КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 18 червня 2024 р. № 719
Київ
Деякі питання захисту державних інформаційних ресурсів та інформації з обмеженим доступом, які використовуються Міністерством оборони та Збройними Силами
( Із змінами, внесеними згідно з Постановою КМ № 263 від 25.02.2026 )
Кабінет Міністрів України постановляє:
1. Затвердити особливості захисту державних інформаційних ресурсів та інформації з обмеженим доступом, які використовуються Міністерством оборони та Збройними Силами, що додаються.
2. Міністерству оборони за погодженням з Адміністрацією Державної служби спеціального зв’язку та захисту інформації у місячний строк затвердити перелік інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, на які поширюються особливості, затверджені цією постановою.
3. Внести до постанови Кабінету Міністрів України від 21 жовтня 2020 р. № 991 "Про затвердження Технічного регламенту засобів криптографічного захисту інформації" (Офіційний вісник України, 2020 р., № 88, ст. 2830) зміни, що додаються.
4. Ця постанова набирає чинності з дня її опублікування та діє протягом воєнного стану і 12 місяців з дня його припинення або скасування.
| Прем'єр-міністр України | Д. ШМИГАЛЬ |
| Інд. 29 | |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 18 червня 2024 р. № 719
ОСОБЛИВОСТІ
захисту державних інформаційних ресурсів та інформації з обмеженим доступом, які використовуються Міністерством оборони та Збройними Силами
1. Ці особливості регулюють питання захисту державних інформаційних ресурсів та інформації з обмеженим доступом, вимоги щодо захисту якої встановлено законом, в інформаційних, електронних комунікаційних, інформаційно-комунікаційних системах (далі - системи) із застосуванням програмних засобів, засобів технічного захисту інформації, засобів криптографічного захисту інформації з відповідною документацією та ключовими документами (далі - засоби), які використовуються Міноборони та Збройними Силами.
Ці особливості поширюються на системи, перелік яких затверджується Міноборони за погодженням з Адміністрацією Держспецзв’язку.
2. У цих особливостях терміни вживаються у значенні, наведеному в Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про міжнародні договори України", Адміністративних домовленостях щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного Договору, ратифікованих Законом України від 24 травня 2017 р. № 2068-VIII.
3. Використання Міноборони та Збройними Силами систем і засобів із підтвердженою відповідністю вимогам держав-партнерів, зокрема Сполучених Штатів Америки, Канади, Федеративної Республіки Німеччина, Республіки Польща, Французької Республіки, Сполученого Королівства Великої Британії та Північної Ірландії, Республіки Естонія, Латвійської Республіки, Литовської Республіки, Республіки Фінляндія, Королівства Данія, Королівства Норвегія, Королівства Нідерландів, Королівства Іспанія, Італійської Республіки, Грецької Республіки, Республіки Словенія, Австралії, Португальської Республіки, Королівства Швеція, Великого Герцогства Люксембург, Королівства Бельгія, Румунії, здійснюється:
1) на підставі документів про відповідність таких систем і засобів вимогам зазначених держав і не потребує проведення додаткових процедур підтвердження відповідності в Україні;
2) з урахуванням співвіднесення грифів обмеження доступу до інформації, що обробляється в таких системах з використанням таких засобів, відповідно до статті 3 Адміністративних домовленостей щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного Договору, та/або відповідних міжнародних договорів України;
3) за умови ведення контролю за забезпеченням безпеки засобів та ключових даних до таких систем і засобів, забезпечення охорони державної таємниці та іншої інформації з обмеженим доступом під час їх експлуатації органами (службами), які визначені Міноборони відповідальними за організацію комплексу заходів щодо криптографічного захисту інформації.
( Пункт 3 доповнено підпунктом 3 згідно з Постановою КМ № 263 від 25.02.2026 )
4. Міноборони:
1) забезпечує в установленому порядку ведення обліку систем і засобів та контроль за їх використанням;
2) визначає підрозділи, на які покладаються завдання щодо адміністрування систем, а також проведення оцінки наданих документів про відповідність та достатності заходів із захисту інформації в системах з використанням засобів;
3) визначає органи (служби), відповідальні за організацію комплексу заходів щодо криптографічного захисту інформації та розподілу отриманих засобів.
5. Міноборони щокварталу подає до Адміністрації Держспецзв’язку інформацію щодо використання у Міноборони та Збройних Силах систем та засобів держав-партнерів для ведення обліку та здійснення контролю за розподілом таких засобів.
6. Власник або розпорядник системи, яка розгортається повністю або частково в хмарі за межами України, з урахуванням оцінки можливих ризиків може прийняти рішення про застосовування засобів захисту інформації в складі систем (крім систем, у яких обробляється інформація, що становить державну таємницю), які відповідають одному з таких критеріїв:
1) наявність позитивного експертного висновку за результатами державної експертизи в сфері технічного та/або криптографічного захисту інформації, які призначені для захисту конфіденційної інформації (надаючи перевагу засобам захисту інформації, які мають вищий рівень гарантій чи клас);
2) наявність чинного документа про відповідність міжнародному стандарту ISO/IEC 15408, за умови проведення оцінки відповідності з рівнем гарантії оцінювання не нижче другого (EAL2) (рекомендовано надавати перевагу засобам захисту інформації, які мають вищий рівень гарантій оцінювання);
3) наявність чинної сертифікації про відповідність міжнародному стандарту ISO/IEC 19790 або стандарту FIPS 140-2 чи 140-3 (Federal Information Processing Standard Publication 140-2/140-3 "Security Requirements for Cryptographic Modules"), затвердженого Національним інститутом стандартів і технологій США (NIST - National Institute of Standards and Technology) (рекомендовано надавати перевагу засобам захисту інформації, які мають вищий рівень безпеки).
Використання засобів криптографічного захисту інформації з оцінкою відповідності за міжнародним стандартом ISO/IEC 15408 або стандартом FIPS 140-2 чи FIPS 140-3 в складі систем, які розгортаються повністю або частково в хмарі за межами України і в яких обробляється службова інформація, дозволяється за умови контролю з боку власника або розпорядника системи за виконанням вимог документації щодо безпеки використання таких засобів криптографічного захисту інформації.
( Особливості доповнено пунктом 6 згідно з Постановою КМ № 263 від 25.02.2026 )
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 18 червня 2024 р. № 719
ЗМІНИ,
що вносяться до постанови Кабінету Міністрів України від 21 жовтня 2020 р. № 991
( Див. текст )
Доповнити постанову пунктом 3-1 такого змісту:
"3-1. Установити, що на період воєнного стану та протягом 12 місяців після його припинення чи скасування дозволяється надання на ринку та/або введення в експлуатацію систем та засобів криптографічного захисту інформації, на які поширюються особливості захисту державних інформаційних ресурсів або інформації з обмеженим доступом, які використовуються Міністерством оборони та Збройними Силами, затверджені постановою Кабінету Міністрів України від 18 червня 2024 р. № 719, без застосування положень Технічного регламенту засобів криптографічного захисту інформації, затвердженого цією постановою.".
