Відповідно до пункту 2 розділу II "Прикінцеві положення" Закону України "Про внесення змін до Кримінального кодексу України щодо підвищення ефективності боротьби з кіберзлочинністю в умовах дії воєнного стану" Кабінет Міністрів України постановляє:

Затвердити Порядок пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж, що додається.

1. Цей Порядок визначає механізм здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж (далі - пошук потенційної вразливості системи).

Дія цього Порядку не поширюється на інформаційні (автоматизовані), електронні комунікаційні, інформаційно-комунікаційні системи, електронні комунікаційні мережі, в яких обробляється службова інформація та/або інформація, що становить державну таємницю, розвідувальну таємницю, банківську таємницю.

2. У цьому Порядку терміни вживаються в такому значенні:

власник системи - фізична або юридична особа, якій належить право власності на систему;

вразливість системи - властивість системи, через використання якої створюється загроза для її безпеки, порушується сталий, надійний та штатний режим функціонування системи, здійснюється несанкціоноване втручання в її роботу, створюється загроза для безпеки (захищеності) електронних інформаційних ресурсів, конфіденційності, цілісності, доступності таких ресурсів;

декомпіляція - перетворення комп’ютерної програми з об’єктного коду у вихідний текст;

дизасемблювання - перетворення двійкового коду комп’ютерної програми в доступну для читання людиною форму;

дослідник потенційної вразливості (далі - дослідник) - фізична або юридична особа, яка здійснює пошук потенційної вразливості системи відповідно до вимог цього Порядку;

звіт про вразливість системи за результатами пошуку її потенційної вразливості (далі - звіт) - інформація про вразливість системи, підготовлена дослідником за результатами здійснення ним пошуку її потенційної вразливості;

зворотний інжиніринг - процес аналізу системи для ідентифікації її компонентів і визначення завдань, які вони виконують у системі;

зміни до системи - зміни, внесені до інформаційної (автоматизованої), електронної комунікаційної, інформаційно-комунікаційної системи, електронної комунікаційної мереж (далі - система) для вирішення проблеми вразливості системи, запобігання використанню вразливості, мінімізації можливих наслідків її використання;

координатор пошуку потенційної вразливості системи (далі - координатор) - фізична або юридична особа, яка надає послуги з організації пошуку потенційної вразливості системи;

період нерозголошення інформації про вразливість системи - строк, під час якого інформація про виявлену дослідником потенційну вразливість системи не підлягає розголошенню дослідником.

Інші терміни вживаються у значенні, наведеному в Законах України "Про основні засади забезпечення кібербезпеки України", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", Загальних вимогах до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 р. № 518 (Офіційний вісник України, 2019 р., № 50, ст. 1697), ДСТУ ISO/IEC 29147:2016 "Інформаційні технології. Методи захисту. Розкриття вразливостей", ДСТУ ISO/IEC 27000:2015 "Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Огляд і словник".

3. Організація пошуку потенційної вразливості системи здійснюється її власником.

У разі потреби власник системи може прийняти рішення про залучення координатора для організації пошуку потенційної вразливості системи.

Залучення координатора відбувається шляхом укладення між власником системи та координатором договору про надання послуг з організації пошуку потенційної вразливості системи, в якому, зокрема, визначаються:

права та обов’язки, питання щодо платності чи безоплатності надання послуг з організації пошуку потенційної вразливості системи;

порядок та умови виплати винагороди досліднику, якщо така винагорода передбачена публічною пропозицією про здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж (далі - публічна пропозиція);

порядок звітування координатора перед власником системи про виплату винагороди досліднику, якщо така винагорода передбачена публічною пропозицією;

механізм інформування координатором власника системи про отриманий звіт і результати його перевірки;

механізм інформування власником системи координатора про результати перевірки звіту та прийняте рішення про внесення або невнесення змін до системи з урахуванням виявленої вразливості.

У разі коли договір про надання послуг з організації пошуку потенційної вразливості системи передбачає надання координатором платних послуг, такий договір укладається відповідно до вимог законодавства у сфері публічних закупівель.

4. Пошук потенційної вразливості системи здійснюється на підставі публічної пропозиції.