Про затвердження Порядку здійснення моніторингу авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем

АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ

19.12.2025 № 847

Зареєстровано в Міністерстві

юстиції України

05 січня 2026 року

за № 8/45402

Про затвердження Порядку здійснення моніторингу авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем

{Із змінами, внесеними згідно з Наказом Адміністрації Державної служби

спеціального зв'язку та захисту інформації

№ 17 від 08.01.2026}

Відповідно до пункту 10 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, пункту 14 Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженого постановою Кабінету Міністрів України від 18 червня 2025 року № 712,

НАКАЗУЮ:

1. Затвердити Порядок здійснення моніторингу авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, що додається.

2. Департаменту захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

Голова Служби

Олександр ПОТІЙ

ЗАТВЕРДЖЕНО

Наказ Адміністрації

Державної служби

спеціального зв'язку

та захисту інформації України

19 грудня 2025 року № 847

Зареєстровано в Міністерстві

юстиції України

05 січня 2026 року

за № 8/45402

Порядок

здійснення моніторингу авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем

1. Цей Порядок визначає процедуру здійснення моніторингу авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об'єктів критичної інформаційної інфраструктури (далі - системи), включених до переліку авторизованих систем з безпеки.

2. Моніторинг авторизації з безпеки систем (далі - Моніторинг) здійснюється Адміністрацією Держспецзв'язку та її територіальними органами. Територіальні органи Адміністрації Держспецзв'язку здійснюють Моніторинг за місцезнаходженням системи у межах адміністративно-територіальних одиниць, на які поширюються їх повноваження за погодженням з Адміністрацією Держспецзв'язку.

3. Моніторинг здійснюється з метою оцінки ефективності реалізації державної політики у сфері захисту інформації під час авторизації з безпеки систем, що проводиться відповідно до постанови Кабінету Міністрів України від 18 червня 2025 року № 712 «Деякі питання захисту інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем», та для здійснення методичного керівництва авторизації з безпеки систем.

4. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України «Про Державну службу спеціального зв'язку та захисту інформації України», «Про захист інформації в інформаційно-комунікаційних системах», «Про основні засади забезпечення кібербезпеки України», Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженому постановою Кабінету Міністрів України від 18 червня 2025 року № 712.

{Пункт 4 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 17 від 08.01.2026}

5. Об'єктами Моніторингу є авторизовані з безпеки системи відповідно до Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженого постановою Кабінету Міністрів України від 18 червня 2025 року № 712.

{Пункт 5 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 17 від 08.01.2026}

6. Моніторинг передбачає виконання заходів, спрямованих на проведення аналізу етапів створення та оцінювання дотримання вимог цільового профілю безпеки системи, зокрема:

аналіз розробки цільового профілю безпеки відповідно до базового або галузевого профілю безпеки;

аналіз звіту з оцінювання дотримання вимог цільового профілю для авторизації з безпеки системи.

7. Заходи з аналізу розробки цільового профілю безпеки системи відповідно до базового або галузевого профілю безпеки системи передбачають аналіз цільового профілю безпеки системи щодо:

його відповідності для системи з урахуванням інформації, що обробляється у системі (відкрита інформація чи інформація з обмеженим доступом), або функціонального призначення системи;

підтвердження наявності у цільовому профілі безпеки системи необхідних заходів захисту та налаштувань базового або галузевого профілю безпеки системи;

врахування у цільовому профілі безпеки системи сукупності заходів із захисту інформації та їх налаштувань, вимог законодавства та стандартів у сферах кіберзахисту та захисту інформації в системі, нормативних документів системи технічного захисту інформації, галузевих вимог, політик безпеки в системі, а також призначення системи, її характеристик та особливостей функціонування, результатів проведеної оцінки ризиків.

8. Аналіз звіту з оцінювання дотримання вимог цільового профілю безпеки системи передбачає розгляд результатів досліджень системи на предмет повноти, об'єктивності, достатності та характеристик, необхідних для визначення правильності та коректності обґрунтування висновків оцінювання дотримання вимог цільового профілю безпеки системи.

9. Моніторинг систем здійснюється Адміністрацією Держспецзв'язку або її територіальним органом не раніше ніж через тридцять календарних днів з дня включення системи до переліку авторизованих систем з безпеки.

10. Про здійснення Моніторингу Адміністрація Держспецзв'язку або її територіальний орган листом повідомляють власника або розпорядника системи.

11. Власник або розпорядник системи протягом п'яти робочих днів з дати отримання листа про здійснення Моніторингу надсилає до Адміністрації Держспецзв'язку або її територіального органу копію цільового профілю безпеки системи та звіт з оцінювання дотримання вимог цільового профілю безпеки системи (далі - документи для моніторингу).

12. Адміністрація Держспецзв'язку або її територіальний орган протягом тридцяти календарних днів з дня отримання документів для моніторингу здійснюють їх аналіз.

Під час здійснення Моніторингу з метою уточнення налаштувань цільового профілю безпеки системи Адміністрацією Держспецзв'язку або її територіальним органом не пізніше п'яти робочих днів з дати отримання документів для аналізу може бути визначена обґрунтована необхідність надання власником або розпорядником системи додаткових документів, матеріалів з урахуванням особливостей системи захисту інформації в системі, зокрема галузевих вимог, політики безпеки, призначення, характеристик та особливостей її функціонування.

Власник або розпорядник системи протягом п'яти робочих днів з дня отримання листа надсилає до Адміністрації Держспецзв'язку або її територіального органу додаткову інформацію, що запитується.

У разі неможливості подати додаткову інформацію, що запитується у визначений строк, власник або розпорядник має право звернутися до Адміністрації Держспецзв'язку або її територіального органу з обґрунтованим запитом на подовження строку.

У цьому випадку датою початку проведення аналізу наданих документів є дата отримання Адміністрацією Держспецзв'язку або її територіальним органом інформації, що запитується.

13. Документи для моніторингу та додаткова інформація подаються власником або розпорядником системи до Адміністрації Держспецзв'язку або її територіального органу в електронній формі з використанням системи електронної взаємодії органів виконавчої влади з накладенням електронного підпису, що базується на кваліфікованому сертифікаті електронного підпису відповідно до вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг, а у разі наявності в них інформації з обмеженим доступом подання таких документів здійснюється в письмовій формі з дотриманням встановлених правил роботи з документами, які містять інформацію з обмеженим доступом.

14. За результатами моніторингу Адміністрацією Держспецзв'язку або її територіальним органом готується звіт, який надсилається власнику або розпоряднику системи. Копія звіту, підготовленого територіальним органом Адміністрації Держспецзв'язку, одночасно надсилається для узагальнення до Адміністрації Держспецзв'язку.

15. У звіті за результатами моніторингу зазначаються висновки щодо відповідності цільового профілю безпеки системи вимогам базового або галузевого профілю безпеки системи та рекомендації щодо необхідності проведення заходів з доопрацювання системи захисту інформації в разі потреби. Звіт може містити таблиці, діаграми, графіки та інші форми узагальнення інформації.

Директор Департаменту захисту інформації

Адміністрації Держспецзв'язку

Андрій ГОЛОВЕНКО