АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
15.01.2016 м. Київ № 20
Зареєстровано в Міністерстві юстиції України
05 лютого 2016 р. за № 196/28326
Про затвердження Порядку сканування на предмет вразливості державних інформаційних ресурсів, розміщених у мережі Інтернет
( назва із змінами, внесеними згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 30.04.2025 р. № 276, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 22.05.2025 р. № 334 )
( Із змінами і доповненнями, внесеними наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 28 жовтня 2021 року № 640, від 2 грудня 2022 року № 745 ( враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 21 грудня 2022 року № 812 ), від 30 квітня 2025 року № 276 ( враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 22 травня 2025 року № 334 ), від 14 травня 2026 року № 352 ( враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 29 травня 2026 року № 394 )
Відповідно до пункту 41 частини першої статті 14 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України", підпункту 30 пункту 4 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та абзацу другого пункту 5 Плану заходів щодо захисту державних інформаційних ресурсів, затвердженого розпорядженням Кабінету Міністрів України від 05 листопада 2014 року № 1135-р,
НАКАЗУЮ:
1. Затвердити Порядок сканування на предмет вразливості державних інформаційних ресурсів, розміщених у мережі Інтернет, що додається.
( пункт 1 із змінами, внесеними згідно з наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 30.04.2025 р. № 276, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 22.05.2025 р. № 334 )
2. Директору Департаменту спеціальних інформаційно-телекомунікаційних систем Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України відповідно до Указу Президента України від 03 жовтня 1992 року № 493 "Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади".
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв'язку та захисту інформації України.
ЗАТВЕРДЖЕНО
Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України
15 січня 2016 року № 20
(у редакції наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України
від 14 травня 2026 року № 352)
Зареєстровано
в Міністерстві юстиції України
05 лютого 2016 р. за № 196/28326
Порядок
сканування на предмет вразливості державних інформаційних ресурсів, розміщених у мережі Інтернет
I. Загальні положення
1. Цей Порядок визначає організаційні засади проведення сканування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, на об'єктах критичної інформаційної інфраструктури (далі - системи), які забезпечують розміщення державних інформаційних ресурсів в мережі Інтернет (далі - сканування).
2. Терміни у цьому Порядку вживаються у значеннях, наведених у Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні комунікації", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про основні засади забезпечення кібербезпеки України", "Про критичну інфраструктуру", Порядку пошуку та/або виявлення потенційних вразливостей в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також на об'єктах критичної інформаційної інфраструктури, затвердженому постановою Кабінету Міністрів України від 03 грудня 2025 року № 1580, Національному плані реагування на кіберінциденти, кібератаки та кіберзагрози, затвердженому постановою Кабінету Міністрів України від 26 листопада 2025 року № 1533.
3. Сканування є організаційно-технічним заходом з пошуку та/або виявлення потенційних вразливостей у системах і полягає у дистанційній перевірці системи на предмет виявлення в ній вразливостей, які створюють передумови до порушення конфіденційності, цілісності та доступності інформації та державних інформаційних ресурсів, що обробляються системою, або спостережності самої системи.
4. Об'єктами сканування є системи, їх окремі елементи, програмні і програмно-апаратні засоби, що застосовані в системах, незалежно від наявності авторизованих систем з безпеки.
5. Сканування проводиться згідно зі встановленим Порядком оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, затвердженим наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 02 грудня 2014 року № 660, зареєстрованим в Міністерстві юстиції України 28 січня 2015 року за № 90/26535 (далі - Порядок оцінки).
6. Сканування проводиться Державним центром кіберзахисту Державної служби спеціального зв'язку та захисту інформації України (далі - ДЦКЗ Держспецзв'язку) відповідно до Порядку оцінки:
позапланово за письмовим зверненням органу державної влади, іншого державного органу, органу місцевого самоврядування, власника або розпорядника об'єкта критичної інформаційної інфраструктури, оператора критичної інфраструктури (далі - власник або розпорядник системи);
планово згідно з річним планом, який затверджується наказом Адміністрації Держспецзв'язку, в автоматизованому дистанційному режимі відповідно до переліку об'єктів сканування, який формується у рамках планування проведення оцінки стану захищеності в державних органах, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності (далі - Перелік об'єктів сканування).
7. Посадовим особам ДЦКЗ Держспецзв'язку, що безпосередньо проводять сканування, забороняється розголошувати його результати третім особам, крім випадків, передбачених законодавством і цим Порядком, а також використовувати виявлені вразливості для проведення дій, що можуть призвести до порушення штатного режиму функціонування системи, що сканується, порушення цілісності, конфіденційності та доступності інформації, розміщеної в системі, а також для отримання доступу до персональних даних, що можуть оброблятися в системі.
8. У разі виявлення під час сканування випадків порушення правил обробки та захисту інформації, що може спричинити розголошення службової інформації або інформації, що становить державну таємницю, Державна служба спеціального зв'язку та захисту інформації України інформує Службу безпеки України про факти порушень протягом п'яти календарних днів з дати їх виявлення.
