Про реалізацію експериментального проекту щодо запровадження комплексу організаційно-технічних заходів з виявлення вразливостей і недоліків у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси

Кабінет Міністрів України

1. Погодитися з пропозицією Міністерства цифрової трансформації та Адміністрації Державної служби спеціального зв’язку та захисту інформації стосовно реалізації експериментального проекту щодо запровадження комплексу організаційно-технічних заходів з виявлення вразливостей і недоліків у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси, протягом 2021 і 2022 років (далі — експериментальний проект).

2. Затвердити Порядок проведення експериментального проекту щодо запровадження комплексу організаційно-технічних заходів з виявлення вразливостей і недоліків у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси, що додається.

3. Установити, що відповідальним виконавцем за реалізацію експериментального проекту є Державний центр кіберзахисту Державної служби спеціального зв’язку та захисту інформації.

4. Адміністрації Державної служби спеціального зв’язку та захисту інформації подати Кабінету Міністрів України:

до 31 липня 2022 р. — звіт про реалізацію експериментального проекту;

пропозиції щодо внесення змін до актів законодавства за результатами реалізації експериментального проекту.

1. Цей Порядок визначає механізм проведення експериментального проекту щодо запровадження комплексу організаційно-технічних заходів

з виявлення вразливостей і недоліків у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси (далі — комплекс заходів).

2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про захист інформації в інформаційно-телекомунікаційних системах", "Про телекомунікації", "Про Державну службу спеціального зв’язку та захисту інформації України", "Про основні засади забезпечення кібербезпеки України".

3. Запровадження комплексу заходів передбачає:

здійснення автоматизованого дистанційного сканування без письмового звернення розпорядника державного інформаційного ресурсу, розміщеного в Інтернеті, на предмет вразливості таких державних інформаційних ресурсів відповідно до Порядку сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті, затвердженого наказом Адміністрації Держспецзв’язку від 15 січня 2016 р. № 20;

оцінку стану захищеності державних інформаційних ресурсів в інформаційно-телекомунікаційних системах відповідно до Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затвердженого наказом Адміністрації Держспецзв’язку від 2 грудня 2014 р. № 660.

4. За результатами запровадження комплексу заходів Державний центр кіберзахисту Державної служби спеціального зв’язку та захисту інформації повідомляє:

СБУ — про об’єкт, строки та методи здійснення автоматизованого дистанційного сканування;

розпорядникам державних інформаційних ресурсів, розміщених в Інтернеті, — про виявлені вразливості і недоліки у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси, із наданням відповідних рекомендацій щодо їх усунення;

щотижня Національному координаційному центру кібербезпеки Ради національної безпеки і оборони України про виявлені в ході реалізації експериментального проекту вразливості і недоліки функціонування інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси.

5. Комплекс заходів не застосовується до інформаційних ресурсів розвідувальних органів, Національного банку та банків України.