ID Муаллиф Муҳокамага чиқариш санаси Якунланиш санаси Таклифлар сони
6763 Государственная инспекция по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан 22/08/2019 06/09/2019 22

Муҳокама якунланди

Ўзбекистон Республикаси Вазирлар Маҳкамасининг Қарори
О мерах по обеспечению кибербезопасности критической информационной инфраструктуры Республики Узбекистан
ID-6763

ПРОЕКТ

ПОСТАНОВЛЕНИЕ

КАБИНЕТА МИНИСТРОВ РЕСПУБЛИКИ УЗБЕКИСТАН

О мерах по обеспечению кибербезопасности критической информационной инфраструктуры Республики Узбекистан

В целях обеспечения кибербезопасности критической информационной инфраструктуры Республики Узбекистан для её устойчивого функционирования

в условиях реализации угроз кибербезопасности Кабинет Министров постановляет:

1. Утвердить:

Положение по обеспечению кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан согласно приложению №1;

Положение о государственном реестре объектов критической информационной инфраструктуры Республики Узбекистан согласно приложению №2;

Методику определения объектов критической информационной инфраструктуры Республики Узбекистан согласно приложению №3.

2. Согласиться с предложением Службы государственной безопасности по определению Государственной инспекции по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан уполномоченным органом в области кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан.

3. Службы государственной безопасности совместно с заинтересованными министерствами и ведомствами в двухмесячный срок внести в Кабинет Министров Республики Узбекистан предложения об изменениях и дополнениях в законодательство, вытекающих из настоящего постановления.

4. Контроль за исполнением настоящего постановления возложить на Секретариат по вопросам развития телекоммуникаций, IT-технологий и инновационной деятельности, обеспечения информационной безопасности Кабинета Министров Республики Узбекистан.

 

 

     Премьер-министр

Республики Узбекистан                                                          А. Арипов

 

Приложение № 1

к Постановлению Кабинета Министров Республики Узбекистан
№________ от
«____» _______  2019 г.

 

 

ПОЛОЖЕНИЕ

по обеспечению кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан

 

I. Общие положения

 

1. Положение определяет организационные и правовые основы обеспечения кибербезопасности (защиты) объектов критической информационной инфраструктуры Республики Узбекистан, полномочия государственного органа в области кибербезопасности объектов критической информационной инфраструктуры, порядок взаимодействия, права, обязанности и ответственность субъектов критической информационной инфраструктуры.

2. Государственная инспекция по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан является Уполномоченным органом в области кибербезопасности объектов критической информационной инфраструктуры, в которых не ведется обработка сведений отнесенных к государственным секретам.

Требования в области кибербезопасности объектов критической информационной инфраструктуры, в которых обрабатываются государственные секреты Республики Узбекистан, устанавливаются и регулируются Службой государственной безопасности Республики Узбекистан.

3. В настоящем Положении применяются следующие основные понятия:

кибератака на объект критической информационной инфраструктуры – целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;

кибербезопасность критической информационной инфраструктуры - состояние защищенности объекта критической информационной инфраструктуры, обеспечивающее его устойчивое функционирование, нарушение которого может привести к инциденту кибербезопасности на объекте критической информационной инфраструктуры;

инцидент кибербезопасности – любое событие, которое приводит или может привести к нарушению состояния защищенности критической информационной инфраструктуры;

инцидент кибербезопасности на объекте критической информационной инфраструктуры - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры и (или) нарушения безопасности обрабатываемой таким объектом информации;

объект критической информационной инфраструктуры – объекты информатизации, в том числе автоматизированные системы различного назначения, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области энергетики, горнодобывающей, металлургической и химической промышленности;

субъекты критической информационной инфраструктуры - органы государственной власти и управления, объединения, предприятия, учреждения и организации, юридические лица и (или) индивидуальные предприниматели Республики Узбекистан, которым на праве собственности, аренды или на ином законном основании принадлежат объекты критической информационной инфраструктуры, а также юридические лица и (или) индивидуальные предприниматели Республики Узбекистан, обеспечивающие взаимодействие указанных объектов критической информационной инфраструктуры.

4. Принципами обеспечения кибербезопасности объектов критической информационной инфраструктуры являются:

1) законность;

2) непрерывность и комплексность обеспечения кибербезопасности объектов критической информационной инфраструктуры;

3) приоритет предотвращения кибератак.

