Деякі питання об’єктів критичної інформаційної інфраструктури

Відповідно до абзацу першого частини третьої статті 4 Закону України "Про основні засади забезпечення кібербезпеки України" Кабінет Міністрів України постановляє:

1. Затвердити такі, що додаються:

Порядок формування переліку об’єктів критичної інформаційної інфраструктури;

Порядок внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування.

2. Адміністрації Державної служби спеціального зв’язку та захисту інформації:

сформувати перелік об’єктів критичної інформаційної інфраструктури та внести в установленому порядку Кабінетові Міністрів України;

створити державний реєстр об’єктів критичної інформаційної інфраструктури та забезпечити його функціонування;

встановити форму подання відомостей до державного реєстру об’єктів критичної інформаційної інфраструктури.

3. Міністерствам та іншим органам виконавчої влади протягом шести місяців сформувати секторальні переліки об’єктів критичної інформаційної інфраструктури, що належать до сфери їх управління, забезпечити їх ведення та надання Адміністрації Державної служби спеціального зв’язку та захисту інформації відомостей про об’єкти критичної інформаційної інфраструктури.

4. Визнати такою, що втратила чинність, постанову Кабінету Міністрів України від 23 серпня 2016 р. № 563 "Про затвердження Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави" (Офіційний вісник України, 2016 р., № 69, ст. 2332).

1. Цей Порядок визначає механізм формування національного та секторальних переліків об’єктів критичної інформаційної інфраструктури.

2. Терміни, що вживаються у цьому Порядку, мають таке значення:

безпека об’єкта критичної інфраструктури - стан захищеності об’єкта критичної інфраструктури, за якого забезпечується функціональність і безперервність його роботи та/або можливість надання ним основних послуг;

власник та/або керівник об’єкта критичної інфраструктури (далі - оператор основних послуг) - державний орган, підприємство, установа, організація будь-якої форми власності, юридична та/або фізична особа, якому/якій на правах власності, оренди або на інших законних підставах належить об’єкт критичної інфраструктури або який/яка відповідає за його поточне функціонування;

життєво важливі послуги та функції (далі - основні послуги) - послуги, які надаються, та функції, що виконуються, операторами основних послуг, збої та переривання у наданні (виконанні) яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України;

захист об’єктів критичної інформаційної інфраструктури - організаційні, нормативно-правові, інженерно-технічні та інші заходи, спрямовані на забезпечення безпеки об’єктів критичної інформаційної інфраструктури;

ідентифікація об’єкта критичної інформаційної інфраструктури - процедура віднесення об’єкта інформаційної інфраструктури до об’єктів критичної інформаційної інфраструктури;

критична інформаційна інфраструктура - сукупність об’єктів критичної інформаційної інфраструктури;

сектор (підсектор) критичної інфраструктури - сукупність об’єктів критичної інфраструктури, які належать до одного сектору (підсектору) економіки та/або мають спільну функціональну спрямованість;

уповноважений орган державної влади, відповідальний за сектор (підсектор) критичної інфраструктури (далі - уповноважений орган), - центральний орган виконавчої влади, інший державний орган, який забезпечує формування та/або реалізацію державної політики в одній чи кількох сферах.

Інші терміни вживаються у значенні, наведеному в Законах України "Про інформацію", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах" та "Про основні засади забезпечення кібербезпеки України".

3. Оператор основних послуг проводить ідентифікацію об’єктів критичної інформаційної інфраструктури, що забезпечують функціонування об’єкта критичної інфраструктури та надання ним основних послуг.

4. Ідентифікація об’єктів критичної інформаційної інфраструктури проводиться у такому порядку:

оператор основних послуг визначає всі об’єкти інформаційної інфраструктури (автоматизовані, інформаційні, електронні комунікаційні, інформаційно-комунікаційні системи, автоматизовані системи управління технологічними процесами), що експлуатуються на об’єкті критичної інфраструктури;

оператор основних послуг визначає, які з наведених об’єктів інформаційної інфраструктури необхідні для забезпечення безперервного та стійкого функціонування об’єкта критичної інфраструктури з точки зору надання ним основних послуг, та проводить оцінку їх критичності.

