Відповідно до пункту 90 частини першої статті 14 Закону України "Про Державну службу спеціального зв’язку та захисту інформації України", пункту 1 частини другої статті 8 Закону України "Про основні засади забезпечення кібербезпеки України", підпункту 95-5 пункту 4, пункту 10 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, пункту 2 постанови Кабінету Міністрів України від 24 березня 2023 року № 257 "Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури", з метою врегулювання питань забезпечення впровадження системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури, встановлення вимог до аудиторів інформаційної безпеки та порядку їх атестації (переатестації) НАКАЗУЮ:

1. Затвердити Вимоги до аудиторів інформаційної безпеки на об’єктах критичної інфраструктури та порядок їх атестації (переатестації), що додаються.

2. Директору Департаменту державного контролю у сфері захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Контроль за виконанням цього наказу залишаю за собою.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Ці Вимоги встановлюють критерії та вимоги до осіб, які планують отримати право проводити незалежний аудит інформаційної безпеки на об’єктах критичної інфраструктури, а також визначають порядок їх атестації (переатестації), включення до Переліку аудиторів інформаційної безпеки на об’єктах критичної інфраструктури та виключення з нього.

2. У цих Вимогах терміни вживаються в таких значеннях:

атестація аудиторів інформаційної безпеки (далі - атестація) - процедура розгляду та перевірки на відповідність цим Вимогам документів заявників з метою отримання ними права проводити незалежні аудити інформаційної безпеки на об’єктах критичної інфраструктури;

заявник - юридична або фізична особа, що має намір провадити діяльність аудитора інформаційної безпеки на об’єктах критичної інфраструктури, пройти атестацію (переатестацію) та бути включеною до Переліку аудиторів інформаційної безпеки на об’єктах критичної інфраструктури;

Кваліфікаційний центр - суб’єкт, уповноважений Національним агентством кваліфікацій здійснювати оцінювання і визнання результатів навчання, здобутих особами шляхом формальної, неформальної або інформальної освіти, присвоєння та/або підтвердження відповідних професійних кваліфікацій, визнання відповідних професійних кваліфікацій, здобутих у інших країнах, на підставі сертифіката про акредитування такого кваліфікаційного центру і включений до Реєстру кваліфікаційних центрів у складі Реєстру кваліфікацій;

Орган із сертифікації персоналу - суб’єкт, який має атестат про акредитацію, виданий Національним агентством з акредитації України, та надає послуги із сертифікації персоналу згідно з вимогами кваліфікацій "Провідний аудитор інформаційних технологій (з кібербезпеки)", "Провідний аудитор систем менеджменту інформаційної безпеки" та "Керівник команди з аудиту систем менеджменту інформаційної безпеки", визначених у професійному стандарті "Аудитор інформаційних технологій (з кібербезпеки)";

Перелік аудиторів інформаційної безпеки на об’єктах критичної інфраструктури (далі - Перелік) - список атестованих аудиторів інформаційної безпеки, який містить дані про прізвище, власне ім’я, по батькові (за наявності)/найменування аудитора інформаційної безпеки, кваліфікацію (для фізичних осіб - аудиторів), контактні дані, кількість проведених аудитів, рейтинг аудитора інформаційної безпеки за результатами проведених аудитів і розміщується на офіційному вебсайті Держспецзв’язку в розділі "Незалежний аудит інформаційної безпеки на об’єктах критичної інфраструктури".

Інші терміни вживаються у значеннях, наведених в Законах України "Про інформацію", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України", "Про критичну інфраструктуру", Загальних вимогах до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 року № 518, Порядку проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури, затвердженому постановою Кабінету Міністрів України від 24 березня 2023 року № 257.

3. Суб’єктами відносин, пов’язаних з атестацією (переатестацією) аудиторів інформаційної безпеки, є:

Адміністрація Держспецзв’язку;

заявники;

Кваліфікаційні центри;

Органи із сертифікації персоналу;

Служба безпеки України.

