Tazabek — Кабинет министров утвердил порядок проведения аудита кибербезопасности (постановление №716 от 4 ноября 2025 года).
Документ определяет правила внутренних, государственных и независимых аудитов для объектов критической информационной инфраструктуры (КИИ) и государственной информационной инфраструктуры (ГИИ).
Постановление вступает в силу через 15 дней после официального опубликования в газете «Эркин Тоо» №85 от 7 ноября 2025 года.
Глава 1. Общие положения
1. Порядок проведения аудита кибербезопасности (далее — Порядок) устанавливает порядок проведения внутреннего, государственного и независимого аудитов кибербезопасности объектов критической информационной инфраструктуры (далее — КИИ) и объектов информационной инфраструктуры государственных органов, органов местного самоуправления, государственных предприятий и учреждений, а также хозяйственных обществ с государственной долей участия более 50 процентов, не относящихся к объектам критической информационной инфраструктуры, то есть объектов государственной информационной инфраструктуры (далее — ГИИ) Кыргызской Республики.
Направление документов, предусмотренных настоящим Порядком, осуществляется в электронном виде посредством системы электронного документооборота (а в случае ее отсутствия осуществляется в бумажном виде с приложением электронного варианта документов), за исключением отчетов о результатах проведения внутреннего и независимого аудитов кибербезопасности, актов о результатах государственного аудита кибербезопасности и иных документов ограниченного доступа, которые направляются исключительно в бумажном виде с приложением электронного варианта документов при необходимости.
2. Внутренний аудит кибербезопасности в обязательном порядке осуществляется на объектах КИИ и ГИИ не реже одного раза в год субъектами КИИ и ГИИ самостоятельно согласно их организационно-распорядительным документам на соответствие законодательству и стандартам в сфере обеспечения кибербезопасности.
Экземпляр отчета о результатах проведения внутреннего аудита кибербезопасности направляется субъектами КИИ в уполномоченный государственный орган в сфере обеспечения кибербезопасности, а субъектами ГИИ в уполномоченный государственный орган в области цифровизации.
3. Государственные органы, уполномоченные на проведение государственного аудита кибербезопасности (далее — уполномоченные государственные органы):
— уполномоченный государственный орган в сфере обеспечения кибербезопасности, осуществляющий государственный аудит кибербезопасности объектов КИИ;
— уполномоченный государственный орган в области цифровизации, осуществляющий государственный аудит кибербезопасности объектов ГИИ.
4. Независимый аудит кибербезопасности объектов КИИ и ГИИ осуществляется на соответствие требованиям законодательства и стандартам в сфере обеспечения кибербезопасности.
Решение о проведении независимого аудита кибербезопасности объектов КИИ и ГИИ принимается субъектами КИИ и ГИИ самостоятельно.
Независимый аудит кибербезопасности на объектах КИИ и ГИИ проводится аккредитованными юридическими лицами, осуществляющими деятельность по проведению независимого аудита кибербезопасности согласно методике проведения аудита кибербезопасности, утвержденной внутренним актом юридического лица.
В случае принятия решения субъектами КИИ или ГИИ о проведении независимого аудита кибербезопасности ими направляется уведомление в адрес соответствующего уполномоченного государственного органа с указанием наименования привлекаемого аккредитованного юридического лица, осуществляющего деятельность по проведению независимого аудита кибербезопасности.
Экземпляр отчета о результатах проведения независимого аудита кибербезопасности объектов КИИ и ГИИ направляется субъектами КИИ и ГИИ в соответствующие уполномоченные государственные органы.
5. Государственный аудит подразделяется на плановый государственный аудит кибербезопасности (далее — плановый аудит) и внеплановый государственный аудит кибербезопасности (далее — внеплановый аудит), сроки проведения которых составляют не более тридцати рабочих дней с даты фактического начала проведения аудита, фиксируемого в акте планового и внепланового аудитов.
В случае проведения государственного аудита в отношении нескольких объектов КИИ, принадлежащих одному субъекту КИИ, которые расположены в разных административно-территориальных единицах, срок проведения устанавливается отдельно по каждому объекту КИИ.
Отчеты о результатах проведения внутреннего и независимого аудитов кибербезопасности, а также акты о результатах государственного аудита кибербезопасности являются документами ограниченного доступа и не подлежат публичному распространению.
Глава 2. Плановый аудит
6. Целью планового аудита является оценка соответствия субъектов КИИ и ГИИ требованиям по обеспечению кибербезопасности.
