Ви є тут

Головна

КАБIНЕТ МIНIСТРIВ УКРАЇНИ

ПОСТАНОВА
Київ

вiд 4 червня 2025 р. N 669


Про внесення змiн до Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України

     Кабiнет Мiнiстрiв України постановляє:

     Внести до Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України, затвердженого постановою Кабiнету Мiнiстрiв України вiд 3 вересня 2014 р. N 411 (Офiцiйний вiсник України, 2014 р., N 73, ст. 2066; 2018 р., N 31, ст. 1090; 2023 р., N 26, ст. 1474, N 65, ст. 3712; 2024 р., N 83, ст. 4951), змiни, що додаються.

Прем'єр-мiнiстр України Д. ШМИГАЛЬ

Iнд. 49

 

ЗАТВЕРДЖЕНО
постановою Кабiнету Мiнiстрiв України
вiд 4 червня 2025 р. N 669

ЗМIНИ,
що вносяться до Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї України

     1. Пункт 1 пiсля абзацу п'ятого доповнити абзацами такого змiсту:

     "центральним органом виконавчої влади, який забезпечує здiйснення Держспецзв'язку повноважень уповноваженого органу, що забезпечує функцiонування нацiональної системи обмiну iнформацiєю про кiберiнциденти, кiбератаки, кiберзагрози;

     центральним органом виконавчої влади, який забезпечує здiйснення Держспецзв'язку повноважень уповноваженого органу, що забезпечує функцiонування нацiональної системи реагування на кiберiнциденти, кiбератаки, кiберзагрози;".

     У зв'язку з цим абзац шостий вважати абзацом восьмим.

     2. У пунктi 4:

     1) пiдпункт 11 викласти в такiй редакцiї:

     "11) забезпечує функцiонування державної системи урядового зв'язку, її безпеки, розвитку та готовностi до роботи в особливий перiод i в разi виникнення надзвичайної ситуацiї;";

     2) доповнити пункт пiдпунктами 152 i 153 такого змiсту:

     "152) забезпечує здiйснення Держспецзв'язку передбачених Законом України "Про основнi засади забезпечення кiбербезпеки України" повноважень уповноваженого органу, що забезпечує функцiонування нацiональної системи обмiну iнформацiєю про кiберiнциденти, кiбератаки, кiберзагрози;

     153) забезпечує здiйснення Держспецзв'язку передбачених Законом України "Про основнi засади забезпечення кiбербезпеки України" повноважень уповноваженого органу, що забезпечує функцiонування нацiональної системи реагування на кiберiнциденти, кiбератаки, кiберзагрози;";

     3) абзац п'ятий пiдпункту 16 пiсля слiв "ключових документiв" доповнити словами "та державних шифрiв";

     4) пiдпункти 17 та 42 викласти в такiй редакцiї:

     "17) установлює порядок органiзацiї та проведення державної експертизи у сферi криптографiчного та технiчного захисту iнформацiї, забезпечує органiзацiю проведення державної експертизи щодо вiдсутностi у програмному забезпеченнi недокументованих функцiй, проводить експертнi та тематичнi дослiдження у сферi криптографiчного захисту iнформацiї, визначає криптографiчнi алгоритми як рекомендованi, надає допуск до експлуатацiї засобiв криптографiчного захисту iнформацiї, видає експертнi висновки за результатами державної експертизи у сферi криптографiчного захисту iнформацiї, свiдоцтва про допуск до експлуатацiї засобiв криптографiчного захисту iнформацiї, реєструє експертнi висновки за результатами державної експертизи у сферi технiчного захисту iнформацiї, декларацiї та атестати вiдповiдностi комплексних систем захисту iнформацiї;";

     "42) установлює:

     технiчнi вимоги до електронних комунiкацiйних мереж та об'єктiв спецiального зв'язку;

     порядок i забезпечує проведення експертизи iнфраструктури електронних комунiкацiй проектiв будiвництва, реконструкцiї та модернiзацiї електронних комунiкацiйних мереж, споруд спецiального зв'язку;";

     5) доповнити пункт пiдпунктом 421 такого змiсту:

