В Україні

Уряд затвердив Порядок проведення незалежного аудиту систем інформаційної безпеки на об’єктах критичної інфраструктури

18:02, 24 березня 2023

Передбачається бов’язкове проведення аудиту інформаційної безпеки раз на два роки для об’єктів критичної інфраструктури І та ІІ категорії критичності та раз на три роки для об’єктів ІІІ категорії критичності.

Уряд затвердив Порядок проведення незалежного аудиту систем інформаційної безпеки на об’єктах критичної інфраструктури

Фото з відкритих джерел

Слідкуйте за актуальними новинами у соцмережах SUD.UA

24 березня Уряд ухвалив постанову «Деякі питання проведення незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури». Про це повідомляє Держспецзв’язку.

Постанова унормовує впровадження незалежного аудиту систем інформаційної безпеки на об’єктах критичної інфраструктури, зокрема затверджує Порядок проведення такого аудиту.

Порядок передбачає обов’язкове проведення аудиту інформаційної безпеки раз на два роки для об’єктів критичної інфраструктури І та ІІ категорії критичності та раз на три роки для об’єктів ІІІ категорії критичності.

При цьому, в разі настання кризової ситуації на об'єкті критичної інфраструктури, проведення аудиту проводять невідкладно.

Відповідно до ухваленого документу, аудитором може бути фізична або юридична особа, яка має відповідний атестат.

Проведення аудиту забезпечують оператори критичної інфраструктури. При цьому вони зможуть самостійно обирати аудиторів, які узгоджуватимуть з операторами критерії оцінки захищеності інформації, програму, процедури та методики проведення незалежного аудиту.

За результатами проведення аудиту інформаційної безпеки аудитори у звітах надаватимуть рекомендації щодо усунення виявлених недоліків у системах інформаційної безпеки.

Держспецзв’язку забезпечить проведення аналізу звітів за результатами незалежного аудиту інформаційної безпеки та надання узагальненої інформації до РНБО України та КМУ.

Метою проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури є оцінка стану інформаційної безпеки на ОКІ та її відповідності вимогам законодавства у сферах кібербезпеки та захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.

Водночас дія Порядку не поширюватиметься на об'єкти, нагляд за діяльністю яких або віднесення яких до критичної інфраструктури здійснює Національний банк України. Також не належить до сфери впливу документа діяльність, пов'язана із захистом інформації, що становить державну та розвідувальну таємницю, комунікаційні та технологічні системи, призначені для її оброблення.

Підписуйтесь на наш telegram-канал t.me/sudua та на Twitter, а також на нашу сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.

Читайте також

Контакти