Законодавство
Вимоги до управління ризиками безпеки критичної інфраструктури I категорії
Набрала чинності постанова Кабінету Міністрів України від 1 квітня 2025 р. № 367, якою затверджено вимоги, що встановлюються до управління ризиками безпеки на об’єктах критичної інфраструктури I категорії критичності, що здійснюється оператором критичної інфраструктури.
Зокрема передбачено, що управління ризиками безпеки на об’єктах критичної інфраструктури I категорії критичності є діяльністю, спрямованою на запобігання виникненню інциденту та мінімізацію можливих наслідків у разі його настання.
Управління ризиками безпеки здійснюється із застосуванням національних та міжнародних стандартів управління ризиками безпеки, у тому числі методів, наведених у ДСТУ IEC/ISO 31010:2013 «Керування ризиками. Методи загального оцінювання ризиків», «Контроль безпеки та конфіденційності для державних інформаційних систем і організацій» (NIST Risk Management Framework SP 800-53).
Оператор критичної інфраструктури здійснює управління ризиками безпеки шляхом створення системи управління ризиками безпеки.
Визначено й принципи, яким повинна відповідати система управління ризиками безпеки.
Читайте також: За самовільне підключення до електромережі вартість необлікованої електроенергії стягують на користь постачальника
Основними ризиками безпеки, зокрема, є:
1) матеріальні ризики – ризики настання інциденту як для об’єкта критичної інфраструктури, так і для критичних елементів об’єкта критичної інфраструктури, що можуть призвести до заподіяння їм шкоди, а також шкоди життю та здоров’ю людей;
2) ризики кібербезпеки та захисту інформації – ризики щодо забезпечення безпеки, функціональності, безперервності роботи, відновлюваності, цілісності і стійкості інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, електронних комунікаційних мереж;
3) ризики людського фактору – ризики порушення штатного режиму функціонування об’єкта критичної інфраструктури (у тому числі зриву та/або блокування роботи, та/або несанкціонованого управління його ресурсами) та безпосередньо пов’язані з працівниками об’єкта критичної інфраструктури, іншими особами, які перебувають на об’єкті, що можуть призвести до виникнення інциденту/порушення стану захищеності критичної інфраструктури та відповідно виконання життєво важливих функцій та/або надання послуг об’єктом критичної інфраструктури;
4) ризики порушення взаємозв’язків – ризики зриву, злочинного або ненавмисного порушення штатного режиму функціонування об’єкта критичної інфраструктури, що ставлять під загрозу його захищеність, виконання життєво важливих функцій та/або надання життєво важливих послуг, надання об’єктом критичної інфраструктури основних послуг іншим об’єктам критичної інфраструктури/отримання таких послуг від інших об’єктів критичної інфраструктури, що вплине на функціонування інших об’єктів критичної інфраструктури, призведе до порушення стійкості критичної інфраструктури;
5) ризики, пов’язані з процесами, – ризики щодо забезпечення безпеки, функціональності, безперервності роботи, відновлюваності, цілісності і стійкості об’єктів критичної інформаційної інфраструктури, спричинені неоптимальною організацією робочих процесів.
Читайте також: Проведення судового засідання під час повітряної тривоги за відсутності сторін є підставою для скасування судового рішення
Оператор критичної інфраструктури визначає ризики безпеки для об’єкта критичної інфраструктури з обов’язковим урахуванням основних ризиків безпеки, визначених вище, а також інших ризиків, які можуть вплинути на забезпечення безпеки, функціональності, безперервності роботи, відновлюваності, цілісності і стійкості критичної інфраструктури.
Для управління ризиками безпеки оператор критичної інфраструктури:
1) забезпечує ресурсами, необхідними для організації управління ризиками безпеки, створений окремий структурний підрозділ або визначену особу, відповідальну за організацію захисту критичної інфраструктури та забезпечення постійного зв’язку з відповідними суб’єктами національної системи захисту критичної інфраструктури;
2) розробляє та затверджує документи (правила, політики тощо) щодо управління ризиками безпеки, що передбачають:
– організацію управління ризиками безпеки;
– оцінювання ризиків безпеки;
– запобігання ризикам (мінімізація ризиків) безпеки;
– моніторинг і контроль за ризиками безпеки та перегляд їх актуальності;
– обмін інформацією та взаємодію із суб’єктами національної системи захисту критичної інфраструктури;
3) забезпечує:
– визначення необхідного для сталого функціонування об’єкта критичної інфраструктури персоналу (працівників);
– складення профілю ризиків безпеки об’єкта критичної інфраструктури;
– створення належних умов праці на об’єкті критичної інфраструктури, зокрема для тривалого перебування в робочих приміщеннях;
– визначення засобів зв’язку для оповіщення та інформування персоналу (працівників);
– розроблення об’єктового плану заходів щодо забезпечення безпеки та стійкості критичної інфраструктури;
– розроблення проектних загроз об’єктового рівня.
При цьому дія цих вимог не поширюється на банки, інших осіб, які провадять діяльність на ринках фінансових послуг, платіжні організації, учасників платіжних систем, операторів послуг платіжної інфраструктури, державне регулювання, нагляд за діяльністю яких здійснює Національний банк.
Також зверніть увагу на Правові позиції Верховного Суду щодо кримінальних правопорушень, пов’язаних з війною, та збірник Воєнний стан. Всі нормативні матеріали, алгоритми дій, роз’яснення, корисні ресурси.