     "421) затверджує до використання перелiки стандартiв, настанов, рекомендацiй, аналiтичних оглядiв та iнших документiв, розроблених та прийнятих iноземними та мiжнародними органiзацiями з питань, що належать до повноважень Держспецзв'язку, в тому числi документiв Мiжнародної органiзацiї зi стандартизацiї (ISO), Європейського комiтету зi стандартизацiї (CEN), Європейського iнституту телекомунiкацiйних стандартiв (ETSI), Мiжнародного союзу електрозв'язку (ITU), Агентства Європейського Союзу з кiбербезпеки (ENISA), Агентства з кiбербезпеки та безпеки iнфраструктури (CISA), Нацiонального iнституту стандартiв та технологiй (NIST), Органiзацiї Пiвнiчноатлантичного договору (NATO), а також визнаних зазначеними органiзацiями процедур оцiнки вiдповiдностi, у тому числi сертифiкацiї, рекомендованої для застосування у сферах органiзацiї спецiального зв'язку, криптографiчного та технiчного захисту iнформацiї, кiберзахисту;";

     6) пiдпункти 77 та 81 викласти в такiй редакцiї:

     "77) установлює порядок органiзацiї та забезпечення служби з охорони об'єктiв, примiщень, систем, мереж урядового i спецiального зв'язку, ключових документiв та державних шифрiв до засобiв криптографiчного захисту iнформацiї; ";

     "81) органiзовує вiдповiдно до законодавства пiдготовку, перепiдготовку та пiдвищення квалiфiкацiї осiб у сферах криптографiчного та технiчного захисту iнформацiї, кiберзахисту, електронних комунiкацiй та радiочастотного спектра;";

     7) в абзацi третьому пiдпункту 87 слова ", засобiв, комплексiв та систем спецiального зв'язку" виключити;

     8) пiдпункти 955 i 956 викласти в такiй редакцiї:

     "955) забезпечує методичне регулювання оцiнювання стану кiберзахисту, стану захищеностi iнформацiї, проведення оцiнювання стану кiберзахисту iнформацiйно-комунiкацiйних систем, в яких обробляються державнi iнформацiйнi ресурси, службова iнформацiя та iнформацiя, що становить державну таємницю, стану кiберзахисту об'єктiв критичної iнформацiйної iнфраструктури та об'єктiв критичної iнфраструктури;

     956) встановлює вимоги до суб'єктiв оцiнювання стану кiберзахисту щодо оцiнювання iнформацiйно-комунiкацiйних систем, в яких обробляються державнi iнформацiйнi ресурси або службова iнформацiя та iнформацiя, що становить державну таємницю, об'єктiв критичної iнформацiйної iнфраструктури;";

     9) у пiдпунктi 957 слова "урядової команди реагування на комп'ютернi надзвичайнi подiї України CERT-UA" замiнити словами "нацiональної команди реагування на кiберiнциденти, кiбератаки, кiберзагрози CERT-UA (нацiональний CSIRT)";

     10) доповнити пункт пiдпунктами 9525 - 9546 такого змiсту:

     "9525) встановлює вимоги щодо запровадження постачальниками заходiв безпеки вiдповiдно до рiвня ризику, пов'язаного з постачанням товарiв, робiт i послуг власникам або розпорядникам iнформацiйно-комунiкацiйних систем, в яких обробляються державнi iнформацiйнi ресурси або службова iнформацiя та iнформацiя, що становить державну таємницю, об'єктiв критичної iнформацiйної iнфраструктури. З метою встановлення зазначених вимог Адмiнiстрацiя Держспецзв'язку:

     визначає критерiї критичностi таких товарiв, робiт, послуг;

     встановлює порядок визначення власниками або розпорядниками iнформацiйно-комунiкацiйних систем, в яких обробляються державнi iнформацiйнi ресурси або службова iнформацiя та iнформацiя, що становить державну таємницю, об'єктiв критичної iнформацiйної iнфраструктури рiвня ризику, пов'язаного з критичнiстю таких товарiв, робiт, послуг для забезпечення функцiонування та заходiв безпеки, що вiдповiдають такому ризику;

     встановлює порядок пiдтвердження постачальниками товарiв, робiт, послуг вiдповiдностi впроваджених заходiв безпеки iнформацiї встановленим вимогам вiдповiдно до рiвня ризику, пов'язаного з постачанням товарiв, робiт, послуг;

     9526) забезпечує реалiзацiю та дотримання порядку пошуку та/або виявлення потенцiйних вразливостей в iнформацiйно-комунiкацiйних системах, в яких обробляються державнi iнформацiйнi ресурси або iнформацiя з обмеженим доступом, та на об'єктах критичної iнформацiйної iнфраструктури;

