратных средств;

архитектура и конфигурация информационных систем.

12. В сетях телекоммуникаций подлежат защите:

данные, передаваемые по линиям связи;

телекоммуникационное оборудование, в том числе программное обеспечение, система управления;

встроенное защитное оборудование;

целостность архитектуры и конфигурации телекоммуникационной сети.

13. В автоматизированных системах управления подлежат защите:

информация о параметрах и состоянии контролируемого объекта или процесса, включая входные и выходные данные, управленческие данные, контрольно-измерительные и другие важные данные;

программное и аппаратное обеспечение, включая рабочие станции, промышленные сервера, телекоммуникационное оборудование, линии связи, программируемые логические контроллеры, производственное, технологическое оборудование;

программное обеспечение программно-аппаратных средств;

встроенное защитное оборудование;

архитектура автоматизированной системы управления и конфигурация.

14. Одним из обязательных критериев реализации мер безопасности является учет угроз кибербезопасности всем объектам и субъектам доступа на аппаратном, системном, программном и сетевом уровнях, в том числе в виртуализированной среде.

15. В зависимости от угроз кибербезопасности в устройствах обработки конфиденциальной и секретной информации на объектах КИИ должны быть реализованы следующие меры:

идентификация и аутентификация на каждом этапе получения доступа к элементам подсистемы или других систем;

управление доступом к файлам, системам и устройствам;

ограничение программной среды для пользователя, не имеющего полномочий на управление информационной инфраструктурой;

защита средств, несущих конфиденциальную и секретную информацию;

проведение аудита кибербезопасности систем, программ, в том числе программных и программно-аппаратных ресурсов;

защита объекта КИИ информационных активов от вредоносного программного обеспечения;

обнаружение, предотвращение и устранение последствий кибератак;

обеспечение целостности всех данных, передаваемых устройствами, вне зависимости от назначения применения;

обеспечение доступа и защиту данных для пользователей системы в зависимости от позиции пользователя в деятельности объекта КИИ;

обеспечение безопасности технических средств защиты информации;

управление конфигурацией;

своевременное управление обновлениями программного обеспечения;

своевременное реагирование на инциденты кибербезопасности;

выполнение необходимых действий в чрезвычайных ситуациях;

хранение резервной копии критичных данных, целостность, конфиденциальность и доступность которых связаны с работой и безопасностью объекта КИИ;

постоянный контроль и анализ состояния кибербезопасности, несанкционированного доступа и попыток изменения информации;

внедрение механизмов быстрого восстановления данных;

аттестация объекта на соответствие требованиям кибербезопасности.

ГЛАВА 4. ЗАКЛЮЧЕНИЕ

16. Лица, виновные в нарушении указанных требований, несут ответственность в соответствии с актами законодательства.

Национальная база данных законодательства (www.lex.uz), 2 июня 2023 г.