II. Сканування за письмовим зверненням
1. Власник або розпорядник системи у разі потреби проведення сканування такої системи на предмет виявлення у ній вразливостей ініціює звернення до Державної служби спеціального зв'язку та захисту інформації України для проведення сканування системи.
2. ДЦКЗ Державної служби спеціального зв'язку та захисту інформації України протягом п'ятнадцяти робочих днів організовує заходи зі сканування на підставі письмового звернення власника або розпорядника системи за рішенням Голови Державної служби спеціального зв'язку та захисту інформації України або його заступника відповідно до розподілу обов'язків.
3. ДЦКЗ Держспецзв'язку:
письмово інформує власника або розпорядника системи про строки, обсяг і зміст заходів, які будуть проведені у процесі сканування;
не пізніше ніж за три робочих дні до початку проведення сканування інформує Службу безпеки України про об'єкт, строки та методи проведення сканування. Для термінового інформування також використовується електронна пошта.
4. За результатами сканування посадові особи ДЦКЗ Держспецзв'язку, що безпосередньо здійснювали сканування, складають Акт сканування на предмет вразливості розміщених у мережі Інтернет державних інформаційних ресурсів (далі - Акт) за формою, що наведена у додатку до цього Порядку, та протягом п'ятнадцяти календарних днів з дня виявлення вразливості повідомляють (шляхом надсилання Акта):
власника або розпорядника системи про виявлені вразливості і недоліки у налаштуванні системи з наданням відповідних рекомендацій щодо їх усунення або мінімізації ризику експлуатації вразливості;
національну команду реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA або галузеві та регіональні команди реагування на кіберінциденти, кібератаки та кіберзагрози CSIRT про виявлені вразливості.
Акт складається у двох примірниках та затверджується начальником ДЦКЗ Держспецзв'язку або заступником начальника ДЦКЗ Держспецзв'язку.
5. Власник або розпорядник системи повертає другий примірник Акта у десятиденний строк з дати його отримання. До усунення причин, що зумовлюють віднайдені вразливості, власнику або розпоряднику системи забороняється публічно оголошувати результати сканування.
6. У місячний строк з дня отримання Акта власник або розпорядник системи письмово інформує Держспецзв'язку про врахування рекомендацій, викладених в Акті. У разі відсутності такого інформування або надходження повідомлення про неможливість врахування рекомендацій ДЦКЗ Держспецзв'язку протягом десяти робочих днів інформує Службу безпеки України про виявлені під час сканування вразливості.
III. Автоматизоване дистанційне сканування
1. ДЦКЗ Держспецзв'язку на початку кожного календарного року з урахуванням даних, що містяться в Реєстрі інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем державних органів, а також підприємств, установ і організацій, що належать до сфери їх управління, складає Перелік об'єктів сканування, який містить відомості про об'єкти і дати проведення сканування. Перелік об'єктів сканування є частиною річного плану проведення оцінки стану захищеності державних інформаційних ресурсів, який формується відповідно до встановленого Порядку оцінки.
2. ДЦКЗ Держспецзв'язку протягом п'яти робочих днів після затвердження Переліку об'єктів сканування надсилає його до Служби безпеки України.
3. За результатами проведення автоматизованого дистанційного сканування ДЦКЗ Держспецзв'язку інформує:
власника або розпорядника системи про виявлені вразливості і недоліки у налаштуванні системи з наданням відповідних рекомендацій щодо їх усунення або мінімізації ризику експлуатації вразливості, якщо під час автоматизованого дистанційного сканування виявлено вразливості та недоліки у налаштуванні системи, згідно з процедурою, встановленою пунктом 4 розділу II цього Порядку;
національну команду реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA або галузеві та регіональні команди реагування на кіберінциденти, кібератаки та кіберзагрози CSIRT про виявлені вразливості.
4. Власник або розпорядник системи з метою перевірки ефективності впроваджених заходів із захисту може звернутися до Державної служби спеціального зв'язку та захисту інформації України для проведення повторного сканування системи в порядку, встановленому розділом II цього Порядку.
Таке повторне сканування системи може бути проведене після отримання ДЦКЗ Держспецзв'язку інформації про врахування рекомендацій, викладених в Акті, відповідно до пункту 6 розділу II цього Порядку.
| Директор Департаменту кіберзахисту Адміністрації Держспецзв'язку | Дмитро ПАХОЛЬЧЕНКО |
( Порядок із змінами, внесеними згідно з наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 28.10.2021 р. № 640, від 02.12.2022 р. № 745, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 21 грудня 2022 року № 812 від 30.04.2025 р. № 276, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 22.05.2025 р. № 334, у редакції наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 14.05.2026 р. № 352, враховуючи зміни, внесені наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 29.05.2026 р. № 394 )