В проєкті Держспецзв’язку по аудиту інформбезпеки є корупційні ризики, – НАЗК
11.11.2020   //  

НАЗК виявило корупційні ризики у проєкті постанови про аудит інформаційної безпеки на об’єктах критичної інфраструктури, повідомила «Ліга антитрасту».

Національне агентство з питань запобігання корупції провело антикорупційну експертизу проєкту постанови Кабінету Міністрів «Деякі питання проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури», розробленого Адміністрацією Держспецзв’язку.

Проєктом впроваджується аудит інформаційної безпеки на об’єктах критичної інфраструктури з метою отримання об’єктивної оцінки стану захищеності інформації та її відповідності встановленим національним та міжнародним стандартам.

За результатом НАЗК повідомило, що проєкт містить корупціогенні фактори та потребує доопрацювання, а саме:

Створюється широка площина для реалізації корупційних схем за рахунок розширення повноважень Держспецзв’язку щодо ведення переліку атестованих аудиторів інформаційної безпеки, не урегульованості порядку внесення аудиторів до переліку, його адміністрування, не визначення вимог до аудиторів, їх атестації та переатестації.

Передчасним та обтяжливим для компаній є обов’язок за власний кошт проводити раз на два роки аудит на всіх об’єктах критичної інфраструктури без визначення критеріїв настання негативних наслідків.

Встановлені непрозорі вимоги до змісту звіту за результатами аудиту, що сприятиме виникненню корупційних ризиків та зловживань з боку чиновників.

Порушує принцип юридичної визначеності та є джерелом корупційного ризику невизначеність терміну «інформаційна безпека», а також стандартів вимог до стану інформаційної безпеки на об’єктах.

Низка положень проєкту постанови суперечать нормам Закону України «Про основні засади забезпечення кібербезпеки України». Проєктом передбачено, що вимоги до проведення аудиту не застосовуються до мікро- та малих підприємств, які надають телекомунікаційні послуги. Натомість Законом визначено, що до об’єктів критичної інфраструктури можуть бути віднесені підприємства, установи та організації незалежно від форми власності.

«Для України, яка щорічно піддається численним кібератакам, в тому числі на об’єкти критичної інфраструктури, правове регулювання системи захисту і стійкості критичної інфраструктури є перезрілим питанням. Тому, такі нормативні ініціативи мають бути направлені на врегулювання сфери критичної інфраструктури, попередження та захисту інформації від можливих кіберзагроз, а також унеможливлення реалізації будь-яких корупційних схем у цій сфері», – відмітили у «Лізі антитрасту».