Про затвердження Методики оцінювання стану кібербезпеки електричних мереж та практик кібербезпеки електричних мереж

МІНІСТЕРСТВО ЕНЕРГЕТИКИ УКРАЇНИ

НАКАЗ

05.08.2024 № 285

Зареєстровано в Міністерстві

юстиції України

21 серпня 2024 р.

за № 1278/42623

Про затвердження Методики оцінювання стану кібербезпеки електричних мереж та практик кібербезпеки електричних мереж

{Із змінами, внесеними згідно з Наказом Міністерства енергетики

№ 317 від 26.08.2024}

Відповідно до пункту 8 Положення про Міністерство енергетики України, затвердженого постановою Кабінету Міністрів України від 17 червня 2020 року № 507, пункту 2 Плану заходів щодо реалізації Концепції впровадження «розумних мереж» в Україні до 2035 року, затвердженого розпорядженням Кабінету Міністрів України від 14 жовтня 2022 року № 908-р, НАКАЗУЮ:

1. Затвердити такі, що додаються:

1) Методику оцінювання стану кібербезпеки електричних мереж;

2) Практики кібербезпеки електричних мереж.

2. Управлінню кібербезпеки та цифрового розвитку забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на заступника Міністра з питань цифрового розвитку, цифрових трансформацій і цифровізації АНДАРАКА Романа.

Міністр

Г. Галущенко

ПОГОДЖЕНО:

Перший заступник

Міністра цифрової трансформації України

Голова Державної служби спеціального зв'язку

та захисту інформації України

Т.в.о Міністра освіти і науки України

Голова Національної комісії,

що здійснює державне регулювання

у сферах енергетики та комунальних послуг

Заступник Голови Служби безпеки України

Голова Державної регуляторної служби України

О. Вискуб

Ю. Мироненко

М. Винницький

B. Тapacюк

С. Наумюк

О. Кучер

ЗАТВЕРДЖЕНО

Наказ Міністерства

енергетики України

05 серпня 2024 року № 285

{Гриф затвердження в редакції Наказу Міністерства енергетики № 317 від 26.08.2024}

Зареєстровано в Міністерстві

юстиції України

21 серпня 2024 р.

за № 1278/42623

МЕТОДИКА

оцінювання стану кібербезпеки електричних мереж

1. Ця Методика визначає модель зрілості спроможностей кібербезпеки електричних мереж (далі - модель зрілості), як об'єктів критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури та/або їх систем, їх частин та їх сукупностей (далі - електричні мережі).

2. Дія цієї Методики поширюється на операторів критичної інфраструктури (далі - оператори), що на правах власності, оренди або на інших законних підставах здійснюють управління електричними мережами.

3. У цій Методиці терміни вживаються у таких значеннях:

1) активи інформаційних технологій (далі - ІТ-активи) - окремий набір електронних інформаційних ресурсів, організованих для збору, обробки, підтримки, використання, спільного використання, розповсюдження або розміщення інформації.

Це визначення включає взаємопов'язані або взаємозалежні системи та середовище, в якому вони працюють.

До ІТ-активів належать робочі станції, комутатори, маршрутизатори, міжмережеві екрани, сервери, віртуальні машини, програмне забезпечення, мобільні комп'ютерні пристрої, хмарні активи;

2) активи операційних технологій (далі - OT-активи) - активи, які знаходяться у сегменті операційних технологій електричних мереж та необхідні для надання послуг або виробничої діяльності.

Більшість систем керування електричними мережами включають IT-активи.

До ОТ-активів належать робочі станції, комутатори, маршрутизатори, міжмережеві екрани, сервери, віртуальні машини, програмне забезпечення, мобільні комп'ютерні пристрої, хмарні активи, програмовані логічні контролери, віддалені термінали, промислові системи управління (ICS), системи безпеки, пристрої контролю фізичного доступу;

3) зрілість - вимірювана здатність оператора постійно вдосконалюватися в межах кібербезпеки електричних мереж;

4) індекс кібербезпеки електричних мереж (далі - індекс MIL) - періодичні інформаційні матеріали, які містять експертні, аналітичні, статистичні відомості про стан кібербезпеки електричних мереж, а також про окремі показники шкідливого впливу реалізованих кіберзагроз, складені з метою оцінки стану кібербезпеки електричних мереж;

5) індикатор зрілості кібербезпеки (далі - індикатор зрілості) - значення показника зрілості кібербезпеки електричних мереж;

6) інформаційні активи - будь-яке повідомлення або представлення знань, таких як факти, дані, які є цінними для електричних мереж.

Інформаційні активи можуть бути в будь-якому носії чи формі, включаючи цифрові чи нецифрові. До інформаційних активів належать бізнес-дані, інтелектуальна власність, інформація про клієнтів, контракти, договори, журнали безпеки, метадані, оперативні дані, фінансові дані, інформація про безпеку та журнали керування подіями, файли конфігурації;

7) модель зрілості - структурований набір практик, інструкцій, планів дій для створення ефективних програм з кібербезпеки електричних мереж та проведення заходів з кіберзахисту електричних мереж;

8) модель C2M2 - модель зрілості спроможностей кібербезпеки електричних мереж для оцінки та вдосконалення програм з кібербезпеки електричних мереж та зміцнення їх експлуатаційної стійкості;

9) область - це логічне групування практик.

Кожен такий набір практик представляє діяльність, яку оператори виконують для встановлення та розвитку спроможностей у сфері кібербезпеки електричних мереж;

10) оцінка стану кібербезпеки електричних мереж - визначення або вимірювання показників зрілості кібербезпеки електричних мереж;

11) показник зрілості кібербезпеки електричних мереж - параметр стану кібербезпеки електричних мереж;

12) практика - це метод, пов'язаний з діями, які багаторазово виконуються в межах кібербезпеки електричних мереж, що і визначають міру рівня зрілості спроможностей кібербезпеки електричних мереж;

13) рівень кібербезпеки електричних мереж (далі - рівень MIL) - рівень індикатора зрілості моделі С2М2, який визначається сукупністю практик кібербезпеки електричних мереж (далі - практика) з області кібербезпеки електричних мереж (далі - область), що впроваджені та виконуються в електричних мережах.

