АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
30.04.2024 м. Київ № 228
Зареєстровано в Міністерстві юстиції України
11 червня 2024 р. за № 880/42225
Про затвердження Вимог до аудиторів інформаційної безпеки на об'єктах критичної інфраструктури та порядку їх атестації (переатестації)
Відповідно до пункту 90 частини першої статті 14 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України", пункту 1 частини другої статті 8 Закону України "Про основні засади забезпечення кібербезпеки України", підпункту 95-5 пункту 4, пункту 10 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, пункту 2 постанови Кабінету Міністрів України від 24 березня 2023 року № 257 "Деякі питання проведення незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури", з метою врегулювання питань забезпечення впровадження системи аудиту інформаційної безпеки на об'єктах критичної інфраструктури, встановлення вимог до аудиторів інформаційної безпеки та порядку їх атестації (переатестації)
НАКАЗУЮ:
1. Затвердити Вимоги до аудиторів інформаційної безпеки на об'єктах критичної інфраструктури та порядок їх атестації (переатестації), що додаються.
2. Директору Департаменту державного контролю у сфері захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
3. Контроль за виконанням цього наказу залишаю за собою.
4. Цей наказ набирає чинності з дня його офіційного опублікування.
ЗАТВЕРДЖЕНО
Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України
30 квітня 2024 року № 228
Вимоги
до аудиторів інформаційної безпеки на об'єктах критичної інфраструктури та порядок їх атестації (переатестації)
I. Загальні положення
1. Ці Вимоги встановлюють критерії та вимоги до осіб, які планують отримати право проводити незалежний аудит інформаційної безпеки на об'єктах критичної інфраструктури, а також визначають порядок їх атестації (переатестації), включення до Переліку аудиторів інформаційної безпеки на об'єктах критичної інфраструктури та виключення з нього.
2. У цих Вимогах терміни вживаються в таких значеннях:
атестація аудиторів інформаційної безпеки (далі - атестація) - процедура розгляду та перевірки на відповідність цим Вимогам документів заявників з метою отримання ними права проводити незалежні аудити інформаційної безпеки на об'єктах критичної інфраструктури;
заявник - юридична або фізична особа, що має намір провадити діяльність аудитора інформаційної безпеки на об'єктах критичної інфраструктури, пройти атестацію (переатестацію) та бути включеною до Переліку аудиторів інформаційної безпеки на об'єктах критичної інфраструктури;
Кваліфікаційний центр - суб'єкт, уповноважений Національним агентством кваліфікацій здійснювати оцінювання і визнання результатів навчання, здобутих особами шляхом формальної, неформальної або інформальної освіти, присвоєння та/або підтвердження відповідних професійних кваліфікацій, визнання відповідних професійних кваліфікацій, здобутих у інших країнах, на підставі сертифіката про акредитування такого кваліфікаційного центру і включений до Реєстру кваліфікаційних центрів у складі Реєстру кваліфікацій;
Орган із сертифікації персоналу - суб'єкт, який має атестат про акредитацію, виданий Національним агентством з акредитації України, та надає послуги із сертифікації персоналу згідно з вимогами кваліфікацій "Провідний аудитор інформаційних технологій (з кібербезпеки)", "Провідний аудитор систем менеджменту інформаційної безпеки" та "Керівник команди з аудиту систем менеджменту інформаційної безпеки", визначених у професійному стандарті "Аудитор інформаційних технологій (з кібербезпеки)";
Перелік аудиторів інформаційної безпеки на об'єктах критичної інфраструктури (далі - Перелік) - список атестованих аудиторів інформаційної безпеки, який містить дані про прізвище, власне ім'я, по батькові (за наявності) / найменування аудитора інформаційної безпеки, кваліфікацію (для фізичних осіб - аудиторів), контактні дані, кількість проведених аудитів, рейтинг аудитора інформаційної безпеки за результатами проведених аудитів і розміщується на офіційному вебсайті Держспецзв'язку в розділі "Незалежний аудит інформаційної безпеки на об'єктах критичної інфраструктури".
