Professional Documents
Culture Documents
1490882
1490882
до проекту Закону України «Про внесення змін до деяких законів України щодо невідкладних заходів посилення
спроможностей із кіберзахисту державних інформаційних ресурсів та об'єктів критичної інформаційної
інфраструктури»
Зміст положення (норми) чинного акта законодавства Зміст відповідного положення (норми) проєкту акта
Закон України «Про Державну службу спеціального зв'язку та захисту інформації України»
(Відомості Верховної Ради України (ВВР), 2014, № 25, ст.890 із наступними змінами)
1. У цьому Законі наведені нижче терміни вживаються в 1. У цьому Законі наведені нижче терміни вживаються в
таких значеннях: таких значеннях:
1
спеціального зв’язку та державної експертизи їх результатів з таємницю, та державної експертизи їх результатів з метою
метою встановлення можливості їх використання за встановлення можливості їх використання за призначенням;
призначенням;
експертні дослідження - дослідження та аналіз конкретних
властивостей засобів криптографічного захисту інформації,
експертні дослідження - дослідження та аналіз криптографічних алгоритмів з метою перевірки їх
конкретних властивостей засобів криптографічного захисту відповідності вимогам нормативно-правових актів, оцінки
інформації, криптографічних алгоритмів, засобів, систем та захищеності інформації або їх науково-технічного рівня;
комплексів спеціального зв’язку з метою перевірки їх
відповідності вимогам нормативно-правових актів, оцінки …
захищеності інформації або їх науково-технічного рівня;
…
Виключити
засіб спеціального зв’язку - апаратний, апаратно-
програмний засіб, який призначений для обробки інформації з
обмеженим доступом у складі системи спеціального зв’язку, …
але не реалізує криптографічних перетворень інформації;
засіб технічного захисту інформації – технічний або
… програмний засіб, у якому передбачено функції технічного
захисту інформації, технічний або програмний засіб
Відсутнє
спеціально розроблений для пошуку закладних пристроїв
або контролю ефективності технічного захисту інформації;
Виключити
комплекс спеціального зв’язку - сукупність обладнання і
засобів криптографічного захисту інформації, засобів
спеціального зв’язку, технічно та функціонально поєднаних
для забезпечення захисту службової інформації та/або
інформації, що становить державну таємницю, призначений
для використання у складі системи спеціального зв’язку; національна система урядових електронних
комунікацій – загальнодержавна спеціальна
2
інформаційно-комунікаційна система, яка функціонує в
інтересах здійснення управління державою у мирний час, в
Відсутнє умовах надзвичайного стану та в особливий період із
забезпеченням передавання, приймання та оброблення
інформації, що становить державну таємницю, та іншої
інформації з обмеженим доступом, вимога щодо захисту
якої встановлена законом;
…
…
орган стандартизації криптографічного та технічного
захисту інформації, кіберзахисту, протидії технічним
розвідкам – науково-дослідна, науково-виробнича чи інша
Відсутнє установа або організація Державної служби спеціального
зв’язку та захисту інформації України, до функцій якої
віднесено розроблення, прийняття, внесення змін,
скасування, відновлення дії, оприлюднення,
запровадження та застосування стандартів
криптографічного та технічного захисту інформації,
кіберзахисту, протидії технічним розвідкам;
…
…
спеціальна інформаційно-комунікаційна система –
Відсутнє інформаційно-комунікаційна система, яка забезпечує
3
обробку інформації, що становить державну таємницю, та
іншої інформації з обмеженим доступом, вимога щодо
захисту якої встановлена законом, із застосуванням
технічних засобів електронних комунікацій і засобів
…
криптографічного захисту інформації;
…
Відсутнє
стандарт криптографічного та технічного захисту
інформації, кіберзахисту, протидії технічним розвідкам –
стандарт, прийнятий органом стандартизації
криптографічного та технічного захисту інформації,
кіберзахисту, протидії технічним розвідкам, що
встановлює для загального і неодноразового використання
правила та настанови щодо діяльності у сферах
криптографічного та технічного захисту інформації,
кіберзахисту, протидії технічним розвідкам і спрямований
Відсутнє на досягнення оптимального ступеня упорядкування у
зазначених сферах;
4
захисту від витоку інформації каналами побічних для захисту службової інформації або інформації, що
електромагнітних випромінювань і наведень; становить державну таємницю, вимогам тактико-технічних
завдань на їх створення, нормативно-правових актів у сфері
криптографічного захисту інформації, а також вимогам із
урядовий зв’язок - спеціальний зв’язок, надання якого захисту від витоку інформації каналами побічних
забезпечується державною системою урядового зв’язку; електромагнітних випромінювань і наведень;
Стаття 2. Статус Державної служби спеціального Стаття 2. Статус Державної служби спеціального
зв’язку та захисту інформації України зв’язку та захисту інформації України
1. Державна служба спеціального зв’язку та захисту 1. Державна служба спеціального зв’язку та захисту
інформації України є державним органом, який призначений інформації України є державним органом, який призначений
для забезпечення функціонування і розвитку державної для забезпечення функціонування і розвитку національної
системи урядового зв’язку, Національної системи системи урядових електронних комунікацій, Національної
конфіденційного зв’язку, формування та реалізації державної системи конфіденційного зв’язку, формування та реалізації
політики у сферах криптографічного та технічного захисту державної політики у сферах криптографічного та технічного
інформації, кіберзахисту, поштового зв’язку спеціального захисту інформації, кіберзахисту, поштового зв’язку
призначення, урядового фельд’єгерського зв’язку, активної спеціального призначення, урядового фельд’єгерського
протидії агресії у кіберпросторі, а також інших завдань зв’язку, активної протидії агресії у кіберпросторі, а також
відповідно до закону. інших завдань відповідно до закону.
…
…
5
Стаття 3. Основні завдання Державної служби Стаття 3. Основні завдання Державної служби
спеціального зв’язку та захисту інформації України спеціального зв’язку та захисту інформації України
формування та реалізація державної політики у сферах формування та реалізація державної політики у сферах
криптографічного та технічного захисту інформації, криптографічного та технічного захисту інформації,
кіберзахисту, поштового зв’язку спеціального призначення, кіберзахисту, поштового зв’язку спеціального призначення,
урядового фельд’єгерського зв’язку, захисту державних урядового фельд’єгерського зв’язку, захисту державних
інформаційних ресурсів та інформації, вимога щодо захисту інформаційних ресурсів та інформації, вимога щодо захисту
якої встановлена законом, в інформаційних, електронних якої встановлена законом, в інформаційних, електронних
комунікаційних та інформаційно-комунікаційних системах комунікаційних та інформаційно-комунікаційних системах
(далі - інформаційно-комунікаційні системи) і на об’єктах (далі - інформаційно-комунікаційні системи) і на об’єктах
інформаційної діяльності, а також у сферах використання інформаційної діяльності, а також у сферах використання
державних інформаційних ресурсів в частині захисту державних інформаційних ресурсів в частині захисту
інформації, протидії технічним розвідкам, функціонування, інформації, протидії технічним розвідкам, функціонування,
безпеки та розвитку державної системи урядового зв’язку, безпеки та розвитку національної системи урядових
Національної системи конфіденційного зв’язку, активної електронних комунікацій, Національної системи
протидії агресії у кіберпросторі; конфіденційного зв’язку, активної протидії агресії у
кіберпросторі;
Відсутнє формування та реалізація державної політики у сфері
державного контролю за додержанням вимог
законодавства у сферах технічного захисту інформації та
кіберзахисту об'єктами державного контролю у сферах
технічного захисту інформації та кіберзахисту та оцінки у
Відсутнє сфері захисту інформації;
формування та реалізація державної політики у сфері
кіберзахисту щодо обміну інформацією про інциденти
Відсутнє кібербезпеки, кібератаки та кіберзагрози;
6
формування та реалізація державної політики у сфері
… кіберзахисту щодо реагування на кіберінциденти,
кібератаки, кіберзагрози;
Відсутнє
…
здійснення стандартизації у сферах криптографічного
та технічного захисту інформації, кіберзахисту, протидії
технічним розвідкам.
