Відповідно до статті 23 Закону України "Про критичну інфраструктуру", абзацу четвертого пункту 1, абзацу третього підпункту 1 пункту 3, підпункту 15-1 пункту 4 та пункту 10 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, пункту 7 Порядку проведення моніторингу рівня безпеки об’єктів критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 22 липня 2022 року № 821, НАКАЗУЮ:

1. Затвердити такі, що додаються:

Методику оцінки стану захищеності об’єктів критичної інфраструктури;

Критерії і показники оцінки стану захищеності об’єктів критичної інфраструктури.

2. Департаменту захисту критичної інфраструктури Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.

3. Контроль за виконанням цього наказу покласти на заступника Голови Державної служби спеціального зв’язку та захисту інформації України згідно з розподілом обов’язків.

4. Цей наказ набирає чинності з дня його офіційного опублікування.

1. Ця Методика спрямована на реалізацію заходів з визначення стану захищеності об’єктів критичної інфраструктури, а також вжитих і запланованих заходів для забезпечення захисту, безпеки та стійкості критичної інфраструктури.

2. У цій Методиці терміни вживаються у значенні, наведеному в Законі України "Про критичну інфраструктуру" та інших нормативно-правових актах у сфері захисту критичної інфраструктури.

3. Секторальні та функціональні органи у сфері захисту критичної інфраструктури проводять оцінку стану захищеності об’єктів критичної інфраструктури відповідно до Порядку проведення моніторингу рівня безпеки об’єктів критичної інфраструктури, затвердженого постановою Кабінету Міністрів України від 22 липня 2022 року № 821 (далі — Порядок моніторингу), та цієї Методики.

4. Секторальний орган у сфері захисту критичної інфраструктури проводить оцінку стану захищеності об’єктів критичної інфраструктури своїх секторів з урахуванням відомостей, зазначених у щорічному звіті оператора критичної інфраструктури, паспорті безпеки на об’єкт критичної інфраструктури, а також вимогах (планах, програмах, нормах, регламентах тощо) секторального органу у сфері захисту критичної інфраструктури щодо захисту та стійкості об’єктів критичної інфраструктури, передбачених законодавством у сфері захисту критичної інфраструктури.

Функціональний орган у сфері захисту критичної інфраструктури проводить оцінку захищеності об’єкта критичної інфраструктури з урахуванням відомостей, зазначених у плані захисту об’єкта критичної інфраструктури, який є складовою паспорта безпеки на об’єкт критичної інфраструктури, в частині проєктних загроз національного, секторального та об’єктового (у разі наявності) рівнів, щодо яких він є відповідальним.

5. Оцінка стану захищеності об’єктів критичної інфраструктури банків, інших осіб, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторів платіжних систем та/або учасників платіжних систем, технологічних операторів платіжних послуг проводиться Національним банком України виключно за критеріями, визначеними в рядках 1.1–4.15 Критеріїв і показників оцінки стану захищеності об’єктів критичної інфраструктури, затверджених наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 січня 2025 року № 17, якщо додаткові критерії не встановлені Національним банком України.

6. Процедура оцінки стану захищеності об’єкта критичної інфраструктури містить такі етапи:

підготовчий;

проведення оцінки стану захищеності об’єкта критичної інфраструктури;

складання акта оцінки стану захищеності об’єкта критичної інфраструктури згідно з формою, встановленою додатком до Порядку моніторингу.

7. Під час підготовчого етапу секторальний орган у сфері захисту критичної інфраструктури при формуванні річного плану проведення оцінки стану захищеності об’єктів критичної інфраструктури погоджує з відповідними функціональними органами у сфері захисту критичної інфраструктури, які залучаються до оцінки стану захищеності об’єктів критичної інфраструктури, дату/період проведення оцінки стану захищеності об’єктів критичної інфраструктури.

Розроблений секторальним органом у сфері захисту критичної інфраструктури річний план проведення оцінки стану захищеності об’єктів критичної інфраструктури надсилається на погодження до залучених для проведення оцінки стану захищеності об’єктів критичної інфраструктури функціональних органів у сфері захисту критичної інфраструктури.

