Правительство утвердило порядок проведения независимого аудита систем информационной безопасности на объектах критической инфраструктуры

24 марта правительство приняло постановление «Некоторые вопросы проведения независимого аудита информационной безопасности на объектах критической инфраструктуры». Об этом сообщает Госспецсвязи.

Постановление нормирует внедрение независимого аудита систем информационной безопасности на объектах критической инфраструктуры, в частности утверждает Порядок проведения такого аудита.

Порядок предусматривает обязательное проведение аудита информационной безопасности раз в два года для объектов критической инфраструктуры І и ІІ категории критичности и раз в три года для объектов ІІІ категории критичности.

При этом в случае наступления кризисной ситуации на объекте критической инфраструктуры проведение аудита проводят безотлагательно.

В соответствии с принятым документом, аудитором может быть физическое или юридическое лицо, имеющее соответствующий аттестат.

Проведение аудита обеспечивают операторы критической инфраструктуры. При этом они смогут самостоятельно выбирать аудиторов, согласующих с операторами критерии оценки защищенности информации, программу, процедуры и методики проведения независимого аудита.

По результатам проведения аудита информационной безопасности аудиторы в отчетах будут давать рекомендации по устранению выявленных недостатков в системах информационной безопасности.

Госспецсвязи обеспечит проведение анализа отчетов по результатам независимого аудита информационной безопасности и предоставления обобщенной информации в СНБО Украины и КМУ.

Целью проведения независимого аудита информационной безопасности на объектах критической инфраструктуры является оценка состояния информационной безопасности на ОКИ и соответствия требованиям законодательства в сферах кибербезопасности и защиты информации в информационных, электронных коммуникационных и информационно-коммуникационных системах.

В то же время, действие Порядка не будет распространяться на объекты, надзор за деятельностью которых или отнесение которых к критической инфраструктуре осуществляет Национальный банк Украины. Также не относится к сфере влияния документа деятельность, связанная с защитой информации, составляющей государственную и разведывательную тайну, коммуникационные и технологические системы, предназначенные для ее обработки.

Подписывайтесь на наш telegram-канал t.me/sudua и на Twitter, а также на нашу страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.