Відповідно до частини третьої статті 6 Закону України "Про основні засади забезпечення кібербезпеки України" Кабінет Міністрів України постановляє:

1. Затвердити Порядок проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, що додається.

2. Адміністрації Державної служби спеціального зв’язку та захисту інформації забезпечити:

затвердження вимог до аудиторів інформаційної безпеки на об’єктах критичної інфраструктури та порядку їх атестації (переатестації);

проведення аналізу звітів за результатами незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, надання узагальненої інформації про стан інформаційної безпеки на об’єктах критичної інфраструктури Апарату Ради національної безпеки і оборони України та Кабінетові Міністрів України.

1. Цей Порядок визначає механізм організації та проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та вимоги до його проведення.

Метою проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури є оцінка аудитором інформаційної безпеки стану інформаційної безпеки на об’єктах критичної інфраструктури, що повинна відповідати вимогам законодавства у сферах кібербезпеки та захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.

Дія цього Порядку не поширюється на:

банки, інші об’єкти, що провадять діяльність на ринку фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк, платіжні організації, учасників платіжних систем, операторів послуг платіжної інфраструктури, віднесення яких до критичної інфраструктури здійснюється в порядку, встановленому Національним банком;

діяльність, пов’язану із захистом інформації, що становить державну та розвідувальну таємницю, комунікаційні та технологічні системи, призначені для її оброблення.

2. Терміни, що вживаються в цьому Порядку, мають таке значення:

1) аудитор інформаційної безпеки (далі - аудитор) - фізична або юридична особа, яка пройшла атестацію відповідно до порядку, встановленого Адміністрацією Держспецзв’язку;

2) вразливість - недолік в інформаційній, електронній комунікаційній, інформаційно-комунікаційній системі та/або технологічних системах, що створює імовірність порушення безпеки, сталого, надійного та штатного режиму функціонування таких систем, несанкціонованого втручання в їх роботу, загрозу безпеці (захищеності) електронних інформаційних ресурсів, порушення їх конфіденційності, цілісності, доступності інформаційних ресурсів;

3) звіт за результатами незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури (далі - звіт) - документ, підготовлений аудитором за результатами проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури;

4) інформаційна безпека - це стан захищеності, за якого забезпечуються функціональність, безперервність роботи, відновлюваність, цілісність і стійкість інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем та/або технологічних систем, конфіденційність, цілісність та доступність електронних інформаційних ресурсів, а також забезпечується своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз штатного режиму функціонування таких систем і ресурсів, несанкціонованого втручання в їх роботу;

5) незалежний аудит інформаційної безпеки на об’єктах критичної інфраструктури (далі - незалежний аудит) - систематизований, незалежний і документований процес отримання оцінки стану інформаційної безпеки на об’єктах критичної інфраструктури на відповідність вимогам законодавства у сферах кібербезпеки та захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах;

6) ризик - можливість виникнення негативної події та вірогідні масштаби її наслідків протягом певного періоду часу;

7) тестування на проникнення - метод оцінювання захищеності інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем та/або технологічних систем шляхом імітування дій щодо несанкціонованого втручання в їх роботу.

Інші терміни вживаються у значенні, наведеному в Кодексі цивільного захисту України, в Законах України "Про інформацію", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України", "Про критичну інфраструктуру", в Загальних вимогах до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 р. № 518 (Офіційний вісник України, 2019 р., № 50, ст. 1697).

3. Проведення незалежного аудиту є обов’язковим для об’єктів критичної інфраструктури та забезпечується операторами критичної інфраструктури.

4. Незалежний аудит проводиться відповідно до умов договору, укладеного між оператором критичної інфраструктури і аудитором.

5. Між оператором критичної інфраструктури і аудитором укладається договір про нерозголошення конфіденційної інформації, отриманої для проведення незалежного аудиту.

6. Незалежний аудит проводиться:

не рідше ніж один раз на два роки для об’єктів I та II категорії критичності;