Стаття 7. Центральний орган виконавчої влади, що Стаття 7. Центральний орган виконавчої влади, що
забезпечує формування та реалізацію державної політики забезпечує формування та реалізацію державної політики
у сферах організації спеціального зв’язку, захисту у сферах організації спеціального зв’язку, захисту
інформації інформації
1. Центральний орган виконавчої влади, що забезпечує 1. Центральний орган виконавчої влади, що забезпечує
формування та реалізацію державної політики у сферах формування та реалізацію державної політики у сферах
організації спеціального зв’язку, захисту інформації, є організації спеціального зв’язку, захисту інформації, є
центральним органом виконавчої влади із спеціальним центральним органом виконавчої влади із спеціальним
статусом, що забезпечує формування та реалізацію державної статусом, що забезпечує формування та реалізацію державної
політики у сферах організації спеціального зв’язку, захисту політики у сферах організації спеціального зв’язку, захисту
інформації, спеціально уповноваженим центральним органом інформації, кіберзахисту, спеціально уповноваженим
виконавчої влади з питань організації спеціального зв’язку та центральним органом виконавчої влади з питань організації
захисту інформації, головним органом у системі центральних спеціального зв’язку та захисту інформації, головним органом
органів виконавчої влади з формування та забезпечення у системі центральних органів виконавчої влади з формування
реалізації державної політики у сферах організації та забезпечення реалізації державної політики у сферах
спеціального зв’язку та захисту інформації, поштового зв’язку організації спеціального зв’язку та захисту інформації,
спеціального призначення, урядового фельд’єгерського поштового зв’язку спеціального призначення, урядового
зв’язку, активної протидії агресії у кіберпросторі. фельд’єгерського зв’язку, активної протидії агресії у
кіберпросторі.
…
…
7
Стаття 9. Територіальні підрозділи Державної служби Стаття 9. Територіальні підрозділи Державної служби
спеціального зв’язку та захисту інформації України спеціального зв’язку та захисту інформації України
… …
… …
Стаття 14. Обов’язки Державної служби спеціального Стаття 14. Обов’язки Державної служби спеціального
зв’язку та захисту інформації України зв’язку та захисту інформації України
1. На Державну службу спеціального зв'язку та захисту 1. На Державну службу спеціального зв'язку та захисту
інформації України відповідно до визначених завдань інформації України відповідно до визначених завдань
покладаються такі обов'язки: покладаються такі обов'язки:
1) формування та реалізація державної політики у сферах 1) формування та реалізація державної політики у сферах
криптографічного та технічного захисту інформації, захисту криптографічного та технічного захисту інформації, захисту
державних інформаційних ресурсів та інформації, вимога державних інформаційних ресурсів та інформації, вимога
щодо захисту якої встановлена законом, в інформаційно- щодо захисту якої встановлена законом, в інформаційно-
комунікаційних системах і на об’єктах інформаційної комунікаційних системах і на об’єктах інформаційної
діяльності, протидії технічним розвідкам, активної протидії діяльності, протидії технічним розвідкам, активної протидії
агресії у кіберпросторі; агресії у кіберпросторі; у сфері державного контролю за
додержанням вимог законодавства у сферах технічного
захисту інформації та кіберзахисту; у сфері кіберзахисту
щодо обміну інформації про інциденти кібербезпеки,
8
кібератаки та кіберзагрози, щодо реагування на
кіберінциденти, кібератаки, кіберзагрози;
…
…
9) встановлення порядку створення та допуску до
експлуатації, допуск до експлуатації засобів 9) встановлення порядку створення та допуску до
криптографічного захисту службової інформації та експлуатації, допуск до експлуатації засобів криптографічного
інформації, що становить державну таємницю, засобів, захисту службової інформації та інформації, що становить
комплексів та систем спеціального зв’язку, визначення державну таємницю, визначення криптографічних алгоритмів
криптографічних алгоритмів для застосування у засобах для застосування у засобах криптографічного захисту
криптографічного захисту інформації; інформації;
…
…
13) забезпечення функціонування, безпеки та розвитку
державної системи урядового зв’язку, її готовності до роботи 13) забезпечення функціонування національної системи
в особливий період і в разі виникнення надзвичайної ситуації; урядових електронних комунікацій у порядку,
визначеному Президентом України, її безпеки, розвитку та
… готовності до роботи в особливий період і в разі виникнення
надзвичайної ситуації;
19) вирішення в межах повноважень питань забезпечення …
зв’язку для потреб державної системи урядового зв’язку,
Національної системи конфіденційного зв’язку, відповідних 19) вирішення в межах повноважень питань забезпечення
державних органів згідно із законодавством; зв’язку для потреб національної системи урядових
електронних комунікацій, Національної системи
… конфіденційного зв’язку, відповідних державних органів
згідно із законодавством;
29) встановлення порядку здійснення державного
контролю і здійснення державного контролю за: …
…
29) встановлення порядку здійснення державного
контролю і здійснення державного контролю за:
9
додержанням вимог безпеки під час розроблення, …
виробництва, використання, експлуатації, сертифікаційних
випробувань, проведення тематичних досліджень, експертизи, додержанням вимог безпеки під час розроблення,
вивезення та знищення криптографічних систем і засобів виробництва, використання, експлуатації, сертифікаційних
криптографічного захисту інформації та обладнання випробувань, проведення тематичних досліджень, експертизи,
спеціального зв’язку, що мають гриф обмеження доступу; вивезення та знищення криптографічних систем і засобів
криптографічного захисту інформації, що мають гриф
обмеження доступу;
10
інформаційних ресурсів в інформаційно-комунікаційних
системах, а також про їх наслідки, інформування
правоохоронних органів для вжиття заходів із запобігання та
припинення кримінальних правопорушень у зазначеній сфері;
технічних вимог до електронних комунікаційних мереж, технічних вимог до електронних комунікаційних мереж та
систем і комплексів, засобів та об’єктів спеціального зв’язку; об’єктів спеціального зв’язку;
порядку і забезпечення проведення експертизи порядку і забезпечення проведення експертизи
інфраструктури електронних комунікацій проектів інфраструктури електронних комунікацій проектів
будівництва, реконструкції та модернізації електронних будівництва, реконструкції та модернізації електронних
комунікаційних мереж, споруд і засобів спеціального зв’язку; комунікаційних мереж, споруд;
…
67) організація та забезпечення служби з охорони …
об’єктів, приміщень, систем, мереж, комплексів, засобів 67) організація та забезпечення служби з охорони
урядового і спеціального зв’язку, ключових документів до об’єктів, приміщень, систем, мереж урядового і спеціального
засобів криптографічного захисту інформації; зв’язку, ключових документів до засобів криптографічного
захисту інформації;
…
11
міжнародними організаціями з питань, що належать до
повноважень Державної служби спеціального зв’язку та
захисту інформації України (у тому числі та обмежуючись
документами The European Union Agency for Cybersecurity
(ENISA), The Cybersecurity and Infrastructure Security
Agency (CISA), National Institute of Standards and
Technology (NIST), Federal Information Processing Standards
… (FIPS)), дозволеними для використання у роботі у сферах
організації спеціального зв’язку, захисту інформації,
90) забезпечення впровадження системи аудиту кіберзахисту;
інформаційної безпеки на об’єктах критичної інфраструктури,