Інші терміни вживаються у значеннях, наведених у Законах України «Про критичну інфраструктуру», «Про основні засади забезпечення кібербезпеки України», «Про захист інформації в інформаційно-комунікаційних системах», «Про ринок електричної енергії».

{Пункт 3 із змінами, внесеними згідно з Наказом Міністерства енергетики № 317 від 26.08.2024}

4. Метою цієї Методики є визначення алгоритму оцінки та вдосконалення програм з кібербезпеки електричних мереж.

5. Модель C2M2:

1) формулює модель зрілості як сукупність характеристик, атрибутів, показників або зразків, що показують спроможності та прогрес реалізації заходів з кіберзахисту електричних мереж;

2) визначає управління практикою реалізації кібербезпеки електричних мереж та адаптована для використання операторами;

3) призначена для використання операторами з метою здійснення самооцінки стану кібербезпеки та виконання заходів з кіберзахисту електричних мереж.

Для ефективної реалізації моделі C2M2 найкраще використовувати її як частину безперервного процесу управління ризиками електричних мереж.

6. Формою застосування моделі C2M2 є самооцінка оператором електричних мереж, що здійснюється в міру їх необхідності, але не рідше 1 разу на рік.

7. За результатами застосування моделі C2M2 оператор готує звіт, що надсилається Міненерго протягом 10 днів, але не пізніше 01 грудня поточного року.

У звіті зазначаються:

дані про поточний стан кібербезпеки електричних мереж;

дані про реалізацію оператором заходів з кіберзахисту електричних мереж за результатами застосування моделі C2M2;

дані про вдосконалення програм оператора з кібербезпеки електричних мереж за результатами застосування моделі C2M2.

8. У моделі С2М2 термін «функція» належить до електричних мереж.

9. Модель С2М2 широко визначає поняття «функція», щоб надати операторам найбільший ступінь гнучкості у визначенні обсягу самооцінки, яка підходить для них.

10. Вибір функції визначає, які об'єкти критичної інформаційної інфраструктури (далі - об'єкти), інформаційні (автоматизовані), електронні комунікаційні, інформаційно-комунікаційні системи, автоматизовані системи управління технологічними процесами електричних мереж підлягатимуть оцінці, включаючи взаємопов'язані або взаємозалежні системи та середовище, в якому вони працюють.

11. Для цілей моделі C2M2 термін «активи» включає всі об'єкти, інформаційні (автоматизовані), електронні комунікаційні, інформаційно-комунікаційні системи, автоматизовані системи управління технологічними процесами електричних мереж в рамках вибраної функції, включаючи взаємопов'язані або взаємозалежні системи та середовище, в якому вони працюють.

12. Модель C2M2 включає 356 практик, які класифіковані в 10 областей.

13. Кожна область асоціюється з унікальною ціллю управління та кількома цілями підходу. У рамках цілей як підходу, так і цілей управління деталізовані практики для опису діяльності з кібербезпеки електричних мереж. У межах кожної цілі практики впорядковані за рівнями MIL.

14. Для вимірювання прогресу моделі C2M2 використовують шкалу індикаторів та індексів стану кібербезпеки електричних мереж, що визначає рівні від MIL0 до MIL3 згідно з додатком до цієї Методики. Набір практик визначає кожен рівень MIL. Якщо оператор впровадив та використовує такий набір практик, то він досяг як цього рівня MIL, так і можливостей, які цей рівень MIL представляє.

15. Наявність вимірних перехідних станів між рівнями MIL дозволяє використовувати шкалу для:

1) визначення поточного стану електричних мереж щодо кібербезпеки;

2) визначення майбутнього, більш зрілого стану кібербезпеки електричних мереж;

3) визначення можливостей, які оператор повинен забезпечити, щоб досягти майбутнього показника зрілості стану кібербезпеки електричних мереж.

16. Області моделі С2М2:

1) ASSET - управління активами, змінами та конфігурацією. Управління ІТ-активами та ОТ-активами електричних мереж, включаючи апаратне та програмне забезпечення, а також інформаційні активи відповідно до ризику кібербезпеки для електричних мереж;

2) THREAT - управління загрозами та вразливістю. Створення та підтримка планів, процедур та технологій для виявлення, ідентифікації, аналізу, керування та реагування на загрози та вразливості кібербезпеки електричних мереж відповідно до ризику кібербезпеки для них;

3) RISK - управління ризиками. Управління ІТ-активами та ОТ-активами електричних мереж, включаючи апаратне та програмне забезпечення, а також інформаційні активи відповідно до ризику кібербезпеки для електричних мереж;

4) ACCESS - управління ідентифікацією та доступом. Створення ідентифікаційних даних для активів, яким може бути надано логічний або фізичний доступ до активів електричних мереж, керування ними. Контроль доступу до активів електричних мереж відповідно до ризику кібербезпеки для них;

5) SITUATION - ситуаційна обізнаність. Впровадження та підтримка заходів і технологій для збору, моніторингу, аналізу, попередження, звітування та використання операційної інформації, інформації про безпеку та загрози, включаючи інформацію про статус і зведену інформацію з інших областей моделі С2М2, щоб отримати ситуаційну обізнаність щодо робочого стану кібербезпеки електричних мереж;

6) RESPONSE - реагування на події та інциденти. Створення та підтримка планів, процедур та технологій для виявлення, аналізу, реагування на події та інциденти кібербезпеки електричних мереж та відновлення після них, а також підтримка роботи під час інцидентів кібербезпеки електричних мереж відповідно до ризику кібербезпеки для них;

