КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 30 грудня 2022 р. № 1500
Київ
Деякі питання забезпечення функціонування державних інформаційних ресурсів
Відповідно до абзацу двадцятого частини першої статті 1, частини третьої статті 5, частини шостої статті 8 Закону України "Про захист інформації в інформаційно-комунікаційних системах", частини другої статті 38 Закону України "Про публічні електронні реєстри" Кабінет Міністрів України постановляє:
1. Затвердити такі, що додаються:
Порядок передачі, збереження, функціонування та доступу до державних інформаційних ресурсів (публічних електронних реєстрів) та їх резервних копій, розміщених на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України;
Порядок укладення договорів володільцями інформації - власниками (держателями) державних інформаційних ресурсів (публічних електронних реєстрів) про технічне адміністрування відповідних реєстрів з іноземними компаніями, організаціями - постачальниками послуг з надання хмарних ресурсів (надавачами хмарних послуг), утвореними відповідно до законодавства інших держав, та/або їх зареєстрованими (акредитованими або легалізованими) відповідно до законодавства України філіями, представництвами та іншими відокремленими підрозділами з місцезнаходженням на території України;
перелік видів державних інформаційних ресурсів та систем, щодо яких може здійснюватися резервне копіювання.
2. Внести до постанов Кабінету Міністрів України від 4 грудня 2019 р. № 1137 "Питання Єдиного державного вебпорталу електронних послуг та Реєстру адміністративних послуг" (Офіційний вісник України, 2020 р., № 3, ст. 136; 2021 р., № 43, ст. 2625; 2022 р., № 69, ст. 4171) і від 12 березня 2022 р. № 263 "Деякі питання забезпечення функціонування інформаційно-комунікаційних систем, електронних комунікаційних систем, публічних електронних реєстрів в умовах воєнного стану" (Офіційний вісник України, 2022 р., № 25, ст. 1345) зміни, що додаються.
| Прем'єр-міністр України | Д. ШМИГАЛЬ |
| Інд. 49 | |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 30 грудня 2022 р. № 1500
ПОРЯДОК
передачі, збереження, функціонування та доступу до державних інформаційних ресурсів (публічних електронних реєстрів) та їх резервних копій, розміщених на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України
1. Цей Порядок визначає механізм передачі (переміщення) державних інформаційних ресурсів (публічних електронних реєстрів) (далі - державні інформаційні ресурси), які не містять службової інформації та інформації, що становить державну таємницю, та їх резервних копій для розміщення на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України, забезпечення збереження, функціонування та доступу до таких інформаційних ресурсів.
Цей Порядок протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування регулює відносини володільців інформації - власників (держателів) державних інформаційних ресурсів (далі - замовники), які виявили бажання (намір) розмістити державні інформаційні ресурси та їх резервні копії на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України.
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про захист інформації в інформаційно-комунікаційних системах", "Про публічні електронні реєстри", "Про Державну службу спеціального зв’язку та захисту інформації України", "Про основні засади забезпечення кібербезпеки України", "Про електронні довірчі послуги", "Про інформацію", "Про хмарні послуги" та "Про електронні комунікації".
3. Розміщення державних інформаційних ресурсів та їх резервних копій на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України, здійснюється замовниками на підставі договору, що укладається за умови наявності погодження СБУ відповідно до пункту 4 цього Порядку.
4. Замовники погоджують із СБУ, яка діє у межах компетенції, питання використання хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України, для розміщення державних інформаційних ресурсів та їх резервних копій шляхом надсилання листа довільної форми з відомостями щодо надавача хмарних послуг відповідно до вимог законодавства України з питань документування управлінської діяльності.
Про прийняте рішення СБУ повідомляє замовникам протягом десяти робочих днів з дня отримання листа від таких замовників.
Замовники повідомляють Адміністрації Держспецзв’язку та Мінцифри про використання хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України, для розміщення державних інформаційних ресурсів та їх резервних копій шляхом надсилання листа довільної форми із зазначенням відомостей щодо надавача хмарних послуг відповідно до вимог законодавства України з питань документування управлінської діяльності протягом п’яти робочих днів з дня початку такого використання.
5. Замовники забезпечують створення резервних копій державних інформаційних ресурсів на окремих фізичних носіях у зашифрованому вигляді та їх подальшу передачу (переміщення) для зберігання в установленому законодавством України у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах порядку, зокрема за межами України.
6. Замовники несуть відповідальність за цілісність і конфіденційність державних інформаційних ресурсів та їх резервних копій у разі передачі (переміщення) державних інформаційних ресурсів до хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України.