встановлення вимог до аудиторів інформаційної безпеки, їх …
атестації (переатестації);
90) методичне регулювання оцінки захисту інформації
та стану захищеності інформації, встановлення вимог до
суб'єктів оцінювачної діяльності у сфері захисту
інформації щодо захищенності інформаційних,
електронних комунікаційних та інформаційно-
комунікаційних систем, в яких обробляються державні
інформаційні ресурси або інформація з обмеженим
доступом, вимога щодо захисту якої встановлена законом,
91) координація, організація та проведення аудиту об'єктів критичної інформаційної інфраструктури,
захищеності комунікаційних і технологічних систем об’єктів реалізація інших повноважень, визначених спеціальним
критичної інфраструктури на вразливість; законом у сфері оцінки захисту інформації;
Виключити
92) забезпечення функціонування Державного центру
кіберзахисту;
13
критичної інфраструктури, та закупівля яких вимагає
виконання вимог щодо впровадження постачальниками
та їх субпідрядниками заходів безпеки інформації
відповідно до рівня ризику, пов’язаного з постачанням
таких товарів, робіт та послуг;
14
98) забезпечення функціонування відкритого реєстру
забороненного до використання програмного забезпечення
відповідно до порядку формування переліку забороненого
Відсутнє
до використання програмного забезпечення та внесення їх
до реєстру забороненного до використання програмного
забезпечення, а також порядку формування та
Відсутнє забезпечення функціонування реєстру забороненного до
використання програмного забезпечення, затверджених
Кабінетом Міністрів України;
15
електронних комунікаційних та інформаційно-
Відсутнє комунікаційних систем, в яких обробляються державні
інформаційні ресурси або інформація з обмеженим
доступом, вимога щодо захисту якої встановлена законом,
та на підприємствах, установах та організаціях, віднесених
Відсутнє до об’єктів критичної інфраструктури;
Відсутнє
16
107) визначення органу стандартизації
криптографічного та технічного захисту інформації,
кіберзахисту, протидії технічним розвідкам з числа
науково-дослідних, науково-виробничих та інших установ
і організацій Державної служби спеціального зв’язку та
Відсутнє
захисту інформації України;
17
114) створення та забезпечення функціонування
кваліфікаційного центру за групами кваліфікацій у сферах
інформаціної безпеки та кіберзахисту;
18
проведення досліджень програмного забезпечення на
наявність/відсутність недокументованих функцій;
19
команди реагування, галузевих, регіональних команд
реагування;
20
порядку та строків подання звіту про вжиті визначені
відповідною директивою заходи реагування;
Стаття 15. Права Державної служби спеціального Стаття 15. Права Державної служби спеціального
зв’язку та захисту інформації України зв’язку та захисту інформації України
1. Для забезпечення виконання покладених на неї 1. Для забезпечення виконання покладених на неї
обов’язків Державна служба спеціального зв’язку та захисту обов’язків Державна служба спеціального зв’язку та захисту
інформації України має право: інформації України має право:
21
1) одержувати в установленому порядку від органів 1) вимагати в установлені строки шляхом направлення
державної влади, органів місцевого самоврядування, письмового запиту надання від органів державної влади,
військових формувань, утворених відповідно до законів органів місцевого самоврядування, військових формувань,
України, підприємств, установ і організацій незалежно від утворених відповідно до законів України, підприємств,
форми власності інформацію, документи і матеріали, установ і організацій незалежно від форми власності
необхідні для виконання покладених на Державну службу інформацію, документи і матеріали, необхідні для виконання
спеціального зв’язку та захисту інформації України завдань; покладених на Державну службу спеціального зв’язку та
захисту інформації України завдань;
Відсутнє
1-1) надавати обов’язкові до виконання вимоги про
усунення порушень законодавства щодо функціонування
національної системи реагування, національної системи
обміну інформацією про інциденти кібербезпеки,
кібератаки, щодо невиконання вимог законодавства в
сферах захисту інформації та кіберзахисту відносно
інформаційних, електронних комунікаційних та
інформаційно-комунікаційних систем, в яких
обробляються державні інформаційні ресурси або
інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом, криптографічного захисту
інформації та протидії іноземним технічним розвідкам, а
також відносно об'єктів критичної інформаційної
інфраструктури.
22
1-2) у визначених законодавством випадках вживати
заходи оперативного реагування на кіберзагрози та
інциденти шляхом надання обов’язкових до виконання
директив про реагування, які є актами організаційно-
розпорядчого характеру, власникам / розпорядникам
інформаційних, електронних комунікаційних та
інформаційно-комунікаційних систем, в яких
… обробляються державні інформаційні ресурси або
інформація з обмеженим доступом, вимога щодо захисту
8) зупиняти дію або скасовувати в порядку, встановленому якої встановлена законом, та підприємствам, установам та
центральним органом виконавчої влади, що забезпечує організаціям, віднесеним до об’єктів критичної
формування та реалізацію державної політики у сферах інфраструктури І-ІІ категорії критичності;
організації спеціального зв’язку, захисту інформації:
…
…
8) зупиняти дію або скасовувати в порядку, встановленому
свідоцтва про допуск до експлуатації засобів центральним органом виконавчої влади, що забезпечує
криптографічного захисту інформації, криптографічних формування та реалізацію державної політики у сферах
алгоритмів, засобів, комплексів та систем спеціального організації спеціального зв’язку, захисту інформації:
зв’язку, які призначені для захисту державних інформаційних
ресурсів та інформації, вимога щодо захисту якої встановлена
законом, і криптографічних алгоритмів;
…
…
свідоцтва про допуск до експлуатації засобів
10) залучати спеціальних і загальних користувачів криптографічного захисту інформації, криптографічних
радіочастотного спектра, підприємства, установи та алгоритмів, які призначені для захисту державних
організації незалежно від форм власності до виявлення та інформаційних ресурсів та інформації, вимога щодо захисту
усунення радіозавад радіоелектронним засобам державної якої встановлена законом, і криптографічних алгоритмів;
системи урядового зв’язку та Національної системи
конфіденційного зв’язку; …
… …
24
2. Контроль за технічним захистом інформації та
кіберзахистом здійснюється щодо виконання власниками,
розпорядниками інформаційно-комунікаційних систем, в
яких обробляються державні інформаційні ресурси та/або
інформація, вимога щодо захисту якої встановлена
законом, а також щодо операторів критичної
інфраструктури відносно захисту критичної технологічної
інформації та кіберзахисту критичної інформаційної
інфраструктури (крім об'єктів критичної інфраструктури
у банківській системі України), а також щодо
постачальників та їх субпідрядників, які поставляють
товари, роботи, послуги, що забезпечують функціонування
інформаційних, електронних комунікаційних та
інформаційно-комунікаційних систем, в яких
обробляються державні інформаційні ресурси або
інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом, об'єктів критичної
інформаційної інфраструктури замовникам, визначеним у
частині першій статті 2 Закону України "Про публічні
закупівлі", та операторам критичної інфраструктури (далі
– об'єкти контролю).
26
8. Для здійснення спеціальних заходів контролю
Державна служба спеціального зв'язку та захисту
інформації України може створювати спеціалізовані
команди, до якої, у разі обгрунтованої необхідності, можуть
бути залучені відповідні співробітники основних суб'єктів
забезпечення кібербезпеки України.