5. Основными направлениями обеспечения кибербезопасности (защиты) объектов критической информационной инфраструктуры Республики Узбекистан являются:

нормативно-правовое регулирование деятельности по обеспечению кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан;

реализация государственной политики в области кибербезопасности объектов критической информационной инфраструктуры;

установление требований по обеспечению кибербезопасности объектов критической информационной инфраструктуры, организация их технической защищенности на всех этапах жизненного цикла - создании, вводе в эксплуатацию, функционировании и модернизации;

проведение мероприятий по оценке защищенности объектов критической информационной инфраструктуры Республики Узбекистан, выявлению угроз и уязвимых мест в безопасности объектов критической информационной инфраструктуры Республики Узбекистан;

обеспечение оперативного взаимодействия между субъектами критической информационной инфраструктуры в процессе предупреждения, предотвращения, ликвидации последствий кибератак и проведения расследований по инцидентам кибербезопасности;

организационное, материально-техническое и кадровое обеспечение кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан;

разработка и подготовка к использованию планов пресечения попыток
или непосредственной реализации кибератак на объекты критической информационной инфраструктуры Республики Узбекистан и планов восстановления их устойчивого функционирования на случай совершения кибератак.

6. Структуру национальной системы обеспечения кибербезопасности (защиты) объектов критической информационной инфраструктуры образуют:

уполномоченный орган в области кибербезопасности объектов критической информационной инфраструктуры (далее – Уполномоченный орган);

субъекты критической информационной инфраструктуры.

7. Отношения в области обеспечения кибербезопасности (защиты) объектов критической информационной инфраструктуры регулируются в соответствии с Конституцией и законами Республики Узбекистан, постановлениями и распоряжениями Президента Республики Узбекистан, постановлениями и распоряжениями Кабинета Министров Республики Узбекистан, общепризнанными принципами и нормами международного права, настоящим Положением и иными принимаемыми в соответствии с ним нормативно-правовыми актами.

II. Функции уполномоченного органа

 

7. Уполномоченный орган осуществляет следующие функции:

1) вносит предложения о совершенствовании нормативно-правового регулирования в области обеспечения кибербезопасности критической информационной инфраструктуры в Службу государственной безопасности Республики Узбекистан;

2) координирует деятельность субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий кибератак и реагирования на инциденты кибербезопасности на объектах критической информационной инфраструктуры;

3) формирует и ведет государственный реестр объектов критической информационной инфраструктуры;

4) утверждает форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий;

5) устанавливает в своей компетенции требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры, а также требования к созданию систем кибербезопасности объектов и обеспечению их функционирования (при необходимости указанные требования согласуются с государственными органами, если объекты критической информационной инфраструктуры находятся в сфере государственного регулирования этих органов);

6) осуществляет в соответствии с законодательством аттестацию объектов критической информационной инфраструктуры;

7) организует и проводит проверки объектов кибербезопасности критической информационной инфраструктуры по соблюдению требований информационной безопасности. По результатам проверок выдает предписания об устранении выявленных нарушений в части соблюдения требований по обеспечению кибербезопасности объекта критической информационной инфраструктуры;

8) утверждает порядок информирования Уполномоченного органа об инцидентах кибербезопасности, реагирования на них, принятия мер по ликвидации последствий кибератак, проведенных в отношении объектов критической информационной инфраструктуры (при необходимости указанный порядок согласуется с государственными органами, если объекты критической информационной инфраструктуры находятся в сфере государственного регулирования этих органов);

9) в пределах своей компетенции определяет порядок и организует взаимодействие с правоохранительными органами и субъектами критической информационной инфраструктуры по расследованию инцидентов кибербезопасности на объектах критической информационной инфраструктуры;

10) утверждает порядок обмена информацией об инцидентах кибербезопасности между субъектами критической информационной инфраструктуры, правоохранительными органами и Уполномоченным органом, а также с субъектами критической информационной инфраструктуры и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на инциденты кибербезопасности;

11) определяет порядок получения субъектами критической информационной инфраструктуры информации о средствах и способах проведения кибератак и о методах их предупреждения и обнаружения;

12) координирует внедрение на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения, предупреждения и ликвидации последствий кибератак и реагирования на инциденты кибербезопасности;

13) устанавливает требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий кибератак и реагирования на инциденты кибербезопасности;

14) по согласованию с разработчиком определяет порядок установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий кибератак и реагирования на инциденты кибербезопасности (при необходимости указанный порядок согласуется с государственными органами, если объекты критической информационной инфраструктуры находятся в сфере государственного регулирования этих органов);

15) осуществляет выявление, сбор и анализ сведений об уязвимых местах и возможных угрозах кибербезопасности на объекты критической информационной инфраструктуры Республики Узбекистан;

16) совместно с субъектами критической информационной инфраструктуры разрабатывает планы пресечения попыток или непосредственной реализации кибератак на объекты критической информационной инфраструктуры Республики Узбекистан и планы восстановления устойчивого функционирования объектов на случай возникновения инцидента кибербезопасности, организовывает проведение плановых учений по ним.