Затверджений секторальним органом у сфері захисту критичної інфраструктури річний план проведення оцінки стану захищеності об’єктів критичної інфраструктури надсилається уповноваженому органу у сфері захисту критичної інфраструктури України в порядку, визначеному пунктом 5 Порядку моніторингу. За результатами розгляду річного плану проведення оцінки стану захищеності об’єктів критичної інфраструктури уповноважений орган у сфері захисту критичної інфраструктури України може ініціювати включення свого представника до складу Комісії з оцінки стану захищеності об’єктів критичної інфраструктури (далі — Комісія з оцінки стану захищеності) з переліку об’єктів критичної інфраструктури, визначених у річному плані проведення оцінки захищеності об’єктів критичної інфраструктури, про що має повідомити у десятиденний строк секторальний орган у сфері захисту критичної інфраструктури.

Персональний склад Комісії з оцінки стану захищеності затверджується секторальним органом у сфері захисту критичної інфраструктури не пізніше ніж за 30 днів до дати проведення оцінки стану захищеності об’єкта критичної інфраструктури.

Секторальний орган у сфері захисту критичної інфраструктури доводить до відома оператора критичної інфраструктури витяг з річного плану проведення оцінки стану захищеності об’єктів критичної інфраструктури в частині, що його стосується, відповідно до Порядку моніторингу.

8. З метою актуалізації інформації щодо об’єкта критичної інфраструктури секторальний та/або функціональні органи у сфері захисту критичної інфраструктури, залучені для проведення оцінки стану захищеності об’єкта критичної інфраструктури, мають право надіслати письмовий запит до оператора критичної інфраструктури про надання ним:

підтверджувальної інформації або документів щодо проведення заходів фізичного захисту, кіберзахисту та охорони об’єкта критичної інфраструктури (фото, деталізація заходів тощо);

додаткових пояснень щодо інформації, отриманої від оператора критичної інфраструктури, та складених на об’єкт критичної інфраструктури документів, визначених пунктом 4 цієї Методики.

9. Під час етапу проведення оцінки стану захищеності об’єктів критичної інфраструктури використовується:

оціночний метод — шляхом аналізу інформації, отриманої від оператора критичної інфраструктури, та складених на об’єкт критичної інфраструктури документів, визначених пунктом 4 цієї Методики, з метою встановлення заходів, яких необхідно вжити для захисту об’єкта критичної інфраструктури;

прямий метод — шляхом обстеження об’єкта критичної інфраструктури щодо виконання заходів із захисту об’єкта критичної інфраструктури з метою визначення фактичного стану захищеності об’єкта критичної інфраструктури.

10. Під час проведення оцінки стану захищеності об’єкта критичної інфраструктури секторальний та функціональні органи у сфері захисту критичної інфраструктури у разі потреби мають право залучати представників інших органів державної влади, органів місцевого самоврядування, на яких поширюються вимоги законодавства про інформацію, за погодженням з їх керівниками.

11. Під час проведення оцінки стану захищеності об’єкта критичної інфраструктури секторальний і функціональні органи у сфері захисту критичної інфраструктури у складі Комісії з оцінки стану захищеності заповнюють Форму для визначення оцінки стану захищеності об’єкта критичної інфраструктури згідно з додатком до цієї Методики (далі — Форма про результати оцінювання) у межах своїх повноважень.

Форма про результати оцінювання заповнюється з проставленням відповідної кількості балів за показниками та ознаки рівня дотримання кожного критерія оцінки стану захищеності об’єкта критичної інфраструктури і об’єкта в цілому.

Секторальний орган у сфері захисту критичної інфраструктури заповнює рядки 1–3, 4.1–4.4, 4.13–4.15 Форми про результати оцінювання.

Функціональний орган (функціональні органи) у сфері захисту критичної інфраструктури заповнює (заповнюють) рядки 4.5–4.12, 5–10 Форми про результати оцінювання.

Кількість балів визначається, виходячи зі співвідношення набраної кількості балів за критерієм (об’єктом в цілому) до її максимально можливої суми.