27
пов’язаних з проведенням державного контролю за
технічним захистом інформації та кіберзахистом;
3) ознайомлюватися з усіма документами та
матеріалами, необхідними для проведення заходів
державного контролю за технічним захистом інформації та
кіберзахистом;
4) отримувати інформацію, в тому числі з обмеженим
доступом з дотриманням відповідних зобов'язань щодо її
охорони, копії необхідних документів, письмові та усні
пояснення посадових осіб з питань, що безпосередньо
пов’язаних з проведенням заходів державного контролю за
технічним захистом інформації та кіберзахистом;
5) здійснювати тестування та доступ до інформаційних,
інформаційно-комунікаційних систем, об'єктів критичної
інформаційної інфраструктури (у тому числі з
використанням спеціальних програмних засобів) об'єктів
контролю (крім операторів об'єктів критичної
інфраструктури ІІІ-ІV категорії критичності) на підставі та
в межах спеціальних повноважень, наданих відповідно до
цього Закону Головою або заступником Голови Державної
служби спеціального зв'язку та захисту інформації
України;
6) перевіряти законність використання програмного
забезпечення (зокрема, відсутність у реєстрі заборонених до
використання програмних продуктів, проведення державної
експертизи на відсутність недокументованих функцій), у
тому числі тих, що виконують функції захисту інформації,
які використовуються в інформаційно-комунікаційних
системах суб’єктів контролю та на об'єктах критичної
інформаційної інфраструктури;
28
7) отримувати та безпосередньо фіксувати інформацію, в
тому числі з обмеженим доступом з дотриманням
відповідних зобов'язань щодо її охорони, про порушення
умов експлуатації інформаційних, інформаційно-
комунікаційних систем та об'єктів критичної
інформаційної інфраструктури шляхом створення
скріншотів та використання засобів фото-, відеозйомки з
урахуванням вимог щодо охорони державної таємниці;
8) за результатами здійснених контрольних заходів
складати приписи з вимогами про усунення порушень та
приведення стану технічного захисту інформації та
кіберзахисту у відповідність до вимог законодавства,
здійснювати контроль за ходом їх виконання;
9) складати протоколи про адміністративні
правопорушення, отримувати персональні дані та інші дані,
необхідні для складання такого протоколу, та надсилати до
суду матеріали про адміністративні правопорушення.
29
(Відомості Верховної Ради (ВВР), 2017, № 45, ст.403 із наступними змінами)
У цьому Законі наведені нижче терміни вживаються в У цьому Законі наведені нижче терміни вживаються в
такому значенні: такому значенні:
… …
…
…
Відсутнє
24) кризова ситуація у сфері кібербезпеки – порушення
або загроза порушення режиму функціонування
інформаційних, електронних комунікаційних та
інформаційно-комунікаційних систем, в яких
обробляються державні інформаційні ресурси або
інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом, об'єктів критичної
інформаційної інфраструктури у зв'язку з інцидентом
кібербезпеки, кібератакою або кіберзагрозою, переривання
Відсутнє яких може призвести до значних негативних наслідків для
національної безпеки;
виключити
31
2) діяльність, пов’язану із захистом інформації, що
становить державну таємницю, комунікаційні та технологічні
системи, призначені для її оброблення;
… …
32
комунікаційних систем, в яких обробляється державна
таємниця, використовується за умови відсутності в ньому
недокументованих функцій, що підтверджується
результатами державної експертизи у сфері захисту
інформації, здійсненою Державною службою спеціального
зв’язку та захисту інформації України.
… …
33
ресурсами функціонування національної системи організовує та забезпечує необхідними силами, засобами і
кібербезпеки; формує вимоги та забезпечує функціонування ресурсами функціонування національної системи
системи аудиту інформаційної безпеки на об’єктах критичної кібербезпеки; забезпечує функціонування системи оцінки
інфраструктури (крім об’єктів критичної інфраструктури у стану захищеності інформаційних, електронних
банківській системі України). комунікаційних та інформаційно-комунікаційних систем,
в яких обробляються державні інформаційні ресурси або
інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом, об'єктів критичної
інформаційної інфраструктури на об’єктах критичної
інфраструктури (крім об’єктів критичної інфраструктури у
банківській системі України), зокрема шляхом видання
постанов та розпоряджень; встановлює порядок взаємодії
суб'єктів, що входять до складу національної системи
4. Суб’єктами, які безпосередньо здійснюють у межах реагування, їх взаємодії з суб'єктами забезпечення
своєї компетенції заходи із забезпечення кібербезпеки, є: кібербезпеки, з правоохоронними та суб'єктами
оперативно-розшукової діяльності.
…
4. Суб’єктами, які безпосередньо здійснюють у межах своєї
7) підприємства, установи та організації, віднесені до
компетенції заходи із забезпечення кібербезпеки, є:
об’єктів критичної інфраструктури;
…
…
7) оператори критичної інфраструктури;
34
в яких обробляються державні інформаційні ресурси або
інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом, утворюються підрозділи із
кіберзахисту та призначаються офіцери із кіберзахисту,
яким безпосередньо підпорядковуються підрозділи із
кіберзахисту.
35
державної влади та місцевого самоврядування
встановлюються відповідно до розмірів посадових окладів,
встановлених Кабінетом Міністрів України для
відповідних посад державної служби та посад інших
категорій працівників у центральних органах виконавчої
влади зі спеціальним статусом, посад військовослужбовців
Збройних Сил України та співробітників правоохоронних
органів із коефіцієнтом:
36
офіцерів із кіберзахисту визначаються Державною
службою спеціального зв'язку та захисту інформації
України.
37
стандартів, стандартів Європейського Союзу та НАТО з в яких обробляються державні інформаційні ресурси або
обов’язковим залученням представників основних суб’єктів інформація з обмеженим доступом, вимога щодо захисту
національної системи кібербезпеки, наукових установ, якої встановлена законом, об'єктів критичної
незалежних аудиторів та експертів у сфері кібербезпеки, інформаційної інфраструктури замовникам, визначеним у
громадських організацій. частині першій статті 2 Закону України "Про публічні
закупівлі", та операторам критичної інфраструктури,
порядок визначення рівня ризику, пов’язаного з
постачанням таких товарів, робіт та послуг, та порядок
4. Відповідальність за забезпечення кіберзахисту
підтвердження постачальниками відповідності щодо
комунікаційних і технологічних систем об’єктів критичної
впроваджених заходів безпеки інформації,
інфраструктури, захисту технологічної інформації відповідно
встановлюються Державною службою спеціального
до вимог законодавства, за невідкладне інформування
зв’язку та захисту інформації України.
урядової команди реагування на комп’ютерні надзвичайні
події України CERT-UA про інциденти кібербезпеки, за
організацію проведення незалежного аудиту інформаційної
безпеки на таких об’єктах покладається на власників та/або
керівників підприємств, установ та організацій, віднесених до
об’єктів критичної інфраструктури.
