Законодавство
Оператори критичної інфраструктури самі обиратимуть аудиторів з інформаційної безпеки
Набрала чинності постанова Кабінету Міністрів України від 24 березня 2023 р. № 257, якою визначено механізм організації та проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та вимоги до його проведення.
Затвердженим нею Порядком, зокрема встановлено, що проведення незалежного аудиту є обов’язковим для об’єктів критичної інфраструктури та забезпечується операторами критичної інфраструктури.
Оператор критичної інфраструктури має право самостійно обирати аудитора для проведення незалежного аудиту та не може залучати до проведення незалежного аудиту одного і того самого аудитора двічі підряд.
Проводити незалежний аудит мають право аудитори, які пройшли атестацію в порядку, встановленому Адміністрацією Держспецзв’язку.
Аудитор проводить незалежний аудит відповідно до вимог цього Порядку.
Незалежний аудит проводиться:
- не рідше ніж один раз на два роки для об’єктів I та II категорії критичності;
- не рідше ніж один раз на три роки для об’єктів III категорії критичності;
- невідкладно, у разі настання кризової ситуації на об’єкті критичної інфраструктури.
Читайте також: Дія сертифіката екологічного аудитора продовжується автоматично
Проведення незалежного аудиту здійснюється такими етапами:
- організація проведення незалежного аудиту, що передбачає визначення об’єкта аудиту (інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем та/або технологічних систем);
- вибір аудитора, визначення процедур і методик проведення незалежного аудиту;
- підготовка аудитором програми проведення незалежного аудиту та її погодження з оператором критичної інфраструктури;
- збір необхідної інформації незалежного аудиту та її аналіз;
- підготовка звіту за результатами незалежного аудиту.
Дія цього Порядку не поширюється на:
1) банки, інші об’єкти, що провадять діяльність на ринку фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, платіжні організації, учасників платіжних систем, операторів послуг платіжної інфраструктури, віднесення яких до критичної інфраструктури здійснюється в порядку, встановленому Національним банком;
2) діяльність, пов’язану із захистом інформації, що становить державну та розвідувальну таємницю, комунікаційні та технологічні системи, призначені для її оброблення.
Адміністрація Державної служби спеціального зв’язку та захисту інформації має забезпечити:
1) затвердження вимог до аудиторів інформаційної безпеки на об’єктах критичної інфраструктури та порядку їх атестації (переатестації);
2) проведення аналізу звітів за результатами незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, надання узагальненої інформації про стан інформаційної безпеки на об’єктах критичної інфраструктури Апарату Ради національної безпеки і оборони України та Кабінетові Міністрів України.
