Відповідно до пункту 4 частини третьої статті 27 Закону України "Про національну безпеку України" Кабінет Міністрів України

Затвердити Порядок проведення огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, що додається.

1. Цей Порядок визначає організаційні засади проведення огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом (далі - огляд).

Цей Порядок не поширюється на проведення огляду стану кіберзахисту стосовно інформаційної інфраструктури, призначеної для оброблення інформації, що становить державну таємницю.

2. У цьому Порядку терміни вживаються у такому значенні:

1) життєво важливі послуги та функції (далі - основні послуги) - послуги та функції, які надаються та виконуються органами державної влади, підприємствами, установами та організаціями незалежно від форми власності, збої та переривання у наданні та виконанні яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони;

2) кіберстійкість критичної інформаційної інфраструктури - стан критичної інформаційної інфраструктури, за якого забезпечується її спроможність надійно функціонувати та надавати основні послуги в умовах кіберзагроз;

3) оцінювання стану кіберзахисту - процес вивчення результатів застосування засобів і заходів з кіберзахисту для визначення стану захищеності об’єктів огляду та ефективності вжитих заходів;

4) суб’єкт критичної інформаційної інфраструктури - орган державної влади, підприємство, установа або організація, юридична та/або фізична особа, яким на правах власності, оренди або на інших законних підставах належить об’єкт критичної інформаційної інфраструктури, що використовується для надання основних послуг за призначенням у відповідних секторах (підсекторах) економіки або сферах діяльності;

5) уповноважений орган державної влади, відповідальний за сектор (підсектор) економіки або сферу діяльності (далі - уповноважений орган), - центральний орган виконавчої влади, інший державний орган, який забезпечує формування та/або реалізацію державної політики в одній чи кількох сферах.

Інші терміни вживаються у значенні, наведеному у Законах України "Про основні засади забезпечення кібербезпеки України", "Про національну безпеку України", "Про Державну службу спеціального зв’язку та захисту інформації України".

3. Об’єктами огляду є об’єкти критичної інформаційної інфраструктури, державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом.

Суб’єктами огляду є уповноважені органи, команди реагування на комп’ютерні надзвичайні події (інциденти комп’ютерної безпеки), визначені уповноваженими органами підрозділи кіберзахисту та кібербезпеки.

4. Огляд проводиться з метою оцінювання стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, і готовності підрозділів суб’єктів огляду, до повноважень яких належить забезпечення кіберзахисту об’єктів критичної інформаційної інфраструктури, захист державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, до ефективного і оперативного реагування на кіберзагрози, попередження, виявлення та захисту від кібератак і кіберінцидентів, ліквідації їх наслідків, відновлення функціонування об’єктів критичної інформаційної інфраструктури.

5. За результатами огляду визначаються напрями вдосконалення і розвитку національної системи кібербезпеки в частині кіберзахисту з урахуванням реальних і потенційних загроз у кіберпросторі та фінансово-економічних можливостей держави.

6. Завданнями огляду є:

проведення аналізу кіберстійкості критичної інформаційної інфраструктури, стану кіберзахисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом;

формування пропозицій щодо вдосконалення законодавства у сфері кібербезпеки та кіберзахисту та визначення напрямів розвитку національної системи кібербезпеки в частині кіберзахисту;

формування пропозицій щодо вдосконалення суб’єктами критичної інформаційної інфраструктури та уповноваженими органами заходів з кіберзахисту;

планування заходів щодо забезпечення кіберстійкості критичної інформаційної інфраструктури.

7. Проведення огляду ґрунтується на таких принципах:

централізоване управління процесом проведення огляду;

об’єктивність, що передбачає проведення огляду на основі вихідних даних, які відображають реальний стан справ у сфері кіберзахисту;

системність здійснення заходів з проведення огляду та колегіальність під час прийняття рішень щодо його результатів.

8. Огляд проводиться на підставі результатів:

аналізу стану дотримання вимог законодавства у сфері кіберзахисту об’єктів огляду;

внутрішнього аудиту та державного контролю у сферах криптографічного та технічного захисту інформації, захисту у кіберпросторі державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, кіберзахисту об’єктів огляду;

аудиту інформаційної безпеки об’єктів критичної інформаційної інфраструктури;

аналізу інформації щодо стану кіберзахисту об’єктів огляду, отриманої за результатами опитувань суб’єктів критичної інформаційної інфраструктури.

9. Загальне керівництво оглядом здійснює Адміністрація Держспецзв’язку.

10. Для здійсненя заходів з проведення огляду утворюється міжвідомча робоча група з питань проведення огляду (далі - робоча група).