7. Постачальник послуг (надавач хмарних послуг або ресурсів у центрах обробки даних), до якого передаються (переміщуються) державні інформаційні ресурси або їх резервні копії, повинен мати документ про відповідність впровадження системи інформаційної безпеки міжнародним стандартам.
8. Замовники обробляють державні інформаційні ресурси, розміщені на хмарному ресурсі та/або центрі обробки даних, що розташований за межами України, із застосуванням системи управління інформаційною безпекою або комплексної системи захисту інформації.
9. Під час переміщення до хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України, інформаційно-комунікаційної системи, яка має чинний атестат відповідності комплексної системи захисту інформації з підтвердженою відповідністю, атестат відповідності комплексної системи захисту інформації інформаційно-комунікаційної системи не втрачає чинності за таких умов:
технологія обробки інформації не змінилася;
програмний склад інформаційно-комунікаційної системи, що виконує функції захисту інформації, відповідає оціненим проектним рішенням комплексної системи захисту інформації;
постачальник послуг має документ про відповідність впровадження системи інформаційної безпеки міжнародним стандартам.
В інших випадках здійснюються заходи з модернізації комплексної системи захисту інформації відповідно до законодавства України у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.
Під час переміщення інформаційно-комунікаційних систем, що не мають комплексної системи захисту інформації з підтвердженою відповідністю, замовники вживають заходів для її побудови або впровадження системи управління інформаційною безпекою щодо такої інформаційно-комунікаційної системи відповідно до законодавства України у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.
10. Передача (переміщення) державних інформаційних ресурсів до хмарних ресурсів та/або центрів обробки даних, що розташовані за межами України, здійснюється з використанням фізичних носіїв або електронних комунікаційних мереж.
11. Передача (переміщення) державних інформаційних ресурсів або їх резервних копій на фізичних носіях може здійснюватися шляхом використання фізичного носія із резервною копією або шляхом переміщення інформаційно-комунікаційних систем в цілому. Якщо у складі інформаційно-комунікаційної системи є криптомодулі чи інші засоби криптографічного захисту інформації, які підпадають під визначення товарів подвійного використання, погодження їх тимчасового вивезення здійснюється відповідно до Порядку здійснення державного контролю за міжнародними передачами товарів подвійного використання, затвердженого постановою Кабінету Міністрів України від 28 січня 2004 р. № 86 (Офіційний вісник України, 2004 р., № 4, ст. 167), - із змінами, внесеними постановою Кабінету Міністрів України від 24 жовтня 2018 р. № 974.
12. Під час переміщення інформаційно-комунікаційної системи в цілому залучаються уповноважені представники замовника, адміністратора або технічного адміністратора державних інформаційних ресурсів.
13. Передача (переміщення) державних інформаційних ресурсів, що містять конфіденційну інформацію, з використанням електронних комунікаційних мереж повинна здійснюватися з використанням засобів криптографічного захисту інформації.
У засобах криптографічного захисту інформації, які застосовуються для передачі (переміщення) державних інформаційних ресурсів, використовуються криптоалгоритми та криптопротоколи, які визначені національними стандартами, зокрема наведені у переліку стандартів та технічних специфікацій, дозволених для реалізації в засобах криптографічного захисту інформації, визначеному Адміністрацією Держспецзв’язку, та/або ті, на які за результатами експертних досліджень Адміністрацією Держспецзв’язку видано позитивний експертний висновок.
14. Про результати вжитих для переміщення інформаційно-комунікаційної системи заходів замовник протягом п’яти робочих днів з дня їх вжиття повідомляє Адміністрації Держспецзв’язку шляхом надсилання листа довільної форми відповідно до вимог законодавства України з питань документування управлінської діяльності та подає такі відомості:
1) найменування переміщеної інформаційно-комунікаційної системи;
2) декларація у довільній формі щодо відповідності програмного складу інформаційно-комунікаційної системи, що виконує функції захисту інформації, оціненим проектним рішенням комплексної системи захисту інформації (для інформаційно-комунікаційних систем, які мали комплексну систему захисту інформації з підтвердженою відповідністю);
3) найменування постачальника послуг, організації (надавача хмарних послуг або ресурсів у центрах обробки даних), найменування хмарного ресурсу та/або центру обробки даних, адреса розміщення центру обробки даних;
4) документ про відповідність впровадженої у постачальника послуг системи інформаційної безпеки міжнародним стандартам.