Плановый аудит объектов КИИ осуществляется с учетом их категории значимости, присваиваемой в порядке установленном постановлением Кабинета Министров Кыргызской Республики «Об утверждении Положения о порядке категорирования объектов критической информационной инфраструктуры Кыргызской Республики и Перечня показателей критериев значимости объектов критической информационной инфраструктуры Кыргызской Республики» от 29 ноября 2024 года № 716. Для объектов первой категории проверка проводится не реже одного раза в два года, второй категории не реже одного раза в три года, третьей категории не реже одного раза в четыре года, с возможностью корректировки сроков в зависимости от приоритетов и доступных ресурсов.
Плановый аудит объектов ГИИ осуществляется, в зависимости от их значимости, согласно ежегодному плану проведения аудита объектов ГИИ.
7. Ежегодный план проведения планового аудита утверждается руководителями уполномоченных государственных органов до истечения года, предшествующего году проведения плановой проверки.
8. Ежегодный план проведения планового аудита содержит следующую информацию:
1) сведения о субъектах и объектах КИИ и ГИИ;
2) дата и период проведения последнего планового и внепланового аудитов;
3) результаты последнего планового и внепланового аудитов.
9. О проведении планового аудита субъекты КИИ и ГИИ уведомляются уполномоченными государственными органами не позднее чем за три рабочих дня до начала его проведения.
10. Основанием для осуществления планового аудита объектов КИИ является истечение одного года со дня получения субъектом информационной инфраструктуры уведомления об отнесении объекта информационной инфраструктуры к объекту КИИ и присвоении ему соответствующей категории значимости, а также наличие субъекта КИИ в утвержденном ежегодном плане проведения планового аудита уполномоченного государственного органа.
11. Основанием для осуществления планового аудита объектов ГИИ является наличие субъекта ГИИ в утвержденном ежегодном плане проведения планового аудита уполномоченного государственного органа.
Глава 3. Внеплановый аудит
12. Целью внепланового аудита является оценка соответствия субъектов КИИ и ГИИ требованиям по обеспечению кибербезопасности, а также контроль за исполнением субъектами КИИ и ГИИ заключений о результатах планового и внепланового аудитов (далее — заключение), предписаний уполномоченных государственных органов по устранению ранее выявленных нарушений требований по обеспечению кибербезопасности (далее — предписание) и возникновение киберинцидентов на объекте КИИ.
13. Основаниями для осуществления внепланового аудита объектов КИИ являются:
1) истечение срока исполнения субъектом КИИ выданного уполномоченным государственным органом заключения или предписания;
2) нарушение функционирования объекта КИИ вследствие кибератаки или киберинцидента.
14. Основаниями для осуществления внепланового аудита объектов ГИИ являются:
1) истечение срока исполнения субъектом ГИИ выданного уполномоченным государственным органом заключения или предписания;
2) нарушение функционирования объекта ГИИ вследствие кибератаки или киберинцидента.
15. В случае если внеплановый аудит проводится на основании, указанном в подпункте 2 пунктов 13, 14 настоящего Порядка, уполномоченные государственные органы вправе приступить к проведению внепланового аудита незамедлительно.
16. Внеплановый аудит проводится по предварительному уведомлению уполномоченных государственных органов.
Глава 4. Проведение планового и внепланового аудитов
17. Плановый аудит проводится по месту нахождения субъектов и объектов КИИ и ГИИ и состоит из:
1) установления сроков проведения планового аудита с учетом сроков, предусмотренных пунктом 5 настоящего Порядка;
2) составления перечня объектов КИИ или ГИИ и определения критичности их компонентов для непрерывной работы объектов КИИ или ГИИ, а также определения приоритетов планового аудита;
3) сбора необходимых организационно-распорядительных документов;
4) получения разъяснения и подтверждения в устной и письменной форме по возникшим в ходе проведения аудита вопросам у ответственных сотрудников субъектов КИИ и ГИИ;
5) выполнения сканирования объектов КИИ и ГИИ на наличие уязвимостей и оценки текущего состояния защищенности;
6) проведения тестов на проникновение объектов КИИ и ГИИ;
7) анализа конфигураций и системных журналов;
8) составления заключения с результатами планового аудита и разработки рекомендаций для устранения уязвимостей, а также установления сроков их исполнения;
9) контроля исполнения рекомендаций и проверки на эффективность принятых мер.
