✅ КМУ ухвалив постанову, яка унормовує впровадження незалежного аудиту систем інформаційної безпеки на об’єктах критичної інфраструктури
Сьогодні Уряд ухвалив постанову «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури» та затвердив Порядок проведення такого аудиту.
Порядок передбачає обов’язкове проведення аудиту інформаційної безпеки раз на два роки для об’єктів критичної інфраструктури І та ІІ категорії критичності та раз на три роки для об’єктів ІІІ категорії критичності. При цьому, в разі настання кризової ситуації на об’єкті критичної інфраструктури, проведення аудиту проводять невідкладно.
Відповідно до ухваленого документу, аудитором може бути фізична або юридична особа, яка має відповідний атестат. Зараз у Держспецзв’язку вже триває робота над нормативними актами, які визначатимуть кваліфікаційні вимоги до майбутніх аудиторів та порядок видачі атестатів.
Проведення аудиту забезпечують оператори критичної інфраструктури. При цьому вони зможуть самостійно обирати аудиторів, які узгоджуватимуть з операторами критерії оцінки захищеності інформації, програму, процедури та методики проведення незалежного аудиту.
За результатами проведення аудиту інформаційної безпеки аудитори у звітах надаватимуть рекомендації щодо усунення виявлених недоліків у системах інформаційної безпеки.
Держспецзв’язку забезпечить проведення аналізу звітів за результатами незалежного аудиту інформаційної безпеки та надання узагальненої інформації до РНБО України та КМУ.
Метою проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури є оцінка стану інформаційної безпеки на ОКІ та її відповідності вимогам законодавства у сферах кібербезпеки та захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.
Водночас дія Порядку не поширюватиметься на об’єкти, нагляд за діяльністю яких або віднесення яких до критичної інфраструктури здійснює Національний банк України. Також не належить до сфери впливу документа діяльність, пов’язана із захистом інформації, що становить державну та розвідувальну таємницю, комунікаційні та технологічні системи, призначені для її оброблення.