15. Періодичність створення резервних копій державних інформаційних ресурсів визначає замовник.
16. Протягом трьох робочих днів з дати укладення договору щодо передачі (переміщення) резервної копії державних інформаційних ресурсів замовник повідомляє Адміністрації Держспецзв’язку шляхом надсилання листа довільної форми відповідно до вимог законодавства України з питань документування управлінської діяльності та подає такі відомості:
1) перелік державних інформаційних ресурсів, резервні копії яких створені та передані (переміщені);
2) найменування інформаційно-комунікаційної системи, з якої здійснювалося копіювання;
3) інформація щодо засобу криптографічного захисту інформації (за наявності), яким здійснювалося шифрування резервної копії державних інформаційних ресурсів;
4) найменування постачальника послуг, організації (надавача хмарних послуг або ресурсів у центрах обробки даних), найменування хмарного ресурсу та/або центру обробки даних, адреса розміщення центру обробки даних;
5) документ про відповідність впровадженої у постачальника послуг системи інформаційної безпеки міжнародним стандартам.
17. Конфіденційна інформація, яка міститься у резервних копіях державних інформаційних ресурсів, зберігається на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України, у зашифрованому вигляді.
18. Доступ для адміністрування державних інформаційних ресурсів, що розміщуються на хмарних ресурсах та центрах обробки даних, що розташовані за межами України, забезпечується з використанням засобів криптографічного захисту інформації.
У засобах криптографічного захисту інформації, які застосовуються для захисту/доступу для адміністрування державних інформаційних ресурсів, використовуються криптоалгоритми та криптопротоколи, які визначені національними стандартами, зокрема наведені у переліку стандартів та технічних специфікацій, дозволених для реалізації в засобах криптографічного захисту інформації, визначеному Адміністрацією Держспецзв’язку, та/або ті, на які за результатами експертних досліджень Адміністрацією Держспецзв’язку видано позитивний експертний висновок.
Ключі шифрування у випадках, передбачених цим пунктом, пунктами 13 та 17 цього Порядку, повинні бути доступні виключно замовнику, адміністратору або технічному адміністратору державних інформаційних ресурсів відповідно до законодавства України у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах.
19. Забезпечення функціонування (зокрема адміністрування) державних інформаційних ресурсів здійснюється за участю представників замовника або адміністратора, або технічного адміністратора державних інформаційних ресурсів відповідно до законодавства України у сфері захисту інформації.
20. Організацію заходів з резервування державних інформаційних ресурсів замовники здійснюють самостійно.
Замовники призначають відповідальних посадових осіб, які залучаються до організації робіт з резервування державних інформаційних ресурсів, та визначають їх обов’язки.
Резервування державних інформаційних ресурсів здійснюється з дотриманням установлених для таких державних інформаційних ресурсів вимог щодо цілісності, конфіденційності та доступності.
21. Протягом шести місяців після припинення чи скасування правового режиму воєнного стану в Україні замовники, з якими укладено договір відповідно до пункту 3 цього Порядку, повинні забезпечити:
припинення використання відповідних хмарних ресурсів та центрів обробки даних, що розміщені за межами України, на яких функціонують та зберігаються державні інформаційні ресурси та їх резервні копії;
функціонування державних інформаційних ресурсів та зберігання їх резервних копій на території України.
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 30 грудня 2022 р. № 1500
ПОРЯДОК
укладення договорів володільцями інформації - власниками (держателями) державних інформаційних ресурсів (публічних електронних реєстрів) про технічне адміністрування відповідних реєстрів з іноземними компаніями, організаціями - постачальниками послуг з надання хмарних ресурсів (надавачами хмарних послуг), утвореними відповідно до законодавства інших держав, та/або їх зареєстрованими (акредитованими або легалізованими) відповідно до законодавства України філіями, представництвами та іншими відокремленими підрозділами з місцезнаходженням на території України
1. Цей Порядок визначає механізм укладення володільцями інформації - власниками (держателями) державних інформаційних ресурсів (публічних електронних реєстрів), які виявили бажання (намір) розмістити на хмарних ресурсах та/або центрах обробки даних, що розташовані за межами України, державні інформаційні ресурси (публічні електронні реєстри), зокрема їх резервні копії, договорів про технічне адміністрування відповідних реєстрів з надавачами хмарних послуг, утвореними відповідно до законодавства інших держав, та/або їх зареєстрованими (акредитованими або легалізованими) відповідно до законодавства України філіями, представництвами та іншими відокремленими підрозділами з місцезнаходженням на території України, які виявили бажання (намір) надавати такі послуги (далі - договір).
