Кабінет Міністрів України постановляє:

Внести до постанов Кабінету Міністрів України зміни щодо кіберзахисту державних інформаційних ресурсів та критичної інформаційної інфраструктури, що додаються.

1. У Правилах забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою Кабінету Міністрів України від 29 березня 2006 р. № 373 (Офіційний вісник України, 2006 р., № 13, ст. 878; 2011 р., № 69, ст. 2624; 2022 р., № 47, ст. 2595):

1) абзац четвертий пункту 3 викласти в такій редакції:

"Інші терміни вживаються у значенні, наведеному в Законах України "Про інформацію", "Про доступ до публічної інформації", "Про державну таємницю", "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні комунікації", "Про основні засади забезпечення кібербезпеки України", Положенні про технічний захист інформації в Україні, затвердженому Указом Президента України від 27 вересня 1999 р. № 1229, Положенні про організаційно-технічну модель кіберзахисту, затвердженому постановою Кабінету Міністрів України від 29 грудня 2021 р. № 1426 (Офіційний вісник України, 2022 р., № 4, ст. 219).";

2) доповнити Правила пунктами 26 і 27 такого змісту:

"26. Власники (розпорядники) систем, у яких обробляються державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом:

здійснюють управління ризиками у сфері кібербезпеки, що передбачає ідентифікацію та періодичну оцінку ризиків, їх моніторинг і перегляд, а також процедури, які забезпечують впровадження, перегляд і вдосконалення політики управління ризиками;

здійснюють базові заходи з кіберзахисту;

затверджують, переглядають та оновлюють плани кіберзахисту, політики кібербезпеки, плани реагування на кібератаки та кіберінциденти;

здійснюють виявлення кіберінцидентів та кібератак і реагування на них, усунення їх наслідків;

невідкладно інформують урядову команду реагування на комп’ютерні надзвичайні події України CERT-UA та Ситуаційний центр забезпечення кібербезпеки СБУ про інциденти кібербезпеки від середнього рівня критичності та вище;

здійснюють інформаційний обмін щодо виявлених та потенційних кіберзагроз між силами кіберзахисту та відповідними підрозділами інших суб’єктів забезпечення кібербезпеки;

отримують доступ до Інтернету через систему захищеного доступу державних органів до Інтернету Державного центру кіберзахисту через постачальників електронних комунікаційних мереж та/або послуг, які мають захищені вузли доступу до глобальних мереж передачі даних із створеними комплексними системами захисту інформації з підтвердженою відповідністю, або через власні системи захищеного доступу до Інтернету із створеними комплексними системами захисту інформації з підтвердженою відповідністю. Ця вимога не поширюється на системи закордонних дипломатичних установ України;

проводять навчання та тренінги для співробітників з питань кібербезпеки, зокрема щодо підвищення рівня обізнаності про кіберзагрози, методів запобігання їх виникненню, управління ризиками у сфері кібербезпеки та дотримання принципів кібергігієни.

Методика ідентифікації та оцінки ризиків у сфері кібербезпеки затверджується Адміністрацією Держспецзв’язку.

27. Моніторинг стану кіберзахисту систем, у яких обробляються державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом, забезпечується їх власниками (розпорядниками) шляхом:

оцінки стану кіберзахисту не рідше ніж один раз на рік відповідно до методичних рекомендацій щодо здійснення базових заходів з кіберзахисту;

використання систем виявлення, запобігання та нейтралізації кіберзагроз, за допомогою яких здійснюються збір та аналіз мережевої телеметрії, а також реагування на кіберінциденти та кібератаки;

аудиту інформаційної безпеки, у тому числі шляхом залучення незалежних аудиторів інформаційної безпеки.

Результати такого моніторингу використовуються:

власниками (розпорядниками) систем, у яких обробляються державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом, під час аналізу ефективності та коригування здійснених заходів з кіберзахисту, а також для планування заходів з управління ризиками у сфері кібербезпеки;

Адміністрацією Держспецзв’язку під час:

- проведення оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах;

- здійснення державного контролю у сферах захисту у кіберпросторі державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, криптографічного та технічного захисту інформації;