Законодавство
Вразливості в інформаційних системах шукатимуть постійно
Набрала чинності постанова Кабінету Міністрів України від 3 грудня 2025 р. № 1580, якою визначено механізм здійснення пошуку та/або виявлення потенційних вразливостей в інформаційних, електронних комунікаційних, інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, на об’єктах критичної інформаційної інфраструктури.
Затвердженим Порядком визначено, що організаційно-технічними заходами з пошуку та/або виявлення потенційних вразливостей в системах є:
– збір, аналіз та поширення інформації про вразливості, що здійснюються на постійній основі суб’єктами національної системи реагування на кіберінциденти, кібератаки та кіберзагрози, власниками або розрядниками систем;
– сканування систем, які забезпечують розміщення державних інформаційних ресурсів в Інтернеті;
– оцінка стану захищеності систем з метою пошуку потенційної вразливості;
– впровадження програми пошуку і виявлення потенційних вразливостей за винагороду та узгоджене розкриття вразливостей.
Пошук та/або виявлення потенційних вразливостей в системах забезпечується власником або розпорядником системи на постійній основі з моменту введення системи в промислову експлуатацію з урахуванням особливостей, визначених цим Порядком.
Власник або розпорядник системи забезпечує своєчасне виявлення потенційних вразливостей, зокрема шляхом проведення організаційно-технічних заходів, визначених цим Порядком, здійснює в установленому порядку управління вразливостями в рамках виконання базових заходів з кіберзахисту, використовує доступні засоби, механізми і сервіси для виявлення нових вразливостей, своєчасного їх усунення або мінімізації ризиків їх експлуатації.
Суб’єкти національної системи реагування на кіберінциденти, кібератаки та кіберзагрози, власники або розрядники систем на постійній основі здійснюють збір, аналіз та поширення інформації про вразливості в системах.
Збір інформації про потенційні вразливості може здійснюватися з будь-яких доступних джерел, зокрема на підставі договорів та інших угод з юридичними або фізичними особами (резидентами або нерезидентами України) або міжнародних договорів, в рамках державно-приватної взаємодії, організаційно-технічних заходів, передбачених цим Порядком, а також інших джерел, не заборонених законодавством.
Національна команда реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA, галузеві та регіональні команди реагування на кіберінциденти, кібератаки та кіберзагрози CSIRT поширюють інформацію про потенційні вразливості та рекомендації щодо їх виявлення, запобігання, усунення і мінімізації потенційних наслідків їх використання в рамках національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та оприлюднюють таку інформацію і рекомендації на власних офіційних веб-сайтах.
Власники та розпорядники систем враховують отриману від національної команди реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA і галузевих та регіональних команд реагування на кіберінциденти, кібератаки та кіберзагрози CSIRT інформацію про потенційні вразливості та з урахуванням наданих рекомендацій здійснюють управління вразливостями в рамках виконання базових заходів з кіберзахисту.
Національна команда реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA інформує Адміністрацію Держспецзв’язку та Ситуаційний центр забезпечення кібербезпеки СБУ про виявлені потенційні вразливості інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, а також об’єктів критичної інформаційної інфраструктури із зазначенням обов’язкових та/або рекомендованих заходів реагування для надання вимоги про реагування.
Обов’язкові до виконання вимоги про реагування власникам або розпорядникам систем надаються в межах повноважень СБУ та Адміністрацією Держспецзв’язку – з метою вжиття заходів оперативного реагування на кіберінциденти, кібератаки, кіберзагрози.
Сканування систем, які забезпечують розміщення державних інформаційних ресурсів в Інтернеті, здійснюється Державним центром кіберзахисту Держспецзв’язку відповідно до Порядку сканування на предмет вразливості державних інформаційних ресурсів, розміщених у мережі Інтернет, затвердженого наказом Адміністрації Держспецзв’язку від 15 січня 2016 р. № 20.
Сканування систем, які забезпечують розміщення державних інформаційних ресурсів в Інтернеті, проводиться планово згідно з річним планом, який затверджується наказом Адміністрації Держспецзв’язку, або позапланово за письмовим зверненням органу державної влади, іншого державного органу, органу місцевого самоврядування, власника або розпорядника об’єкта критичної інформаційної інфраструктури, оператора критичної інфраструктури.
За результатами сканування систем, які забезпечують розміщення державних інформаційних ресурсів в Інтернеті, Державний центр кіберзахисту Держспецзв’язку протягом 15 календарних днів з дня виявлення вразливості повідомляє:
– власнику або розпоряднику системи про виявлені вразливості і недоліки у налаштуванні системи з наданням відповідних рекомендацій щодо їх усунення або мінімізації ризику експлуатації вразливості;
– національній команді реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA або галузевим та регіональним командам реагування на кіберінциденти, кібератаки та кіберзагрози CSIRT про виявлені вразливості.
Оцінка стану захищеності систем з метою пошуку потенційних вразливостей здійснюється відповідно до порядку оцінювання стану кіберзахисту інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інфраструктури, об’єктів критичної інформаційної інфраструктури, передбаченого ч. 3 ст. 5 Закону України «Про основні засади забезпечення кібербезпеки України».
За результатами оцінки стану захищеності систем суб’єкти оцінювання стану кіберзахисту, які здійснювали оцінку стану захищеності систем відповідно до зазначеного порядку повідомляють власнику або розпоряднику систем, а також національній команді реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA або відповідним галузевим/регіональним командам реагування на кіберінциденти, кібератаки та кіберзагрози CSIRT про виявлені вразливості.
Пошук та/або виявлення потенційних вразливостей в системах, в яких обробляються державні інформаційні ресурси, може здійснюватися відповідно до процедур пошуку і виявлення вразливостей за винагороду та узгодженого розкриття вразливостей, визначених Порядком пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних, затвердженим постановою від 16 травня 2023 р. № 497.
З метою здійснення інформаційного обміну про вразливості, а також забезпечення сумісності та уніфікації підходів до реєстрації, аналізу та оприлюднення вразливостей національна команда реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA координує суб’єктів забезпечення кібербезпеки щодо узгодженого розкриття вразливостей та забезпечує взаємодію з Європейською базою вразливостей, адміністрованою Агентством Європейського Союзу з кібербезпеки ENISA.
Внесено й зміни до Порядку пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж, затвердженого постановою від 16 травня 2023 р. № 497.
Також зверніть увагу на Правові позиції Верховного Суду щодо кримінальних правопорушень, пов’язаних з війною, та збірник Воєнний стан. Всі нормативні матеріали, алгоритми дій, роз’яснення, корисні ресурси.