… …
38
до Конституції і законів України виконують в установленому закордонних справ України, які відповідно до Конституції і
порядку такі основні завдання: законів України виконують в установленому порядку такі
основні завдання:
1) Державна служба спеціального зв'язку та захисту
інформації України забезпечує формування та реалізацію 1) Державна служба спеціального зв'язку та захисту
державної політики щодо захисту у кіберпросторі державних інформації України забезпечує формування та реалізацію
інформаційних ресурсів та інформації, вимога щодо захисту державної політики щодо захисту у кіберпросторі державних
якої встановлена законом, кіберзахисту об'єктів критичної інформаційних ресурсів та інформації, вимога щодо захисту
інформаційної інфраструктури, здійснює державний контроль якої встановлена законом, кіберзахисту об'єктів критичної
у цих сферах; координує діяльність інших суб'єктів інформаційної інфраструктури; здійснює державний
забезпечення кібербезпеки щодо кіберзахисту; забезпечує контроль за додержанням вимог законодавства у сфері
створення та функціонування Національної технічного захисту інформації та кіберзахисту об'єктами
телекомунікаційної мережі, впровадження організаційно- державного контролю у сфері технічного захисту
технічної моделі кіберзахисту; здійснює організаційно- інформації та кіберзахисту; здійснює стандартизацію у
технічні заходи із запобігання, виявлення та реагування на сфері криптографічного та технічного захисту інформації,
кіберінциденти і кібератаки та усунення їх наслідків; кіберзахисту, протидії технічним розвідкам; забезпечує
інформує про кіберзагрози та відповідні методи захисту від створення та функціонування національної системи
них; забезпечує впровадження аудиту інформаційної безпеки реагування на інциденти кібербезпеки, кібератаки,
на об'єктах критичної інфраструктури, встановлює вимоги до національної системи обміну інформацією; координує
аудиторів інформаційної безпеки, визначає порядок їх діяльність інших суб'єктів забезпечення кібербезпеки щодо
атестації (переатестації); координує, організовує та проводить кіберзахисту; забезпечує створення та функціонування
аудит захищеності комунікаційних і технологічних систем Національної телекомунікаційної мережі, впровадження
об'єктів критичної інфраструктури на вразливість; забезпечує організаційно-технічної моделі кіберзахисту; забезпечує
функціонування Державного центру кіберзахисту та Центру функціонування Державного центру кіберзахисту та Центру
активної протидії агресії у кіберпросторі, урядової команди активної протидії агресії у кіберпросторі, урядової команди
реагування на комп'ютерні надзвичайні події України CERT- реагування на комп'ютерні надзвичайні події України CERT-
UA; UA; організовує та проводить систематичні навчання із
питань кіберзахисту для осіб, що безпосередньо
здійснюють у межах своєї компетенції заходи з
кіберзахисту в органах державної влади, що є власниками
/ розпорядниками інформаційних, електронних
комунікаційних та інформаційно-комунікаційних систем,
39
в яких обробляються державні інформаційні ресурси або
інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом, та на підприємствах, установах
та організаціях, віднесених до об’єктів критичної
інфраструктури; забезпечує функціонування системи
професійної кваліфікації за групами кваліфікацій у сферах
інформаційної безпеки та кіберзахисту; здійснює
методичне регулювання оцінки захисту інформації та
стану захищеності інформації, встановлює вимоги до
суб'єктів оцінювачної діяльності у сфері захисту
інформації щодо захищенності інформаційних,
електронних комунікаційних та інформаційно-
комунікаційних систем, в яких обробляються державні
інформаційні ресурси або інформація з обмеженим
доступом, вимога щодо захисту якої встановлена законом,
об'єктів критичної інформаційної інфраструктури об'єктів
2) Національна поліція України забезпечує захист прав і критичної інфраструктури, а також виконує інші завдання
свобод людини і громадянина, інтересів суспільства і держави та здійснює інші повноваження відповідно до закону;
від кримінально протиправних посягань у кіберпросторі;
здійснює заходи із запобігання, виявлення, припинення та
розкриття кіберзлочинів, підвищення поінформованості 2) Національна поліція України в рамках та в порядку
громадян про безпеку в кіберпросторі; встановленому закономи України, що регламентують
правові засади організації та діяльності цього органу,
забезпечує захист прав і свобод людини і громадянина,
інтересів суспільства і держави від кримінально протиправних
посягань у кіберпросторі; здійснює заходи із запобігання,
виявлення, припинення та розкриття кіберзлочинів; здійснює
запобігання, виявлення, припинення та розкриття
кримінальних правопорушень щодо об’єктів критичної
3) Служба безпеки України здійснює запобігання, інфраструктури; здійснює заходи з інформування
виявлення, припинення та розкриття кримінальних громадян про безпеку в кіберпросторі;
правопорушень проти миру і безпеки людства, які вчиняються
40
у кіберпросторі; здійснює контррозвідувальні та оперативно-
розшукові заходи, спрямовані на боротьбу з кібертероризмом
та кібершпигунством, негласно перевіряє готовність об’єктів 3) Служба безпеки України в рамках та в порядку
критичної інфраструктури до можливих кібератак та встановленому закономи України, що регламентують
кіберінцидентів; протидіє кіберзлочинності, наслідки якої правові засади її організації та діяльності, здійснює
можуть створити загрозу життєво важливим інтересам запобігання, виявлення, припинення та розкриття
держави; розслідує кіберінциденти та кібератаки щодо кримінальних правопорушень проти миру і безпеки людства,
державних електронних інформаційних ресурсів, інформації, які вчиняються у кіберпросторі; здійснює контррозвідувальні
вимога щодо захисту якої встановлена законом, критичної та оперативно-розшукові заходи, спрямовані на боротьбу з
інформаційної інфраструктури; забезпечує реагування на кібертероризмом та кібершпигунством, негласно перевіряє
кіберінциденти у сфері державної безпеки; готовність об’єктів критичної інфраструктури до можливих
кібератак та кіберінцидентів; протидіє кіберзлочинності,
наслідки якої можуть створити загрозу життєво важливим
інтересам держави; розслідує кіберінциденти та кібератаки
щодо державних електронних інформаційних ресурсів,
інформації, вимога щодо захисту якої встановлена законом,
4) Міністерство оборони України, Генеральний штаб
критичної інформаційної інфраструктури; забезпечує
Збройних Сил України відповідно до компетенції здійснюють
реагування на кіберінциденти у сфері державної безпеки;
заходи з підготовки держави до відбиття воєнної агресії у
здійснює аналітичне та криміналістичне забезпечення
кіберпросторі (кібероборони); здійснюють військову
контррозвідувального захисту кібербезпеки держави;
співпрацю з НАТО та іншими суб’єктами оборонної сфери
щодо забезпечення безпеки кіберпростору та спільного 4) Міністерство оборони України, Генеральний штаб
захисту від кіберзагроз; впроваджують заходи із забезпечення Збройних Сил України відповідно до компетенції здійснюють
кіберзахисту критичної інформаційної інфраструктури в заходи з підготовки держави до відбиття воєнної агресії у
умовах надзвичайного і воєнного стану; кіберпросторі (кібероборони); здійснюють військову
співпрацю з НАТО та іншими суб’єктами оборонної сфери
…
щодо забезпечення безпеки кіберпростору та спільного
Відсутнє захисту від кіберзагроз;
41
7) Міністерство закордонних справ України сприяє
поглибленню євроінтеграційних процесів щодо підходів,
методів, засобів забезпечення кібербезпеки, вжиттю
узгоджених із ключовими міжнародними партнерами
заходів, спрямованих на посилення кіберстійкості України
та розвитку спроможностей національної системи
кібербезпеки; забезпечує координацію відносин з
міжнародними партнерами для спільної відповіді на
кібератаки і подолання кризових ситуацій у кібербезпеці, а
також спрямованих на практичну співпрацю; забезпечує
активну участь України у діалозі в рамках міжнародних
організацій щодо спільного вироблення норм поведінки у
кіберпросторі та вдосконалення відповідної міжнародної
нормативно-правової бази; сприяє проведенню спільних з
ЄС заходів, спрямованих на підвищення стійкості в
кіберпросторі та спроможності розслідувати,
переслідувати кіберзлочинність та реагувати на
3. Функціонування національної системи кібербезпеки кіберзагрози; координує запровадження гармонізованного
забезпечується шляхом: з євроатлантичною спільнотою підходу до застосування
… санкцій у відповідь на підривну діяльність у кіберпросторі,
узгодження з іноземними партнерами механізму спільних
Відсутнє дипломатичних дій і заходів у відповідь на деструктивну
кіберактивність, виконує інші завдання відповідно до
закону.
