Відповідно до частини третьої статті 8, абзацу десятого частини третьої та частини шостої статті 10 Закону України "Про захист інформації в інформаційно-комунікаційних системах" Кабінет Міністрів України постановляє:

1. Затвердити такі, що додаються:

Порядок авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем;

Порядок розроблення та затвердження профілів безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем.

2. Установити, що:

декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням базових та цільових профілів безпеки інформації, розпочате до набрання чинності цією постановою, завершується відповідно до Порядку реалізації експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації, затвердженого постановою Кабінету Міністрів України від 30 травня 2024 р. № 627 (Офіційний вісник України, 2024 р., № 54, ст. 3202);

роботи із створення комплексних систем захисту інформації, розпочаті до набрання чинності цією постановою, завершуються в рамках проведення державної експертизи у сфері технічного захисту інформації з подальшою авторизацією протягом 12 місяців з дня набрання чинності цією постановою.

3. Визнати такою, що втратила чинність, постанову Кабінету Міністрів України від 30 травня 2024 р. № 627 "Про реалізацію експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації" (Офіційний вісник України, 2024 р., № 54, ст. 3202).

4. Адміністрації Державної служби спеціального зв’язку та захисту інформації забезпечити подання до 1 лютого 2026 р. звіт за результатами реалізації експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації, який здійснювався відповідно до постанови Кабінету Міністрів України від 30 травня 2024 р. № 627 "Про реалізацію експериментального проекту з декларування відповідності комплексних систем захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, створених з використанням профілів безпеки інформації".

5. Ця постанова набирає чинності з дня її опублікування, крім пункту 3, який набирає чинності з 1 січня 2026 року.

1. Цей Порядок визначає процедури проведення авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, інші державні органи, державні підприємства, установи та організації, органи місцевого самоврядування (далі - системи), а також підтвердження дотримання вимог з безпеки щодо таких систем протягом їх життєвого циклу.

2. У цьому Порядку терміни вживаються в такому значенні:

базовий профіль безпеки системи (далі - базовий профіль) - мінімальні вимоги з безпеки інформації та взаємопов’язана сукупність заходів щодо її захисту, які встановлюються залежно від інформації, що обробляється у системі (відкрита інформація чи інформація з обмеженим доступом), або функціонального призначення такої системи;

галузевий профіль безпеки системи (далі - галузевий профіль) - взаємопов’язана сукупність заходів щодо захисту інформації, визначених для системи органом державної влади, іншим державним органом у межах своїх повноважень у відповідній сфері або галузі з урахуванням мінімальних вимог щодо таких заходів із захисту (базового профілю), відповідних стандартів, політик безпеки та особливостей функціонування системи у відповідній сфері або галузі, а також надання відповідних рекомендацій;

галузеві уповноважені органи - органи державної влади, інші державні органи, які в межах своїх повноважень у відповідній сфері або галузі затверджують галузевий профіль;

оцінювання дотримання вимог цільових профілів безпеки системи - процес перевірки обраних та/або запроваджених методів, заходів, засобів захисту інформації та кіберзахисту системи з метою встановлення стану захищеності систем або їх відповідності вимогам законодавства, національним стандартам, нормативним документам у сферах криптографічного та технічного захисту інформації, кіберзахисту;

цільовий профіль безпеки системи (далі - цільовий профіль) - взаємопов’язана сукупність заходів із захисту інформації, визначених органами державної влади, іншими державними органами, державними підприємствами, установами та організаціями, органами місцевого самоврядування (далі - власник або розпорядник системи) для відповідних систем з урахуванням мінімальних вимог щодо таких заходів із захисту (базового профілю), вимог законодавства та національних стандартів у сферах криптографічного та технічного захисту інформації, кіберзахисту, нормативних документів системи технічного та криптографічного захисту інформації, кіберзахисту, а також галузевого профілю (за наявності), політик безпеки, призначення системи, її структурно-функціональних характеристик та особливостей функціонування системи, результатів проведеної оцінки (аналізу) ризиків безпеки.

Інші терміни вживаються у значенні, наведеному в Законах України "Про Державну службу спеціального зв’язку та захисту інформації України", "Про захист інформації в інформаційно-комунікаційних системах", "Про основні засади забезпечення кібербезпеки України", "Про інформацію".

3. Авторизація з безпеки систем проводиться з метою прийняття рішення щодо можливості функціонування (експлуатації) системи з урахуванням її відповідності вимогам законодавства, національним стандартам та нормативним документам у сферах технічного та криптографічного захисту інформації, кіберзахисту.

Авторизація з безпеки систем здійснюється з дотриманням вимог, передбачених частиною сьомою статті 8 Закону України "Про захист інформації в інформаційно-комунікаційних системах".

