ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв’язку
та захисту інформації України
17 грудня 2025 року № 836
Зареєстровано в Міністерстві
юстиції України
31 грудня 2025 року
за № 1978/45384
Порядок
підтвердження постачальниками товарів, робіт, послуг відповідності впроваджених заходів безпеки інформації встановленим вимогам відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт, послуг власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури
1. Цей Порядок встановлює процедуру підтвердження постачальниками товарів, робіт, послуг відповідності впроваджених заходів безпеки інформації встановленим вимогам відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт, послуг власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури (далі — системи).
2. Цей Порядок застосовується до постачальників товарів, робіт, послуг і власників або розпорядників систем в разі, якщо товари, роботи, послуги, які постачають постачальники, забезпечують функціонування систем.
3. У цьому Порядку під терміном "постачальник" розуміється будь-яка фізична або юридична особа, яка постачає товари, роботи і послуги власникам або розпорядникам систем.
Інші терміни вживаються у значенні, наведеному в Законі України "Про захист інформації в інформаційно-комунікаційних системах", Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженому постановою Кабінету Міністрів України від 18 червня 2025 року № 712.
4. Виконання вимог базових заходів безпеки відповідно до першого рівня ризику в інформаційно-комунікаційній системі постачальника (в разі наявності) підтверджується постачальником декларативним принципом у рамках укладення договору про постачання товарів, робіт і послуг з власником або розпорядником системи.
5. Виконання вимог відповідно до другого — четвертого рівнів ризику підтверджується постачальником шляхом підтвердження наявності однієї з таких умов:
авторизації з безпеки інформаційно-комунікаційної системи та наявності у переліку авторизованих систем з безпеки;
сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності, який акредитовано національним органом України з акредитації або національним органом з акредитації іноземної держави, якщо національний орган України з акредитації та національний орган з акредитації відповідної держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності;
чинного атестату відповідності на комплексну систему захисту інформації.
| Директор Департаменту захисту інформації Адміністрації Держспецзв’язку | Андрій ГОЛОВЕНКО |