7) THIRD-PARTIES - управління ланцюгами постачання та зовнішніми взаємозалежностями. Встановлення та підтримка засобів контролю для управління кіберризиками, що виникають при взаємодії з постачальниками послуг електричних мереж, відповідно до ризику кібербезпеки для електричних мереж та цілей оператора;

8) WORKFORCE - управління персоналом. Створення та підтримка планів, процедур, технологій і засобів контролю кібербезпеки електричних мереж та забезпечення сталої компетентності персоналу з кібербезпеки відповідно до ризику кібербезпеки для електричних мереж та цілей оператора;

9) ARCHITECTURE - архітектура кібербезпеки. Створення та підтримка архітектури кібербезпеки електричних мереж, включаючи засоби контролю, процеси, технології та інші елементи;

10) PROGRAM - управління програмою кібербезпеки електричних мереж. Створення і підтримка програми кібербезпеки електричних мереж, яка забезпечує управління, стратегічне планування та фінансову підтримку діяльності електричних мереж з кібербезпеки таким чином, щоб цілі з кібербезпеки були узгоджені із стратегічними цілями та ризиками для об'єкту критичної інфраструктури в цілому.

17. Модель C2M2 призначена для використання методології самооцінки оператором з метою вимірювання та вдосконалення власної програми з кібербезпеки електричних мереж.

18. Застосування моделі C2M2 здійснюється шляхом вибору рівня провадження кожної практики з використанням чотирибальної шкали:

не виконано (NI) - практика не проводиться;

частково виконано (PI) - виконання не завершено, є багато можливостей для вдосконалення;

переважно виконано (LI) - здебільшого виконано, але є можливість вдосконалення;

повністю виконано (FI) - реалізовано у повній мірі.

19. Визначення рівня MIL для кожної області є ефективною стратегією використання моделі C2M2 для вдосконалення програми кібербезпеки електричних мереж. Операторам необхідно ознайомитися з практиками в моделі С2М2 до визначення рівнів MIL.

20. Практична ефективність і досягнення рівнів MIL повинні узгоджуватися зі стратегією програми кібербезпеки електричних мереж. Прагнення досягти найвищого рівня MIL у всіх областях може бути не оптимальним. Необхідно оцінити витрати на досягнення конкретного рівня MIL порівняно з його потенційними перевагами.

Начальник

Управління кібербезпеки

та цифрового розвитку

В. Стріганов

Додаток

до Методики оцінювання стану

кібербезпеки електричних мереж

(пункт 14)

Шкала

індикаторів та індексів стану кібербезпеки електричних мереж, що визначає рівні від MIL0 до MIL3

{Заголовок додатку в редакції Наказу Міністерства енергетики № 317 від 26.08.2024}

1. Модель C2M2 використовує 4 рівні MIL для визначення подвійного прогресу зрілості (прогресу підходу та прогресу управління).

2. Значення MIL мають діапазон від MIL0 до MIL3 і призначені для незалежного застосування до кожної області:

1) MIL0 - практики не виконуються;

2) MIL1 - початкові практики виконуються, але можуть бути ситуативними;

3) MIL2 - дії документуються. Дії та ініціативи забезпечені належними ресурсами і при впровадженні керуються стандартами та керівними принципами;

4) MIL3 - управління та політики кібербезпеки спрямовують дії, визначено вимоги відповідності, виконуються перевірки для забезпечення відповідності вимогам, визначені підзвітність та повноваження персоналу оператора, у якого також є належні навички та знання у сфері кібербезпеки.

{Підпункт 4 пункту 2 із змінами, внесеними згідно з Наказом Міністерства енергетики № 317 від 26.08.2024}

3. Кожна з практик має один рівень MIL з наявних чотирьох (від MIL0 до MIL3).

4. Аспекти рівнів MIL, що є важливими для розуміння та застосування моделі C2M2:

1) рівні MIL застосовуються незалежно до кожної області. У результаті оператор, який використовує модель C2M2, може працювати з різними рейтингами MIL у різних областях;

2) індекси MIL (від MIL0 до MIL3) накопичуються в кожній області. Щоб отримати MIL у певній області, оператор повинен виконати всі практики на поточному рівні MIL та на попередньому рівні MIL;

3) в інструментах самооцінки моделі C2M2 практика вважається виконаною, якщо вибрано відповідь LI або FI.

5. Визначення рівня MIL в області ASSET:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області ASSET рівень впровадження кожної з практик ASSET-1a, ASSET-2a, ASSET-3a, ASSET-4a, ASSET-4b області ASSET за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області ASSET рівень впровадження кожної практик ASSET-1a, ASSET-2a, ASSET-3a, ASSET-4a, ASSET-4b, ASSET-1b, ASSET-1c, ASSET-1d, ASSET-1e, ASSET-2b, ASSET-2c, ASSET-2d, ASSET-2e, ASSET-3b, ASSET-3c, ASSET-3d, ASSET-4c, ASSET-4d, ASSET-4e, ASSET-4f, ASSET-4g, ASSET-5a, ASSET-5b області ASSET за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області ASSET рівень впровадження кожної з практик ASSET-1a, ASSET-2a, ASSET-3a, ASSET-4a, ASSET-4b, ASSET-1b, ASSET-1c, ASSET-1d, ASSET-1e, ASSET-2b, ASSET-2c, ASSET-2d, ASSET-2e, ASSET-3b, ASSET-3c, ASSET-3d, ASSET-4c, ASSET-4d, ASSET-4e, ASSET-4f, ASSET-4g, ASSET-5a, ASSET-5b, ASSET-1f, ASSET-1g, ASSET-1h, ASSET-2f, ASSET-2g, ASSET-2h, ASSET-3e, ASSET-4h, ASSET-4i, ASSET-5c, ASSET-5d, ASSET-5e, ASSET-5f області ASSET за чотирибальною шкалою має бути LI або FI;