8. Уполномоченный орган в пределах своей компетенции принимает участие в международном сотрудничестве в области обеспечения кибербезопасности критической информационной инфраструктуры, участвует в работе международных организаций, совещаниях и конференциях по вопросам обеспечения кибербезопасности критической информационной инфраструктуры, а также в соответствии с международными договорами осуществляет обмен информацией на взаимной основе с органами иностранных государств и международными организациями о возможных угрозах и выявленных инцидентах кибербезопасности.

 

III. Права и обязанности субъектов критической информационной инфраструктуры

 

9. Субъекты критической информационной инфраструктуры Республики Узбекистан имеют право:

1) вносить в Уполномоченный орган предложения о включении объектов, принадлежащих им на праве собственности, аренды или ином законном основании, в государственный реестр объектов критической информационной инфраструктуры Республики Узбекистан;

2) получать от Уполномоченного органа информацию, необходимую для обеспечения кибербезопасности объектов критической информационной инфраструктуры, в том числе об угрозах кибербезопасности обрабатываемой такими объектами информации и уязвимостях программного обеспечения, оборудования и технологий, используемых на таких объектах;

3) в порядке, установленном Уполномоченным органом, получать от него информацию о средствах и способах проведения кибератак, а также о методах их предупреждения и обнаружения;

4) по согласованию с Уполномоченным органом за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий кибератак и реагирования на инциденты кибербезопасности;

5) разрабатывать и осуществлять мероприятия по обеспечению кибербезопасности объекта критической информационной инфраструктуры.

10. Субъекты критической информационной инфраструктуры обязаны:

1) незамедлительно информировать об инцидентах кибербезопасности Уполномоченный орган, а также иные органы в соответствии с порядком, установленным Уполномоченным органом;

2) оказывать содействие должностным лицам Уполномоченного органа в обнаружении, предупреждении и ликвидации последствий кибератак, установлении причин и условий возникновения инцидентов кибербезопасности;

3) в случае установки на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения, предупреждения и ликвидации последствий кибератак и реагирования на инциденты кибербезопасности, обеспечивать выполнение порядка установки и эксплуатации таких средств, их сохранность;

4) соблюдать требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры, установленные Уполномоченным органом;

5) выполнять предписания должностных лиц Уполномоченного органа об устранении нарушений в части соблюдения требований по обеспечению кибербезопасности объекта критической информационной инфраструктуры, выданные этими лицами в соответствии со своей компетенцией;

6) реагировать на инциденты кибербезопасности в порядке, утвержденном Уполномоченным органом, принимать меры по ликвидации последствий кибератак, проведенных в отношении объектов критической информационной инфраструктуры, а также участвовать в проведении расследований инцидентов кибербезоасности;

7) обеспечивать беспрепятственный доступ должностным лицам Уполномоченного органа к объектам критической информационной инфраструктуры при реализации этими лицами полномочий, предусмотренных настоящим Положением;

8) разрабатывать по согласованию с Уполномоченным органом планы пресечения попыток или непосредственной реализации кибератак на объекты критической информационной инфраструктуры Республики Узбекистан и планы восстановления устойчивого функционирования объектов критической информационной инфраструктуры Республики Узбекистан на случай совершения кибератак, а также участвовать в плановых учениях, организуемых Уполномоченным органом;

9) информировать Уполномоченный орган в письменном виде об изменении сведений об объекте, включенных в реестр объектов критической информационной инфраструктуры Республики Узбекистан.

IV. Учет и категорирование объектов критической информационной инфраструктуры Республики Узбекистан

 

11. В целях учета объектов критической информационной инфраструктуры Уполномоченный орган ведет реестр объектов критической информационной инфраструктуры в установленном порядке.

12. Объекты включаются в реестр объектов критической информационной инфраструктуры Уполномоченным органом на основании установленных критериев и методики определения объектов критической информационной инфраструктуры.

13. Объекты, включенные в реестр объектов критической информационной инфраструктуры, подлежат категорированию в установленном порядке и в соответствии с утвержденными критериями значимости и показателями их значений.

14. Категорирование объектов критической информационной инфраструктуры производится в целях установления соответствующих требований обеспечения их кибербезопасности.