4. Адміністрація Держспецзв’язку:

здійснює ведення та оприлюднення Переліку на офіційному вебсайті Держспецзв’язку в розділі "Незалежний аудит інформаційної безпеки на об’єктах критичної інфраструктури";

отримує, розглядає та перевіряє документи, подані заявниками;

приймає рішення (оформлене наказом) про успішне проходження атестації та включення заявника до Переліку або про непроходження атестації заявником;

приймає рішення (оформлене наказом) про скасування права на проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури та виключення аудитора інформаційної безпеки з Переліку.

5. Підтвердженням проходження заявником атестації є відповідне рішення (оформлене наказом) Адміністрації Держспецзв’язку та наявність відомостей про нього в Переліку.

6. Рішення (оформлене наказом) Адміністрації Держспецзв’язку та наявність відомостей про юридичну особу в Переліку підтверджують право юридичної особи проводити незалежний аудит інформаційної безпеки на об’єктах критичної інфраструктури, залучаючи до нього виключно аудиторів інформаційної безпеки, які пройшли атестацію в порядку, що встановлений цими Вимогами, і з якими вона має договірні відносини.

1. Вимоги до заявника, який є фізичною особою:

бути громадянином України;

не мати не погашеної або не знятої судимості в установленому законом порядку;

мати допуск до державної таємниці;

мати документи, що підтверджують досвід роботи у сфері інформаційної безпеки та/або інформаційних систем;

не бути включеним до переліку осіб, щодо яких застосовано спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до Закону України "Про санкції";

мати чинний сертифікат "Провідний аудитор інформаційних технологій (з кібербезпеки)", "Провідний аудитор систем менеджменту інформаційної безпеки" або "Керівник команди з аудиту систем менеджменту інформаційної безпеки" відповідно до вимог професійного стандарту "Аудитор інформаційних технологій (з кібербезпеки)", виданий Кваліфікаційним центром або Органом із сертифікації персоналу.

2. Підтвердженням досвіду роботи у сфері інформаційної безпеки та/або інформаційних систем є відомості про виконання не менше ніж 4 проєктів з внутрішнього або незалежного аудиту інформаційної безпеки за останні 2 роки.

3. Вимоги до заявника, який є юридичною особою:

перебувати у трудових відносинах не менше ніж з 3 аудиторами інформаційної безпеки, які пройшли атестацію згідно з цими Вимогами та включені до Переліку;

мати спеціальний дозвіл на провадження діяльності, пов’язаної з державною таємницею;

не бути включеним до переліку осіб, щодо яких застосовано спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до Закону України "Про санкції";

мати атестат про акредитацію, виданий Національним агентством з акредитації України відповідно до ДСТУ EN ISO/IEC 17021-1:2017 "Оцінка відповідності. Вимоги до органів, які здійснюють аудит і сертифікацію систем управління. Частина 1. Вимоги" та ДСТУ EN ISO/IEC 27006:2022 "Інформаційні технології. Методи захисту. Вимоги до органів, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою".

1. З метою проходження атестації (переатестації) та включення до Переліку заявник, який є фізичною особою, надсилає до Адміністрації Держспецзв’язку такі документи:

1) заповнену Заяву про проходження атестації та включення до Переліку аудиторів інформаційної безпеки на об’єктах критичної інфраструктури (для фізичних осіб), форма якої наведена у додатку 1 до цих Вимог;

2) документи, що підтверджують відповідність заявника вимогам, визначеним у пункті 1 розділу II цих Вимог, а саме:

копію витягу з інформаційно-аналітичної системи "Облік відомостей про притягнення особи до кримінальної відповідальності та наявності судимості" про відсутність (наявність) судимості або обмежень, передбачених кримінальним процесуальним законодавством України;

копії 4 трудових договорів (контрактів) на проведення робіт з аудиту інформаційної безпеки, що були проведені протягом 2 календарних років до дати подання заяви;

довідку про наявність допуску до державної таємниці за формою згідно з додатком 14 до Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженого постановою Кабінету Міністрів України від 18 грудня 2013 року № 939;

витяг з Державного реєстру санкцій (далі - Реєстр), сформований в електронній формі за допомогою програмних засобів ведення Реєстру та засобів кваліфікованого електронного підпису, що містить актуальну інформацію на дату подання документів про те, що до заявника не застосовані спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до Закону України "Про санкції";