     9527) забезпечує органiзацiю та систематичне проведення консультацiй (навчань) з питань захисту iнформацiї та кiберзахисту та оцiнювання стану кiберзахисту для осiб, якi в межах своєї компетенцiї безпосередньо здiйснюють заходи iз захисту iнформацiї або кiберзахисту в органах державної влади, iнших державних органах, органах мiсцевого самоврядування, що є власниками або розпорядниками iнформацiйно-комунiкацiйних систем, в яких обробляються державнi iнформацiйнi ресурси або службова iнформацiя та iнформацiя, що становить державну таємницю, та в юридичних особах, якi є власниками або розпорядниками об'єктiв критичної iнформацiйної iнфраструктури;

     9528) розробляє та забезпечує оновлення методичних рекомендацiй щодо проведення iнструктажiв та тренiнгiв щодо кiбергiгiєни на перiод призначення на посади державних службовцiв, працiвникiв органiв державної влади та iнших державних органiв, вiйськовослужбовцiв, керiвникiв та працiвникiв державних пiдприємств, установ та органiзацiй;

     9529) надає з урахуванням професiйних стандартiв методичнi рекомендацiї щодо типових вимог до пiдроздiлiв iз кiберзахисту, загальних вимог до керiвникiв iз кiберзахисту в органах державної влади, iнших державних органах, державних установах, органiзацiях, а також до осiб, якi виконують функцiї та завдання керiвникiв iз кiберзахисту в юридичних особах щодо об'єктiв критичної iнформацiйної iнфраструктури, власниками або розпорядниками яких вони є, та в органах мiсцевого самоврядування;

     9530) забезпечує нормативно-правове регулювання вiдносин у сферах стандартизацiї криптографiчного та технiчного захисту iнформацiї, кiберзахисту, протидiї технiчним розвiдкам;

     9531) забезпечує розроблення, прийняття, внесення змiн, скасування, вiдновлення дiї, оприлюднення та запровадження стандартiв криптографiчного та технiчного захисту iнформацiї, кiберзахисту, протидiї технiчним розвiдкам у порядку, встановленому Кабiнетом Мiнiстрiв України;

     9532) призначає орган стандартизацiї криптографiчного та технiчного захисту iнформацiї, кiберзахисту, протидiї технiчним розвiдкам iз числа установ i органiзацiй Держспецзв'язку;

     9533) забезпечує реалiзацiю та методичне керiвництво авторизацiєю з безпеки, порядок проведення якої затверджується Кабiнетом Мiнiстрiв України;

     9534) затверджує порядок ведення перелiку авторизованих систем з безпеки, включення таких систем до перелiку та виключення з нього, надання доступу до зазначеного перелiку та iнформацiї з нього;

     9535) запроваджує та забезпечує функцiонування системи професiйної квалiфiкацiї за групами квалiфiкацiї у сферах захисту iнформацiї та кiберзахисту, системи оцiнювання та визнання таких квалiфiкацiй на основi вiдповiдних професiйних стандартiв, затвердження в установленому порядку вiдповiдних професiйних стандартiв, дотримання яких є обов'язковим в органах державної влади, iнших державних органах, органах мiсцевого самоврядування, державних установах, органiзацiях та якi рекомендуються до застосування на об'єктах критичної iнфраструктури;

     9536) створює та забезпечує функцiонування квалiфiкацiйного центру за групами квалiфiкацiй у сферах безпеки iнформацiї та кiберзахисту;

     9537) забезпечує функцiонування нацiональної системи реагування на кiберiнциденти, кiбератаки, кiберзагрози;

     9538) координує дiяльнiсть об'єктiв критичної iнфраструктури з питань кiберзахисту у разi введення надзвичайного або воєнного стану;

     9539) забезпечує функцiонування нацiональної системи обмiну iнформацiєю про кiберiнциденти, кiбератаки, кiберзагрози;

     9540) забезпечує функцiонування регiональних центрiв кiберзахисту;

     9541) визначає завдання iз забезпечення функцiонування нацiональної системи реагування на кiберiнциденти, кiбератаки, кiберзагрози:

     основнi завдання, що можуть бути делегованi нацiональною командою реагування на кiберiнциденти, кiбератаки, кiберзагрози CERT-UA галузевим та регiональним командам реагування на кiберiнциденти, кiбератаки, кiберзагрози, та порядок взаємодiї команд реагування з CERT-UA;

     вимоги до органiзацiйно-технiчної спроможностi, сервiсу, пов'язаного з реагуванням на кiберiнциденти нацiональної команди реагування на кiберiнциденти, кiбератаки, кiберзагрози CERT-UA, галузевих та регiональних команд реагування на кiберiнциденти, кiбератаки, кiберзагрози, а також iнших команд реагування в частинi виконання ними завдань галузевої або регiональної команди реагування або в частинi надання ними сервiсу, пов'язаного з реагуванням на кiберiнциденти, органам державної влади, iншим державним органам, органам мiсцевого самоврядування, операторам критичної iнфраструктури, власникам або розпорядникам об'єктiв критичної iнформацiйної iнфраструктури;

