Відповідно до абзацу двадцятого частини першої статті 1, частини третьої статті 5, частини шостої статті 8 Закону України "Про захист інформації в інформаційно-комунікаційних системах", частини другої статті 38 Закону України "Про публічні електронні реєстри" Кабінет Міністрів України постановляє:

1. Затвердити такі, що додаються:

Порядок передачі, збереження, функціонування та доступу до державних інформаційних ресурсів (публічних електронних реєстрів) та їх резервних копій, розміщених на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України;

Порядок укладення договорів володільцями інформації - власниками (держателями) державних інформаційних ресурсів (публічних електронних реєстрів) про технічне адміністрування відповідних реєстрів з іноземними компаніями, організаціями - постачальниками послуг з надання хмарних ресурсів (надавачами хмарних послуг), утвореними відповідно до законодавства інших держав, та/або їх зареєстрованими (акредитованими або легалізованими) відповідно до законодавства України філіями, представництвами та іншими відокремленими підрозділами з місцезнаходженням на території України;

перелік видів державних інформаційних ресурсів та систем, щодо яких може здійснюватися резервне копіювання.

2. Внести до постанов Кабінету Міністрів України від 4 грудня 2019 р. № 1137 "Питання Єдиного державного вебпорталу електронних послуг та Реєстру адміністративних послуг" (Офіційний вісник України, 2020 р., № 3, ст. 136; 2021 р., № 43, ст. 2625; 2022 р., № 69, ст. 4171) і від 12 березня 2022 р. № 263 "Деякі питання забезпечення функціонування інформаційно-комунікаційних систем, електронних комунікаційних систем, публічних електронних реєстрів в умовах воєнного стану" (Офіційний вісник України, 2022 р., № 25, ст. 1345) зміни, що додаються.

1. Цей Порядок визначає механізм передачі (переміщення) державних інформаційних ресурсів (публічних електронних реєстрів) (далі - державні інформаційні ресурси), які не містять службової інформації та інформації, що становить державну таємницю, та їх резервних копій для розміщення на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України, забезпечення збереження, функціонування та доступу до таких інформаційних ресурсів.

Цей Порядок протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування регулює відносини володільців інформації - власників (держателів) державних інформаційних ресурсів (далі - замовники), які виявили бажання (намір) розмістити державні інформаційні ресурси та їх резервні копії на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України.

2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про публічні електронні реєстри", "Про Державну службу спеціального зв’язку та захисту інформації України", "Про основні засади забезпечення кібербезпеки України", "Про електронні довірчі послуги", "Про інформацію", "Про хмарні послуги" та "Про електронні комунікації".

3. Розміщення державних інформаційних ресурсів та їх резервних копій на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України, здійснюється замовниками на підставі договору, що укладається за умови наявності погодження СБУ відповідно до пункту 4 цього Порядку.

4. Замовники погоджують із СБУ, яка діє у межах компетенції, питання використання хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України, для розміщення державних інформаційних ресурсів та їх резервних копій шляхом надсилання листа довільної форми з відомостями щодо надавача хмарних послуг відповідно до вимог законодавства України з питань документування управлінської діяльності.

Про прийняте рішення СБУ повідомляє замовникам протягом десяти робочих днів з дня отримання листа від таких замовників.

Замовники повідомляють Адміністрації Держспецзв’язку та Мінцифри про використання хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України, для розміщення державних інформаційних ресурсів та їх резервних копій шляхом надсилання листа довільної форми із зазначенням відомостей щодо надавача хмарних послуг відповідно до вимог законодавства України з питань документування управлінської діяльності протягом п’яти робочих днів з дня початку такого використання.

5. Замовники забезпечують створення резервних копій державних інформаційних ресурсів на окремих фізичних носіях у зашифрованому вигляді та їх подальшу передачу (переміщення) для зберігання в установленому законодавством України у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах порядку, зокрема за межами України.

6. Замовники несуть відповідальність за цілісність і конфіденційність державних інформаційних ресурсів та їх резервних копій у разі передачі (переміщення) державних інформаційних ресурсів до хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України.

