Газета «Приватний підприємець»
Постановою КМУ від 24.03.2023 р. № 257 затверджений Порядок, який визначає механізм організації та проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та вимоги до його проведення.
Метою проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури є оцінка аудитором інформаційної безпеки стану інформаційної безпеки на об’єктах критичної інфраструктури, що повинна відповідати вимогам законодавства у сферах кібербезпеки та захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.
Дія цього Порядку не поширюється на:
- банки, інші об’єкти, що провадять діяльність на ринку фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, платіжні організації, учасників платіжних систем, операторів послуг платіжної інфраструктури, віднесення яких до критичної інфраструктури здійснюється в порядку, встановленому Національним банком;
- діяльність, пов’язану із захистом інформації, що становить державну та розвідувальну таємницю, комунікаційні та технологічні системи, призначені для її оброблення.
Проведення незалежного аудиту є обов’язковим для об’єктів критичної інфраструктури та забезпечується операторами критичної інфраструктури.
Незалежний аудит проводиться відповідно до умов договору, укладеного між оператором критичної інфраструктури і аудитором.
Встановлено, що незалежний аудит проводиться:
- не рідше ніж один раз на два роки для об’єктів І та ІІ категорії критичності;
- не рідше ніж один раз на три роки для об’єктів ІІІ категорії критичності;
- невідкладно, у разі настання кризової ситуації на об’єкті критичної інфраструктури.