15. Категорирование объектов критической информационной инфраструктуры осуществляется, исходя из следующих критериев значимости:

1) социальная значимость, выражающаяся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения
или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей телекоммуникаций, а также максимальном времени отсутствия доступа к государственной услуге
для получателей такой услуги;

2) политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Республики Узбекистан в вопросах внутренней и внешней политики;

3) экономическая значимость, выражающаяся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджету Республики Узбекистан;

4) экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду;

5) значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

16. Устанавливаются три категории значимости объектов критической информационной инфраструктуры: первая, вторая и третья. Низкой категорией значимости является третья, а высокой – первая.

17. Методика определения объектов критической информационной инфраструктуры Республики Узбекистан, включающая показатели критериев значимости и их значения для категорирования объектов критической информационной инфраструктуры, разрабатывается и утверждается Уполномоченным органом.

V. Система кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан

 

18. В целях обеспечения кибербезопасности объекта критической информационной инфраструктуры субъект критической информационной инфраструктуры создает систему кибербезопасности объекта и обеспечивает её функционирование.

19. Основными задачами системы кибербезопасности объекта критической информационной инфраструктуры являются:

1) предотвращение неправомерного доступа, уничтожения информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении информации, обрабатываемой объектом критической информационной инфраструктуры;

2) недопущение воздействия на аппаратные, программные и аппаратно-программные средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование объекта критической информационной инфраструктуры;

3) восстановление функционирования объекта критической информационной инфраструктуры, обеспеченное за счет резервирования систем жизнеобеспечения, сетей телекоммуникации, и информационных ресурсов.

 

VI. Требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры Республики Узбекистан

 

20. Требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры, устанавливаемые Уполномоченным органом, дифференцируются в зависимости от категории значимости объектов критической информационной инфраструктуры и этими требованиями предусматриваются:

1) планирование, разработка, совершенствование и осуществление внедрения мероприятий по обеспечению кибербезопасности объектов критической информационной инфраструктуры;

2) принятие организационных, правовых и технических мер для обеспечения кибербезопасности объектов критической информационной инфраструктуры;

3) установление параметров и характеристик программных и программно-аппаратных средств, применяемых для обеспечения кибербезопасности объектов критической информационной инфраструктуры.

21. Органы государственной власти и управления, объединения, предприятия, учреждения и организации, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с Уполномоченным органом могут устанавливать дополнительные требования по обеспечению кибербезопасности объектов критической информационной инфраструктуры, содержащие особенности функционирования таких объектов в установленной сфере деятельности.

VII. Аттестация объектов критической информационной инфраструктуры

 

22. Аттестация объектов критической информационной инфраструктуры проводится в целях определения соответствия фактического состояния защищенности объектов требованиям государственных стандартов и нормативно-правовых актов в области информационной безопасности.

Основанием для проведения аттестации является включение объекта в реестр объектов критической информационной инфраструктуры.

23. Аттестация объектов критической информационной инфраструктуры осуществляется в соответствии с положениями постановления Президента Республики Узбекистан от 08.07.2011г. №ПП-1572 «О дополнительных мерах по защите национальных информационных ресурсов».

24. В целях дальнейшего совершенствования системы кибербезопасности критической информационной инфраструктуры и принятия соответствующих мер, Уполномоченный орган направляет в Совет по кибербезопасности Республики Узбекистан, результаты проведенных аттестаций объектов критической информационной инфраструктуры Республики Узбекистан.

VIII. Заключительные положения

 

25. Лица, виновные в нарушении требований настоящего Положения, несут ответственность в установленном законодательством порядке.

 

Приложение № 2

к Постановлению Кабинета Министров Республики Узбекистан
№________ от
«____» _______  2019 г.

 

 

 

ПОЛОЖЕНИЕ

о реестре объектов критической информационной инфраструктуры Республики Узбекистан

 

I. Общие положения

 

1. Положение определяет порядок включения объектов в реестр объектов критической информационной инфраструктуры Республики Узбекистан (далее –реестр), правила ведения реестра и перечень основных сведений, вносимых
в реестр.

2. Реестр ведется в целях осуществления учета объектов критической информационной инфраструктуры Республики Узбекистан.

3. Ответственным за формирование и ведение реестра является Уполномоченный орган в области защиты объектов критической информационной инфраструктуры (далее – Уполномоченный орган), которым утверждается форма указанного реестра.