42
7) функціонування системи аудиту інформаційної державної влади, що є власниками або розпорядниками
безпеки, запровадження кращих світових практик і інформаційних, електронних комунікаційних та
міжнародних стандартів з питань кібербезпеки та інформаційно-комунікаційних систем, в яких
кіберзахисту; обробляються державні інформаційні ресурси або
8) розвитку мережі команд реагування на комп’ютерні інформація з обмеженим доступом, вимога щодо захисту
надзвичайні події; якої встановлена законом, та на підприємствах, установах
та організаціях, віднесених до об’єктів критичної
… інфраструктури;
12) обміну інформацією про інциденти кібербезпеки між 7) функціонування національної системи оцінки захисту
суб’єктами забезпечення кібербезпеки у порядку, інформації, запровадження кращих світових практик і
визначеному законодавством; міжнародних стандартів з питань кібербезпеки та
кіберзахисту;
…
….
…
12) функціонування національної системи обміну
5. Впровадження організаційно-технічної моделі інформацією про інциденти кібербезпеки, кібератаки;
кібербезпеки як складової національної системи кібербезпеки
….
здійснюється Державним центром кіберзахисту, який
забезпечує створення та функціонування основних складових 26) належного планування витрат та здійснення
системи захищеного доступу державних органів до мережі достатнього фінансування органами державної влади,
Інтернет, системи антивірусного захисту національних місцевого самоврядування, об'єктами критичної
інформаційних ресурсів, аудиту інформаційної безпеки та інфраструктури заходів кіберзахисту, передбачених
стану кіберзахисту об’єктів критичної інформаційної законодавством.
інфраструктури, системи виявлення вразливостей і реагування
на кіберінциденти та кібератаки щодо об’єктів кіберзахисту, …
системи взаємодії команд реагування на комп’ютерні
надзвичайні події, а також у взаємодії з іншими суб’єктами 5. Впровадження організаційно-технічної моделі
кібербезпеки як складової національної системи кібербезпеки
43
забезпечення кібербезпеки розробляє сценарії реагування на здійснюється Державним центром кіберзахисту, яка
кіберзагрози, заходи щодо протидії таким загрозам, програми забезпечує створення та функціонування основних складових
та методики проведення кібернавчань. системи захищеного доступу державних органів до мережі
Інтернет, системи антивірусного захисту національних
… інформаційних ресурсів, оцінки у сфері захисту інформації
та стану кіберзахисту об’єктів критичної інформаційної
Відсутнє
інфраструктури, системи виявлення вразливостей і реагування
на кіберінциденти, кібератаки та кіберзагрози щодо об’єктів
кіберзахисту, системи взаємодії команд реагування на
комп’ютерні надзвичайні події, а також у взаємодії з іншими
суб’єктами забезпечення кібербезпеки розробляє сценарії
реагування на кіберзагрози, заходи щодо протидії таким
загрозам, програми та методики проведення кібернавчань.
45
в рамках участі у Форумі команд реагування на інциденти
безпеки FIRST із сплатою щорічних членських внесків;
7) взаємодія з українськими командами реагування на
комп’ютерні надзвичайні події, а також іншими
підприємствами, установами та організаціями незалежно від
форми власності, які провадять діяльність, пов’язану із
забезпеченням безпеки кіберпростору;
8) опрацювання отриманої від громадян інформації про
кіберінциденти щодо об’єктів кіберзахисту;
9) сприяння державним органам, органам місцевого
самоврядування, військовим формуванням, утвореним
відповідно до закону, підприємствам, установам та
організаціям незалежно від форми власності, а також
громадянам України у вирішенні питань кіберзахисту та
протидії кіберзагрозам.
2. Забезпечення функціонування CERT-UA здійснює 2. Уповноваженим органом, що здійснює забезпечення
Державна служба спеціального зв’язку та захисту інформації функціонування національної системи реагування на
України у межах штатної чисельності та виділених обсягів інциденти кібербезпеки, кібератаки, є Державна служба
фінансування. спеціального зв'язку та захисту інформації України.
46
1) моніторинг, накопичення та проведення аналізу
даних про інциденти кібербезпеки, кібератаки на
національному, секторальному, регіональному рівнях;
47
6) здійснення аналізу ризиків у зв'язку з інцидентом
кібербезпеки та надання рекомендацій щодо їх усунення;
48
13) взаємодія в установленому порядку з
суб'єктами приватного сектору, в тому числі, з іноземними
суб'єктами господарювання, з питань реагування.
49
4) надання в установленому порядку сервісу з
реагування на інциденти кібербезпеки;
50
встановленому Кабінетом Міністрів України з
урахуванням вимог цього закону та в межах своїх
повноважень, визначених законами України.
51
кібербезпеки, кібератака, або існує кіберзагроза, що стали
підставою для оголошення кризової ситуації, а також з
постачальниками, товари, роботи, послуги яких можуть
бути пов'язані з такими інцидентами кібербезпеки,
кібератаками, кіберзагрозами та які мають бути залучені
для належного здійснення заходів реагування;
52
інформаційно-комунікаційних і технологічних систем,
незалежно від розміщення їх компонентів:
53
встановленому Державною службою спеціального зв'язку
та захисту інформації України.
55
- обмін інформацією про інциденти кібербезпеки
та кібератаки, індикатори кіберзагроз між суб'єктами
забезпечення кібербезпеки на базі технологічної
платформи Національного координаційного центру
кібербезпеки;
- впровадження механізмів взаємодії основних
суб'єктів національної системи кібербезпеки;
56
2. Уповноваженим органом, що здійснює забезпечення
функціонування національної системи обміну
інформацією про інциденти кібербезпеки, кібератаки, є
Державна служба спеціального зв'язку та захисту
інформації України (далі – Уповноважений орган).
57
що є підставою для приєднання в установленому порядку
до національної системи обміну інформацією відповідно до
цього закону.
58
7. Інформація про інцидент кібербезпеки, кібератаку
щодо інформаційних, електронних комунікаційних та
інформаційно-комунікаційних систем, в яких
обробляються державні інформаційні ресурси або
інформація з обмеженим доступом, вимога щодо захисту
якої встановлена законом, об'єктів критичної
інформаційної інфраструктури, є інформацією з
обмеженим доступом, крім випадків, коли порядком
обміну такою інформацією або на підставі інших вимог
законодавства передбачається обов'язок щодо її розкриття
з визначеною метою.
Стаття 15. Контроль за законністю заходів із Стаття 15. Контроль за законністю заходів із
забезпечення кібербезпеки України забезпечення кібербезпеки України
… …
59
Законі Україні "Про Державну службу спеціального
зв'язку та захисту інформації України".
(Відомості Верховної Ради України (ВВР), 2005 р., № 26, ст. 347 із наступними змінами)
Цей Закон регулює відносини у сфері захисту інформації Цей Закон регулює відносини у сфері захисту інформації в
в інформаційних, електронних комунікаційних та інформаційних, електронних комунікаційних та
інформаційно-комунікаційних системах (далі - система). інформаційно-комунікаційних системах (далі - система) та на
об’єктах інформаційної діяльності.
