Про затвердження Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави

Кабінет Міністрів України

1. Затвердити Порядок формування переліку інформаційно-телекомунікаційних систем об'єктів критичної інфраструктури держави, що додається.

2. Міністерствам, іншим центральним органам виконавчої влади разом із Службою безпеки, іншим заінтересованим державним органам подати у тримісячний строк з дня набрання чинності цією постановою Адміністрації Державної служби спеціального зв'язку та захисту інформації пропозиції до переліку інформаційно-телекомунікаційних систем об'єктів критичної інфраструктури держави.

3. Адміністрації Державної служби спеціального зв'язку та захисту інформації сформувати у шестимісячний строк з дня набрання чинності цією постановою на підставі пропозицій, зазначених у пункті 2 цієї постанови, перелік інформаційно-телекомунікаційних систем об'єктів критичної інфраструктури держави та подати його в установленому порядку Кабінетові Міністрів України.

1. Цей Порядок визначає механізм формування переліку інформаційно-телекомунікаційних систем об'єктів критичної інфраструктури держави.

2. Терміни, що вживаються у цьому Порядку, мають таке значення:

заінтересовані органи - державні органи, органи місцевого самоврядування, органи управління Збройних Сил, інших військових формувань, утворених відповідно до законів, правоохоронні органи, у власності чи розпорядженні яких є об'єкт критичної інфраструктури держави та/або до сфери управління яких належать (перебувають в управлінні) підприємства, установи та організації, що є власниками (розпорядниками) такого об'єкта;

кібератака - несанкціоновані дії, що здійснюються з використанням інформаційно-комунікаційних технологій та спрямовані на порушення конфіденційності, цілісності і доступності інформації, яка обробляється в інформаційно-телекомунікаційній системі, або порушення сталого функціонування такої системи;

контрольована зона - територія (простір), на якій (в якому) унеможливлено несанкціоноване і неконтрольоване перебування сторонніх осіб, розміщення технічних і транспортних засобів;

критична інфраструктура - сукупність об'єктів інфраструктури держави, які є найбільш важливими для економіки та промисловості, функціонування суспільства та безпеки населення і виведення з ладу або руйнування яких може мати вплив на національну безпеку і оборону, природне середовище, призвести до значних фінансових збитків та людських жертв;

об'єкти критичної інфраструктури - підприємства та установи (незалежно від форми власності) таких галузей, як енергетика, хімічна промисловість, транспорт, банки та фінанси, інформаційні технології та телекомунікації (електронні комунікації), продовольство, охорона здоров'я, комунальне господарство, що є стратегічно важливими для функціонування економіки і безпеки держави, суспільства та населення.

Інші терміни вживаються у значенні, наведеному в Законах України "Про основи національної безпеки", "Про оборону України", "Про інформацію", "Про телекомунікації", "Про захист інформації в інформаційно-телекомунікаційних системах".

3. Перелік інформаційно-телекомунікаційних систем об'єктів критичної інфраструктури держави (далі - перелік) затверджується Кабінетом Міністрів України.

4. Включені до переліку інформаційно-телекомунікаційні системи об'єктів критичної інфраструктури є критичною інформаційною інфраструктурою держави, що захищається від кібератак у першу чергу (пріоритетно).

5. Захист інформаційно-телекомунікаційних систем об'єктів критичної інфраструктури держави від кібератак забезпечується власником (розпорядником) таких систем відповідно до законодавства у сфері захисту інформації та кібербезпеки.

6. Формування переліку здійснюється Адміністрацією Держспецзв'язку на підставі отриманих від заінтересованих органів пропозицій, погоджених з СБУ.

Пропозиції до переліку подаються Адміністрації Держспецзв'язку заінтересованими органами у паперовому та електронному вигляді за формою згідно з додатком.

7. Пропозиції щодо внесення змін до затвердженого переліку можуть подаватися міністерствами, іншими центральними органами виконавчої влади, державними колегіальними органами та місцевими держадміністраціями шляхом подання в установленому порядку Кабінетові Міністрів України проекту відповідного акта за умови його обов'язкового погодження з Адміністрацією Держспецзв'язку та СБУ.

8. Заінтересовані органи формують пропозиції до переліку з урахуванням негативних наслідків, до яких може призвести кібератака на інформаційно-телекомунікаційну систему.

Негативними наслідками є:

виникнення надзвичайної ситуації техногенного характеру та/або негативний вплив на стан екологічної безпеки держави (регіону) (Н.1);

негативний вплив на стан енергетичної безпеки держави (регіону) (Н.2);

негативний вплив на стан економічної безпеки держави (Н.3);

негативний вплив на стан обороноздатності, забезпечення національної безпеки та правопорядку у державі (Н.4);

негативний вплив на систему управління державою (Н.5);

негативний вплив на суспільно-політичну ситуацію в державі (Н.6);

негативний вплив на імідж держави (Н.7);

порушення сталого функціонування фінансової системи держави (Н.8);

порушення сталого функціонування транспортної інфраструктури держави (регіону) (Н.9);

порушення сталого функціонування інформаційної та/або телекомунікаційної інфраструктури держави (регіону), в тому числі її взаємодії з відповідними інфраструктурами інших держав (Н.10).

9. До переліку не включаються інформаційно-телекомунікаційні системи, що не мають виходу каналами електрозв'язку за межі контрольованої зони.

10. Заінтересований орган здійснює заходи щодо актуалізації переліку в разі:

створення, модернізації або припинення функціонування інформаційно-телекомунікаційної системи об'єкта критичної інфраструктури держави;

зміни негативних наслідків, зазначених у пункті 8 цього Порядку.

11. Інформація, що міститься у переліку, є інформацією з обмеженим доступом.