5. Для оцінки критичності об’єкта інформаційної інфраструктури оператор основних послуг використовує такі три критерії:

необхідність об’єкта інформаційної інфраструктури як для стійкого та безперервного функціонування об’єкта критичної інфраструктури, так і для надання ним основних послуг;

кібератака, кіберінцидент, інцидент з інформаційної безпеки на об’єкті інформаційної інфраструктури істотно впливає на безперервність та стійкість надання об’єктом критичної інфраструктури основних послуг;

у разі порушення безперервності та стійкості надання основних послуг об’єктом інформаційної інфраструктури відсутній альтернативний об’єкт (спосіб) для їх надання.

Об’єкти інформаційної інфраструктури, що відповідають всім трьом критеріям, визначаються оператором основних послуг як об’єкти критичної інформаційної інфраструктури. При цьому категорія критичності об’єкта критичної інформаційної інфраструктури встановлюється за категорією критичності об’єкта критичної інфраструктури.

6. Оператор основних послуг подає протягом 30 днів з дати визначення об’єкта критичної інформаційної інфраструктури відомості про об’єкти критичної інформаційної інфраструктури уповноваженому органу, який на їх основі формує секторальний перелік об’єктів критичної інформаційної інфраструктури. Відомості за формою згідно з додатком подаються у паперовій та/або в електронній формі. На відомості в електронній формі накладається кваліфікований електронний підпис керівника об’єкта критичної інфраструктури або уповноваженої на те особи і такі відомості надсилаються на електронному носії даних.

До секторального переліку подаються відомості про об’єкти критичної інформаційної інфраструктури I, II, III та IV категорій критичності.

7. Оператор основних послуг вживає заходів до актуалізації відомостей про об’єкти критичної інформаційної інфраструктури, що містяться у секторальному переліку об’єктів критичної інформаційної інфраструктури, у строк до десяти робочих днів з моменту їх настання у разі:

зміни відомостей, зазначених у додатку;

створення, модернізації, припинення функціонування об’єкта критичної інформаційної інфраструктури.

8. Уповноважений орган розглядає надані відомості про об’єкти критичної інформаційної інфраструктури та у разі потреби надає зауваження та рекомендації щодо коректності та/або повноти наданих відомостей та має право запросити у оператора основних послуг інформацію стосовно наданих відомостей, зазначених у додатку.

9. Уповноважений орган на підставі відомостей про об’єкти критичної інформаційної інфраструктури, що перебувають у його власності чи розпорядженні, та відомостей, отриманих від операторів основних послуг його сектору (підсектору), формує та веде секторальний перелік об’єктів критичної інформаційної інфраструктури.

10. Уповноважений орган оновлює секторальний перелік об’єктів критичної інформаційної інфраструктури кожні два роки або протягом одного місяця у разі зміни відомостей, зазначених у додатку, що відбулися у критичній інформаційній інфраструктурі його сектору або підсектору.

11. Відомості про об’єкти критичної інформаційної інфраструктури I та II категорії критичності свого сектору (підсектору) критичної інфраструктури уповноважений орган подає Адміністрації Держспецзв’язку у паперовій та електронній формі згідно з додатком та вживає заходів до актуалізації відомостей про об’єкти свого сектору (підсектору), що містяться у національному переліку, у разі:

зміни відомостей, зазначених у додатку;

створення, модернізації або припинення функціонування об’єкта I та II категорії критичності.

12. Протягом 10 робочих днів після внесення об’єкта критичної інформаційної інфраструктури до секторального переліку уповноважений орган повідомляє про це оператору основних послуг для внесення оператором інформації про об’єкт критичної інформаційної інфраструктури до паспорта об’єкта критичної інфраструктури.