7. Постачальник послуг (надавач хмарних послуг або ресурсів у центрах обробки даних), до якого передаються (переміщуються) державні інформаційні ресурси або їх резервні копії, повинен мати документ про відповідність впровадження системи інформаційної безпеки міжнародним стандартам.

8. Замовники обробляють державні інформаційні ресурси, розміщені на хмарному ресурсі та/або центрі обробки даних, що розташований за межами України, із застосуванням системи управління інформаційною безпекою або комплексної системи захисту інформації.

9. Під час переміщення до хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України, інформаційно-комунікаційної системи, яка має чинний атестат відповідності комплексної системи захисту інформації з підтвердженою відповідністю, атестат відповідності комплексної системи захисту інформації інформаційно-комунікаційної системи не втрачає чинності за таких умов:

технологія обробки інформації не змінилася;

програмний склад інформаційно-комунікаційної системи, що виконує функції захисту інформації, відповідає оціненим проектним рішенням комплексної системи захисту інформації;

постачальник послуг має документ про відповідність впровадження системи інформаційної безпеки міжнародним стандартам.

В інших випадках здійснюються заходи з модернізації комплексної системи захисту інформації відповідно до законодавства України у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.

Під час переміщення інформаційно-комунікаційних систем, що не мають комплексної системи захисту інформації з підтвердженою відповідністю, замовники вживають заходів для її побудови або впровадження системи управління інформаційною безпекою щодо такої інформаційно-комунікаційної системи відповідно до законодавства України у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.

10. Передача (переміщення) державних інформаційних ресурсів до хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України, здійснюється з використанням фізичних носіїв або електронних комунікаційних мереж.

11. Передача (переміщення) державних інформаційних ресурсів або їх резервних копій на фізичних носіях може здійснюватися шляхом використання фізичного носія із резервною копією або шляхом переміщення інформаційно-комунікаційних систем в цілому. Якщо у складі інформаційно-комунікаційної системи є криптомодулі чи інші засоби криптографічного захисту інформації, які підпадають під визначення товарів подвійного використання, погодження їх тимчасового вивезення здійснюється відповідно до Порядку здійснення державного контролю за міжнародними передачами товарів подвійного використання, затвердженого постановою Кабінету Міністрів України від 28 січня 2004 р. № 86 (Офіційний вісник України, 2004 р., № 4, ст. 167), - із змінами, внесеними постановою Кабінету Міністрів України від 24 жовтня 2018 р. № 974.

12. Під час переміщення інформаційно-комунікаційної системи в цілому залучаються уповноважені представники замовника, адміністратора або технічного адміністратора державних інформаційних ресурсів.

13. Передача (переміщення) державних інформаційних ресурсів, що містять конфіденційну інформацію, з використанням електронних комунікаційних мереж повинна здійснюватися з використанням засобів криптографічного захисту інформації.

У засобах криптографічного захисту інформації, які застосовуються для передачі (переміщення) державних інформаційних ресурсів, використовуються криптоалгоритми та криптопротоколи, які визначені національними стандартами, зокрема наведені у переліку стандартів та технічних специфікацій, дозволених для реалізації в засобах криптографічного захисту інформації, визначеному Адміністрацією Держспецзв’язку, та/або ті, на які за результатами експертних досліджень Адміністрацією Держспецзв’язку видано позитивний експертний висновок.

14. Про результати вжитих для переміщення інформаційно-комунікаційної системи заходів замовник протягом п’яти робочих днів з дня їх вжиття повідомляє Адміністрації Держспецзв’язку шляхом надсилання листа довільної форми відповідно до вимог законодавства України з питань документування управлінської діяльності та подає такі відомості:

1) найменування переміщеної інформаційно-комунікаційної системи;

2) декларація у довільній формі щодо відповідності програмного складу інформаційно-комунікаційної системи, що виконує функції захисту інформації, оціненим проектним рішенням комплексної системи захисту інформації (для інформаційно-комунікаційних систем, які мали комплексну систему захисту інформації з підтвердженою відповідністю);

3) найменування постачальника послуг, організації (надавача хмарних послуг або ресурсів у центрах обробки даних), найменування хмарного ресурсу та/або центру обробки даних, адреса розміщення центру обробки даних;