Тип: Наказ
№ 545
Дата: 04 вересня 2025 р.
Статус: Чинний
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
04.09.2025 № 545
Зареєстровано в Міністерстві
юстиції України
19 вересня 2025 року
за № 1361/44767
Про затвердження Порядку перевірки авторизаційної документації
{Із змінами, внесеними згідно з Наказом Адміністрації
Державної служби спеціального зв'язку та захисту інформації
№ 580 від 25.09.2025}
Відповідно до абзацу першого пункту 11 Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженого постановою Кабінету Міністрів України від 18 червня 2025 року № 712, пункту 10 Положення про Адміністрацію Державної служби спеціального зв'язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411,
НАКАЗУЮ:
1. Затвердити Порядок перевірки авторизаційної документації, що додається.
2. Департаменту захисту інформації Адміністрації Державної служби спеціального зв'язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу залишаю за собою.
Голова Служби
Олександр ПОТІЙ
ПОГОДЖЕНО:
Тимчасово виконуючий обов'язки
Головнокомандувача Збройних Сил України
бригадний генерал
Андрій ЛЕБЕДЕНКО
ЗАТВЕРДЖЕНО
Наказ Адміністрації
Державної служби
спеціального зв'язку
та захисту інформації України
04 вересня 2025 року № 545
{Гриф затвердження в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
Зареєстровано в Міністерстві
юстиції України
19 вересня 2025 року
за № 1361/44767
Порядок
перевірки авторизаційної документації
1. Цей Порядок визначає умови та організаційні засади проведення галузевим уповноваженим органом, Генеральним штабом Збройних Сил України (далі - уповноважені органи) за рішенням Адміністрації Держспецзв'язку перевірки авторизаційної документації щодо правильності або повноти обраних засобів і методів дотримання вимог цільового профілю, відповідності впроваджених заходів вимогам законодавства, національним стандартам, нормативним документам у сферах технічного та криптографічного захисту інформації, кіберзахисту щодо інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем (далі - система), які є локалізованими одномашинними однокористувачевими комплексами, а також механізм прийняття рішення Адміністрації Держспецзв'язку про визначення уповноваженого органу з перевірки авторизаційної документації.
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України «Про захист інформації в інформаційно-комунікаційних системах», «Про основні засади забезпечення кібербезпеки України», Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженому постановою Кабінету Міністрів України від 18 червня 2025 року № 712 (далі - Порядок авторизації).
3. Авторизаційну документацію складають такі документи:
авторизаційний лист;
цільовий профіль, на підставі якого (змін до якого) здійснюється авторизація з безпеки системи;
звіт з оцінювання дотримання вимог цільового профілю для цілей авторизації з безпеки системи або в частині впровадження змін, внесених до цільового профілю, або за відсутності таких змін до цільового профілю під час планової авторизації з безпеки системи - звіт з оцінювання дотримання вимог цільового профілю для цілей авторизації з безпеки системи з підтвердженням про відсутність змін до цільового профілю на підставі щорічної оцінки ризиків;
документ про оцінку відповідності комплексу технічного захисту інформації.
4. Перевірка авторизаційної документації проводиться при здійсненні первинної, планової та позапланової авторизації з безпеки системи з урахуванням вимог Порядку авторизації.
5. Рішення про визначення уповноваженого органу з перевірки авторизаційної документації приймається Адміністрацією Держспецзв'язку за наявності в уповноваженого органу дозволу Адміністрації Держспецзв'язку на проведення робіт з технічного захисту інформації для власних потреб у частині:
оцінювання захищеності інформації, що не становить державної таємниці (для перевірки авторизаційної документації систем, у яких обробляється відкрита інформація чи інформація з обмеженим доступом, крім інформації, що становить державну таємницю);
оцінювання захищеності інформації усіх видів, у тому числі інформації, що становить державну таємницю (для перевірки авторизаційної документації систем, у яких обробляється відкрита інформація чи інформація з обмеженим доступом).
6. Рішення про визначення уповноваженого органу з перевірки авторизаційної документації приймається Адміністрацією Держспецзв'язку у формі наказу за результатами розгляду повідомлення уповноваженого органу про готовність до проведення перевірки авторизаційної документації, яке подається до Адміністрації Держспецзв'язку за формою, наведеною у додатку 1 до цього Порядку.
{Абзац перший пункту 6 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
Рішення про визначення уповноваженого органу з перевірки авторизаційної документації приймається протягом 7 робочих днів з дня надходження повідомлення уповноваженого органу про готовність до проведення перевірки авторизаційної документації.
