НОРМАТИВНО-ПРАВОВА БАЗА

ПЕРЕЛІК ДОКУМЕНТІВ, ЩО РЕГУЛЮЮТЬ ПИТАННЯ КІБЕРБЕЗПЕКИ УКРАЇНИ

Законодавчі та концептуальні акти
  • Закон України «Про основні засади забезпечення кібербезпеки України».
https://zakon.rada.gov.ua/laws/show/2163-19#Text

  • Постанова Кабінету міністрів України «Про затвердження загальних вимог до кіберзахисту об’єктів критичної інфраструктури».
https://zakon.rada.gov.ua/laws/show/518-2019-%D0%BF#n8

  • Закон України «Про інформацію».
https://zakon.rada.gov.ua/laws/show/2657-12#Text

  • Закон України «Про захист інформації в інформаційно-телекомунікаційних системах».
https://zakon.rada.gov.ua/laws/show/80/94-%D0%B2%D1%80#Text

  • Закон України «Про державну таємницю».
https://zakon.rada.gov.ua/laws/show/3855-12#Text

  • Закон України «Про електронні документи та електронний документообіг».
https://zakon.rada.gov.ua/laws/show/851-15#Text

  • Доктрина інформаційної безпеки.
https://zakon.rada.gov.ua/laws/show/47/2017#Text

  • Закон України «Про національну безпеку України».
https://zakon.rada.gov.ua/laws/show/2469-19#Text

  • Стаття 15 КУ. Контроль за законністю заходів із кібербезпеки України.
https://protocol.ua/ua/pro_osnovni_zasadi_zabezpe_vid_05_10_2017_2163_viii_stattya_15/

  • Концепція розвитку цифрової економіки та суспільства України на 2018-2020 роки.
https://zakon.rada.gov.ua/laws/show/67-2018-%D1%80.#n250
Державні стандарти України
  • Державний стандарт симетричного шифрування інформації «Калина» (ДСТУ 7624: 2015).

  • Державний стандарт хешування «Купина» (ДСТУ 7564: 2014).

Галузева стандартизація кібербезпеки України
  • Постанова Кабінету міністрів України «Про затвердження загальних вимог до кіберзахисту об’єктів критичної інфраструктури».
https://zakon.rada.gov.ua/laws/show/518-2019-%D0%BF#Text

  • Меморандум про взаємодію та співробітництво в сфері кібербезпеки та кіберзахисту, спрямовану на попередження, виявлення, ефективне реагування та протидію актуальним кіберзагрозам, підвищення рівня інформаційної безпеки та ситуаційної обізнаності у сфері кібербезпеки та кіберзахисту.
https://interacademy.info/ekspert-mizhnarodnoi-akademii-informatsii-vziav-uchast-u-pidpysanni-memorandumu-pro-vzaiemodiiu/

  • Серія стандартів захисту критичної інформаційної інфраструктури NERC.
https://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx

  • Постанова №95 «Про організацію заходів із забезпечення інформаційної безпеки в банківській системі України».
https://bank.gov.ua/ua/legislation/Resolution_28092017_95

  • Постанова правління НБУ «Про затвердження Положення про захист інформації та кіберзахист в платіжних системах».
https://bank.gov.ua/admin_uploads/article/Project_of_resolution_11082020.pdf?v=4

  • Постанова правління НБУ «Про затвердження нормативно-правових актів з питань інформаційної безпеки».
https://bank.gov.ua/ua/legislation/Resolution_26112015_829

  • Постанова правління НБУ «Про затвердження Правил організації захисту електронних банківських документів з використанням засобів захисту інформації Національного банку України».
https://zakon.rada.gov.ua/laws/show/z0419-07
ПЕРЕЛІК МІЖНАРОДНИХ СТАНДАРТІВ, ДОКУМЕНТІВ І НОРМАТИВНО-ПРАВОВИХ АКТІВ, ЩО РЕГУЛЮЮТЬ ПИТАННЯ КІБЕРБЕЗПЕКИ
Серія стандартів ISO / IEC
  • ISO/IEC27000:2019 - Інформаційні технології - Методи і засоби забезпечення безпеки - Системи управління інформаційною безпекою - Загальні відомості і словник