4. Авторизація з безпеки системи здійснюється для систем, щодо яких затверджено цільовий профіль.

Під час розроблення та затвердження цільового профілю власник або розпорядник системи самостійно обирає національні стандарти у сферах технічного та криптографічного захисту інформації, кіберзахисту, засоби і методи здійснення таких заходів.

Оцінювання дотримання вимог цільового профілю та оформлення його результатів здійснюється з урахуванням рекомендацій, затверджених Адміністрацією Держспецзв’язку.

Оцінювання дотримання вимог цільового профілю здійснюється юридичними особами, фізичними особами - підприємцями або фізичними особами (далі - суб’єкти оцінювання), вимоги до яких затверджуються Адміністрацією Держспецзв’язку відповідно до законодавства та з урахуванням особливостей, встановлених цим Порядком.

За результатами оцінювання дотримання вимог цільового профілю складається звіт з оцінювання дотримання вимог цільового профілю для авторизації з безпеки системи. Такий звіт повинен зберігатися у власника або розпорядника системи протягом дії авторизації з безпеки системи та протягом року після скасування авторизації з безпеки системи.

5. Суб’єктами авторизації з безпеки системи є:

власники або розпорядники системи;

галузеві уповноважені органи;

Адміністрація Держспецзв’язку.

6. Авторизація з безпеки системи здійснюється такими етапами:

розроблення та затвердження для системи цільового профілю;

виконання вимог цільового профілю;

оцінювання дотримання вимог цільового профілю;

оформлення та подання Адміністрації Держспецзв’язку авторизаційного листа згідно з додатком 1;

внесення даних щодо авторизації до переліку авторизованих систем з безпеки.

7. Авторизація з безпеки системи може бути первинною, плановою, позаплановою.

Первинна авторизація з безпеки системи є основним видом авторизації та здійснюється з метою початку функціонування (експлуатації) системи.

Планова авторизація з безпеки системи проводиться з метою підтвердження авторизації за результатами перегляду цільового профілю на підставі щорічної оцінки (перегляду) ризиків.

Планова авторизація з безпеки системи здійснюється протягом життєвого циклу системи, не пізніше одного календарного року після первинної, планової або позапланової авторизації з безпеки системи.

Позапланова авторизація з безпеки системи проводиться у разі:

внесення змін до базового профілю або галузевого профілю, з урахуванням якого був сформований цільовий профіль, якщо інше не передбачено актами, якими затверджуються базовий профіль або галузевий профіль;

внесення змін до цільового профілю, зокрема в результаті зміни умов функціонування (експлуатації), модернізації системи, або у разі виконання вимог за результатами державного контролю за додержанням вимог законодавства у сферах технічного та криптографічного захисту інформації, кіберзахисту, за станом технічного або криптографічного захисту.

Позапланова авторизація з безпеки системи проводиться протягом шести місяців з дати внесення змін до базового профілю, галузевого профілю або цільового профілю, якщо інше не передбачено нормативно-правовими актами.

8. Підставою для подання системи на первинну авторизацію з безпеки системи є позитивні результати оцінювання дотримання вимог цільового профілю, для планової та позапланової авторизації з безпеки системи - позитивні результати оцінювання дотримання вимог цільового профілю у частині, що стосується заходів, які зазнали змін.

9. Авторизація з безпеки системи, крім систем, в яких обробляється інформація, що становить державну таємницю, здійснюється на підставі авторизаційного листа, поданого власником або розпорядником такої системи до Адміністрації Держспецзв’язку згідно з додатком 1.

Включення такої системи до переліку авторизованих систем з безпеки здійснюється Адміністрацією Держспецзв’язку протягом десяти робочих днів на підставі поданого в установленому порядку авторизаційного листа у разі зазначеної в ньому повної інформації згідно з додатком 1.

Посадові особи власника або розпорядника системи, що подав до Адміністрації Держспецзв’язку авторизаційний лист, на підставі якого здійснена авторизація з безпеки системи, відповідно до закону несуть відповідальність за достовірність зазначеної в ньому інформації, а також за повноту та правильність обрання засобів і методів здійснення заходів відповідно до профілів безпеки з урахуванням вимог законодавства.

Адміністрація Держспецзв’язку протягом десяти робочих днів з дня надходження авторизаційного листа повертає авторизаційний лист власнику або розпоряднику системи, що його подав, на доопрацювання із зазначенням рекомендацій щодо усунення недоліків та невідповідності, якщо:

в авторизаційному листі зазначено неповну інформацію;

в авторизаційному листі виявлено невідповідність інформації фактичним даним щодо системи, власника, суб’єкта оцінювання;