4. В реестр включаются действующие и вновь создаваемые на территории Республики Узбекистан государственные и негосударственные объекты (независимо от ведомственной принадлежности и формы собственности), которым согласно установленным критериям присваивается категория объектов критической информационной инфраструктуры.

II. Порядок включения объектов в реестр и правила ведения реестра

 

5. Уполномоченный орган включает объекты в реестр на основании заявки субъектов критической информационной инфраструктуры Республики Узбекистан и согласно установленным критериям отнесения объектов к категории объектов критической информационной инфраструктуры.

6. Заявка субъекта критической информационной инфраструктуры Республики Узбекистан (далее - субъекта) о включении объекта в реестр направляется Уполномоченному органу в письменном виде и включает в себя сведения об объекте, определенные в пункте 13 настоящего Положения:

7. Заявка о включении объекта в государственный реестр рассматривается Уполномоченным органом не более месяца со дня её получения.

При рассмотрении заявки Уполномоченный орган имеет право:

запросить у субъекта дополнительные сведения;

осуществить на месте проверку объекта на правильность присвоения ему категории объекта критической информационной инфраструктуры, согласно установленным критериям, а также на достоверность и правильность предоставления субъектами сведений об объекте.

8. При соблюдении субъектом установленной формы представления сведений об объекте для включения в реестр и правильном отнесении объекта к объекту критической информационной инфраструктуры, Уполномоченный орган принимает решение о включении объекта в реестр. В течение 10 рабочих дней со дня принятия данного решения вносит все необходимые сведения об этом объекте в реестр и в письменном виде направляет уведомление субъекту.

9. При несоблюдении установленной формы представления сведений об объекте для включения в реестр, по требованию Уполномоченного органа субъекты устраняют имеющиеся недостатки (в случае возможности их устранения) и направляют сведения в Уполномоченный орган.

10. В случае, если объект не удовлетворяет критериям определения его как объекта критической информационной инфраструктуры, Уполномоченный орган принимает решение об отказе включения данного объекта в государственный реестр и в течение 5 рабочих дней со дня принятия данного решения в письменном виде направляет субъекту отказ с мотивированным обоснованием причин данного отказа.

11. В целях обеспечения актуальности и достоверности сведений, включенных в реестр, Уполномоченный орган определяет сроки предоставления субъектами сведений по каждому объекту.

12. Изменения сведений, включенных в реестр, могут также вноситься Уполномоченным органом:

на основании информирования субъекта в письменном виде об изменении сведений об объекте, включенных в реестр;

по результатам аттестации и (или) осуществления оценки кибербезопасности объектов критической информационной инфраструктуры.

13. Объект критической информационной инфраструктуры исключается Уполномоченным органом из реестра в случаях:

ликвидации объекта критической информационной инфраструктуры;

утраты объектом критической информационной инфраструктуры категории значимости.

III. Перечень основных сведений, вносимых в реестр

 

14. О каждом объекте критической информационной инфраструктуры
в реестр вносятся следующие основные сведения:

наименование значимого объекта критической информационной инфраструктуры;

сведения о субъекте, владеющем на праве собственности, аренды или ином законном основании объектом критической информационной инфраструктуры;

сведения о лице, эксплуатирующем объект критической информационной инфраструктуры;

сведения о разработчике (проектировщике) объекта критической информационной инфраструктуры;

основание для создания объекта критической информационной инфраструктуры;

сфера применения и назначение объекта критической информационной инфраструктуры;

категория значимости, которая присвоена объекту критической информационной инфраструктуры;

возможные последствия и ущерб, в случае нарушения или прекращения функционирования объекта критической информационной инфраструктуры;

сведения о технических средствах информатизации и программном обеспечении, используемом на объекте критической информационной инфраструктуры;

способы подключения объекта и использования им сети телекоммуникаций общего пользования, включая сети Интернет;

меры, применяемые для обеспечения безопасности объекта критической информационной инфраструктуры;

средства, применяемые для обеспечения кибербезопасности объекта критической информационной инфраструктуры.

15. По усмотрению Уполномоченного органа в реестр могут вноситься иные дополнительные сведения об объектах критической информационной инфраструктуры, необходимые для выполнения Уполномоченным органом своих функциональных обязанностей.

16. Сведения, содержащиеся в реестре, относятся к конфиденциальной информации и подлежат защите в соответствии с законодательством Республики Узбекистан.

Порядок доступа к сведениям, содержащимся в реестре, определяет Уполномоченный орган.

17. Сведения из реестра направляются в систему обнаружения, предупреждения и ликвидации последствий кибератак на объекты критической информационной инфраструктуры Республики Узбекистан.

