АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
02.12.2014 № 660
Зареєстровано в Міністерстві
юстиції України
28 січня 2015 р.
за № 90/26535
Про затвердження Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах
( Заголовок із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 745 від 02.12.2022 )
( Із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації № 745 від 02.12.2022 № 489 від 09.09.2024 № 257 від 06.04.2026 )
Відповідно до пункту 41 частини першої статті 14 Закону України "Про Державну службу спеціального зв'язку та захисту інформації України" та підпункту 30 пункту 4 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, НАКАЗУЮ:
1. Затвердити Порядок оцінки стану захищеності державних інформаційних ресурсів в інформаційних,електронних комунікаційнихтаінформаційно-комунікаційнихсистемах, що додається.
( Пункт 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 745 від 02.12.2022 )
2. Визнати таким, що втратив чинність, наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 04 липня 2008 року № 112 "Про затвердження Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах", зареєстрований в Міністерстві юстиції України 25 липня 2008 року за № 690/15381.
3. Директору Департаменту спеціальних інформаційно-телекомунікаційних систем Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України відповідно до Указу Президента України від 03 жовтня 1992 року № 493 "Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади".
4. Цей наказ набирає чинності з дня його офіційного опублікування.
5. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України.
| Голова Служби | В.П. Звєрєв |
| ПОГОДЖЕНО: Голова Державної регуляторної служби України | К. Ляпіна |
ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв’язку
та захисту інформації України
02.12.2014 № 660
Зареєстровано в Міністерстві
юстиції України
28 січня 2015 р.
за № 90/26535
ПОРЯДОК
оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах
( У заголовку та тексті Порядку слова "телекомунікаційних", "інформаційно-телекомунікаційних" замінено відповідно словами "електронних комунікаційних", "інформаційно-комунікаційних", а також слово "ІТС" замінено словом "ІКС" згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 745 від 02.12.2022 )
( У тексті Порядку слова "державному органі, органі місцевого самоврядування, військовому формуванні, на підприємстві, в установі, організації незалежно від форм власності", "органах державної влади, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності" (у двох випадках), "державні органи, органи місцевого самоврядування, військові формування, підприємства, установи і організації незалежно від форм власності", "державних органах, органах місцевого самоврядування, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності" (у двох випадках), "державних органів, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності", "державні органи, органи місцевого самоврядування, військові формування, підприємства, установи, організації незалежно від форм власності" замінено словом "орган" у відповідних відмінках згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026, з урахуванням змін, внесених Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 303 від 24.04.2026 )
1. Цей Порядок визначає процедуру проведення оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі — ІКС) державних органів, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України, підприємств, установ і організацій незалежно від форм власності (далі — органи).
( Абзац перший пункту 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
Дія цього Порядку не поширюється на системи спеціального зв'язку.
2. Під терміном "оцінка стану захищеності державних інформаційних ресурсів в ІКС" у цьому Порядку слід розуміти сукупність заходів, спрямованих на виявлення загроз і запобігання несанкціонованим діям щодо державних інформаційних ресурсів, які обробляються в ІКС.
( Абзаци перший - третій пункту 2 замінено абзацом першим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
Інші терміни вживаються у значеннях, наведених у Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про Державну службу спеціального зв'язку та захисту інформації України", "Про критичну інфраструктуру", "Про основні засади забезпечення кібербезпеки України".
( Абзац другий пункту 2 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
3. Оцінка стану захищеності проводиться з метою виявлення існуючих загроз державним інформаційним ресурсам в ІКС і є складовою частиною заходів із захисту інформації в системі.
( Пункт 3 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
4. Об'єктом оцінки стану захищеності є державні інформаційні ресурси, які обробляються в ІКС, незалежно від наявності в таких ІКС авторизованої системи з безпеки.
( Пункт 4 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
( Пункт 5 виключено на підставі Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
( Пункт 6 виключено на підставі Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
5. Оцінка стану захищеності в органі здійснюється Державним центром кіберзахисту Державної служби спеціального зв’язку та захисту інформації України (далі - ДЦКЗ Держспецзв’язку).