У цьому Законі наведені нижче терміни вживаються в У цьому Законі наведені нижче терміни вживаються в
такому значенні: такому значенні:
60
авторизована система з безпеки інформації –
інформаційна, інформаційно-комунікаційна, електронна
комунікаційна, технологічна система або їх окремі
компоненти, в яких запроваджені заходи та/або системи з
безпеки інформації, що пройшли авторизацію;
…
…
виток інформації - результат дій, внаслідок яких
інформація в системі стає відомою чи доступною фізичним виток інформації ‒ результат дій, внаслідок яких
та/або юридичним особам, що не мають права доступу до неї; інформація, що обробляється в системі або пристроєм
обробки інформації або озвучується на об’єкті
інформаційної діяльності, стає відомою чи доступною
… фізичним та/або юридичним особам, що не мають права
доступу до неї;
Відсутнє
….
61
технічних заходів, засобів технічного захисту інформації,
призначена для захисту інформації від витоку технічними
… каналами в інформаційно-комунікаційних системах та на
об’єктах інформаційної діяльності;
обробка інформації в системі – виконання однієї або
кількох операцій, зокрема: збирання, введення, записування, …
перетворення, зчитування, зберігання, знищення, реєстрації,
приймання, отримання, передавання, які здійснюються в обробка інформації в системі - виконання однієї або
системі за допомогою технічних і програмних засобів; кількох операцій, зокрема: збирання, введення, записування,
перетворення, зчитування, зберігання, знищення, реєстрації,
приймання, отримання, передавання, які здійснюються в
системі за допомогою технічних і програмних засобів, або
автономно (без підключення до інших засобів обробки
Відсутнє
інформації, ліній зв’язку або мереж передачі даних)
пристроями обробки інформації;
62
орган виконавчої влади з питань організації спеціального
зв'язку та захисту інформації) та галузеві уповноважені
Відсутнє органи з авторизації;
63
Об'єктами захисту в системі є інформація, що Об'єктами захисту в системі та на об’єкті інформаційної
обробляється в ній, та програмне забезпечення, яке діяльності є інформація, що обробляється або озвучується,
призначено для обробки цієї інформації. та програмне забезпечення, яке призначено для обробки
цієї інформації.
Суб'єктами відносин, пов'язаних із захистом інформації в Суб'єктами відносин, пов'язаних із захистом інформації в
системах, є: системах та на об’єктах інформаційної діяльності, є:
… …
… …
На підставі укладеного договору або за дорученням На підставі укладеного договору або за дорученням
власник системи може надати право розпоряджатися власник системи (власник об’єкта інформаційної
системою іншій фізичній або юридичній особі - розпоряднику діяльності) може надати право розпоряджатися системою
системи. (об’єктом інформаційної діяльності) іншій фізичній або
юридичній особі - розпоряднику системи (розпоряднику
об’єкта інформаційної діяльності).
Стаття 8. Умови обробки інформації в системі Стаття 8. Умови обробки інформації в системі
… …
Державні інформаційні ресурси або інформація з Державні інформаційні ресурси або інформація з
обмеженим доступом, вимога щодо захисту якої встановлена обмеженим доступом, вимога щодо захисту якої встановлена
законом, повинні оброблятися в системі із застосуванням законом, повинні оброблятися в системі із застосуванням
комплексної системи захисту інформації з підтвердженою комплексної системи захисту інформації з підтвердженою
64
відповідністю. Підтвердження відповідності комплексної відповідністю. Підтвердження відповідності комплексної
системи захисту інформації здійснюється за результатами системи захисту інформації здійснюється за результатами
державної експертизи, яка проводиться з урахуванням державної експертизи, яка проводиться з урахуванням
галузевих вимог та норм інформаційної безпеки у порядку, галузевих вимог та норм інформаційної безпеки у порядку,
встановленому законодавством. встановленому законодавством.
66
витоку технічними каналами з підтвердженою
відповідністю.
Стаття 9. Забезпечення захисту інформації в системі Стаття 9. Забезпечення захисту інформації в системі та
на об’єкті інформаційної діяльності
…
…
Власник системи, в якій обробляються державні
Власник системи, в якій обробляються державні інформаційні ресурси або інформація з обмеженим доступом,
інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює
вимога щодо захисту якої встановлена законом, утворює підрозділ із кіберзахисту або призначає осіб, на яких
68
службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за
покладається забезпечення захисту інформації та контролю за ним.
ним.
…
…
Розробка та застосування порядку, положення, умов
Відсутнє пошуку та/або виявлення потенційних вразливостей (як
безоплатних, так і оплатних) в інформаційно-
комунікаційних системах, в яких обробляються державні
інформаційні ресурси та/або інформація, вимога щодо
захисту якої встановлена законом, повинні здійснюватися
відповідно до порядку пошуку та/або виявлення
потенційних вразливостей, встановленого Державною
службою спеціального зв'язку та захисту інформації
Відсутнє України.
Стаття 10. Повноваження державних органів у сфері Стаття 10. Повноваження державних органів у сфері
захисту інформації в системах захисту інформації в системах та на об’єктах
інформаційної діяльності
Вимоги до забезпечення захисту державних
інформаційних ресурсів або інформації з обмеженим
69
доступом, вимога щодо захисту якої встановлена законом, Вимоги до забезпечення захисту в системах державних
встановлюються Кабінетом Міністрів України. інформаційних ресурсів або інформації з обмеженим
доступом, вимога щодо захисту якої встановлена законом,
Спеціально уповноважений центральний орган встановлюються Кабінетом Міністрів України.
виконавчої влади з питань організації спеціального зв'язку та
захисту інформації: Спеціально уповноважений центральний орган виконавчої
влади з питань організації спеціального зв'язку та захисту
… інформації:
здійснює контроль за забезпеченням захисту державних …
інформаційних ресурсів або інформації з обмеженим
доступом, вимога щодо захисту якої встановлена законом; здійснює державний контроль за додержанням вимог
законодавства у сфері технічного захисту інформації та
кіберзахисту власниками, розпорядниками інформаційно-
комунікаційних систем, в яких обробляються державні
інформаційні ресурси та/або інформація, вимога щодо
захисту якої встановлена законом, а також операторами
критичної інфраструктури в частині використання ними
комунікаційних та технологічних систем (крім об'єктів
критичної інфраструктури у банківській системі України);
здійснює заходи щодо виявлення загрози державним
інформаційним ресурсам від несанкціонованих дій в здійснює заходи щодо виявлення загроз державним
інформаційних, електронних комунікаційних та інформаційним ресурсам від несанкціонованих дій та від
інформаційно-комунікаційних системах та дає рекомендації з витоку технічними каналами в інформаційних,
питань запобігання такій загрозі; комунікаційних та інформаційно-комунікаційних
системах, а також витоку технічними каналами на
об’єктах інформаційної діяльності та дає рекомендації з
Відсутнє питань запобігання таким загрозам;
Відсутнє встановлює вимоги та порядок створення, атестації та
експлуатації комплексів технічного захисту інформації;
70
Відсутнє організовує проведення атестації комплексів
технічного захисту інформації;
Відсутнє
визначає вимоги та порядок створення системи з
безпеки інформації;
Відсутнє визначає порядок проведення авторизації систем з
безпеки інформації;
Закон України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності»
71
(Відомості Верховної Ради України (ВВР), 2007, № 29, ст.389 із наступними змінами)
Стаття 2. Сфера дії цього Закону Стаття 2. Сфера дії цього Закону
… …
Дія цього Закону не поширюється на відносини, що Дія цього Закону не поширюється на відносини, що
виникають під час здійснення заходів валютного виникають під час здійснення заходів валютного
