Про затвердження Порядку проведення моніторингу рівня безпеки об’єктів критичної інфраструктури
Відповідно до частини четвертої статті 23 Закону України “Про критичну інфраструктуру” Кабінет Міністрів України постановляє:
Затвердити Порядок проведення моніторингу рівня безпеки об’єктів критичної інфраструктури, що додається.
ПОРЯДОК
проведення моніторингу рівня безпеки об’єктів критичної інфраструктури
1. Цей Порядок визначає механізм проведення моніторингу рівня безпеки об’єктів критичної інфраструктури та його періодичність.
Метою проведення моніторингу є встановлення відповідності стану захищеності об’єкта критичної інфраструктури вимогам законодавства, достовірності наданої інформації визначеним суб’єктам національної системи захисту критичної інфраструктури, надання методичної допомоги операторам об’єктів критичної інфраструктури в удосконаленні системи захисту критичної інфраструктури.
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законі України “Про критичну інфраструктуру”.
3. Моніторинг передбачає здійснення заходів, спрямованих на отримання, узагальнення, оброблення, збереження та проведення аналізу інформації про фактичний стан захищеності об’єкта критичної інфраструктури, дотримання вимог законодавства у сфері критичної інфраструктури, здійснення контролю за ризиками безпеки та удосконалення заходів, які здійснюються для забезпечення безпеки та стійкості об’єкта критичної інфраструктури, а також на визначення перспектив подальшого функціонування і розвитку національної системи захисту критичної інфраструктури.
4. Проведення моніторингу здійснюється шляхом проведення один раз на три роки оцінки стану захищеності об’єктів критичної інфраструктури (далі - оцінка стану захищеності) секторальними та функціональними органами у сфері захисту критичної інфраструктури (далі - суб’єкти моніторингу) відповідно до їх повноважень, визначених Законом України “Про критичну інфраструктуру”.
5. Оцінка стану захищеності проводиться відповідно до річного плану, що складається суб’єктами моніторингу до 15 грудня року, що передує плановому періоду, та враховує результати моніторингу за поточний рік.
Такий план надсилається до 30 грудня року, що передує плановому періоду, уповноваженому органу у сфері захисту критичної інфраструктури, а до 1 лютого року, наступного за плановим періодом, суб’єкти моніторингу інформують уповноважений орган про результати його виконання.
Витяги з річного плану проведення оцінки стану захищеності надсилаються операторам критичної інфраструктури у частині, що їх стосується, не пізніше ніж за 30 календарних днів до початку проведення оцінки відповідних об’єктів критичної інфраструктури.
6. Оцінка стану захищеності проводиться суб’єктом моніторингу з урахуванням специфіки функціонування об’єкта критичної інфраструктури та відповідно до розробленого ним плану, який доводиться оператору критичної інфраструктури не пізніше ніж за 15 робочих днів до початку проведення такої оцінки.
7. За результатами оцінки стану захищеності суб’єктом моніторингу не пізніше 14 робочих днів після її закінчення складається акт оцінки стану захищеності (далі - акт) за формою згідно з додатком, в якому зазначаються:
критерії оцінки стану захищеності та результати оцінки за кожним критерієм;
дані про стан захищеності об’єкта критичної інфраструктури, який визначається відповідно до критеріїв оцінки стану захищеності та оцінюється як “забезпечує”, “обмежено забезпечує”, “не забезпечує”;
дані про порушення (у разі їх наявності) вимог законодавства у сфері критичної інфраструктури, а також інші недоліки, що впливають на захищеність об’єкта критичної інфраструктури;
результати оцінки стану безпеки об’єкта критичної інфраструктури суб’єктом моніторингу;
пропозиції щодо удосконалення системи захисту об’єктів критичної інфраструктури, усунення порушень та/або недоліків (у разі їх наявності) із зазначенням строків вжиття відповідних заходів.
Критерії оцінки стану захищеності, їх показники та методику оцінки стану захищеності визначає уповноважений орган у сфері захисту критичної інфраструктури.
8. Один примірник акта залишається для постійного зберігання у суб’єкта моніторингу, по одному примірнику акта не пізніше 30 календарних днів від дня закінчення проведення оцінки стану захищеності надсилається оператору критичної інфраструктури, а також уповноваженому органу у сфері захисту критичної інфраструктури для проведення аналізу та оцінки загального стану захищеності об’єкта критичної інфраструктури.
Про результати виконання запропонованих рішень щодо удосконалення системи захисту об’єктів критичної інфраструктури, а також про вжиття заходів до усунення виявлених недоліків або порушень (у разі їх наявності) оператор критичної інфраструктури повідомляє суб’єкту моніторингу та уповноваженому органу у сфері захисту критичної інфраструктури у визначені в акті строки.
АКТ
оцінки стану захищеності об’єкта критичної інфраструктури