 

Приложение № 3

к Постановлению Кабинета Министров Республики Узбекистан
№________ от
«____» _______  2019 г.

 

 

 

МЕТОДИКА

определения объектов критической информационной инфраструктуры Республики Узбекистан

 

I. Область применения

 

1. Методика определения объектов критической информационной инфраструктуры Республики Узбекистан (далее - методика) предназначена для обоснования предложений о включении объектов в государственный реестр объектов критической информационной инфраструктуры Республики Узбекистан (далее – государственный реестр).

2. Настоящая методика устанавливает порядок определения объектов критической информационной инфраструктуры (далее - КИИ).

II. Общие положения

 

3. Объекты КИИ определяются для обеспечения требуемого уровня их кибербезопасности, при котором возникновение разного рода инцидентов кибербезопасности не приведет к нарушению жизненно важных функций поддержки общественной и национальной безопасности, обеспечения обороноспособности, экономической стабильности, нарушению правопорядка или существенному снижению безопасности жизнедеятельности населения, а также ущербу здоровью и жизни людей.

4. В государственный реестр включаются государственные и негосударственные объекты критической информационной (независимо от ведомственной принадлежности и формы собственности), действующие или вновь создаваемые на территории Республики Узбекистан.

5. Предложения субъектов КИИ и решение Уполномоченного органа о включении объекта в государственный реестр формируются на основании критериев, определенных настоящей методикой.

6. К объектам КИИ могут относиться объекты, применяемые в различных сферах деятельности, включая:

государственное управление и оказания государственных услуг;

обеспечение обороноспособности;

обеспечение национальной безопасности;

обеспечение правопорядка;

топливно-энергетический комплекс;

коммунальная сфера;

здравоохранение;

финансовая и банковская система;

транспорт;

связь и телекоммуникация;

экология и охрана окружающей среды;

добывающая и обрабатывающая промышленность, осуществляющая добычу и переработку полезных ископаемых общегосударственного значения;

химическая, нефтехимическая, металлургическая и иная промышленность, занимающая монопольное (доминирующее) положение на общегосударственном рынке товаров, и производимая продукция которых имеет важное социально-экономическое значение.

7. Объекту критической информационной инфраструктуры по результатам категорирования присваивается в соответствии с перечнем показателей критериев значимости категория значимости с наивысшим значением.

Для каждого показателя критериев значимости, для которого установлено более одного значения такого показателя (территория, количество людей), оценка производится по каждому из значений показателя критериев значимости, а категория значимости присваивается по наивысшему значению такого показателя.

В случае если ни один из показателей критериев значимости неприменим для объекта критической информационной инфраструктуры или объект критической информационной инфраструктуры не соответствует ни одному показателю критериев значимости и их значениям, категория значимости не присваивается.

8. Устанавливаются 3 категории значимости – «высокая», «средняя» и «низкая», согласно приложению настоящей методике.

IV. Критерии определения объекта КИИ

9. Критерии определения объекта КИИ, на основании которых они включаются в государственный реестр, устанавливаются исходя из последствий и ущерба, которым может привести нарушение или прекращение функционирования объектов.

К указанным последствиям и ущербам относятся:

нарушение управляемости государства или региона;

недоступность государственной услуги максимально длительное время;

нарушение государственной безопасности и дестабилизация государственного строя;

нанесение ущерба престижу и авторитету государства, в том числе на международной арене;

нарушение международной стабильности;

раскрытие государственных секретов и конфиденциальной научно-технической информации;

нарушение боеготовности и боеспособности Вооруженных сил;

нарушение стабильности финансовой или банковской систем;

нарушение безопасности транспортного движения;

недоступность услуг телекоммуникаций и нарушение функционирования сетей;

нарушение систем обеспечения жизнедеятельности городов и населенных пунктов;

нанесение ущерба здоровью людей;

прямые или косвенные финансовые потери страны;

снижение экономических показателей;

остановка непрерывных производств социально и экономически значимых товаров;

массовые нарушения правопорядка;

аварии и катастрофы регионального масштаба, которые могут привести к потере здоровья и жизни населения, уничтожению национальных ресурсов (природных, сельскохозяйственных, продовольственных, производственных, информационных), нанесению ущерба окружающей природной среде.