Інші терміни вживаються у значеннях, наведених в Законах України "Про інформацію", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України", "Про критичну інфраструктуру", Загальних вимогах до кіберзахисту об'єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 року № 518, Порядку проведення незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури, затвердженому постановою Кабінету Міністрів України від 24 березня 2023 року № 257.
3. Суб'єктами відносин, пов'язаних з атестацією (переатестацією) аудиторів інформаційної безпеки, є:
Адміністрація Держспецзв'язку;
заявники;
Кваліфікаційні центри;
Органи із сертифікації персоналу;
Служба безпеки України.
4. Адміністрація Держспецзв'язку:
здійснює ведення та оприлюднення Переліку на офіційному вебсайті Держспецзв'язку в розділі "Незалежний аудит інформаційної безпеки на об'єктах критичної інфраструктури";
отримує, розглядає та перевіряє документи, подані заявниками;
приймає рішення (оформлене наказом) про успішне проходження атестації та включення заявника до Переліку або про непроходження атестації заявником;
приймає рішення (оформлене наказом) про скасування права на проведення незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури та виключення аудитора інформаційної безпеки з Переліку.
5. Підтвердженням проходження заявником атестації є відповідне рішення (оформлене наказом) Адміністрації Держспецзв'язку та наявність відомостей про нього в Переліку.
6. Рішення (оформлене наказом) Адміністрації Держспецзв'язку та наявність відомостей про юридичну особу в Переліку підтверджують право юридичної особи проводити незалежний аудит інформаційної безпеки на об'єктах критичної інфраструктури, залучаючи до нього виключно аудиторів інформаційної безпеки, які пройшли атестацію в порядку, що встановлений цими Вимогами, і з якими вона має договірні відносини.
II. Вимоги до заявників
1. Вимоги до заявника, який є фізичною особою:
бути громадянином України;
не мати не погашеної або не знятої судимості в установленому законом порядку;
мати допуск до державної таємниці;
мати документи, що підтверджують досвід роботи у сфері інформаційної безпеки та/або інформаційних систем;
не бути включеним до переліку осіб, щодо яких застосовано спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до Закону України "Про санкції";
мати чинний сертифікат "Провідний аудитор інформаційних технологій (з кібербезпеки)", "Провідний аудитор систем менеджменту інформаційної безпеки" або "Керівник команди з аудиту систем менеджменту інформаційної безпеки" відповідно до вимог професійного стандарту "Аудитор інформаційних технологій (з кібербезпеки)", виданий Кваліфікаційним центром або Органом із сертифікації персоналу.
2. Підтвердженням досвіду роботи у сфері інформаційної безпеки та/або інформаційних систем є відомості про виконання не менше ніж 4 проєктів з внутрішнього або незалежного аудиту інформаційної безпеки за останні 2 роки.
3. Вимоги до заявника, який є юридичною особою:
перебувати у трудових відносинах не менше ніж з 3 аудиторами інформаційної безпеки, які пройшли атестацію згідно з цими Вимогами та включені до Переліку;
мати спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею;
не бути включеним до переліку осіб, щодо яких застосовано спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до Закону України "Про санкції";
мати атестат про акредитацію, виданий Національним агентством з акредитації України відповідно до ДСТУ EN ISO/IEC 17021-1:2017 "Оцінка відповідності. Вимоги до органів, які здійснюють аудит і сертифікацію систем управління. Частина 1. Вимоги" та ДСТУ EN ISO/IEC 27006:2022 "Інформаційні технології. Методи захисту. Вимоги до органів, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою".