13. Адміністрація Держспецзв’язку на підставі відомостей із секторальних переліків об’єктів критичної інформаційної інфраструктури, отриманих від уповноважених органів за сектори (підсектори) критичної інфраструктури держави, формує та веде національний перелік об’єктів критичної інформаційної інфраструктури. До національного переліку вносяться відомості про об’єкти критичної інформаційної інфраструктури I та II категорії критичності.

14. Адміністрація Держспецзв’язку розглядає надані відомості про об’єкти критичної інформаційної інфраструктури та у разі потреби надає зауваження та рекомендації щодо коректності та/або повноти наданих відомостей та має право запросити в уповноваженого органу або у операторів основних послуг інформацію стосовно наданих відомостей, зазначених у додатку.

15. Власник об’єкта критичної інформаційної інфраструктури, що внесений до національного переліку, вживає першочергових заходів із захисту такого об’єкта від кібератак.

16. Відомості про об’єкти критичної інформаційної інфраструктури, включені до національного переліку, вносяться до державного реєстру об’єктів критичної інформаційної інфраструктури.

17. Відомості про об’єкти критичної інформаційної інфраструктури, що містяться у національному переліку та секторальних переліках об’єктів критичної інформаційної інфраструктури, є інформацією з обмеженим доступом, захист якої забезпечується відповідно до вимог законодавства у сфері захисту інформації.

1. Цей Порядок визначає механізм внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури (далі - реєстр), його формування та забезпечення функціонування.

2. Терміни, що вживаються у цьому Порядку, мають таке значення:

безпека об’єкта критичної інфраструктури - стан захищеності об’єкта критичної інфраструктури, за якого забезпечується функціональність і безперервність його роботи та/або можливість надання ним основних послуг;

власник та/або керівник об’єкта критичної інфраструктури (далі - оператор основних послуг) - державний орган, підприємство, установа, організація будь-якої форми власності, юридична та/або фізична особа, якому/якій на правах власності, оренди або на інших законних підставах належить об’єкт критичної інфраструктури або який/яка відповідає за його поточне функціонування;

життєво важливі послуги та функції (далі - основні послуги) - послуги, які надаються, та функції, що виконуються, операторами основних послуг, збої та переривання у наданні (виконанні) яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України;

захист об’єктів критичної інформаційної інфраструктури-організаційні, нормативно-правові, інженерно-технічні та інші заходи, спрямовані на забезпечення безпеки об’єктів критичної інформаційної інфраструктури;

ідентифікація об’єкта критичної інформаційної інфраструктури - процедура віднесення об’єкта інформаційної інфраструктури до об’єктів критичної інформаційної інфраструктури;

критична інформаційна інфраструктура - сукупність об’єктів критичної інформаційної інфраструктури;

сектор (підсектор) критичної інфраструктури - сукупність об’єктів критичної інфраструктури, які належать до одного сектору (підсектору) економіки та/або мають спільну функціональну спрямованість;

уповноважений орган державної влади, відповідальний за сектор (підсектор) критичної інфраструктури (далі - уповноважений орган), - центральний орган виконавчої влади, інший державний орган, який забезпечує формування та/або реалізацію державної політики в одній чи кількох сферах.

Інші терміни вживаються у значенні, наведеному в Законах України "Про інформацію", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах" та "Про основні засади забезпечення кібербезпеки України".

3. Реєстр формується з метою ведення обліку об’єктів критичної інформаційної інфраструктури об’єктів критичної інфраструктури I та II категорії критичності.

4. Реєстр є інформаційно-комунікаційною системою, в якій обробляються та зберігаються відомості про об’єкти критичної інформаційної інфраструктури об’єктів критичної інфраструктури I та II категорії критичності (далі - відомості реєстру).

5. Розпорядником інформаційно-комунікаційної системи реєстру та володільцем інформації (відомостей), що міститься у реєстрі, є Адміністрація Держспецзв’язку, яка:

вживає заходів до створення та адміністрування реєстру;

встановлює організаційні та методичні засади функціонування реєстру, а також забезпечує його функціонування;

встановлює порядок та форми подання відомостей до реєстру, а також визначає порядок доступу до відомостей реєстру;

на підставі отриманих відомостей забезпечує формування та оновлення відомостей реєстру;

забезпечує захист відомостей реєстру відповідно до вимог законодавства у сфері захисту інформації та державної таємниці;

проводить інші заходи щодо забезпечення функціонування реєстру.

