Відповідно до пункту 6 частини третьої статті 8, частини другої статті 10, статті 12, підпункту 1 пункту 3 статті 16 "Прикінцеві положення" Закону України "Про хмарні послуги" Кабінет Міністрів України постановляє:

1. Затвердити такі, що додаються:

Порядок надання хмарних послуг та/або послуг центру обробки даних, пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;

вимоги до надавачів хмарних послуг та/або послуг центру обробки даних;

Порядок формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних;

Типовий договір про надання хмарних послуг та/або послуг центру обробки даних публічному користувачу хмарних послуг та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури.

2. Установити, що:

до 31 грудня 2025 р. публічні користувачі хмарних послуг можуть ініціювати закупівлю хмарних послуг та/або послуг центру обробки даних у надавачів хмарних послуг та/або послуг центру обробки даних, не включених до переліку надавачів хмарних послуг та/або послуг центру обробки даних;

підготовка пропозицій щодо використання хмарних послуг та/або послуг центру обробки даних органами державної влади, органами влади Автономної Республіки Крим та їх розгляд здійснюються відповідно до Положення про формування та виконання Національної програми інформатизації, затвердженого постановою Кабінету Міністрів України від 2 лютого 2024 р. № 119 (Офіційний вісник України, 2024 р., № 18, ст. 1177).

1. Цей Порядок визначає особливості надання хмарних послуг та/або послуг центру обробки даних (далі - послуги), пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом (далі - електронні інформаційні ресурси).

Дія цього Порядку не поширюється на відносини, визначені частинами третьою та четвертою статті 4 Закону України "Про хмарні послуги".

2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про Державну службу спеціального зв’язку та захисту інформації України", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про інформацію", "Про публічні електронні реєстри", "Про основні засади забезпечення кібербезпеки України", "Про хмарні послуги".

3. Послуги надаються публічному користувачу хмарних послуг або користувачу хмарних послуг, що є власником (держателем, розпорядником) електронних інформаційних ресурсів (далі - користувач), надавачем послуг (далі - надавач) на підставі договору про надання послуг (далі - договір), строк дії якого повинен визначатися з урахуванням строку дії документа про відповідність, виданого акредитованим органом з оцінки відповідності в сфері електронних комунікацій, щодо відповідних послуг та не бути більшим строку дії такого документа.

4. Під час порівняння послуг та хмарної інфраструктури користувач враховує документ про відповідність, виданий акредитованим органом з оцінки відповідності в сфері електронних комунікацій, щодо відповідної послуги, який є достатнім документальним підтвердженням вимогам щодо управління інформаційною безпекою, неперервністю, безпеки мережевих та інформаційних систем надавачів.

5. Під час проведення аналізу ринку послуг з метою їх порівняння, зокрема щодо управління інформаційною безпекою, безперервністю та якістю надання послуг, їх впливу на довкілля, користувач використовує перелік надавачів, а також електронний каталог послуг.

6. Заходи з виконання вимог щодо захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, встановлених законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, можуть здійснюватися користувачами самостійно або надавачем.

У разі коли виконання таких вимог не може бути забезпечено надавачами, користувачі до початку користування послугами самостійно здійснюють заходи з виконання зазначених вимог.

7. Дані від користувача до надавача можуть передаватися з використанням матеріальних носіїв інформації або електронних комунікаційних мереж, засобів криптографічного захисту інформації з дотриманням вимог до цілісності, конфіденційності та доступності інформації, встановлених законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.

Для передачі електронних інформаційних ресурсів користувачами використовуються засоби криптографічного захисту з відповідними криптоалгоритмами та криптопротоколами, включеними до переліку стандартів та технічних специфікацій, дозволених для реалізації в засобах криптографічного захисту інформації, затвердженого Адміністрацією Держспецзв’язку, та/або ті, на які за результатами експертних досліджень Адміністрацією Держспецзв’язку видано позитивний експертний висновок, відповідно до технічних регламентів.

Інші умови передачі даних, у тому числі щодо структурування даних, форматів даних, визначаються договором.

Порядок та підстави для передачі електронних інформаційних ресурсів від одного надавача до іншого передбачаються в договорі. У всіх випадках така передача повинна здійснюватися з дотриманням вимог щодо цілісності, конфіденційності та доступності інформації, встановлених законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.