III. Порядок атестації (переатестації) заявників
1. З метою проходження атестації (переатестації) та включення до Переліку заявник, який є фізичною особою, надсилає до Адміністрації Держспецзв'язку такі документи:
1) заповнену Заяву про проходження атестації та включення до Переліку аудиторів інформаційної безпеки на об'єктах критичної інфраструктури (для фізичних осіб), форма якої наведена у додатку 1 до цих Вимог;
2) документи, що підтверджують відповідність заявника вимогам, визначеним у пункті 1 розділу II цих Вимог, а саме:
копію витягу з інформаційно-аналітичної системи "Облік відомостей про притягнення особи до кримінальної відповідальності та наявності судимості" про відсутність (наявність) судимості або обмежень, передбачених кримінальним процесуальним законодавством України;
копії 4 трудових договорів (контрактів) на проведення робіт з аудиту інформаційної безпеки, що були проведені протягом 2 календарних років до дати подання заяви;
довідку про наявність допуску до державної таємниці за формою згідно з додатком 14 до Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженого постановою Кабінету Міністрів України від 18 грудня 2013 року № 939;
витяг з Державного реєстру санкцій (далі - Реєстр), сформований в електронній формі за допомогою програмних засобів ведення Реєстру та засобів кваліфікованого електронного підпису, що містить актуальну інформацію на дату подання документів про те, що до заявника не застосовані спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до Закону України "Про санкції";
копію сертифіката "Провідний аудитор інформаційних технологій (з кібербезпеки)", "Провідний аудитор систем менеджменту інформаційної безпеки" або "Керівник команди з аудиту систем менеджменту інформаційної безпеки" відповідно до вимог професійного стандарту "Аудитор інформаційних технологій (з кібербезпеки)", виданого Кваліфікаційним центром або Органом із сертифікації персоналу.
2. З метою проходження атестації (переатестації) та включення до Переліку заявник, який є юридичною особою, надсилає такі документи:
1) заповнену Заяву про проходження атестації та включення до Переліку аудиторів інформаційної безпеки на об'єктах критичної інфраструктури (для юридичних осіб), форма якої наведена у додатку 2 до цих Вимог;
2) документи, що підтверджують відповідність заявника вимогам, визначеним у пункті 3 розділу II цих Вимог, а саме:
копії чинних сертифікатів "Провідний аудитор інформаційних технологій (з кібербезпеки)", "Провідний аудитор систем менеджменту інформаційної безпеки" або "Керівник команди з аудиту систем менеджменту інформаційної безпеки" та трудових договорів (контрактів) заявника з аудиторами, яким належать ці сертифікати;
копію спеціального дозволу на провадження діяльності, пов'язаної з державною таємницею;
витяг з Реєстру, сформований в електронній формі за допомогою програмних засобів ведення Реєстру та засобів кваліфікованого електронного підпису, що містить актуальну інформацію на дату подання документів про те, що до заявника не застосовані спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до Закону України "Про санкції";
копію атестата про акредитацію, виданого Національним агентством з акредитації України відповідно до ДСТУ EN ISO/IEC 17021-1:2017 "Оцінка відповідності. Вимоги до органів, які здійснюють аудит і сертифікацію систем управління. Частина 1. Вимоги" та ДСТУ EN ISO/IEC 27006:2022 "Інформаційні технології. Методи захисту. Вимоги до органів, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою".
3. Заява з відповідними документами подаються заявником до Адміністрації Держспецзв'язку в паперовій або електронній формі. Електронна пошта для надсилання документів заявником вказана на офіційному вебсайті Держспецзв'язку в розділі "Незалежний аудит інформаційної безпеки на об'єктах критичної інфраструктури".
4. Документи, які надаються заявником на розгляд, повинні відповідати таким вимогам:
заява має бути викладена державною мовою;
документи, викладені іноземною мовою, повинні бути перекладені на державну мову із засвідченням вірності перекладу з однієї мови на іншу в установленому законодавством порядку;
у разі надсилання заяви з відповідними документами в паперовій формі вони повинні бути засвідчені в порядку встановленому чинним законодавством;
у разі надсилання заяви з відповідними документами в електронній формі вони повинні бути засвідчені за допомогою накладання кваліфікованого електронного підпису та/або електронної печатки;
заява та документи до неї повинні містити повну та достовірну інформацію, передбачену цими Вимогами.