  • ISO/IEC 27001:2013 - Інформаційні технології - Методи захисту - Системи управління інформаційною безпекою - Вимоги

  • ISO/IEC 27002:2013/COR 2:2015 - Інформаційні технології - Методи захисту - Звід рекомендованих правил для управління інформаційною безпекою


  • ISO/IEC 27003:2017 - Інформаційні технології - Методи безпеки - Системи управління інформаційною безпекою - Керівництво

  • ISO/IEC 27004:2016 - Інформаційні технології - Методи безпеки - Управління інформаційною безпекою - Моніторинг, вимір, аналіз і оцінка

  • ISO/IEC 27005:2018 - Інформаційні технології - Методи безпеки - Управління ризиками інформаційної безпеки

  • ISO/IEC 27006:2015/AMD 1:2020 - Інформаційні технології - Методи безпеки - Вимоги до органів, які проводять аудит і сертифікацію систем управління інформаційною безпекою

  • ISO/IEC 27007:2020 - Інформаційна безпека, кібербезпека і захист конфіденційності - Настанови щодо здійснення аудитів систем управління інформаційною безпекою

  • ISO/IEC 15408-1:2009 - Загальні критерії оцінки захищеності інформаційних технологій

  • ISO/IEC TS 27008:2019 - Методи безпеки - Вказівки для оцінки засобів контролю інформаційної безпеки

  • ISO27032 – Інформаційні технології. Методи захисту

  • ISO 27035 – Управління інцидентами

  • ISO 22301 – Системи управління неперервністю бізнесу

  • ISO31000 – Ризик-менеджмент
Інші міжнародні стандарти
  • Стандарт кібербезпеки ANSI/ISA 62443

  • Cтандарт безпеки даних індустрії платіжних карт (PCI DSS)

  • COBIT5 (Control Objectives for Information and Related Technologies) / Цілі управління інформаційними та суміжними технологіями

  • Система управління ризиками підприємства COSOERM2017

  • TheCISCriticalSecurityControlsforEffectiveCyberDefensev7.1 / Важливі заходи безпеки Центральна безпека Інтернету для забезпечення ефективних кіберзахистів

  • Microsoft Operations Framework (MOF) 4.0
Європейський Союз. Загальні положення про кібербезпеку
  • ПОСТАНОВА (ЄС) 2019/881 Європейського Парламенту та Ради від 17 квітня 2019 року про ENISA (Агентство Європейського Союзу з кібербезпеки) і про сертифікацію кібербезпеки інформаційних і комунікаційних технологій і скасування Регламенту (ЄС) № 526/2013 (Закон про кібербезпеку)

  • Директива (ЄС) 2016/1148 Європейського Парламенту та Ради від 6 липня 2016 року про заходи щодо забезпечення високого загального рівня безпеки мережі та інформаційних систем по всьому Союзу

  • Рекомендація КОМІСІЇ (ЄС) 2017/1584 від 13 вересня 2017 року про скоординоване реагування на великомасштабні інциденти і кризи в області кібербезпеки

  • Рекомендація КОМІСІЇ (ЄС) 2019/534 від 26 березня 2019 року. Кібербезпека мереж 5G
  • Стійкість, стримування і оборона: створення міцної кібербезпеки для ЄС

  • Директива 2002/58 / ECЕВРОПЕЙСКОГО ПАРЛАМЕНТУ І РАДИ від 12 липня 2002 року щодо обробки персональних даних і захисту конфіденційності в секторі електронних комунікацій (Директива про конфіденційність і електронних комунікаціях)

  • ПОСТАНОВА (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних і про безкоштовне переміщення таких даних і скасування Директиви 95/46 / EC (Загальні правила захисту даних)

  • ПОСЛАННЯ КОМІСІЇ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ щодо сприяння захисту даних за допомогою технологій підвищення конфіденційності

  • Стратегія кібербезпеки Європейського Союзу: Відкритий, безпечний і надійний кіберпростір