6. Визначення рівня MIL в області THREAT:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області THREAT рівень впровадження кожної з практик THREAT-1a, THREAT-1b, THREAT-1c, THREAT-1d, THREAT-2a, THREAT-2b, THREAT-2c, THREAT-2d області THREAT за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області THREAT рівень впровадження кожної з практик THREAT-1a, THREAT-1b, THREAT-1c, THREAT-1d, THREAT-2a, THREAT-2b, THREAT-2c, THREAT-2d, THREAT-1e, THREAT-1f, THREAT-1g, THREAT-1h, THREAT-1i, THREAT-2e, THREAT-2f, THREAT-2g, THREAT-2h, THREAT-3a, THREAT-3b області THREAT за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області THREAT рівень впровадження кожної з практик THREAT-1a, THREAT-1b, THREAT-1c, THREAT-1d, THREAT-2a, THREAT-2b, THREAT-2c, THREAT-2d, THREAT-1e, THREAT-1f, THREAT-1g, THREAT-1h, THREAT-1i, THREAT-2e, THREAT-2f, THREAT-2g, THREAT-2h, THREAT-3a, THREAT-3b, THREAT-1j, THREAT-1k, THREAT-1l, THREAT-1m, THREAT-2i, THREAT-2j, THREAT-2k, THREAT-3c, THREAT-3d, THREAT-3e, THREAT-3f області THREAT за чотирибальною шкалою має бути LI або FI.

7. Визначення рівня MIL в області RISK:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області RISK рівень впровадження кожної з практик RISK-1a, RISK-2a, RISK-3a, RISK-4a області RISK за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області RISK рівень впровадження кожної з практик RISK-1a, RISK-2a, RISK-3a, RISK-4a, RISK-1b, RISK-1c, RISK-1d, RISK-1e, RISK-1f, RISK-2b, RISK-2c, RISK-2d, RISK-2e, RISK-2f, RISK-2g, RISK-3b, RISK-3c, RISK-3d, RISK-3e, RISK-3f, RISK-4b, RISK-5a, RISK-5b області RISK за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області RISK рівень впровадження кожної з практик RISK-1a, RISK-2a, RISK-3a, RISK-4a, RISK-1b, RISK-1c, RISK-1d, RISK-1e, RISK-1f, RISK-2b, RISK-2c, RISK-2d, RISK-2e, RISK-2f, RISK-2g, RISK-3b, RISK-3c, RISK-3d, RISK-3e, RISK-3f, RISK-4b, RISK-5a, RISK-5b, RISK-1g, RISK-1h, RISK-2h, RISK-2i, RISK-2j, RISK-2k, RISK-2l, RISK-2m, RISK-3g, RISK-4c, RISK-4d, RISK-4e, RISK-5c, RISK-5d, RISK-5e, RISK-5f області RISK за чотирибальною шкалою має бути LI або FI;

8. Визначення рівня MIL в області ACCESS:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області ACCESS рівень впровадження кожної з практик ACCESS-1a, ACCESS-1b, ACCESS-1c, ACCESS-2a, ACCESS-2b, ACCESS-3a, ACCESS-3b, ACCESS-3c області ACCESS за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області ACCESS рівень впровадження кожної з практик ACCESS-1a, ACCESS-1b, ACCESS-1c, ACCESS-2a, ACCESS-2b, ACCESS-3a, ACCESS-3b, ACCESS-3c, ACCESS-1d, ACCESS-1e, ACCESS-1f, ACCESS-1g, ACCESS-1h, ACCESS-2c, ACCESS-2d, ACCESS-2e, ACCESS-2f, ACCESS-2g, ACCESS-3d, ACCESS-3e, ACCESS-3f, ACCESS-3g, ACCESS-3h, ACCESS-4a, ACCESS-4b області ACCESS за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області ACCESS рівень впровадження кожної з практик ACCESS-1a, ACCESS-1b, ACCESS-1c, ACCESS-2a, ACCESS-2b, ACCESS-3a, ACCESS-3b, ACCESS-3c, ACCESS-1d, ACCESS-1e, ACCESS-1f, ACCESS-1g, ACCESS-1h, ACCESS-2c, ACCESS-2d, ACCESS-2e, ACCESS-2f, ACCESS-2g, ACCESS-3d, ACCESS-3e, ACCESS-3f, ACCESS-3g, ACCESS-3h, ACCESS-4a, ACCESS-4b, ACCESS-1i, ACCESS-1j, ACCESS-2h, ACCESS-2i, ACCESS-3i, ACCESS-3j, ACCESS-4c, ACCESS-4d, ACCESS-4e, ACCESS-4f області ACCESS за чотирибальною шкалою має бути LI або FI.

9. Визначення рівня MIL в області SITUATION:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області SITUATION рівень впровадження кожної з практик SITUATION-1a, SITUATION-2a, SITUATION-2b області SITUATION за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області SITUATION рівень впровадження кожної з практик SITUATION-1a, SITUATION-2a, SITUATION-2b, SITUATION-1b, SITUATION-1c, SITUATION-1d, SITUATION-1e, SITUATION-2c, SITUATION-2d, SITUATION-2e, SITUATION-2f, SITUATION-3a, SITUATION-3b, SITUATION-3c, SITUATION-4a, SITUATION-4b області SITUATION за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області SITUATION рівень впровадження кожної з практик SITUATION-1a, SITUATION-2a, SITUATION-2b, SITUATION-1b, SITUATION-1c, SITUATION-1d, SITUATION-1e, SITUATION-2c, SITUATION-2d, SITUATION-2e, SITUATION-2f, SITUATION-3a, SITUATION-3b, SITUATION-3c, SITUATION-4a, SITUATION-4b, SITUATION-1f, SITUATION-2g, SITUATION-2h, SITUATION-2i, SITUATION-3d, SITUATION-3e, SITUATION-3f, SITUATION-3g, SITUATION-4c, SITUATION-4d, SITUATION-4e, SITUATION-4f області SITUATION за чотирибальною шкалою має бути LI або FI.