5. Адміністрація Держспецзв'язку погоджує зі Службою безпеки України атестацію (переатестацію) заявника шляхом надання до Служби безпеки України копій документів, передбачених пунктами 1, 2 цього розділу, для перевірки заявника на предмет його сприяння діяльності іноземної держави, іноземної організації чи їх представників, що може завдати шкоди інтересам національної безпеки України, або інші його дії, які створюють реальні та/або потенційні загрози національним інтересам та безпеці.
Про прийняте рішення Служба безпеки України повідомляє Адміністрацію Держспецзв'язку протягом десяти робочих днів з дня отримання відповідного листа.
6. Підставами для прийняття рішення (оформленого наказом) щодо непроходження атестації заявником є:
невідповідність заявника вимогам, встановленим у пунктах 1, 3 розділу II цих Вимог;
невідповідність документів вимогам, встановленим у пункті 4 цього розділу;
подання документів або відомостей, визначених пунктами 1, 2 цього розділу, не в повному обсязі;
не підтверджена (не може бути підтверджена) достовірність наданих документів;
отримання від Служби безпеки України повідомлення про прийняте рішення щодо непогодження атестації заявника.
IV. Прийняття рішення (оформленого наказом) про успішне проходження атестації заявника та включення його до Переліку
1. У разі відповідності поданої заяви та документів вимогам, що встановлені цими Вимогами, та з урахуванням повідомлення Служби безпеки України щодо погодження атестації (переатестації) заявника Адміністрація Держспецзв'язку протягом 15 робочих днів з дати отримання заяви приймає рішення (оформлене наказом) про успішне проходження атестації та включення заявника до Переліку та вносить відповідні зміни до Переліку на основі цього рішення протягом 5 робочих днів з дати прийняття рішення.
Повідомлення заявника про успішне проходження атестації та включення його до Переліку відбувається протягом 5 робочих днів з дати прийняття рішення шляхом надсилання листа на електронну пошту заявника.
2. У випадку прийняття рішення (оформленого наказом) щодо непроходження атестації заявником Адміністрація Держспецзв'язку протягом 5 робочих днів з дати прийняття такого рішення повідомляє його про підстави, за наявності яких йому було відмовлено, шляхом надсилання листа на його електронну пошту.
Після усунення підстав, за наявності яких було прийнято рішення про непроходження атестації заявником, він може повторно подати документи до Адміністрації Держспецзв'язку відповідно до порядку атестації, встановленого цими Вимогами.
3. Після успішного проходження атестації та включення фізичної особи до Переліку вона зобов'язана щороку до 1 лютого надсилати до Адміністрації Держспецзв'язку інформацію про чинний допуск до державної таємниці, чинний сертифікат "Провідний аудитор інформаційних технологій (з кібербезпеки)", "Провідний аудитор систем менеджменту інформаційної безпеки" або "Керівник команди з аудиту систем менеджменту інформаційної безпеки".
4. Після успішного проходження атестації та включення юридичної особи до Переліку вона зобов'язана щороку до 1 березня надсилати до Адміністрації Держспецзв'язку інформацію про чинний спеціальний дозвіл на провадження діяльності, пов'язаної з державною таємницею, чинні сертифікати аудиторів інформаційної безпеки та трудові договори (контракти) з аудиторами, яким належать ці сертифікати.
5. У разі зміни інформації, що міститься в документах, які аудитор інформаційної безпеки подав до Адміністрації Держспецзв'язку для проходження атестації відповідно до пунктів 1 та 2 розділу III цих Вимог, він зобов'язаний надати інформацію про зміни до Адміністрації Держспецзв'язку впродовж 30 календарних днів з дати виникнення такої зміни.