  • Зміцнення Європейської системи кіберустійкості і розвиток конкурентоспроможної та інноваційної індустрії кібербезпеки

  • Конвенція про кіберзлочинність 23.XI.2001 р
Кібербезпека в сфері захисту критичної інфраструктури
  • Повідомлення Комісії по Європейській програмі захисту критичної інфраструктури
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52006DC0786

  • Рамкова стратегія сталого енергетичного союзу з перспективною політикою в області зміни клімату
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2015:80:FIN

  • Директива Ради 2008/114 / ЄC від 8 грудня 2008 року про ідентифікацію і позначення найважливіших Європейських інфраструктур і оцінцювання необхідності поліпшення їх захисту
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv %3AOJ.L_.2008.345.01.0075.01.ENG

  • Рекомендація Комісії з кібербезпеки в енергетичному секторі
https://ec.europa.eu/energy/sites/ener/files/swd2019_1240_final.pdf

  • Рекомендації Європейської комісії для реалізації галузевих правил у сфері аспектів кібербезпеки
https://ec.europa.eu/energy/sites/ener/files/sgtf_eg2_report_final_report_2019.pdf

  • Кібербезпека в енергетичному секторі
https://ec.europa.eu/energy/sites/ener/files/documents/eecsp_report_final.pdf

  • Кібербезпека в фінансовому секторі
https://www.ceps.eu/wp-content/uploads/2018/06/TFRCybersecurityFinance.pdf

  • Керівництво по кіберстійкості для інфраструктур фінансового ринку
https://www.ecb.europa.eu/paym/pol/shared/pdf/CPMI_IOSCO_Guidance_on_cyber_resilience_for_FMIs.pdf

  • Ініціатива з обміну кіберінформацією і розвідданими
https://www.ecb.europa.eu/paym/groups/euro-cyber-board/shared/pdf/ciisi-eu_practical_example.pdf

  • Стандарти Північноамериканської корпорації по надійності електропостачання (NERC) щодо захисту критичної інфраструктури
https://blog.rsisecurity.com/nerc-cip-standards-what-you-need-to-know/

  • Закон про агентство кібербезпеки та інфраструктурної безпеки 2018
https://www.congress.gov/115/plaws/publ278/PLAW-115publ278.pdf

  • NIPP 2013: Партнерство для забезпечення безпеки і стійкості критично-важливої ​​інфраструктури
https://www.dhs.gov/sites/default/files/publications/National-Infrastructure-Protection-Plan-2013-508.pdf

  • Урядовий указ 13636 - Поліпшення кібербезпеки критично-важливої ​​інфраструктури
https://fas.org/irp/offdocs/eo/eo-13636.pdf

  • Рамки для поліпшення кібербезпеки критично важливої ​​інфраструктури
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
Регулювання питань кібербезпеки в США
  • Закон про обмін інформацією з питань кібербезпеки 2015
https://www.congress.gov/114/bills/s754/BILLS-114s754es.pdf

  • Закон про медичне страхування, доступність медичних послуг та підзвітність 1996
https://www.govinfo.gov/content/pkg/CRPT-104hrpt736/pdf/CRPT-104hrpt736.pdf

  • Закон про фінансову модернізацію (Закон Гремма - Ліча - Блайлі) 1999
https://www.congress.gov/106/plaws/publ102/PLAW-106publ102.pdf

  • Закон про внутрішню безпеку 2002
https://www.dhs.gov/xlibrary/assets/hr_5005_enr.pdf

  • Спеціальна публікація NIST (Національного інституту стандартів і технологій) - 800-82 - Посібник з безпеки промислових систем управління
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf

  • NIST SP 800-50 - Створення програми підвищення обізнаності в області безпеки ІТ
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-50.pdf

  • NIST SP 800-40 - Керівництво по технологіям управління уразливостями
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-40r3.pdf

  • NIST 800-53 - Контроль безпеки і конфіденційності для федеральних інформаційних систем і організацій
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

  • NIST 800-53 - Рекомендації по цифровій ідентифікації
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf