КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 23 серпня 2016 р. N 563
Київ
Про затвердження Порядку формування
переліку інформаційно-телекомунікаційних
систем об’єктів критичної інфраструктури держави
Кабінет Міністрів України постановляє:
1. Затвердити Порядок формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави, що додається.
2. Міністерствам, іншим центральним органам виконавчої влади разом із Службою безпеки, іншим заінтересованим державним органам подати у тримісячний строк з дня набрання чинності цією постановою Адміністрації Державної служби спеціального зв’язку та захисту інформації пропозиції до переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави.
3. Адміністрації Державної служби спеціального зв’язку та захисту інформації сформувати у шестимісячний строк з дня набрання чинності цією постановою на підставі пропозицій, зазначених у пункті 2 цієї постанови, перелік інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави та подати його в установленому порядку Кабінетові Міністрів України.
Прем’єр-міністр України В. ГРОЙСМАН
Затверджено
постановою Кабінету Міністрів України
від 23 серпня 2016 р. N 563
Порядок
формування переліку інформаційно-телекомунікаційних
систем об’єктів критичної інфраструктури держави
1. Цей Порядок визначає механізм формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави.
2. Терміни, що вживаються у цьому Порядку, мають таке значення:
заінтересовані органи - державні органи, органи місцевого самоврядування, органи управління Збройних Сил, інших військових формувань, утворених відповідно до законів, правоохоронні органи, у власності чи розпорядженні яких є об’єкт критичної інфраструктури держави та/або до сфери управління яких належать (перебувають в управлінні) підприємства, установи та організації, що є власниками (розпорядниками) такого об’єкта;
кібератака - несанкціоновані дії, що здійснюються з використанням інформаційно-комунікаційних технологій та спрямовані на порушення конфіденційності, цілісності і доступності інформації, яка обробляється в інформаційно-телекомунікаційній системі, або порушення сталого функціонування такої системи;
контрольована зона - територія (простір), на якій (в якому) унеможливлено несанкціоноване і неконтрольоване перебування сторонніх осіб, розміщення технічних і транспортних засобів;
критична інфраструктура - сукупність об’єктів інфраструктури держави, які є найбільш важливими для економіки та промисловості, функціонування суспільства та безпеки населення і виведення з ладу або руйнування яких може мати вплив на національну безпеку і оборону, природне середовище, призвести до значних фінансових збитків та людських жертв;
об’єкти критичної інфраструктури - підприємства та установи (незалежно від форми власності) таких галузей, як енергетика, хімічна промисловість, транспорт, банки та фінанси, інформаційні технології та телекомунікації (електронні комунікації), продовольство, охорона здоров’я, комунальне господарство, що є стратегічно важливими для функціонування економіки і безпеки держави, суспільства та населення.
Інші терміни вживаються у значенні, наведеному в Законах України "Про основи національної безпеки", "Про оборону України", "Про інформацію", "Про телекомунікації", "Про захист інформації в інформаційно-телекомунікаційних системах".
3. Перелік інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави (далі - перелік) затверджується Кабінетом Міністрів України.
4. Включені до переліку інформаційно-телекомунікаційні системи об’єктів критичної інфраструктури є критичною інформаційною інфраструктурою держави, що захищається від кібератак у першу чергу (пріоритетно).
5. Захист інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави від кібератак забезпечується власником (розпорядником) таких систем відповідно до законодавства у сфері захисту інформації та кібербезпеки.
6. Формування переліку здійснюється Адміністрацією Держспецзв’язку на підставі отриманих від заінтересованих органів пропозицій, погоджених з СБУ.
Пропозиції до переліку подаються Адміністрації Держспецзв’язку заінтересованими органами у паперовому та електронному вигляді за формою згідно з додатком.
7. Пропозиції щодо внесення змін до затвердженого переліку можуть подаватися міністерствами, іншими центральними органами виконавчої влади, державними колегіальними органами та місцевими держадміністраціями шляхом подання в установленому порядку Кабінетові Міністрів України проекту відповідного акта за умови його обов’язкового погодження з Адміністрацією Держспецзв’язку та СБУ.
8. Заінтересовані органи формують пропозиції до переліку з урахуванням негативних наслідків, до яких може призвести кібератака на інформаційно-телекомунікаційну систему.
Негативними наслідками є:
виникнення надзвичайної ситуації техногенного характеру та/або негативний вплив на стан екологічної безпеки держави (регіону) (Н.1);
негативний вплив на стан енергетичної безпеки держави (регіону) (Н.2);
негативний вплив на стан економічної безпеки держави (Н.3);
негативний вплив на стан обороноздатності, забезпечення національної безпеки та правопорядку у державі (Н.4);
негативний вплив на систему управління державою (Н.5);
негативний вплив на суспільно-політичну ситуацію в державі (Н.6);
негативний вплив на імідж держави (Н.7);
порушення сталого функціонування фінансової системи держави (Н.8);
порушення сталого функціонування транспортної інфраструктури держави (регіону) (Н.9);
порушення сталого функціонування інформаційної та/або телекомунікаційної інфраструктури держави (регіону), в тому числі її взаємодії з відповідними інфраструктурами інших держав (Н.10).
9. До переліку не включаються інформаційно-телекомунікаційні системи, що не мають виходу каналами електрозв’язку за межі контрольованої зони.
10. Заінтересований орган здійснює заходи щодо актуалізації переліку в разі:
створення, модернізації або припинення функціонування інформаційно-телекомунікаційної системи об’єкта критичної інфраструктури держави;
зміни негативних наслідків, зазначених у пункті 8 цього Порядку.
11. Інформація, що міститься у переліку, є інформацією з обмеженим доступом.
Додаток
до Порядку
Пропозиції
до переліку інформаційно-телекомунікаційних систем
об’єктів критичної інфраструктури держави
Пропозиції до переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Постанови".