Відповідно до статей 5 та 8 Закону України "Про основні засади забезпечення кібербезпеки України", пункту 8 Положення про організаційно-технічну модель кіберзахисту, затвердженого постановою Кабінету Міністрів України від 29 грудня 2021 року № 1426, з метою реалізації державної політики захисту об’єктів критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури НАКАЗУЮ:

1. Затвердити Порядок проведення огляду стану кібербезпеки паливно-енергетичного сектору критичної інфраструктури, що додається.

2. Управлінню кібербезпеки та цифрового розвитку забезпечити:

координацію заходів щодо організації проведення огляду стану кібербезпеки паливно-енергетичного сектору критичної інфраструктури;

подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу покласти на заступника Міністра з питань цифрового розвитку, цифрових трансформацій і цифровізації АНДАРАКА Романа.

1. Цей Порядок визначає організаційні засади проведення огляду стану кібербезпеки паливно-енергетичного сектору критичної інфраструктури.

2. У цьому Порядку терміни вживаються у таких значеннях:

огляд - спільне з операторами критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури (далі - оператор критичної інфраструктури) дослідження інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, систем електронних комунікацій, систем управління технологічними процесами (далі - системи), об’єктів критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, що експлуатуються на об’єктах критичної інфраструктури паливно-енергетичного сектору критичної інфраструктури (далі - об’єкт критичної інфраструктури) шляхом проведення інтерв’ю, дослідження та аналізу документації, принципів роботи, впроваджених засобів та заходів з кіберзахисту;

оцінювання стану кібербезпеки - процес вивчення результатів застосування заходів з кіберзахисту систем, об’єктів критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, що експлуатуються на об’єктах критичної інфраструктури (далі - заходи з кіберзахисту) для визначення стану захищеності об’єктів огляду та ефективності вжитих заходів.

Інші терміни вживаються у значеннях, наведених у Законах України "Про критичну інфраструктуру", "Про основні засади забезпечення кібербезпеки України", "Про захист інформації в інформаційно-комунікаційних системах", постанові Кабінету Міністрів України від 09 жовтня 2020 року № 943 "Деякі питання об’єктів критичної інформаційної інфраструктури", Правилах забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, Загальних вимогах до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 року № 518 (далі - Загальні вимоги до кіберзахисту), Порядку проведення огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, затвердженому постановою Кабінету Міністрів України від 11 листопада 2020 року № 1176, Положенні про організаційно-технічну модель кіберзахисту, затвердженому постановою Кабінету Міністрів України від 29 грудня 2021 року № 1426, Вимогах з кібербезпеки паливно-енергетичного сектору критичної інфраструктури, затверджених наказом Міністерства енергетики України від 15 грудня 2022 року № 417, зареєстрованих в Міністерстві юстиції України 08 лютого 2023 року за № 249/39305 (далі - Вимоги з кібербезпеки).

3. Об’єктами огляду є системи, об’єкти критичної інформаційної інфраструктури, державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом, що експлуатуються на об’єктах критичної інфраструктури.

Суб’єктами огляду є підрозділи або посадові особи з інформаційної безпеки, кібербезпеки, кіберзахисту операторів критичної інфраструктури, об’єктів критичної інфраструктури та/або підрозділи або посадові особи операторів критичної інфраструктури, об’єктів критичної інфраструктури, на які покладено завдання із забезпечення заходів з кіберзахисту.

4. Огляд проводиться з метою:

виявлення реальних і потенційних кіберзагроз для запобігання їм і їх нейтралізації;

оцінювання стану кібербезпеки операторів критичної інфраструктури та об’єктів критичної інфраструктури;

аналізу стану готовності суб’єктів огляду до ефективного та оперативного реагування на кіберзагрози, запобігання кіберінцидентам, виявлення та захисту від кібератак, ліквідації їх наслідків, відновлення сталості та надійності функціонування систем;

аналізу стану виконання Загальних вимог до кіберзахисту, Вимог з кібербезпеки, та інших вимог законодавства України у сфері захисту інформації та кібербезпеки.

5. За результатами огляду визначається поточний стан та напрями вдосконалення і розвитку системи кібербезпеки паливно-енергетичного сектору критичної інфраструктури в частині кіберзахисту з урахуванням реальних і потенційних загроз у кіберпросторі.