     порядок ведення репозитарiю iнформацiї про кiберiнциденти, таксономiй кiберiнцидентiв та їх версiй;

     порядок здiйснення монiторингу за дiяльнiстю нацiональної команди реагування на кiберiнциденти, кiбератаки, кiберзагрози CERT-UA, галузевих та регiональних команд реагування на кiберiнциденти, кiбератаки, кiберзагрози, а також iнших команд реагування в частинi виконання ними завдань галузевої або регiональної команди реагування або в частинi надання ними сервiсу, пов'язаного з реагуванням на кiберiнциденти, органам державної влади, iншим державним органам, органам мiсцевого самоврядування, операторам критичної iнфраструктури, власникам або розпорядникам об'єктiв критичної iнформацiйної iнфраструктури, зокрема щодо додержання вимог закону в частинi функцiонування нацiональної системи реагування на кiберiнциденти, кiбератаки, кiберзагрози та нацiональної системи обмiну iнформацiєю про кiберiнциденти, кiбератаки, кiберзагрози вiдповiдно до сфери їх повноважень та надання вимог про усунення порушень;

     порядок здiйснення заходiв реагування у кризовiй ситуацiї в кiберпросторi;

     пiдстави для надання на основi отриманої вiд нацiональної команди реагування на кiберiнциденти, кiбератаки, кiберзагрози CERT-UA iнформацiї вимог про реагування власникам або розпорядникам iнформацiйно-комунiкацiйних систем, в яких обробляються державнi iнформацiйнi ресурси або службова iнформацiя та iнформацiя, що становить державну таємницю, об'єктiв критичної iнформацiйної iнфраструктури, операторам критичної iнфраструктури, а також визначення строкiв та порядку реалiзацiї визначених вiдповiдною вимогою про реагування заходiв реагування та подання звiту про їх виконання;

     9542) визначає завдання iз забезпечення функцiонування нацiональної системи обмiну iнформацiєю про кiберiнциденти, кiбератаки, кiберзагрози:

     порядок обмiну iнформацiєю про кiберiнциденти, кiбератаки, кiберзагрози, форми повiдомлення, нацiональної таксономiї кiберiнцидентiв;

     критерiї визначення значного кiберiнциденту, в тому числi для цiлей виконання зобов'язань, визначених законодавством про здiйснення повiдомлень про кiберiнциденти;

     9543) запроваджує органiзацiйно-технiчнi заходи щодо створення нацiональної системи обмiну iнформацiєю про кiберiнциденти, кiбератаки, кiберзагрози;

     9544) забезпечує функцiонування платформи обмiну iнформацiєю про кiберiнциденти, кiбератаки, кiберзагрози та встановлення порядку приєднання до такої платформи;

     9545) затверджує порядок атестацiї комплексу технiчного захисту iнформацiї для обробки iнформацiї, що становить державну таємницю;

     9546) забезпечує формування та ведення вiдкритого перелiку забороненого до використання програмного забезпечення та комунiкацiйного (мережевого) обладнання;".

     3. Пункт 6 доповнити пiдпунктами 13 i 14 такого змiсту:

     "13) надавати обов'язковi до виконання вимоги про усунення встановлених вiдповiдно до закону порушень законодавства щодо функцiонування нацiональної системи реагування на кiберiнциденти, кiбератаки, кiберзагрози, нацiональної системи обмiну iнформацiєю про кiберiнциденти, кiбератаки, кiберзагрози, щодо виконання вимог законодавства за результатами монiторингу в порядку, визначеному законодавством щодо дiяльностi команд реагування на кiберiнциденти, кiбератаки, кiберзагрози;

     14) у визначених законодавством випадках вживати заходiв оперативного реагування на кiберiнциденти, кiбератаки, кiберзагрози шляхом надання обов'язкових до виконання вимог про реагування власникам або розпорядникам iнформацiйно-комунiкацiйних систем, в яких обробляються державнi iнформацiйнi ресурси або службова iнформацiя та iнформацiя, що становить державну таємницю, та власникам або розпорядникам об'єктiв критичної iнформацiйної iнфраструктури.".

Copyright © 2025 НТФ «Інтес» Всі права збережено.
Підтримка: support@qdpro.com.ua