Суть постанови:
Документ встановлює детальні вимоги щодо управління ризиками безпеки на об’єктах критичної інфраструктури I категорії критичності. Визначається порядок створення системи управління ризиками, основні види ризиків та принципи їх оцінки. Постанова спрямована на запобігання інцидентам та мінімізацію їх наслідків на критично важливих об’єктах.
Структура та основні положення:
1. Визначено 5 основних типів ризиків: матеріальні, кібербезпеки, людського фактору, порушення взаємозв’язків та процесні ризики.
2. Встановлено принципи системи управління ризиками: інтегрованість, структурованість, індивідуальність, динамічність, належна поінформованість та мінімізація людського фактора.
3. Визначено порядок оцінки ризиків через їх ідентифікацію, аналіз та обробку.
4. Встановлено вимоги до звітності – щорічне подання звітів операторами до секторальних органів та секторальними органами до Держспецзв’язку.
Ключові положення для застосування:
– Оператори критичної інфраструктури мають створити окремий підрозділ або призначити відповідальну особу за управління ризиками
– Необхідно розробити внутрішні документи щодо управління ризиками та об’єктовий план заходів безпеки
– Оцінка ризиків має проводитись не рідше одного разу на рік
– Система управління ризиками має відповідати національним та міжнародним стандартам, включаючи ДСТУ IEC/ISO 31010:2013 та NIST SP 800-53