12. Показники стану захищеності об’єкта критичної інфраструктури оцінюються секторальними і функціональними органами у сфері захисту критичної інфраструктури за бальною системою, виходячи з ознаки дотримання встановленого показника: "так", "частково", "ні" (крім випадків, передбачених в абзаці другому пункту 13, пункті 14 цієї Методики), при цьому:

якщо показник має ознаку "так", йому присвоюється 2 бали;

якщо показник має ознаку "частково", йому присвоюється 1 бал;

якщо показник має ознаку "ні", йому бали не присвоюються (0 балів).

13. Значення балів, що присвоєні відповідним показникам оцінки стану захищеності об’єкта критичної інфраструктури, підсумовуються за кожним критерієм оцінки стану захищеності об’єкта критичної інфраструктури та в цілому по об’єкту і виставляються у Формі про результати оцінювання.

Якщо певний показник/критерій оцінки стану захищеності об’єкта критичної інфраструктури не передбачений для об’єкта критичної інфраструктури, такий показник/критерій не бере участі у підрахунку балів, а у відповідному полі у Формі про результати оцінювання проставляється прочерк.

Оцінка стану захищеності об’єкта критичної інфраструктури за критерієм "Забезпечення кіберзахисту об’єкта критичної інфраструктури" проводиться шляхом здійснення внутрішнього та зовнішнього сканування мереж і ресурсів на вразливості.

14. Значення балів за критеріями "Документальне оформлення оператором критичної інфраструктури заходів із забезпечення захисту та стійкості об’єкта критичної інфраструктури", "Рівень фінансування об’єкта критичної інфраструктури" та "Рівень взаємодії оператора критичної інфраструктури з іншими суб’єктами національної системи захисту критичної інфраструктури" не виставляється та не підсумовується.

15. Якщо за результатами проведення оцінки стану захищеності об’єкта критичної інфраструктури буде виявлена невідповідність інформації, отриманої від оператора критичної інфраструктури, та складених на об’єкт критичної інфраструктури документів, визначених пунктом 4 цієї Методики, показники балів у Формі про результати оцінювання коригуються відповідно до актуальної інформації, а за кожний такий випадок (якщо він погіршує стан захищеності об’єкта критичної інфраструктури) додатково знімається 1 бал за критерієм, щодо якого встановлена невідповідність.

16. Для показників стану захищеності об’єкта критичної інфраструктури за критерієм "Рівень захисту від епідемії" ознака рівня їх дотримання ("так", "частково", "ні") проставляється відповідно до розрахунку стану захищеності об’єкта критичної інфраструктури за критерієм "Рівень захисту від епідемії" згідно з додатком 2 до цієї Методики.

17. Для показників стану захищеності об’єкта критичної інфраструктури за критерієм "Забезпечення кіберзахисту об’єкта критичної інфраструктури" ознака рівня їх дотримання ("так", "частково", "ні") проставляється відповідно до розрахунку стану захищеності об’єкта критичної інфраструктури за критерієм "Забезпечення кіберзахисту об’єкта критичної інфраструктури" згідно з додатком 3 до цієї Методики.

18. Для показників стану захищеності об’єкта критичної інфраструктури за критерієм "Рівень захисту від економічного тероризму" ознака рівня їх дотримання ("так", "частково", "ні") проставляється відповідно до розрахунку стану захищеності об’єкта критичної інфраструктури за критерієм "Рівень захисту від економічного тероризму" згідно з додатком 4 до цієї Методики.

19. Стан захищеності об’єкта критичної інфраструктури за їх критеріями та по об’єкту в цілому оцінюється секторальним і функціональними органами у сфері захисту критичної інфраструктури за ознаками: "забезпечує", "обмежено забезпечує", "не забезпечує".

20. Ознака стану захищеності об’єкта критичної інфраструктури за відповідним критерієм визначається відповідно до співвідношення набраної кількості балів до її максимально можливої суми і розраховується за формулою:

Відповідна ознака за критерієм визначається на основі узагальненої нормованої оцінки стану захищеності за цим критерієм відповідно до такого правила:

якщо 0,85 < СЗкрит менше або дорівнює 1, виставляється ознака "забезпечує";

якщо 0,65 < СЗкрит менше або дорівнює 0,85, виставляється ознака "обмежено забезпечує";

якщо СЗкрит менше або дорівнює 0,65, виставляється ознака "не забезпечує".