6. Відомості, які подаються до реєстру, містять таку інформацію:

повне найменування юридичної особи, у власності (розпорядженні) якої перебуває об’єкт критичної інформаційної інфраструктури, місцезнаходження юридичної особи, код згідно з ЄДРПОУ, форма власності, прізвище, власне ім’я, по батькові (за наявності) керівника;

повна назва об’єкта критичної інфраструктури, до складу якого входить об’єкт критичної інформаційної інфраструктури, його призначення, сектор та підсектор, до якого він належить, перелік основних послуг, які він надає, категорія критичності;

повна назва об’єкта критичної інформаційної інфраструктури, його призначення, перелік основних послуг, надання яких він забезпечує, категорія критичності;

уповноважений орган сектору (підсектору) критичної інфраструктури, до якого належить об’єкт критичної інфраструктури;

вид інформації за порядком доступу, яка обробляється або планується для оброблення на об’єкті критичної інформаційної інфраструктури;

адреса місця фізичного розташування об’єкта критичної інформаційної інфраструктури;

наявність підключення об’єкта критичної інформаційної інфраструктури до Інтернету, інших інформаційно-комунікаційних систем, які не входять до його складу, та діапазон IР-адрес, що використовуються;

повне найменування юридичної особи постачальника (постачальників) електронних комунікаційних послуг, що надає (надають) послуги з доступу до Інтернету для об’єкта критичної інформаційної інфраструктури, місцезнаходження юридичної особи (юридичних осіб);

наявність взаємодії об’єкта критичної інформаційної інфраструктури з іншими об’єктами критичної інформаційної інфраструктури та/або щодо залежності функціонування об’єкта критичної інформаційної інфраструктури від інших таких об’єктів;

наявність атестата відповідності комплексної системи захисту інформації об’єкта критичної інформаційної інфраструктури або результатів незалежного аудиту інформаційної безпеки об’єкта критичної інфраструктури;

особи та/або підрозділ, відповідальні за стан захисту інформації (забезпечення інформаційної безпеки) та кіберзахисту об’єкта критичної інформаційної інфраструктури, у тому числі ті, на яких покладено функції служби захисту інформації;

відомості про виконання Загальних вимог до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 р. № 518 (Офіційний вісник України, 2019 р., № 50, ст. 1697), на об’єкті критичної інформаційної інфраструктури.

7. Відомості до реєстру подаються операторами основних послуг до Адміністрації Держспецзв’язку в електронній формі, підписані кваліфікованим електронним підписом керівника об’єкта критичної інфраструктури або уповноваженої на те особи, та надсилаються на електронному носії даних.

Відомості до реєстру подаються один раз на рік (станом на 31 грудня року, що минув) до 1 лютого поточного року за формою, встановленою Адміністрацією Держспецзв’язку, або протягом місяця - у разі зміни відомостей про об’єкт критичної інформаційної інфраструктури, визначених у пункті 6 цього Порядку, введення в експлуатацію нового або припинення функціонування об’єкта критичної інформаційної інфраструктури.

До реєстру подаються відомості про об’єкти критичної інформаційної інфраструктури I та II категорії критичності, які внесені до національного переліку об’єктів критичної інформаційної інфраструктури.

8. Відомості реєстру є інформацією з обмеженим доступом, захист якої забезпечується відповідно до вимог законодавства у сфері захисту інформації та державної таємниці.

9. Доступ до реєстру надається зовнішнім авторизованим користувачам за наявності визначених законом підстав з дотриманням вимог законодавства у сфері захисту інформації та державної таємниці.

10. Доступ до відомостей реєстру надається уповноваженому органу за його письмовим запитом у частині сфери його управління.