нагляду, податкового контролю, митного контролю, нагляду, податкового контролю, митного контролю,
державного експортного контролю (крім здійснення державного експортного контролю (крім здійснення
державного нагляду (контролю) за дотриманням суб'єктами державного нагляду (контролю) за дотриманням суб'єктами
космічної діяльності України приватної форми власності космічної діяльності України приватної форми власності
законодавства про космічну діяльність в Україні), контролю за законодавства про космічну діяльність в Україні), контролю за
дотриманням бюджетного законодавства, державного нагляду дотриманням бюджетного законодавства, державного нагляду
на ринках фінансових послуг, державного контролю за на ринках фінансових послуг, державного контролю за
дотриманням законодавства про захист економічної дотриманням законодавства про захист економічної
конкуренції, державного нагляду (контролю) в галузі конкуренції, державного нагляду (контролю) в галузі
телебачення і радіомовлення, державного нагляду (контролю) телебачення і радіомовлення, державного нагляду (контролю)
за дотриманням суб'єктами господарювання, що провадять за дотриманням суб'єктами господарювання, що провадять
діяльність у сферах енергетики та комунальних послуг, діяльність у сферах енергетики та комунальних послуг,
законодавства у сферах енергетики та комунальних послуг, законодавства у сферах енергетики та комунальних послуг,
державного ринкового нагляду та контролю нехарчової державного ринкового нагляду та контролю нехарчової
продукції, державного нагляду (контролю) за дотриманням продукції, державного нагляду (контролю) за дотриманням
суб'єктами господарювання, що провадять діяльність у сфері суб'єктами господарювання, що провадять діяльність у сфері
автомобільного транспорту, під час рейдових перевірок автомобільного транспорту, під час рейдових перевірок
(перевірок на дорозі), що проводяться з урахуванням (перевірок на дорозі), що проводяться з урахуванням
особливостей, визначених Законом України "Про особливостей, визначених Законом України "Про
автомобільний транспорт", державного нагляду за автомобільний транспорт", державного нагляду за
дотриманням вимог безпеки використання ядерної енергії, дотриманням вимог безпеки використання ядерної енергії,
державного нагляду (контролю) у сфері безпеки державного нагляду (контролю) у сфері безпеки торговельного
торговельного мореплавства і судноплавства на внутрішніх мореплавства і судноплавства на внутрішніх водних шляхах (у
водних шляхах (у частині нагляду (контролю) за суднами). частині нагляду (контролю) за суднами), державного
72
контролю за додержанням вимог законодавства у сферах
технічного захисту інформації та кіберзахисту власниками,
розпорядниками інформаційно-комунікаційних систем, в
яких обробляються державні інформаційні ресурси та/або
інформація, вимога щодо захист якої встановлена законом,
а також операторами критичної інфраструктури, що
здійснюється Державною службою спеціального зв'язку та
захисту інформації України.
(Відомості Верховної Ради України (ВВР), 1994, № 28, ст. 232 із наступними змінами)
… …
… …
експертні служби Міністерства внутрішніх справ України, експертні служби Міністерства внутрішніх справ України,
Міністерства оборони України, Служби безпеки України та Міністерства оборони України, Служби безпеки України,
Державної прикордонної служби України. Державної прикордонної служби України та Державної
служби спеціального зв’язку та захисту інформації
… України.
73
(Відомості Верховної Ради України, 1999 р., № 49, ст. 428 із наступними змінами)
Стаття 8. Інформація, що може бути віднесена до Стаття 8. Інформація, що може бути віднесена до
державної таємниці державної таємниці
До державної таємниці у порядку, встановленому цим До державної таємниці у порядку, встановленому цим
Законом, відноситься інформація: Законом, відноситься інформація:
… …
4) у сфері державної безпеки та охорони правопорядку: 4) у сфері державної безпеки та охорони правопорядку:
… …
про систему урядового та спеціального зв'язку; про систему спеціального зв’язку та національну
систему урядових електронних комунікацій;
(Відомості Верховної Ради України, 2006 р., № 52, ст. 526 із наступними змінами)
74
Стаття 5. Планування роботи підприємств, установ та Стаття 5. Планування роботи підприємств, установ та
організацій паливно-енергетичного комплексу в організацій паливно-енергетичного комплексу в
особливий період особливий період
… …
… …
постачальники електронних комунікаційних мереж та/або постачальники електронних комунікаційних мереж та/або
послуг, що забезпечують зв'язок для потреб державної послуг, що забезпечують зв'язок для потреб національної
системи урядового зв'язку, національної системи системи урядових електронних комунікацій, національної
конфіденційного зв'язку; системи конфіденційного зв'язку;
… …
(Відомості Верховної Ради України, 2018 р., № 31, ст. 241 із наступними змінами)
Стаття 22. Державна служба спеціального зв’язку та Стаття 22. Державна служба спеціального зв’язку та
захисту інформації України захисту інформації України
1. Державна служба спеціального зв’язку та захисту 1. Державна служба спеціального зв’язку та захисту
інформації України є державним органом, призначеним для інформації України є державним органом, призначеним для
забезпечення функціонування і розвитку державної системи забезпечення функціонування і розвитку національної
урядового зв’язку, Національної системи конфіденційного системи урядових електронних комунікацій, Національної
зв’язку, формування та реалізації державної політики у сферах системи конфіденційного зв’язку, формування та реалізації
кіберзахисту критичної інформаційної інфраструктури, державної політики у сферах кіберзахисту критичної
75
державних інформаційних ресурсів та інформації, вимога інформаційної інфраструктури, державних інформаційних
щодо захисту якої встановлена законом, криптографічного та ресурсів та інформації, вимога щодо захисту якої встановлена
технічного захисту інформації, телекомунікацій, законом, криптографічного та технічного захисту інформації,
користування радіочастотним ресурсом України, поштового телекомунікацій, користування радіочастотним ресурсом
зв’язку спеціального призначення, урядового України, поштового зв’язку спеціального призначення,
фельд’єгерського зв’язку, а також інших завдань відповідно до урядового фельд’єгерського зв’язку, а також інших завдань
закону. відповідно до закону.
… …
1. Цей Закон регулює відносини, пов’язані з діяльністю у 1. Цей Закон регулює відносини, пов’язані з діяльністю у
сфері стандартизації та застосуванням її результатів. сфері стандартизації та застосуванням її результатів.
2. Дія цього Закону не поширюється на санітарні заходи 2. Дія цього Закону не поширюється на санітарні заходи
безпечності харчових продуктів, ветеринарно-санітарні та безпечності харчових продуктів, ветеринарно-санітарні та
фітосанітарні заходи, будівельні норми, авіаційні правила фітосанітарні заходи, будівельні норми, авіаційні правила
України, розроблені відповідно до нормативних актів України, розроблені відповідно до нормативних актів
Європейського агентства з безпеки польотів, які визначають Європейського агентства з безпеки польотів, які визначають
стандарти та вимоги для сертифікації, нагляду та експлуатації стандарти та вимоги для сертифікації, нагляду та експлуатації
повітряних суден та є нормативно-технічними документами, повітряних суден та є нормативно-технічними документами,
лікарські засоби, військові стандарти, стандарти медичної лікарські засоби, військові стандарти, стандарти
допомоги, бухгалтерського обліку, оцінки майна, освіти та криптографічного та технічного захисту інформації,
інші соціальні стандарти, передбачені законодавством. кіберзахисту, протидії технічним розвідкам, стандарти
медичної допомоги, бухгалтерського обліку, оцінки майна,
76
освіти та інші соціальні стандарти, передбачені
законодавством.
(Відомості Верховної Ради України (ВВР), 2006, № 46, ст.456 із наступними змінами)
77
II. ПРИКІНЦЕВІ ПОЛОЖЕННЯ
78