10. Визначення рівня MIL в області RESPONSE:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області RESPONSE рівень впровадження кожної з практик RESPONSE-1a, RESPONSE-2a, RESPONSE-2b, RESPONSE-3a, RESPONSE-3b, RESPONSE-3c, RESPONSE-4a, RESPONSE-4b, RESPONSE-4c області RESPONSE за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області RESPONSE рівень впровадження кожної з практик RESPONSE-1a, RESPONSE-2a, RESPONSE-2b, RESPONSE-3a, RESPONSE-3b, RESPONSE-3c, RESPONSE-4a, RESPONSE-4b, RESPONSE-4c, RESPONSE-1b, RESPONSE-1c, RESPONSE-2c, RESPONSE-2d, RESPONSE-2e, RESPONSE-2f, RESPONSE-2g, RESPONSE-3d, RESPONSE-3e, RESPONSE-3f, RESPONSE-3g, RESPONSE-3h, RESPONSE-4d, RESPONSE-4e, RESPONSE-4f, RESPONSE-4g, RESPONSE-4h, RESPONSE-4i, RESPONSE-4j, RESPONSE-4k, RESPONSE-4l, RESPONSE-5a, RESPONSE-5b області RESPONSE за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області RESPONSE рівень впровадження кожної з практик RESPONSE-1a, RESPONSE-2a, RESPONSE-2b, RESPONSE-3a, RESPONSE-3b, RESPONSE-3c, RESPONSE-4a, RESPONSE-4b, RESPONSE-4c, RESPONSE-1b, RESPONSE-1c, RESPONSE-2c, RESPONSE-2d, RESPONSE-2e, RESPONSE-2f, RESPONSE-2g, RESPONSE-3d, RESPONSE-3e, RESPONSE-3f, RESPONSE-3g, RESPONSE-3h, RESPONSE-4d, RESPONSE-4e, RESPONSE-4f, RESPONSE-4g, RESPONSE-4h, RESPONSE-4i, RESPONSE-4j, RESPONSE-4k, RESPONSE-1e RESPONSE-1f RESPONSE-2h RESPONSE-2i RESPONSE-3i RESPONSE-3j RESPONSE-3k RESPONSE-3l RESPONSE-4m RESPONSE-4n RESPONSE-4o RESPONSE-4p RESPONSE-5c RESPONSE-5d RESPONSE-5e RESPONSE-5f області RESPONSE за чотирибальною шкалою має бути LI або FI.

11. Визначення рівня MIL в області THIRD-PARTIES:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області THIRD-PARTIES рівень впровадження кожної з практик THIRD-PARTIES-1a, THIRD-PARTIES-1b, THIRD-PARTIES-2a, THIRD-PARTIES-2b області THIRD-PARTIES за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області THIRD-PARTIES рівень впровадження кожної з практик THIRD-PARTIES-1a, THIRD-PARTIES-1b, THIRD-PARTIES-2a, THIRD-PARTIES-2b, THIRD-PARTIES-1c, THIRD-PARTIES-1d, THIRD-PARTIES-1e, THIRD-PARTIES-2c, THIRD-PARTIES-2d, THIRD-PARTIES-2e, THIRD-PARTIES-2f, THIRD-PARTIES-2g, THIRD-PARTIES-3a, THIRD-PARTIES-3b області THIRD-PARTIES за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області THIRD-PARTIES рівень впровадження кожної з практик THIRD-PARTIES-1a, THIRD-PARTIES-1b, THIRD-PARTIES-2a, THIRD-PARTIES-2b, THIRD-PARTIES-1c THIRD-PARTIES-1d, THIRD-PARTIES-1e, THIRD-PARTIES-2c, THIRD-PARTIES-2d, THIRD-PARTIES-2e, THIRD-PARTIES-2f, THIRD-PARTIES-2g, THIRD-PARTIES-3a, THIRD-PARTIES-3b, THIRD-PARTIES-1f, THIRD-PARTIES-2h, THIRD-PARTIES-2i, THIRD-PARTIES-2j, THIRD-PARTIES-2k, THIRD-PARTIES-2l, THIRD-PARTIES-2m, THIRD-PARTIES-3c, THIRD-PARTIES-3d, THIRD-PARTIES-3e, THIRD-PARTIES-3f області THIRD-PARTIES за чотирибальною шкалою має бути LI або FI.

12. Визначення рівня MIL в області WORKFORCE:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області WORKFORCE рівень впровадження кожної з практик WORKFORCE-1a, WORKFORCE-1b, WORKFORCE-2a, WORKFORCE-3a, WORKFORCE-3b, WORKFORCE-4a, WORKFORCE-4b області WORKFORCE за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області WORKFORCE рівень впровадження кожної з практик WORKFORCE-1a, WORKFORCE-1b, WORKFORCE-2a, WORKFORCE-3a, WORKFORCE-3b, WORKFORCE-4a, WORKFORCE-4b, WORKFORCE-1c, WORKFORCE-1d, WORKFORCE-1e, WORKFORCE-2b, WORKFORCE-2c, WORKFORCE-2d, WORKFORCE-3c, WORKFORCE-3d, WORKFORCE-4c, WORKFORCE-4d, WORKFORCE-5a, WORKFORCE-5b області WORKFORCE за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області WORKFORCE рівень впровадження кожної з практик WORKFORCE-1a, WORKFORCE-1b, WORKFORCE-2a, WORKFORCE-3a, WORKFORCE-3b, WORKFORCE-4a, WORKFORCE-4b, WORKFORCE-1c, WORKFORCE-1d, WORKFORCE-1e, WORKFORCE-2b, WORKFORCE-2c, WORKFORCE-2d, WORKFORCE-3c, WORKFORCE-3d, WORKFORCE-4c, WORKFORCE-4d, WORKFORCE-5a, WORKFORCE-5b, WORKFORCE-1f WORKFORCE-1g WORKFORCE-2e WORKFORCE-2f, WORKFORCE-2g, WORKFORCE-3e, WORKFORCE-3f, WORKFORCE-4e, WORKFORCE-4f, WORKFORCE-5c, WORKFORCE-5d, WORKFORCE-5e, WORKFORCE-5f області WORKFORCE за чотирибальною шкалою має бути LI або FI.

