Об основных принципах обеспечения кибербезопасности Украины
Статья 6. Объекты критической инфраструктуры

Об основных принципах обеспечения кибербезопасности Украины
Статья 6. Объекты критической инфраструктуры

1. К объектам критической инфраструктуры могут быть отнесены предприятия, учреждения и организации независимо от формы собственности, которые:

1) осуществляют деятельность и предоставляющих услуги в области энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторах

2) предоставляют услуги в сферах жизнеобеспечения населения, в частности в сферах централизованного водоснабжения, водоотведения, снабжения электрической энергии и газа, производства продуктов питания, сельского хозяйства, здравоохранения,

3) являются коммунальными, аварийными и спасательными службами, службами экстренной помощи населению;

4) включены в перечень предприятий, имеющих стратегическое значение для экономики и безопасности государства;

5) являются объектами потенциально опасных технологий и производств.

2. Критерии и порядок отнесения объектов к объектам критической инфраструктуры, перечень таких объектов, общие требования к их киберзащиты, в том числе по применению индикаторов киберугроз, и требования к проведению независимого аудита информационной безопасности утверждаются Кабинетом Министров Украины, а в банковской системе Украины - Национальным банком Украины.

3. Требования и порядок проведения независимого аудита информационной безопасности на объектах критической инфраструктуры устанавливаются соответствующими нормативно-правовыми актами по аудиту информационной безопасности, утверждаются Кабинетом Министров Украины.

Разработка нормативно-правовых актов по независимому аудиту информационной безопасности на объектах критической инфраструктуры осуществляется на основе международных стандартов, стандартов Европейского Союза и НАТО с обязательным привлечением представителей основных субъектов национальной системы кибербезопасности, научных учреждений, независимых аудиторов и экспертов в области кибербезопасности, общественных организаций.

4. Ответственность за обеспечение киберзащиты коммуникационных и технологических систем объектов критической инфраструктуры, защиты технологической информации в соответствии с требованиями законодательства, за безотлагательное информирование правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA об инцидентах кибербезопасности, за организацию проведения независимого аудита информационной безопасности на таких объектах возлагается на владельцев и / или руководителей предприятий, учреждений и организаций, отнесенных к объектам критической инфраструктурой ры.

5. Обмен информацией об инцидентах кибербезопасности, содержащий персональные данные, осуществляется с соблюдением требований Закона Украины "О защите персональных данных".