10. В ходе определения объектов КИИ необходимо:

а) определить процессы, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ;

б) выявить наличие критических процессов у субъекта КИИ;

в) выявить объекты КИИ, которые обрабатывают информацию, необходимую для обеспечения выполнения критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов;

г) рассмотреть возможные действия нарушителей в отношении объектов КИИ, а также иные источники угроз безопасности информации;

д) анализировать угрозы безопасности информации и уязвимости, которые могут привести к возникновению компьютерных инцидентов на объектах КИИ;

е) оценить масштаб возможных последствий в случае возникновения компьютерных инцидентов на объектах КИИ.

11. Перечень объектов утверждается субъектом КИИ.

12. Субъект КИИ формирует сведения об объекте КИИ которая включает:

а) сведения об объекте КИИ;

б) сведения о субъекте КИИ, которому на праве собственности, аренды или ином законном основании принадлежит объект КИИ;

в) сведения о взаимодействии объекта КИИ и сетей телекоммуникаций;

г) сведения о лице, эксплуатирующем объект КИИ;

д) сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ, в том числе средствах, используемых для обеспечения безопасности объекта КИИ и их сертификатах соответствия требованиям по безопасности информации (при наличии);

е) сведения об угрозах безопасности информации и о категориях нарушителей в отношении объекта КИИ либо об отсутствии таких угроз;

ж) возможные последствия в случае возникновения компьютерных инцидентов на объекте КИИ либо сведения об отсутствии таких последствий;

з) организационные и технические меры, применяемые для обеспечения безопасности объекта КИИ, либо сведения об отсутствии необходимости применения указанных мер.

13. Субъект КИИ не реже чем один раз в 5 лет осуществляет пересмотр значимости КИИ.

Перечень показателей критериев объектов критической информационной инфраструктуры Республики Узбекистан и их значения

 

Показатель

Значение показателя

 

 

 

 

Низкий

Средний

Высокий

 

 

I. Социальная значимость

 

 

1

Причинение ущерба жизни и здоровью людей (человек)

более или равно 1, но менее или равно 25

более 25, но менее или равно 250

более 250

2

Прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, в том числе объектов водоснабжения и канализации, очистки сточных вод, тепло- и электроснабжения, гидротехнических сооружений, оцениваемые:

 

 

 

 

а) на территории, на которой возможно нарушение обеспечения жизнедеятельности населения;

вся территория сельского населенного пункта или городского поселка

выход за пределы территории одного района или городов районного подчинения

 

 

выход за пределы территории одной области (Республики Каракалпакстан) или территории городов республиканского (в Республике Каракалпакстан), областного подчинения

 

б) по количеству людей, условия жизнедеятельности которых могут быть нарушены (тыс. человек)

более или равно 30, но менее 700

более или равно 700, но менее 3000

более или равно 3000

 

3

Прекращение или нарушение функционирования объектов транспортной инфраструктуры, оцениваемые:

 

 

 

 

а) на территории, на которой возможно нарушение транспортного сообщения или предоставления транспортных услуг;

вся территория сельского населенного пункта или городского поселка

выход за пределы территории одного района или городов районного подчинения

 

 

выход за пределы территории одной области (Республики Каракалпакстан) или территории городов республиканского (в Республике Каракалпакстан), областного подчинения

 

б) по количеству людей, для которых могут быть недоступны транспортные услуги (тыс. человек)

более или равно 30, но менее 700

более или равно 700, но менее 3000

более или равно 3000

 

4

Прекращение или нарушение функционирования сети связи, оцениваемые:

 

 

 

 

а) на территории, на которой возможно прекращение или нарушение функционирования сети связи;

вся территория сельского населенного пункта или городского поселка

выход за пределы территории одного района или городов районного подчинения

 

 

выход за пределы территории одной области (Республики Каракалпакстан) или территории городов республиканского (в Республике Каракалпакстан), областного подчинения

 

б) по количеству людей, для которых могут быть недоступны услуги связи (тыс. человек)

более или равно 30, но менее 700

более или равно 700, но менее 3000

более или равно 3000

 

5

Отсутствие доступа к государственной услуге, оцениваемое в максимальном допустимом времени, в течение которого государственная услуга может быть недоступна для получателей такой услуги (часов)

менее или равно 24, но более 12

менее или равно 12, но более 6

менее 6

 

 

II. Политическая значимость

 

 

6

Прекращение или нарушение функционирования государственного органа в части невыполнения возложенной на него функции (полномочия)

прекращение или нарушение функционирования

органов государственной власти и управления районного подчинения

 

прекращение или нарушение функционирования

органов государственной власти и управления областного подчинения

прекращение или нарушение функционирования

Администрации президента Республики Узбекистан, Кабинета Министров Республики Узбекистан, Олий Мажлиса Республики Узбекистан, Совета безопасности при Президенте Республики Узбекистан, Верховного Суда, Конституционного Суда