( Пункт із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 489 від 09.09.2024 )
6. За результатами оцінки стану захищеності складається акт оцінки стану захищеності державних інформаційних ресурсів в ІКС (далі – Акт) згідно з додатком, де викладаються результати роботи комісії з оцінки стану захищеності (далі — комісія) та рекомендації стосовно підвищення рівня захищеності державних інформаційних ресурсів, який затверджується начальником ДЦКЗ Держспецзв’язку або особою, яка виконує його обов’язки.
( Пункт із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації № 489 від 09.09.2024, № 257 від 06.04.2026 )
7. З метою здійснення оцінки стану захищеності:
1) Адміністрація Держспецзв’язку:
здійснює планування проведення оцінки стану захищеності в органах;
визначає та оприлюднює на вебсайті Держспецзв’язку перелік спеціалізованого програмного забезпечення та програмно-апаратних засобів, які використовуються для проведення оцінки захищеності;
( Підпункт 1 пункту в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 489 від 09.09.2024 )
2) ДЦКЗ Держспецзв’язку:
створює комісію з оцінки стану захищеності (далі - комісія);
залежно від виду ІКС та режиму доступу до інформації, що в ній обробляється, розробляє загальну програму та методику оцінки стану захищеності в органах, а також окремі програми та методики оцінки захищеності як комплекс заходів щодо виявлення в ІКС технічних рішень, що створюють передумови для порушення конфіденційності, цілісності та доступності інформації, яка в них обробляється;
( Абзац третій підпункту 2 пункту 7 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
визначає перелік документів, що стосуються функціонування ІКС та підлягають аналізу під час проведення оцінки стану захищеності.
( Підпункт 2 пункту в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 489 від 09.09.2024 )
3) органи, в яких проводиться оцінка стану захищеності:
( Абзац перший підпункту 3 пункту 7 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
надають комісії всі необхідні документи, що стосуються функціонування ІКС;
надають комісії доступ до ІКС;
повідомляють Держспецзв'язку про стан виконання рекомендацій, зазначених в Акті.
8. Оцінка стану захищеності в органах проводиться згідно з річним планом, який затверджується наказом Адміністрації Держспецзв'язку, або позапланово.
Планова оцінка стану захищеності проводиться в державних органах, військових формуваннях, на підприємствах, в установах і організаціях незалежно від форм власності не частіше ніж один раз на три роки.
( Абзац 2 пункту із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 489 від 09.09.2024 )
Витяги з річного плану надсилаються до вказаних у ньому органів щороку до 01 лютого.
Позапланова оцінка стану захищеності проводиться в органах за їх безпосередніми зверненнями.
( Абзац четвертий пункту 8 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
9. ДЦКЗ Держспецзв’язку письмово повідомляє органи, в яких планується здійснити оцінку стану захищеності, не менше ніж за десять діб до її початку.
( Пункт із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 489 від 09.09.2024 )
10. Підставою для допуску до проведення оцінки стану захищеності є припис на виконання завдання, підписаний Головою Держспецзв'язку або його заступником за напрямом діяльності згідно з розподілом функціональних обов'язків, у якому вказується персональний склад комісії.
( Пункт 10 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 257 від 06.04.2026 )
| Директор Департаменту спеціальних інформаційно-телекомунікаційних систем Адміністрації Держспецзв'язку | С.А. Нежурбіда |
Додаток
до Порядку оцінки стану захищеності
державних інформаційних ресурсів
в інформаційних,
електронних комунікаційних
та інформаційно-комунікаційних
системах
(пункт 6)
АКТ
оцінки стану захищеності державних інформаційних ресурсів в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах
( Див. текст )
( Додаток із змінами, внесеними згідно з Наказами Адміністрації Державної служби спеціального зв'язку та захисту інформації № 745 від 02.12.2022, № 257 від 06.04.2026 )