{Абзац другий пункту 6 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
7. Рішення про припинення уповноваженим органом діяльності з перевірки авторизаційної документації оформлюється наказом Адміністрації Держспецзв'язку на підставі:
{Абзац перший пункту 7 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
письмового звернення уповноваженого органу щодо припинення його діяльності з перевірки авторизаційної документації;
{Абзац другий пункту 7 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
призупинення дії дозволу Адміністрації Держспецзв'язку на проведення робіт з технічного захисту інформації для власних потреб (у разі часткового призупинення дії такого дозволу діяльність уповноваженого органу з перевірки авторизаційної документації припиняється в частині, в якій дозвіл призупинено).
{Абзац третій пункту 7 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
Наказ про припинення уповноваженим органом діяльності з перевірки авторизаційної документації видається Адміністрацією Держспецзв'язку протягом 7 робочих днів з дня отримання відомостей, зазначених у цьому пункті, та доводиться до відома уповноваженого органу протягом 2 робочих днів з дня його прийняття.
{Абзац четвертий пункту 7 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
8. Для проведення перевірки авторизаційної документації уповноважений орган розробляє та погоджує з Адміністрацією Держспецзв'язку організаційно-розпорядчий акт, яким визначаються умови перевірки авторизаційної документації систем, власники або розпорядники яких перебувають у сфері управління уповноваженого органу, зокрема:
суб'єкти перевірки авторизаційної документації;
{Абзац другий пункту 8 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
процедура подачі авторизаційної документації власниками або розпорядниками систем до уповноваженого органу;
{Абзац третій пункту 8 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
процедура проведення перевірки авторизаційної документації уповноваженим органом;
{Абзац четвертий пункту 8 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
процедура прийняття рішення уповноваженим органом про відповідність авторизаційної документації вимогам Порядку авторизації;
{Абзац п'ятий пункту 8 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
процедура надання до Адміністрації Держспецзв'язку інформації для включення систем до переліку авторизованих систем з безпеки та їх виключення з нього;
{Абзац шостий пункту 8 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
процедура інформування власників або розпорядників систем про включення систем до переліку авторизованих систем з безпеки та їх виключення з нього.
{Абзац сьомий пункту 8 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
9. Позитивне рішення уповноваженого органу за результатами перевірки авторизаційної документації є підставою для включення системи до переліку авторизованих систем з безпеки.
10. За результатами перевірки авторизаційної документації та на підставі прийняття позитивного рішення уповноважений орган надсилає до Адміністрації Держспецзв'язку відомість про результати перевірки авторизаційної документації, форма якої наведена у додатку 2 до цього Порядку (далі - відомість) для включення систем до переліку авторизованих систем з безпеки.
{Абзац перший пункту 10 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
Відомість подається в електронній формі з використанням системи електронної взаємодії органів виконавчої влади з накладенням електронного підпису, що базується на кваліфікованому сертифікаті електронного підпису відповідно до вимог законодавства у сферах електронної ідентифікації та електронних довірчих послуг.
У разі наявності у відомості інформації з обмеженим доступом її подання здійснюється з дотриманням встановлених законодавством вимог роботи з документами, які містять інформацію з обмеженим доступом.
{Абзац третій пункту 10 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
Додатково надсилається відомість в електронному вигляді у форматі Microsoft Exel з розширенням xlsx.
11. Адміністрація Держспецзв'язку протягом 10 робочих днів з дня отримання від уповноваженого органу відомості включає зазначені в ній системи до переліку авторизованих систем з безпеки, та повідомляє про це уповноважений орган шляхом надсилання йому протягом 10 робочих днів з дня включення повідомлення щодо включення систем до переліку авторизованих систем безпеки, форма якого наведена у додатку 3 до цього Порядку.
{Пункт 11 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
12. Виключення систем з переліку авторизованих систем з безпеки здійснюється протягом 5 робочих днів з дня скасування авторизації систем з безпеки, про що Адміністрація Держспецзв'язку протягом 5 робочих днів з дня виключення повідомляє листом уповноважений орган.
{Пункт 12 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
Директор Департаменту
захисту інформації
Адміністрації Держспецзв'язку
Андрій ГОЛОВЕНКО
Додаток 1
до Порядку перевірки
авторизаційної документації
(пункт 6)
Повідомлення
про готовність до проведення перевірки авторизаційної документації
{Додаток 1 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
Додаток 2
до Порядку перевірки
авторизаційної документації
(пункт 10)
Відомість
про результати перевірки авторизаційної документації
{Додаток 2 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}
Додаток 3
до Порядку перевірки
авторизаційної документації
(пункт 11)
Повідомлення
щодо включення систем до переліку авторизованих систем з безпеки
{Додаток 3 із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації № 580 від 25.09.2025}