Аудити відповідності для АЗС: з чого почати підготовку

28 липня 2025 р. 10:49

28 липня 2025 р. 10:49

Автозаправні станції (АЗС) офіційно визнані об’єктами критичної інфраструктури (ОКІ) згідно із Законом України «Про критичну інфраструктуру». Це означає, що до операторів таких об’єктів висуваються конкретні вимоги у сфері інформаційної та кібербезпеки. Одним із ключових елементів контролю дотримання цих вимог є проведення незалежних аудитів відповідності.

Аудити дозволяють вчасно виявити слабкі місця, мінімізувати ризики зупинки роботи АЗС, підготуватись до перевірок і забезпечити злагодженість бізнес-процесів у кризових ситуаціях. Саме з цим допомагає компанія IT Specialist — системний інтегратор, що працює на ринку з 2014 року.

Що таке аудит відповідності?

Аудит відповідності у сфері інформаційної безпеки — це комплексна перевірка відповідності ІТ-інфраструктури, політик, процедур та документації об’єкта чинним законодавчим вимогам, галузевим стандартам та міжнародним нормативам (зокрема ISO 27001, ISO 27005, NIST, постановам КМУ, нормативам Держспецзв’язку, Міненерго тощо).

Законодавчі вимоги: що потрібно знати?

Згідно з Постановою КМУ №257, ОКІ повинні:

• мати визначену модель загроз і оцінку ризиків;
• впровадити систему управління інформаційною безпекою;
• здійснювати категоризацію об’єктів та визначати рівні критичності;
• розробити та затвердити план реагування на кіберінциденти;
• забезпечити моніторинг подій інформаційної безпеки;
• проводити незалежний аудит не рідше одного разу на три роки або після серйозного інциденту.

Підготовка до аудиту: ключові етапи

Перед початком формального аудиту доцільно провести внутрішню підготовчу роботу. Це дозволяє зменшити обсяг зауважень з боку зовнішніх аудиторів та підвищити готовність до перевірок з боку державних органів.

1. Визначення відповідальних осіб та команди

Створення робочої групи, яка координуватиме процес підготовки. У її склад мають входити представники служби безпеки, ІТ-відділу, операційного підрозділу та керівництва АЗС або мережі.

2. Аналіз поточного стану систем безпеки

Проведення базової самооцінки або попереднього аудиту для фіксації поточного рівня відповідності. На цьому етапі можна залучити зовнішнього консультанта, зокрема компанії, які мають досвід з ОКІ, наприклад, IT Specialist.

3. Перевірка документальної бази

Необхідно оновити та систематизувати документи:

• політику інформаційної безпеки;
• положення про управління доступом;
• процедури реагування на інциденти;
• плани аварійного відновлення;
• журнал інцидентів та заходів реагування;
• результати попередніх аудитів (якщо були).

4. Категоризація об’єктів та оцінка ризиків

Потрібно провести формальну категоризацію об’єктів АЗС відповідно до рівня їх критичності. Для цього використовується методологія оцінки ризиків (ISO/IEC 27005, NIST SP 800-30).

5. Аналіз підрядників та постачальників

Згідно з принципом Zero Trust і вимогами до ланцюга постачання, необхідно перевірити, наскільки надійні ІТ-підрядники, хмарні провайдери, оператори зв’язку тощо. Особливу увагу слід приділити наявності договорів із зазначенням вимог щодо інформаційної безпеки.

6. Перевірка технічних засобів захисту

Йдеться про:

• налаштування міжмережевих екранів, WAF;
• наявність антивірусного та EDR-рішень;
• контроль вразливостей (vulnerability scanning);
• сегментацію мережі АЗС;
• журналювання та моніторинг (SIEM або аналогічні системи).

7. Проведення навчання для персоналу

Працівники мають бути ознайомлені з правилами поводження з ІТ-системами, розпізнавання фішингових повідомлень та алгоритмом дій у разі кіберінциденту.

Роль зовнішнього аудитора

Зовнішній аудитор — незалежна організація або експертна компанія, що проводить аудит відповідно до методології, затвердженої в Україні.

Компанія IT Specialist має досвід у сфері кіберзахисту об’єктів критичної інфраструктури, зокрема АЗС, і може надати повний цикл послуг: аудит за ISO 27001, тестування на проникнення (pentest), впровадження плану реагування та побудову SOC-рішень. Звертайтеся до фахівців , щоб дізнатися про доступні рішення більше.

Політика