Госспецсвязи разработала проект постановления правительства, которым предусматривается проведение независимого аудита информационной безопасности (ИБ) на объектах критической инфраструктуры.
Целью проведения аудита является получение объективной оценки состояния защищенности ИБ и ее соответствия установленным национальным и международным стандартам, а также предоставление рекомендаций по предотвращению рисков.
Законом «Об основных принципах обеспечения кибербезопасности Украины» к объектам критической инфраструктуры отнесены предприятия, учреждения и организации в области энергетики, химической промышленности, транспорта, электронных коммуникаций, в сферах жизнеобеспечения населения, производства продуктов питания, сельского хозяйства, здравоохранения, аварийно-спасательные и экстренные службы и др.
Проектом предусмотрена обязательность проведения аудита ИБ для всех объектов критической инфраструктуры, кроме банковской системы. Он осуществляется аудитором или аудиторской фирмой в сфере ИБ. На первом этапе владельцем или руководителем объекта критической инфраструктуры инициируется встреча с аудиторами, на которой заключается договор. Администрация Госспецсвязи имеет право проводить аудит за счет государственных средств.
Во время аудита ИБ обязательно проводится тестирование на проникновение с использованием аппаратно-программных средств поиска и анализа уязвимостей. По результатам составляется отчет, который, среди прочего, должен содержать описание выявленных уязвимостей и план предотвращения рисков. Администрация Госспецсвязи имеет право предоставлять, по результатам аудита, рекомендации, выполнение которых является обязательным.
Аудит должен проводиться не чаще, чем раз в два года.
Как мы писали ранее, в Украине обнаружили кибератаки с использованием руткита (набора программных средств, обеспечивающих маскировки объектов, управление, сбор данных) UEFI для заражения компьютеров жертв. Также в нашей стране активизировался скрытый банковский троян DanaBot.