2. У цьому Порядку терміни вживаються у такому значенні:
замовник - власник (держатель) державного інформаційного ресурсу (публічного електронного реєстру), інформаційно-комунікаційної системи або за рішенням власника (держателя) адміністратор чи технічний адміністратор такого державного інформаційного ресурсу (публічного електронного реєстру), інформаційно-комунікаційної системи;
надавач послуг - іноземний суб’єкт господарювання та/або міжнародна організація, які є постачальниками послуг з надання хмарних ресурсів, утворені відповідно до законодавства інших держав, та/або їх зареєстрована (акредитована або легалізована) відповідно до законодавства України філія, представництво та інший відокремлений підрозділ з місцезнаходженням на території України, крім суб’єктів держав, визнаних Верховною Радою України державами-агресорами та/або щодо яких застосовані санкції відповідно до Закону України "Про санкції", та/або які входять до митних та воєнних союзів з такими державами;
технічне адміністрування - надання послуг з передачі, збереження, функціонування державних інформаційних ресурсів (публічних електронних реєстрів), зокрема їх резервних копій, на хмарних ресурсах та/або центрах обробки даних.
Інші терміни вживаються у значенні, наведеному в Законах України "Про захист інформації в інформаційно-комунікаційних системах" та "Про основні засади забезпечення кібербезпеки України".
3. Договір укладається між замовником та надавачем послуг у письмовій формі та містить інформацію про:
повне найменування сторін та реквізити сторін;
місцезнаходження сторін та контактні дані;
місце і дату укладення договору;
предмет договору;
договірну ціну;
порядок розрахунків;
строки надання послуг;
права та обов’язки сторін;
види забезпечення виконання зобов’язань за договором;
порядок здійснення замовником контролю за якістю;
гарантійні зобов’язання;
відповідальність сторін за порушення умов договору;
форс-мажорні обставини;
порядок врегулювання спорів;
порядок внесення змін до договору та його розірвання;
строк дії договору.
4. У договорі обов’язково зазначаються:
умови доступу замовника до даних, що обробляються під час виконання договору;
умови захисту даних з боку надавача послуг із розміщення даних на хмарних ресурсах та/або центрах обробки даних;
вимоги щодо строку оповіщення сторін про інциденти кібербезпеки;
вимоги до забезпечення безперервності надання послуг із розміщення даних на хмарних ресурсах та/або центрах обробки даних;
умови передачі замовнику даних (інформації), зокрема їх резервних копій, що були накопичені, створені у процесі виконання договору;
умови видалення (знищення) даних (інформації), їх резервних копій, що були створені, накопичені та/або передані надавачу послуг у ході та для виконання договору.
У договорі сторони за домовленістю можуть передбачати інші умови.
5. Договір є укладеним та набирає чинності з дати його підписання уповноваженими особами, якщо інше не встановлено договором, законом.
6. Протягом трьох робочих днів з дати укладення договору замовник надсилає копію такого договору до Адміністрації Держспецзв’язку та СБУ з урахуванням вимог законодавства з питань документування управлінської діяльності.
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 30 грудня 2022 р. № 1500
ПЕРЕЛІК
видів державних інформаційних ресурсів та систем, щодо яких може здійснюватися резервне копіювання
Бази даних
Національні електронні інформаційні ресурси
Публічні електронні реєстри
Інформаційні (автоматизовані) системи
Інформаційно-комунікаційні системи
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 30 грудня 2022 р. № 1500
ЗМІНИ,
що вносяться до постанов Кабінету Міністрів України від 4 грудня 2019 р. № 1137 і від 12 березня 2022 р. № 263
( Див. текст )
( Див. текст )
1. Підпункт 11 пункту 5 Положення про Єдиний державний вебпортал електронних послуг, затвердженого постановою Кабінету Міністрів України від 4 грудня 2019 р. № 1137, викласти в такій редакції:
"11) формування засобами Порталу Дія електронних відображень інформації, що міститься в документах, які можуть пред’являтися (надаватися) особою через мобільний додаток Порталу Дія (Дія), та відображення іншої інформації про особу, що може бути отримана з національних електронних інформаційних ресурсів, інших інформаційно-комунікаційних систем, єдиних інформаційних систем та систем електронного документообігу;".
2. У постанові Кабінету Міністрів України від 12 березня 2022 р. № 263 підпункт 3 пункту 1, пункт 2 та абзац другий пункту 4 виключити.