8. Передача даних від користувача до надавача, а також від надавача до користувача повинна здійснюватися у систематизованому та структурованому вигляді, що забезпечує їх належне використання та обробку. Дані повинні передаватися у машинозчитуваному форматі, що забезпечить можливість збереження логічної структури даних та дасть змогу автоматизованої обробки даних без застосування додаткових засобів щодо їх конвертації.

Інформація щодо процесів, технічних вимог, строків передачі електронних інформаційних ресурсів від одного надавача до іншого або відмови від послуг повинна бути надана користувачу до визначення переможця процедури закупівлі (спрощеної процедури закупівлі).

У разі переходу користувача до іншого надавача електронні інформаційні ресурси передаються надавачем до іншого надавача у повному обсязі. Витрати на проведення робіт, пов’язаних з передачею електронних інформаційних ресурсів, здійснюються надавачем, якому передаються електронні інформаційні ресурси.

У разі переходу користувача до іншого надавача такий користувач не пізніше ніж за один календарний місяць до запланованої дати припинення використання послуг повідомляє надавачу про необхідність передачі даних, а також умови та порядок такої передачі.

У разі відмови користувача від використання послуг такий користувач не пізніше ніж за один календарний місяць до запланованої дати припинення використання послуг повідомляє надавачу про рішення, умови та процедури передачі даних, а також їх видалення.

У всіх випадках передача електронних інформаційних ресурсів повинна здійснюватися з дотриманням вимог законодавства у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.

У разі переходу користувача до іншого надавача або відмови від використання послуг такому користувачу повинна надаватися інформація щодо:

попереднього розрахунку вартості робіт для передачі даних та припинення обробки;

технічних вимог в обсязі, достатньому для проведення оцінки сумісності під час переходу до іншого надавача або для збереження даних;

строку, протягом якого повинно бути здійснено перехід до іншого надавача, або передачі та порядку видалення даних та суми витрат, необхідних на проведення робіт, пов’язаних з передачею електронних інформаційних ресурсів.

9. Під час надання послуг, пов’язаних з обробкою електронних інформаційних ресурсів, повинна забезпечуватися інтероперабельність.

10. Користувачі відповідно до частини шостої статті 8 Закону України "Про основні засади забезпечення кібербезпеки України" створюють резервні копії національних електронних інформаційних ресурсів, що перебувають у їх володінні або розпорядженні та є критичними для їх сталого функціонування, крім тих, передача яких обмежена законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, та передають їх для зберігання до Національного центру резервування державних інформаційних ресурсів. Передача резервних копій здійснюється відповідно до Порядку передачі, збереження і доступу до резервних копій національних електронних інформаційних ресурсів, затвердженого постановою Кабінету Міністрів України від 7 квітня 2023 р. № 311 "Деякі питання функціонування Національного центру резервування державних інформаційних ресурсів" (Офіційний вісник України, 2023 р., № 40, ст. 2163), та Закону України "Про захист інформації в інформаційно-комунікаційних системах".

11. Умови припинення використання хмарної інфраструктури та послуг центру обробки даних, в яких обробляються та зберігаються електронні інформаційні ресурси та резервні копії даних, визначаються договором.

Умови та порядок видалення (знищення) даних та їх резервних копій, що створені (накопичені) та/або передані надавачу під час виконання договору, повинні бути передбачені договором з урахуванням методичних рекомендацій, затверджених Адміністрацією Держспецзв’язку.

1. Ці вимоги визначають заходи, які повинні бути здійснені надавачем хмарних послуг та/або послуг центру обробки даних (далі - надавач) для внесення відомостей про нього до переліку надавачів (далі - перелік), та порядок підтвердження відповідності надавача цим вимогам.

2. У цих вимогах терміни вживаються у значенні, наведеному в Законах України "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про технічні регламенти та оцінку відповідності", "Про критичну інфраструктуру", "Про основні засади забезпечення кібербезпеки України", "Про хмарні послуги".

3. Надавач повинен відповідати вимогам, визначеним у статті 8 Закону України "Про хмарні послуги", та цим вимогам.

4. Безпека системи та устаткування забезпечується шляхом впровадженням системи управління інформаційною безпекою та/або комплексної системи захисту інформації з підтвердженою відповідністю за результатами державної експертизи у сфері технічного захисту інформації.

5. Система управління інформаційною безпекою створюється відповідно до законодавства у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, національних та міжнародних стандартів у зазначених сферах.

6. Надавач забезпечує цілодобову охорону приміщень, будівель, споруд, які використовуються для надання хмарних послуг та/або послуг центру обробки даних (далі - послуги).

