АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
14.05.2026 м. Київ № 352
Зареєстровано в Міністерстві юстиції України
28 травня 2026 р. за № 769/46163
Про внесення змін до Порядку сканування на предмет вразливості державних інформаційних ресурсів, розміщених у мережі Інтернет
Відповідно до пункту 97 частини першої статті 14 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України", підпунктів 95-6, 95-7 та 95-26 пункту 4 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, пункту 9 Порядку пошуку та/або виявлення потенційних вразливостей в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також на об'єктах критичної інформаційної інфраструктури, затвердженого постановою Кабінету Міністрів України від 03 грудня 2025 року № 1580,
НАКАЗУЮ:
1. Внести зміни до Порядку сканування на предмет вразливості державних інформаційних ресурсів, розміщених у мережі Інтернет, затвердженого наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 15 січня 2016 року № 20, зареєстрованого в Міністерстві юстиції України 05 лютого 2016 року за № 196/28326 (у редакції наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 28 жовтня 2021 року № 640), виклавши його в новій редакції, що додається.
2. Департаменту кіберзахисту Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України в установленому порядку.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
ЗАТВЕРДЖЕНО
Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України
15 січня 2016 року № 20
(у редакції наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації України
від ____________ 2026 року № _____)
Порядок
сканування на предмет вразливості державних інформаційних ресурсів, розміщених у мережі Інтернет
I. Загальні положення
1. Цей Порядок визначає організаційні засади проведення сканування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, на об'єктах критичної інформаційної інфраструктури (далі - системи), які забезпечують розміщення державних інформаційних ресурсів в Інтернеті (далі - сканування).
2. Терміни у цьому Порядку вживаються у значеннях, наведених у Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні комунікації", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про основні засади забезпечення кібербезпеки України", "Про критичну інфраструктуру", Порядку пошуку та/або виявлення потенційних вразливостей в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також на об'єктах критичної інформаційної інфраструктури, затвердженому постановою Кабінету Міністрів України від 03 грудня 2025 року № 1580, Національному плані реагування на кіберінциденти, кібератаки та кіберзагрози, затвердженому постановою Кабінету Міністрів України від 26 листопада 2025 року № 1533.
3. Сканування є організаційно-технічним заходом з пошуку та/або виявлення потенційних вразливостей у системах і полягає у дистанційній перевірці системи на предмет виявлення в ній вразливостей, які створюють передумови до порушення конфіденційності, цілісності та доступності інформації та державних інформаційних ресурсів, що обробляються системою, або спостережності самої системи.
4. Об'єктами сканування є системи, їх окремі елементи, програмні і програмно-апаратні засоби, що застосовані в системах, незалежно від наявності авторизованих систем з безпеки.
5. Сканування проводиться згідно зі встановленим Порядком оцінки стану захищеності державних інформаційних ресурсів в інформаційно-комунікаційних системах, затвердженим наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації України від 02 грудня 2014 року № 660, зареєстрованим в Міністерстві юстиції України 28 січня 2015 року за № 90/26535 (далі - Порядок оцінки).
6. Сканування проводиться Державним центром кіберзахисту Державної служби спеціального зв'язку та захисту інформації України (далі - ДЦКЗ Держспецзв'язку) відповідно до Порядку оцінки:
позапланово за письмовим зверненням органу державної влади, іншого державного органу, органу місцевого самоврядування, власника або розпорядника об'єкта критичної інформаційної інфраструктури, оператора критичної інфраструктури (далі - власник або розпорядник системи);
планово згідно з річним планом, який затверджується наказом Адміністрації Держспецзв'язку, в автоматизованому дистанційному режимі відповідно до переліку об'єктів сканування, який формується у рамках планування проведення оцінки стану захищеності в державних органах, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності (далі - Перелік об'єктів сканування).
7. Посадовим особам ДЦКЗ Держспецзв'язку, що безпосередньо проводять сканування, забороняється розголошувати його результати третім сторонам, крім випадків, передбачених законодавством і цим Порядком, а також використовувати виявлені вразливості для проведення дій, що можуть призвести до порушення штатного режиму функціонування системи, що сканується, порушення цілісності, конфіденційності та доступності інформації, розміщеної в системі, а також для отримання доступу до персональних даних, що можуть оброблятися в системі.
8. У разі виявлення під час сканування випадків порушення правил обробки та захисту інформації, що може спричинити розголошення службової інформації або інформації, що становить державну таємницю, Держспецзв'язку інформує Службу безпеки України про факти порушень протягом п'яти календарних днів з моменту їх виявлення.
