З метою забезпечення функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки Кабінет Міністрів України постановляє:

1. Затвердити Порядок функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, що додається.

2. Установити, що відповідальним за функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки є Державний центр кіберзахисту Державної служби спеціального зв’язку та захисту інформації.

3. Міністерствам та іншим центральним органам виконавчої влади з метою оперативного виявлення та реагування на кіберінциденти та кібератаки забезпечити можливість встановлення на об’єктах кіберзахисту, які перебувають у сфері їх управління, комплектів обладнання підсистеми збору телеметрії інформаційно-комунікаційних систем.

4. Адміністрації Державної служби спеціального зв’язку та захисту інформації подавати щороку до 10 січня Кабінетові Міністрів України інформацію про результати функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки.

1. Цей Порядок визначає засади функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки, які здійснюються щодо об’єктів кіберзахисту, визначених частиною другою статті 4 Закону України "Про основні засади забезпечення кібербезпеки України".

Особливості функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки у банківській системі України визначаються Національним банком.

Дія цього Порядку не поширюється на об’єкти критичної інформаційної інфраструктури Міноборони та Збройних Сил в умовах надзвичайного і воєнного стану.

2. Терміни, що вживаються у цьому Порядку, мають таке значення:

адміністратор безпеки об’єкта кіберзахисту - особа з числа співробітників об’єкта кіберзахисту, яка відповідає за дотримання політики безпеки, до завдань якої належить забезпечення процесів експлуатації, функціонування, налаштування програмних, програмно-апаратних та апаратних засобів захисту інформації об’єкта кіберзахисту та здійснення поточного контролю за ними;

адміністратор безпеки системи виявлення вразливостей і реагування на кіберінциденти та кібератаки - особа з числа співробітників (працівників) Державного центру кіберзахисту Держспецзв’язку, яка відповідає за дотримання політики безпеки, до завдань якої належить забезпечення процесів експлуатації, функціонування, налаштування програмних, програмно-апаратних та апаратних засобів захисту інформації об’єкта кіберзахисту системи виявлення вразливостей і реагування на кіберінциденти та кібератаки та здійснення поточного контролю за ними;

галузевий центр з управління кібербезпекою - центр з управління кібербезпекою, який функціонує на об’єкті кіберзахисту певної галузі національної економіки;

мережева телеметрія (телеметрична інформація) - сукупність інформації про стан функціонування програмного, програмно-апаратного або апаратного засобу електронної комунікаційної чи технологічної системи;

політика безпеки - це сукупність документованих рішень, що приймаються керівництвом об’єкта кіберзахисту і спрямовані на захист електронних комунікаційних та (або) технологічних мереж і систем, інформації та асоційованих з нею ресурсів (активів);

система виявлення вразливостей і реагування на кіберінциденти та кібератаки - сукупність програмних та програмно-апаратних засобів, які забезпечують проведення цілодобового моніторингу, аналізу та передачі телеметричної інформації про кіберінциденти та кібератаки, які відбулися або відбуваються на об’єктах кіберзахисту і можуть мати негативний вплив на їх стале функціонування;

центр з управління кібербезпекою - сукупність організаційно-технічних засобів, алгоритмів, рішень щодо збору, аналізу, візуалізації та обміну даними про виявлені інциденти інформаційної безпеки.

Інші терміни вживаються у значенні, наведеному у Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні комунікації", "Про Державну службу спеціального зв’язку та захисту інформації України", "Про основні засади забезпечення кібербезпеки України".

3. До складу системи виявлення вразливостей і реагування на кіберінциденти та кібератаки входять:

1) підсистема урядової команди реагування на комп’ютерні надзвичайні події України CERT-UA, яка забезпечує централізований збір та накопичення інформації про кіберзагрози та кіберінциденти, отриманої з різних джерел, включаючи і відкриті;

2) підсистема виявлення і реагування на кібератаки на рівні робочих та серверних станцій ("кінцевих точок"), яка забезпечує виявлення шкідливої активності на них, реагування на неї діями з ліквідації, мінімізації або ізоляції, блокування процесів, що використовуються шкідливим програмним забезпеченням;

3) підсистема збору телеметрії інформаційно-комунікаційних систем (активні сенсори) (далі - сенсор), яка забезпечує:

збір та кореляцію подій безпеки, включаючи збір мережевої телеметрії з детальною інформацією про мережеві потоки та сесії;

проведення моніторингу електронного комунікаційного трафіку з метою виявлення кібератак та кіберінцидентів;