18. Внеплановый аудит субъектов и объектов КИИ и ГИИ проводится по основаниям, предусмотренным пунктами 13, 14 настоящего Порядка, в пределах выявленных уязвимостей и/или нарушений.
19. Плановый и внеплановый аудиты начинаются с обязательного ознакомления руководства субъектов КИИ или ГИИ с уведомлением о проведении соответствующего аудита и предъявления служебного удостоверения должностных лиц уполномоченных государственных органов.
20. Руководство субъектов КИИ или ГИИ обязано предоставить должностным лицам уполномоченных государственных органов, осуществляющим аудит, необходимые документы и беспрепятственный доступ к объектам КИИ или ГИИ.
21. Для оценки эффективности принимаемых мер во исполнение требований по обеспечению кибербезопасности должностными лицами уполномоченных государственных органов используются соответствующие программные и аппаратно-программные средства.
Глава 5. Права должностных лиц уполномоченных государственных органов при проведении планового и внепланового аудитов
22. При проведении планового и внепланового аудитов должностные лица уполномоченных государственных органов имеют следующие права:
1) запрашивать необходимые документы, относящиеся к предмету планового и внепланового аудитов, а также получать доступ к объектам КИИ и ГИИ;
2) получать разъяснения и подтверждения в устной и письменной форме по возникшим в ходе проведения аудита вопросам у ответственных сотрудников субъектов КИИ и ГИИ;
3) проводить тестирование на проникновение в объекты информационной инфраструктуры;
4) вносить предписание.
Глава 6. Ограничения при проведении планового и внепланового аудитов
23. При проведении планового и внепланового аудитов должностные лица уполномоченных государственных органов не вправе:
1) требовать представления документов и информации, если они не относятся к предмету планового и внепланового аудитов, а также изымать оригиналы таких документов;
2) превышать установленные сроки проведения планового и внепланового аудитов;
3) распространять информацию, полученную в результате проведения планового и внепланового аудитов;
4) нарушать функционирование объектов КИИ и ГИИ.
Глава 7. Обязанности должностных лиц уполномоченных государственных органов при проведении планового и внепланового аудитов
24. Должностные лица уполномоченных государственных органов при проведении планового и внепланового аудитов обязаны:
1) соблюдать права и законные интересы субъектов КИИ и ГИИ;
2) проводить проверку после направления соответствующего уведомления субъектам КИИ и ГИИ;
3) предъявлять служебные удостоверения;
4) не препятствовать представителям субъектов КИИ и ГИИ присутствовать при проведении планового и внепланового аудитов;
5) направлять акт о результатах плановых и внеплановых аудитов в адрес субъектов КИИ и ГИИ;
6) соблюдать сроки проведения плановых и внеплановых аудитов, установленные настоящим Порядком.
Глава 8. Порядок оформления результатов планового и внепланового аудитов
25. По результатам планового и внепланового аудитов должностными лицами уполномоченных государственных органов составляется акт не позднее десяти рабочих дней.
26. Форма акта планового и внепланового аудитов утверждается уполномоченными государственными органами.
27. В акте планового и внепланового аудитов указываются:
1) дата и место составления акта;
2) дата и номер уведомления уполномоченных государственных органов о проведении планового или внепланового аудитов;
3) продолжительность и место проведения планового или внепланового аудитов;
4) сведения о субъектах и объектах КИИ или ГИИ;
5) сведения о лицах, эксплуатирующих объекты КИИ или ГИИ, обеспечивающих их функционирование (сопровождение, обслуживание, ремонт), а также обеспечивающих их кибербезопасность;
6) фамилии, имена, отчества и должности лиц, ответственных за проведение плановых или внеплановых аудитов, руководителя субъекта КИИ или ГИИ и уполномоченных им должностных лиц, задействованных при проведении планового или внепланового аудитов;
7) подписи должностных лиц уполномоченных государственных органов, ответственных за проведение плановых или внеплановых аудитов, а также руководителя субъекта КИИ или ГИИ и уполномоченных им должностных лиц, задействованных при проведении планового или внепланового аудитов;
8) обобщенные сведения о текущем состоянии кибербезопасности объектов КИИ или ГИИ и их соответствия требованиям законодательства в сфере обеспечения кибербезопасности.
28. Акт планового или внепланового аудитов оформляется в двух экземплярах, один из которых предназначен для субъекта КИИ или ГИИ, а второй экземпляр для уполномоченных государственных органов.