II. Сканування за письмовим зверненням
1. Власник або розпорядник системи у разі потреби проведення сканування такої системи на предмет виявлення у ній вразливостей ініціює звернення до Держспецзв'язку для проведення сканування системи.
2. ДЦКЗ Держспецзв'язку протягом п'ятнадцяти робочих днів організовує заходи зі сканування на підставі письмового звернення власника або розпорядника системи за рішенням Голови Держспецзв'язку або його заступника відповідно до розподілу обов'язків.
3. ДЦКЗ Держспецзв'язку:
письмово інформує власника або розпорядника системи про строки, обсяг і зміст заходів, які будуть проведені у процесі сканування;
не пізніше ніж за три робочих дні до початку проведення сканування інформує Службу безпеки України про об'єкт, строки та методи проведення сканування. Для термінового інформування також використовується електронна пошта.
4. За результатами сканування посадові особи ДЦКЗ Держспецзв'язку, що безпосередньо здійснювали сканування, складають акт сканування на предмет вразливості розміщених у мережі Інтернет державних інформаційних ресурсів (далі - Акт) за формою, що наведена у додатку до цього Порядку, та протягом п'ятнадцяти календарних днів з дня виявлення вразливості повідомляють (шляхом надсилання Акта):
власника або розпорядника системи про виявлені вразливості і недоліки у налаштуванні системи з наданням відповідних рекомендацій щодо їх усунення або мінімізації ризику експлуатації вразливості;
національну команду реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA або галузеві та регіональні команди реагування на кіберінциденти, кібератаки та кіберзагрози CSIRT про виявлені вразливості.
Акт складається у двох примірниках та затверджується начальником ДЦКЗ Держспецзв'язку або заступником начальника ДЦКЗ Держспецзв'язку.
5. Власник або розпорядник системи повертає другий примірник Акта у десятиденний строк з дати його отримання. До усунення причин, що зумовлюють віднайдені вразливості, власнику або розпоряднику системи забороняється публічно оголошувати результати сканування.
6. У місячний строк з дня отримання Акта власник або розпорядник системи письмово інформує Держспецзв'язку про врахування рекомендацій, викладених в Акті. У разі відсутності такого інформування або надходження повідомлення про неможливість врахування рекомендацій ДЦКЗ Держспецзв'язку протягом десяти робочих днів інформує Службу безпеки України про виявлені під час сканування вразливості.
III. Автоматизоване дистанційне сканування
1. ДЦКЗ Держспецзв'язку на початку кожного календарного року з урахуванням даних, що містяться в Реєстрі інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем органів виконавчої влади, а також підприємств, установ і організацій, що належать до сфери їх управління, складає Перелік об'єктів сканування, який містить відомості про об'єкти і дати проведення сканування. Перелік об'єктів сканування є частиною річного плану проведення оцінки стану захищеності державних інформаційних ресурсів, який формується відповідно до встановленого Порядку оцінки.
2. ДЦКЗ Держспецзв'язку протягом п'яти робочих днів після затвердження Переліку об'єктів сканування надсилає його до Служби безпеки України.
3. За результатами проведення автоматизованого дистанційного сканування ДЦКЗ Держспецзв'язку інформує:
власника або розпорядника системи про виявлені вразливості і недоліки у налаштуванні системи з наданням відповідних рекомендацій щодо їх усунення або мінімізації ризику експлуатації вразливості, якщо під час автоматизованого дистанційного сканування виявлено вразливості та недоліки у налаштуванні системи, згідно з процедурою, встановленою пунктом 4 розділу II цього Порядку.
національну команду реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA або галузеві та регіональні команди реагування на кіберінциденти, кібератаки та кіберзагрози CSIRT про виявлені вразливості.
4. Власник або розпорядник системи з метою перевірки ефективності впроваджених заходів із захисту може звернутися до Держспецзв'язку для проведення повторного сканування системи в порядку, встановленому розділом II цього Порядку.
Таке повторне сканування системи може бути проведене після отримання ДЦКЗ Держспецзв'язку інформації про врахування рекомендацій, викладених в Акті, відповідно до пункту 6 розділу II цього Порядку.
| Директор Департаменту кіберзахисту Адміністрації Держспецзв'язку | Дмитро ПАХОЛЬЧЕНКО |