7. Врегулювання інцидентів кібербезпеки забезпечується шляхом:

1) здійснення технічних та організаційних заходів для реагування на всі відомі загрози безпеці системи, що використовує технологію хмарних обчислень;

2) розроблення рекомендацій щодо класифікації, встановлення пріоритетів та загострення інцидентів кібербезпеки;

3) утворення групи працівників надавача з реагування на надзвичайні ситуації для скоординованого врегулювання інцидентів кібербезпеки;

4) інформування про інциденти кібербезпеки публічних користувачів хмарних послуг або користувачів хмарних послуг, що є власниками (держателями, розпорядниками) електронних інформаційних ресурсів (далі - користувачі), яких ці інциденти стосуються;

5) збирання даних про інциденти кібербезпеки та проведення аналізу типових інцидентів кібербезпеки;

6) проведення регулярного навчання з реагування на інциденти кібербезпеки з метою встановлення їх ефективності та виявлення недоліків;

7) повідомлення Адміністрації Держспецзв’язку та урядовій команді реагування на комп’ютерні надзвичайні події України CERT-UA про будь-який інцидент, який має значний негативний вплив на надання послуг, у порядку, затвердженому Адміністрацією Держспецзв’язку.

Якщо зазначений вплив поширюється на державні інформаційні ресурси або інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законом, або на об’єкт критичної інформаційної інфраструктури, урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA невідкладно інформує Ситуаційний центр забезпечення кібербезпеки СБУ.

8. Управління безперервністю надання послуг забезпечується шляхом:

1) планування можливих сценаріїв реагування на кіберзагрози за результатами аналізу ризиків;

2) визначення пріоритетних хмарних ресурсів надавача, зупинення функціонування яких призведе до негативних наслідків надання послуг та/або їх припинення;

3) проведення оцінки залежності безперервного функціонування надання послуг від програмного забезпечення, субпідрядників;

4) прогнозування наслідків запланованих і незапланованих перерв у наданні послуг, збоїв у роботі хмарних ресурсів, що можуть виникати протягом певного часу;

5) визначення максимально допустимого строку перерв у наданні послуг та усунення збоїв у роботі хмарних ресурсів;

6) забезпечення наявності технічних та людських ресурсів, необхідних для відновлення роботи у визначені строки;

7) виконання плану заходів із забезпечення безперервності надання послуг;

8) упорядкування процесів, пов’язаних з функціонуванням хмарних ресурсів, а саме щодо:

закупівлі, введення в експлуатацію, технічного обслуговування, виведення з експлуатації та видалення (знищення) хмарних ресурсів;

ведення обліку хмарних ресурсів та позначення технічних засобів залежно від визначених рівня захисту та заходів із захисту інформації;

підтримання безпечної конфігурації механізмів обробки помилок у системі, що використовує технологію хмарних обчислень, реєстрації подій, шифрування, аутентифікації та авторизації в такій системі;

визначення вимог та процедур щодо використання версій програмного забезпечення та його оновлення, правил поводження з програмним забезпеченням, технічна підтримка якого не здійснюється;

запровадження обмежень на встановлення програмного забезпечення або використання послуг;

запровадження віддаленої деактивації, видалення (знищення) або блокування;

повного та незворотного видалення (знищення) даних під час виведення хмарного ресурсу з експлуатації;

видів та порядку проведення оновлень;

вимог щодо проведення тестування;

вимог щодо проведення термінових оновлень;

9) здійснення технічних та організаційних заходів для проведення моніторингу надання та припинення надання послуг, зокрема необхідних для забезпечення виконання умов договору про надання послуг публічному користувачу та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури щодо обсягу і якості надання послуг.

9. Надавач повинен запровадити інформування про поточні загрози та програми навчання працівників щодо безпеки інформації, які повинні охоплювати, зокрема, питання:

поводження із програмним забезпеченням, яке використовується для надання послуг;

поводження з даними користувачів;

здійснення дій у разі виникнення інцидентів кібербезпеки.

10. Надавач повинен розміщувати інформацію про наявність та доступність хмарних ресурсів, з якою користувач може ознайомитися на веб-сайті надавача, а також забезпечити можливість здійснення користувачами контролю за розподілом призначених їм системних ресурсів.

11. Надавач повинен запровадити здійснення заходів з автоматизованого контролю за наданням послуг.