 

 

 

 

 

III. Экономическая значимость

 

 

7

Возникновение ущерба субъекту критической информационной инфраструктуры, который является государственным унитарным предприятием, государственной компанией, организацией с участием государства и (или) стратегическим акционерным обществом, стратегическим предприятием, оцениваемого в снижении уровня дохода (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) по всем видам деятельности (процентов прогнозируемого объема годового дохода по всем видам деятельности)

более 5, но менее или равно 10

более 10, но менее или равно 15

более 15

8

Возникновение ущерба бюджету Республики Узбекистан, оцениваемого:

 

 

 

 

а) в снижении доходов бюджета, (процентов прогнозируемого годового дохода бюджета);

более 0,001, но менее или равно 0,05

более 0,005, но менее или равно 0,1

более 0,1

 

б) в снижении доходов бюджета Республики Каракалпакстан и областей (процентов прогнозируемого годового дохода бюджета);

более 0,001, но менее или равно 0,05

более 0,05, но менее или равно 0,1

более 0,1

 

в) в снижении доходов бюджетов государственных внебюджетных фондов (процентов прогнозируемого годового дохода бюджета)

более 0,001, но менее или равно 0,05

более 0,05, но менее или равно 0,1

более 0,1

9

Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Республики Узбекистан системно значимой кредитной организацией, оператором услуг платежной инфраструктуры системно и (или) социально значимых платежных систем или системно значимой инфраструктурной организацией финансового рынка, оцениваемое среднедневным (по отношению к числу календарных дней в году) количеством осуществляемых операций, (тыс. единиц) (расчет осуществляется по итогам года, а для создаваемых объектов - на основе прогнозных значений)

более 120, но менее или равно 1 200

более 1 200, но менее или равно 2 000

более 2 000

 

 

IV. Экологическая значимость

 

 

10

Вредные воздействия на окружающую среду (ухудшение качества воды в поверхностных водоемах, обусловленное сбросами загрязняющих веществ, повышение уровня вредных загрязняющих веществ, в том числе радиоактивных веществ, в атмосферу, ухудшение состояния земель в результате выбросов или сбросов загрязняющих веществ или иные вредные воздействия), оцениваемые:

 

 

 

 

а) на территории, на которой окружающая среда может подвергнуться вредным воздействиям;

вся территория сельского населенного пункта или городского поселка

выход за пределы территории одного района или городов районного подчинения

 

 

выход за пределы территории одной области (Республики Каракалпакстан) или территории городов республиканского (в Республике Каракалпакстан), областного подчинения

 

б) по количеству людей, которые могут быть подвержены вредным воздействиям (тыс. человек)

более или равно 30, но менее 700

более или равно 700, но менее 3000

более или равно 3000

 

 

 

V. Значимость для обеспечения обороны страны, безопасности государства и правопорядка

 

 

11

Прекращение или нарушение (невыполнение установленных показателей) функционирования пункта управления (ситуационного центра), оцениваемое в уровне (значимости) пункта управления или ситуационного центра

прекращение или нарушение функционирования пункта управления или ситуационного центра органов государственной власти и управления районного подчинения

 

прекращение или нарушение функционирования пункта управления или ситуационного центра органов государственной власти и управления областного подчинения

прекращение или нарушение функционирования пункта управления государством или ситуационного центра Администрации президента Республики Узбекистан, Кабинета Министров Республики Узбекистан, Олий Мажлиса Республики Узбекистан, Совета безопасности при Президенте Республики Узбекистан, Верховного Суда, Конституционного Суда

12

Снижение показателей государственного оборонного заказа, выполняемого субъектом критической информационной инфраструктуры, оцениваемое:

 

 

 

 

а) в снижении объемов продукции (работ, услуг) в заданный период времени (процентов заданного объема продукции);

более 5, но менее или равно 10

более 10, но менее

или равно 15

более 15

 

б) в увеличении времени выпуска продукции (работ, услуг) с заданным объемом (процентов установленного времени выпуска продукции)

более 3, но менее

или равно 10

более 10, но менее

или равно 40

более 40

13

Прекращение или нарушение функционирования (невыполнения установленных показателей) информационной системы в области обеспечения обороны страны, безопасности государства и правопорядка, оцениваемое в максимально допустимом времени, в течение которого информационная система может быть недоступна пользователю (часов)

менее или равно 4, но более 2

менее или равно 2, но более 1

более 1

 

 

 

 

Умумий таклифлар

868