13. Визначення рівня MIL в області ARCHITECTURE:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області ARCHITECTURE рівень впровадження кожної з практик ARCHITECTURE-1a, ARCHITECTURE-2a, ARCHITECTURE-2b, ARCHITECTURE-3a, ARCHITECTURE-3b, ARCHITECTURE-5a області ARCHITECTURE за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області ARCHITECTURE рівень впровадження кожної з практик ARCHITECTURE-1a, ARCHITECTURE-2a, ARCHITECTURE-2b, ARCHITECTURE-3a, ARCHITECTURE-3b, ARCHITECTURE-5a, ARCHITECTURE-1b, ARCHITECTURE-1c, ARCHITECTURE-1d, ARCHITECTURE-1e, ARCHITECTURE-1f, ARCHITECTURE-1g, ARCHITECTURE-2c, ARCHITECTURE-2d, ARCHITECTURE-2e, ARCHITECTURE-2f, ARCHITECTURE-2g, ARCHITECTURE-3c, ARCHITECTURE-3d, ARCHITECTURE-3e, ARCHITECTURE-3f, ARCHITECTURE-3g, ARCHITECTURE-3h, ARCHITECTURE-3i, ARCHITECTURE-3j, ARCHITECTURE-3k, ARCHITECTURE-4a, ARCHITECTURE-4b, ARCHITECTURE-4c, ARCHITECTURE-5b, ARCHITECTURE-5c, ARCHITECTURE-5d, ARCHITECTURE-5e, ARCHITECTURE-5f, ARCHITECTURE-6a, ARCHITECTURE-6b області ARCHITECTURE за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області ARCHITECTURE рівень впровадження кожної з практик ARCHITECTURE-1a, ARCHITECTURE-2a, ARCHITECTURE-2b, ARCHITECTURE-3a, ARCHITECTURE-3b, ARCHITECTURE-5a, ARCHITECTURE-1b, ARCHITECTURE-1c, ARCHITECTURE-1d, ARCHITECTURE-1e, ARCHITECTURE-1f, ARCHITECTURE-1g, ARCHITECTURE-2c, ARCHITECTURE-2d, ARCHITECTURE-2e, ARCHITECTURE-2f, ARCHITECTURE-2g, ARCHITECTURE-3c, ARCHITECTURE-3d, ARCHITECTURE-3e, ARCHITECTURE-3f, ARCHITECTURE-3g, ARCHITECTURE-3h, ARCHITECTURE-3i, ARCHITECTURE-3j, ARCHITECTURE-3k, ARCHITECTURE-4a, ARCHITECTURE-4b, ARCHITECTURE-4c, ARCHITECTURE-5b, ARCHITECTURE-5c, ARCHITECTURE-5d, ARCHITECTURE-5e, ARCHITECTURE-5f, ARCHITECTURE-6a, ARCHITECTURE-6b, ARCHITECTURE-1h, ARCHITECTURE-1i, ARCHITECTURE-1j, ARCHITECTURE-1k, ARCHITECTURE-2h, ARCHITECTURE-2i, ARCHITECTURE-2j, ARCHITECTURE-2k, ARCHITECTURE-2l, ARCHITECTURE-3l, ARCHITECTURE-3m, ARCHITECTURE-4d, ARCHITECTURE-4e, ARCHITECTURE-4f, ARCHITECTURE-4g, ARCHITECTURE-4h, ARCHITECTURE-5g, ARCHITECTURE-5h, ARCHITECTURE-6c, ARCHITECTURE-6d, ARCHITECTURE-6e, ARCHITECTURE-6f області ARCHITECTURE за чотирибальною шкалою має бути LI або FI.

14. Визначення рівня MIL в області PROGRAM:

1) для досягнення індикатора зрілості MIL1 моделі С2М2 в області PROGRAM рівень впровадження кожної з практик PROGRAM-1a, PROGRAM-2a області PROGRAM за чотирибальною шкалою має бути LI або FI;

2) для досягнення індикатора зрілості MIL2 моделі С2М2 в області PROGRAM рівень впровадження кожної з практик PROGRAM-1a, PROGRAM-2a, PROGRAM-1b, PROGRAM-1c, PROGRAM-1d, PROGRAM-1e, PROGRAM-1f, PROGRAM-1g, PROGRAM-2b, PROGRAM-2c, PROGRAM-2d, PROGRAM-2e, PROGRAM-2f, PROGRAM-3a, PROGRAM-3b області PROGRAM за чотирибальною шкалою має бути LI або FI;

3) для досягнення індикатора зрілості MIL3 моделі С2М2 в області PROGRAM рівень впровадження кожної з практик PROGRAM-1a, PROGRAM-2a, PROGRAM-1b, PROGRAM-1c, PROGRAM-1d, PROGRAM-1e, PROGRAM-1f, PROGRAM-1g, PROGRAM-2b, PROGRAM-2c, PROGRAM-2d, PROGRAM-2e, PROGRAM-2f, PROGRAM-3a, PROGRAM-3b, PROGRAM-1h, PROGRAM-2g, PROGRAM-2h, PROGRAM-2i, PROGRAM-2j, PROGRAM-3c, PROGRAM-3d, PROGRAM-3e, PROGRAM-3f області PROGRAM за чотирибальною шкалою має бути LI або FI.