29. На основании акта планового или внепланового аудитов уполномоченные государственные органы направляют субъектам КИИ или ГИИ заключение не позднее тридцати рабочих дней, которое является неотъемлемой частью акта планового или внепланового аудитов.
30. Заключение содержит информацию о состоянии объектов КИИ или ГИИ и их соответствия требованиям по обеспечению кибербезопасности, а также о результатах мероприятий, проведенных с использованием программных и аппаратно-программных средств.
В случае выявления уязвимостей объектов КИИ или ГИИ уполномоченные государственные органы включают в заключение рекомендации по их устранению.
Рекомендации уполномоченных государственных органов подлежат исполнению в срок не более тридцати рабочих дней с момента их получения. Об их исполнении в письменной форме сообщается уполномоченному государственному органу, направившему рекомендации.
В случае неисполнения рекомендаций в сроки предусмотренные настоящим пунктом субъект КИИ или ГИИ может однократно направить мотивированное письмо уполномоченному государственному органу, направившему рекомендации с приложением подтверждающих документов, для продления срока исполнения.
Глава 9. Меры, принимаемые должностными лицами уполномоченных государственных органов, в отношении фактов нарушения требований по обеспечению кибербезопасности
31. В случае неисполнения заключения должностные лица уполномоченных государственных органов обязаны:
1) внести предписание с указанием срока его исполнения, который устанавливается в том числе с учетом утвержденных и представленных субъектом КИИ или ГИИ программ (планов) по модернизации (дооснащению) объектов КИИ или ГИИ;
2) принять меры по контролю за устранением выявленных нарушений, их предупреждению и предотвращению.
32. Предписания уполномоченных государственных органов подлежат исполнению в срок не более тридцати рабочих дней с момента их получения. Об исполнении предписания направляется уведомление уполномоченному государственному органу, внесшему предписание.
В случае неисполнения предписания в сроки предусмотренные настоящим пунктом субъект КИИ или ГИИ может единожды направить мотивированное письмо уполномоченному государственному органу, внесшему предписание с приложением подтверждающих документов, для продления срока исполнения, но не более чем на девяносто дней.
Глава 10. Права, обязанности и ответственность субъектов КИИ и ГИИ
33. Руководители субъектов КИИ и ГИИ имеют право:
1) получать информацию от уполномоченных государственных органов, которая относится к предмету планового или внепланового аудитов;
2) знакомиться с результатами планового или внепланового аудитов.
34. Руководители субъектов КИИ и ГИИ обязаны:
1) определить должностные лица, которые будут содействовать в проведении планового и внепланового аудитов и давать пояснения по необходимым вопросам;
2) предоставить должностным лицам уполномоченных государственных органов, проводящим плановый и внеплановый аудиты, возможность ознакомиться с необходимыми документами;
3) обеспечить с учетом требований пропускного режима беспрепятственный доступ проводящих плановый и внеплановый аудиты должностных лиц на территорию проверяемого объекта КИИ или ГИИ;
4) принимать меры по устранению выявленных критических нарушений и уязвимостей на местах;
5) исполнять заключения уполномоченных государственных органов;
6) исполнять предписания уполномоченных государственных органов.
35. В случае несогласия с фактами, изложенными в заключении и/или предписании, руководители субъектов КИИ или ГИИ вправе направить в течение пятнадцати дней с даты получения заключения и/или предписания в уполномоченные государственные органы возражения в отношении заключения и/или предписания. При этом руководители субъектов КИИ или ГИИ вправе приложить к возражениям документы, подтверждающие обоснованность таких возражений, или их заверенные копии.
36. Возражения, поступившие в уполномоченные государственные органы в соответствии с их компетенцией, рассматриваются в течение четырнадцати рабочих дней со дня их регистрации.
37. В случае если для рассмотрения возражения субъекта КИИ или ГИИ необходимо проведение дополнительной проверки (экспертизы) истребование дополнительных материалов либо принятие других мер, сроки рассмотрения возражения могут быть продлены, но не более чем на тридцать календарных дней. Решение о продлении сроков рассмотрения возражения принимается уполномоченными государственными органами с уведомлением об этом субъекта КИИ или ГИИ.
38. По итогам рассмотрения возражения принимается одно из следующих решений:
1) о полном или частичном его удовлетворении;
2) об отказе в его удовлетворении.
39. Лица, допустившие нарушение положений настоящего Порядка, несут ответственность в соответствии с законодательством Кыргызской Республики.
За последними событиями следите через наш Твиттер @tazabek
По сообщению сайта Tazabek