V. Виключення аудиторів інформаційної безпеки з Переліку та їх переатестація
1. Рішення (оформлене наказом) про скасування права на проведення незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури та виключення фізичної особи з Переліку приймається у разі:
застосування щодо особи заходів забезпечення кримінального провадження, передбачених Кримінальним процесуальним кодексом України, та у разі ухвалення судом обвинувального вироку за вчинення кримінального правопорушення. Дані про фізичну особу в Переліку відновлюються у разі закриття кримінального провадження без оголошення вироку або набрання виправдувальним вироком законної сили;
порушення аудитором інформаційної безпеки законодавства у сфері захисту інформації та кібербезпеки, що підтверджено рішенням суду, що набрало законної сили;
зміни особистої інформації, інформації щодо чинного сертифіката "Провідний аудитор інформаційних технологій (з кібербезпеки)", "Провідний аудитор систем менеджменту інформаційної безпеки" або "Керівник команди з аудиту систем менеджменту інформаційної безпеки", що призвело до невиконання вимог, визначених пунктом 1 розділу II цих Вимог;
скасування або закінчення строку дії допуску до державної таємниці;
отримання від Служби безпеки України повідомлення з пропозицією щодо виключення аудитора інформаційної безпеки з Переліку у зв'язку з його сприянням діяльності іноземної держави, іноземної організації чи їх представників, що може завдати шкоди інтересам національної безпеки України, або іншими діями аудитора інформаційної безпеки, які створюють реальні та/або потенційні загрози національним інтересам та безпеці;
отримання заяви у довільній формі від аудитора інформаційної безпеки про припинення діяльності аудитора інформаційної безпеки на об'єктах критичної інфраструктури за власним бажанням.
2. Рішення (оформлене наказом) про скасування права на проведення незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури та виключення юридичної особи з Переліку приймається у разі:
порушення юридичною особою вимог законодавства у сфері захисту інформації та кібербезпеки, що підтверджено рішенням суду, що набрало законної сили;
зміни інформації щодо трудових відносин з аудиторами інформаційної безпеки, що призвело до невиконання юридичною особою вимог, визначених пунктом 3 розділу II цих Вимог;
скасування або закінчення строку дії атестата про акредитацію, виданого Національним агентством з акредитації України відповідно до ДСТУ EN ISO/IEC 17021-1:2017 "Оцінка відповідності. Вимоги до органів, які здійснюють аудит і сертифікацію систем управління. Частина 1. Вимоги" та ДСТУ EN ISO/IEC 27006:2022 "Інформаційні технології. Методи захисту. Вимоги до органів, які надають послуги з аудиту і сертифікації систем управління інформаційною безпекою";
скасування або закінчення строку дії спеціального дозволу на провадження діяльності, пов'язаної з державною таємницею;
отримання від Служби безпеки України повідомлення з пропозицією щодо виключення аудитора інформаційної безпеки з Переліку у зв'язку з його сприянням діяльності іноземної держави, організації чи їх представникам, що може завдати шкоди інтересам національної безпеки України, або іншими діями аудитора інформаційної безпеки, які створюють реальні та/або потенційні загрози національним інтересам та безпеці;
отримання заяви у довільній формі від аудитора інформаційної безпеки про припинення діяльності аудитора інформаційної безпеки на об'єктах критичної інфраструктури за власним бажанням.
3. У разі виключення аудитора інформаційної безпеки з Переліку для проходження переатестації, поновлення права на проведення незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури та включення його до Переліку він повинен подати до Адміністрації Держспецзв'язку документи відповідно до положень розділу III цих Вимог.
| Директор Департаменту державного контролю у сфері захисту інформації Адміністрації Держспецзв'язку | Олег БОНДАРЕНКО |
Додаток 1
до Вимог до аудиторів інформаційної безпеки на об'єктах критичної інфраструктури та порядку їх атестації (переатестації)
(підпункт 1 пункту 1 розділу III)
Заява
про проходження атестації та включення до Переліку аудиторів інформаційної безпеки на об'єктах критичної інфраструктури (для фізичних осіб)
| ____________ (дата) | ______________________ (підпис) |
____________
Додаток 2
до Вимог до аудиторів інформаційної безпеки на об'єктах критичної інфраструктури та порядку їх атестації (переатестації)
(підпункт 1 пункту 2 розділу III)
Заява
про проходження атестації та включення до Переліку аудиторів інформаційної безпеки на об'єктах критичної інфраструктури (для юридичних осіб)
| Керівник юридичної особи | ______________ (підпис) | ___________________________ (власне ім'я, прізвище) |
| "___" ____________ 20__ року | ||
____________