ЗАТВЕРДЖЕНО

Наказ Міністерства

енергетики України

05 серпня 2024 року № 285

{Гриф затвердження в редакції Наказу Міністерства енергетики № 317 від 26.08.2024}

ПРАКТИКИ

кібербезпеки електричних мереж

№ з/п

Ідентифікатор практики

MIL

Опис практики

Рівень впровадження

NI

PI

LI

FI

1

2

3

4

5

6

7

8

Область: Управління активами, змінами та конфігурацією (ASSET)

Ціль 1. Управління інвентаризацією IT-активів та OT-активів

1

ASSET-1а

1

ІТ-активи та ОТ-активи, важливі для виконання функції, інвентаризуються, принаймні в певному порядку.

2

ASSET-1b

2

Інвентаризація IT-активів та OT-активів включає активи в межах функції, які можуть бути використані для досягнення мети загрози.

3

ASSET-1c

2

Інвентаризовані ІТ-активи та ОТ-активи встановлюються за пріоритетністю на основі визначених критеріїв, які включають важливість для виконання функції.

4

ASSET-1d

2

Критерії визначення пріоритетів включають розгляд ступеня, до якого актив у межах функції може бути використаний для досягнення цілі загрози.

5

ASSET-1e

2

Інвентаризація ІТ-активів та ОТ-активів містить атрибути, які підтримують дії з кібербезпеки (наприклад, розташування, пріоритет активів, власник активів, операційна система та версії прошивки).

6

ASSET-1f

3

Інвентаризацію IT-активів та OT-активів завершено (інвентаризація включає всі активи в межах функції).

7

ASSET-1g

3

Інвентаризація ІТ-активів та ОТ-активів є актуальною, тобто періодично оновлюється відповідно до визначених тригерів, наприклад системних змін.

8

ASSET-1h

3

Дані знищуються або безпечно видаляються з IT-активів та OT-активів перед перерозподілом і в кінці строку служби.

Ціль 2. Управління інвентаризацією інформаційних активів

9

ASSET-2а

1

Інформаційні активи, які є важливими для виконання функції (наприклад, задані значення SCADA та інформація про клієнтів), інвентаризуються.

10

ASSET-2b

2

Інвентаризація інформаційних активів включає інформаційні активи в межах функції, які можуть бути використані для досягнення мети загрози.

11

ASSET-2c

2

Інвентаризовані інформаційні активи класифікуються на основі визначених критеріїв, які враховують важливість для виконання функції.

12

ASSET-2d

2

Критерії класифікації враховують розгляд ступеня, до якого інформаційний актив у межах функції може бути використаний для досягнення мети загрози.

13

ASSET-2e

2

Інвентаризація інформаційних активів включає атрибути, які підтримують дії з кібербезпеки (наприклад, категорія активів, місця та частоту резервного копіювання, місця зберігання, власник активу, вимоги до кібербезпеки).

14

ASSET-2f

2

Інвентаризація інформаційних активів завершена (інвентаризація включає всі активи в межах функції).

15

ASSET-2g

2

Інвентаризація інформаційних активів є актуальною, тобто вона оновлюється періодично відповідно до визначених тригерів, таких як системні зміни.

16

ASSET-2h

2

Інформаційні активи підлягають санітарній обробці або знищенню наприкінці терміну служби за допомогою методів, які відповідають вимогам кібербезпеки.

Ціль 3. Управління конфігураціями IT-активів та OT-активів

17

ASSET-3а

1

Базові параметри конфігурації встановлюються.

18

ASSET-3b

2

Базові параметри конфігурації використовуються для налаштування активів під час розгортання та відновлення.

19

ASSET-3c

2

Базові параметри конфігурації включають відповідні вимоги архітектури кібербезпеки (практика ARCHITECTURE-1f).

20

ASSET-3d

2

Базові параметри конфігурації періодично переглядаються та оновлюються відповідно до визначених тригерів, таких як системні зміни та зміни в архітектурі кібербезпеки.

21

ASSET-3e

3

Конфігурації активів перевіряються на узгодженість із базовими протягом усього життєвого циклу активів.

Ціль 4. Управління змінами в IT-активах та OT-активах

22

ASSET-4а

1

Зміни в активах оцінюються та затверджуються перед впровадженням, принаймні в окремих випадках.

23

ASSET-4b

1

Зміни в активах документуються.

24

ASSET-4c

2

Вимоги до документації щодо змін в активах встановлено та підтримуються.

25

ASSET-4d

2

Зміни до ресурсів з вищим пріоритетом тестуються перед розгортанням.

26

ASSET-4e

2

Зміни та оновлення впроваджуються безпечним способом.

27

ASSET-4f

2

Можливість скасовувати зміни встановлюється та підтримується для активів, які важливі для виконання функції.

28

ASSET-4g

2

Практики управління змінами стосуються повного життєвого циклу активів (наприклад, придбання, розгортання, експлуатації та виведення з експлуатації).

29

ASSET-4h

3

Перед розгортанням зміни в активах з вищим пріоритетом перевіряються на вплив на кібербезпеку.

30

ASSET-4i

3

Журнали змін містять інформацію про зміни, які впливають на вимоги кібербезпеки активів.

Ціль 5. Управління областю ASSET

31

ASSET-5а

2

Задокументовані процедури встановлюються, дотримуються та підтримуються для діяльності в області ASSET.

32

ASSET-5b

2

Надаються відповідні ресурси (люди, фінансування та інструменти) для підтримки діяльності в області ASSET.

33

ASSET-5c

3

Актуальні політики або інші організаційні директиви визначають вимоги до діяльності в області ASSET.

34

ASSET-5d

3

Персонал, який виконує діяльність в області ASSET, забезпечує виконання покладених на нього обов'язків.

