Законодавство

Стан кіберзахисту державних інформресурсів оцінюватимуть раз на рік

Опубліковано

21.04.2025

Набрала чинності постанова Кабінету Міністрів України від 28 березня 2025 р. № 447, якою внесено до деяких постанов зміни щодо кіберзахисту державних інформаційних ресурсів та критичної інформаційної інфраструктури.

Зокрема новими п. 26 і 27 Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затверджених постановою від 29 березня 2006 р. № 373, визначено, що власники (розпорядники) систем, у яких обробляються державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом:

1) здійснюють управління ризиками у сфері кібербезпеки, що передбачає ідентифікацію та періодичну оцінку ризиків, їх моніторинг і перегляд, а також процедури, які забезпечують впровадження, перегляд і вдосконалення політики управління ризиками;

2) здійснюють базові заходи з кіберзахисту;

3) затверджують, переглядають та оновлюють плани кіберзахисту, політики кібербезпеки, плани реагування на кібератаки та кіберінциденти;

Читайте також: Заміна терміну «електронно-обчислювальні машини (комп’ютери)» на «інформаційні (автоматизовані) системи» у ст. 361 КК не свідчить про декриміналізацію злочину втручання в роботу комп’ютера

4) здійснюють виявлення кіберінцидентів та кібератак і реагування на них, усунення їх наслідків;

5) невідкладно інформують урядову команду реагування на комп’ютерні надзвичайні події України CERT-UA та Ситуаційний центр забезпечення кібербезпеки СБУ про інциденти кібербезпеки від середнього рівня критичності та вище;

6) здійснюють інформаційний обмін щодо виявлених та потенційних кіберзагроз між силами кіберзахисту та відповідними підрозділами інших суб’єктів забезпечення кібербезпеки;

7) отримують доступ до Інтернету через систему захищеного доступу державних органів до Інтернету Державного центру кіберзахисту через постачальників електронних комунікаційних мереж та/або послуг, які мають захищені вузли доступу до глобальних мереж передачі даних із створеними комплексними системами захисту інформації з підтвердженою відповідністю, або через власні системи захищеного доступу до Інтернету із створеними комплексними системами захисту інформації з підтвердженою відповідністю. Ця вимога не поширюється на системи закордонних дипломатичних установ України;

8) проводять навчання та тренінги для співробітників з питань кібербезпеки, зокрема щодо підвищення рівня обізнаності про кіберзагрози, методів запобігання їх виникненню, управління ризиками у сфері кібербезпеки та дотримання принципів кібергігієни.

Читайте також: Втручання в таємницю спілкування не відбувається, якщо абонент (учасник) спілкування добровільно розкриває її державним органам

Методика ідентифікації та оцінки ризиків у сфері кібербезпеки затверджується Адміністрацією Держспецзв’язку.

Моніторинг стану кіберзахисту систем, у яких обробляються державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом, забезпечується їх власниками (розпорядниками) шляхом:

1) оцінки стану кіберзахисту не рідше ніж один раз на рік відповідно до методичних рекомендацій щодо здійснення базових заходів з кіберзахисту;

2) використання систем виявлення, запобігання та нейтралізації кіберзагроз, за допомогою яких здійснюються збір та аналіз мережевої телеметрії, а також реагування на кіберінциденти та кібератаки;

3) аудиту інформаційної безпеки, у тому числі шляхом залучення незалежних аудиторів інформаційної безпеки.

Результати такого моніторингу використовуються:

1) власниками (розпорядниками) систем, у яких обробляються державні інформаційні ресурси та інформація, вимога щодо захисту якої встановлена законом, під час аналізу ефективності та коригування здійснених заходів з кіберзахисту, а також для планування заходів з управління ризиками у сфері кібербезпеки;

2) Адміністрацією Держспецзв’язку під час:

– проведення оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах;

– здійснення державного контролю у сферах захисту у кіберпросторі державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, криптографічного та технічного захисту інформації;

– проведення огляду стану кіберзахисту критичної інформаційної інфраструктури, державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом.

Внесено зміни й до додатку до постанови від 16 грудня 2015 р. № 1057 «Про визначення сфер діяльності, в яких центральні органи виконавчої влади та Служба безпеки України здійснюють функції технічного регулювання», постанови від 9 жовтня 2020 р. № 943 «Деякі питання об’єктів критичної інформаційної інфраструктури».

Також зверніть увагу на Правові позиції Верховного Суду щодо кримінальних правопорушень, пов’язаних з війною, та збірник Воєнний стан. Всі нормативні матеріали, алгоритми дій, роз’яснення, корисні ресурси.