Про реалізацію експериментального проекту щодо запровадження комплексу організаційно-технічних заходів з виявлення вразливостей і недоліків у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси
Кабінет Міністрів України постановляє:
1. Погодитися з пропозицією Міністерства цифрової трансформації та Адміністрації Державної служби спеціального зв’язку та захисту інформації стосовно реалізації експериментального проекту щодо запровадження комплексу організаційно-технічних заходів з виявлення вразливостей і недоліків у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси, протягом 2021 і 2022 років (далі - експериментальний проект).
2. Затвердити Порядок проведення експериментального проекту щодо запровадження комплексу організаційно-технічних заходів з виявлення вразливостей і недоліків у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси, що додається.
3. Установити, що відповідальним виконавцем за реалізацію експериментального проекту є Державний центр кіберзахисту Державної служби спеціального зв’язку та захисту інформації.
4. Адміністрації Державної служби спеціального зв’язку та захисту інформації подати Кабінету Міністрів України:
до 31 липня 2022 р. - звіт про реалізацію експериментального проекту;
пропозиції щодо внесення змін до актів законодавства за результатами реалізації експериментального проекту.
ПОРЯДОК
проведення експериментального проекту щодо запровадження комплексу організаційно-технічних заходів з виявлення вразливостей і недоліків у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси
1. Цей Порядок визначає механізм проведення експериментального проекту щодо запровадження комплексу організаційно-технічних заходів з виявлення вразливостей і недоліків у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси (далі - комплекс заходів).
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України “Про захист інформації в інформаційно-телекомунікаційних системах”, “Про телекомунікації”, “Про Державну службу спеціального зв’язку та захисту інформації України”, “Про основні засади забезпечення кібербезпеки України”.
3. Запровадження комплексу заходів передбачає:
здійснення автоматизованого дистанційного сканування без письмового звернення розпорядника державного інформаційного ресурсу, розміщеного в Інтернеті, на предмет вразливості таких державних інформаційних ресурсів відповідно до Порядку сканування на предмет вразливості державних інформаційних ресурсів, розміщених в Інтернеті, затвердженого наказом Адміністрації Держспецзв’язку від 15 січня 2016 р. № 20;
оцінку стану захищеності державних інформаційних ресурсів в інформаційно-телекомунікаційних системах відповідно до Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затвердженого наказом Адміністрації Держспецзв’язку від 2 грудня 2014 р. № 660.
4. За результатами запровадження комплексу заходів Державний центр кіберзахисту Державної служби спеціального зв’язку та захисту інформації повідомляє:
СБУ - про об’єкт, строки та методи здійснення автоматизованого дистанційного сканування;
розпорядникам державних інформаційних ресурсів, розміщених в Інтернеті, - про виявлені вразливості і недоліки у налаштуванні інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси, із наданням відповідних рекомендацій щодо їх усунення;
щотижня Національному координаційному центру кібербезпеки Ради національної безпеки і оборони України про виявлені в ході реалізації експериментального проекту вразливості і недоліки функціонування інформаційно-телекомунікаційних систем, в яких обробляються державні інформаційні ресурси.
5. Комплекс заходів не застосовується до інформаційних ресурсів розвідувальних органів, Національного банку та банків України.