35

ASSET-5e

3

Персонал, який виконує діяльність в області ASSET, має навички та знання, необхідні для виконання покладених на них обов'язків

36

ASSET-5f

3

Ефективність діяльності в області ASSET оцінюється та відстежується.

Область: Управління загрозами та вразливостями (THREAT)

Ціль 1. Зменшення вразливостей кібербезпеки

37

THREAT-1a

1

Визначаються джерела інформації для підтримки виявлення вразливості кібербезпеки, принаймні в окремих випадках.

38

THREAT-1b

1

Інформація про вразливість кібербезпеки збирається та інтерпретується для функції, принаймні в окремих випадках.

39

THREAT-1c

1

Оцінка вразливості кібербезпеки виконується.

40

THREAT-1d

1

Вразливості кібербезпеки, які мають відношення до виконання функції, пом'якшуються.

41

THREAT-1e

2

Відстежуються джерела інформації про вразливості кібербезпеки, які стосуються активів вищого пріоритету.

42

THREAT-1f

2

Оцінка вразливості кібербезпеки виконується періодично та відповідно до визначених тригерів, таких як системні зміни та зовнішні події.

43

THREAT-1g

2

Виявлені вразливості кібербезпеки аналізуються та встановлюються за пріоритетністю, а також усуваються відповідним чином.

44

THREAT-1h

2

Операційний вплив на функцію оцінюється перед розгортанням виправлень або інших заходів щодо усунення вразливостей.

45

THREAT-1i

2

Інформація про виявлені вразливості кібербезпеки передається зацікавленим сторонам, визначеним організацією.

46

THREAT-1j

3

Відстежуються джерела інформації про вразливості кібербезпеки, які спільно стосуються всіх ІТ-активів та OT-активів у межах функції.

47

THREAT-1k

3

Оцінка вразливості кібербезпеки виконується сторонами, які не залежать від операцій цієї функції.

48

THREAT-1l

3

Діяльність з моніторингу вразливостей включає перевірку, яка підтверджує, що дії, вжиті у відповідь на вразливості кібербезпеки, були ефективними.

49

THREAT-1m

3

Встановлюються та підтримуються механізми для отримання та реагування на звіти від громадськості чи зовнішніх сторін про потенційну вразливість, пов'язану з ІТ-активами та OT-активами організації, такими як загальнодоступні вебсайти або мобільні додатки.

Ціль 2. Реагування на загрози та обмін інформацією про загрози

50

THREAT-2a

1

Внутрішні та зовнішні джерела інформації для підтримки діяльності з управління загрозами визначаються.

51

THREAT-2b

1

Інформація про загрози кібербезпеці збирається та інтерпретується.

52

THREAT-2c

1

Цілі щодо загроз для функції визначаються.

53

THREAT-2d

1

Загрози, які мають відношення до виконання функції, розглядаються.

54

THREAT-2e

2

Встановлюється профіль загрози для функції, який включає цілі загрози та додаткові характеристики загрози (наприклад, типи суб'єктів загрози, мотиви, можливості та цілі).

55

THREAT-2f

2

Джерела інформації про загрози, які спільно стосуються всіх компонентів профілю загроз, визначаються за пріоритетністю та контролюються.

56

THREAT-2g

2

Виявлені загрози аналізуються та встановлюються за пріоритетністю, а потім розглядаються відповідно.

57

THREAT-2h

2

Обмін інформацією про загрози здійснюється із зацікавленими сторонами (наприклад, керівниками, оперативним персоналом, урядом, пов'язаними організаціями, постачальниками, галузевими організаціями, регуляторами, центрами обміну інформацією та аналізу).

58

THREAT-2i

3

Профіль загроз для функції оновлюється періодично та відповідно до визначених тригерів, таких як системні зміни та зовнішні події.

59

THREAT-2j

3

Моніторинг загроз і заходи реагування на них використовують і запускають попередньо визначені стани роботи (практика SITUATION-3g).

60

THREAT-2k

3

Захищені методи майже в реальному часі використовуються для отримання та обміну інформацією про загрози, щоб забезпечити швидкий аналіз і дії.

Ціль 3. Управління областю THREAT

61

THREAT-3a

2

Задокументовані процедури встановлюються, дотримуються та підтримуються для діяльності в області THREAT.

62

THREAT-3b

2

Надаються відповідні ресурси (люди, фінансування та інструменти) для підтримки діяльності в області THREAT.

63

THREAT-3c

3

Актуальні політики або інші організаційні директиви визначають вимоги до діяльності в області THREAT.

64

THREAT-3d

3

Персонал, який виконує діяльність в області THREAT, забезпечує виконання покладених на нього обов'язків.

65

THREAT-3e

3

Персонал, який виконує діяльність в області THREAT, має навички та знання, необхідні для виконання покладених на нього обов'язків.

66

THREAT-3f

3

Оцінюється та відстежується ефективність діяльності в області THREAT.

Область: Управління ризиками (RISK)

Ціль 1. Створення та підтримка стратегії та програми управління кіберризиками

67

RISK-1a

1

Організація має стратегію управління кіберризиками, яка може бути розробленою та керованою в індивідуальному порядку.

68

RISK-1b

2

Стратегія управління кіберризиками створюється та підтримується відповідно до стратегії програми кібербезпеки організації (практика PROGRAM-1b) та архітектури підприємства.

69

RISK-1c

2

Програма управління кіберризиками створена та підтримується для виконання заходів з управління кіберризиками відповідно до стратегії управління кіберризиками.

70

RISK-1d

2

Інформація про діяльність в області RISK передається відповідним зацікавленим сторонам.

71

RISK-1e

2

Встановлено та підтримується керування програмою управління кіберризиками.

72

RISK-1f

2

Фінансова підтримка вищого керівництва програми управління кіберризиками є помітною та активною.