# Про затвердження Порядку акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом

**Тип:** Адміністрація Держспецзв’язку
**Видавник:** Адміністрація Державної служби спеціального зв'язку та захисту інформації України
**Номер:** z1880-24
**Прийнято:** 2024-11-13
**Чинна редакція від:** 2026-01-02
**Стан:** in_force
**Rada ID:** `z1880-24`

---

> АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
> 
> НАКАЗ
> 
> 13.11.2024  № 655
> 
> Зареєстровано в Міністерстві
> 
> юстиції України
> 
> 09 грудня 2024 року
> 
> за № 1880/43225
> 
> Про затвердження Порядку акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом
> 
> > _Із змінами, внесеними згідно з Наказом Адміністрації Державної служби
> 
> спеціального зв'язку та захисту інформації
> 
> [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> Відповідно до [статті 7](rada:950_035-16) Адміністративних домовленостей щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного Договору, ратифікованих Законом України від 24 травня 2017 року [№ 2068-VIII](rada:2068-19), [підпунктів 95](rada:411-2014-%D0%BF)[-9](rada:411-2014-%D0%BF), [95](rada:411-2014-%D0%BF)[-10](rada:411-2014-%D0%BF) пункту 4, [пункту 10](rada:411-2014-%D0%BF) Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та з метою забезпечення акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом, НАКАЗУЮ:
> 
> **1.** Затвердити Порядок акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом, що додається.
> 
> **2.** Директору Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.
> 
> **3.** Цей наказ набирає чинності з дня його офіційного опублікування.
> 
> **4.** Контроль за виконанням цього наказу залишаю за собою.
> 
> Голова Служби
> 
> Юрій МИРОНЕНКО
> 
> ПОГОДЖЕНО:
> 
> 
> Т. в. о. Міністра  закордонних справ України
> 
> 
> Перший заступник
> 
> Міністра цифрової трансформації України
> 
> 
> Міністр оборони України
> 
> 
> Заступник Голови Служби безпеки України
> 
> Євген ПЕРЕБИЙНІС
> 
> 
> 
> Олексій ВИСКУБ
> 
> 
> Рустем УМЄРОВ
> 
> 
> Сергій НАУМЮК
> 
> ЗАТВЕРДЖЕНО
> 
> Наказ Адміністрації
> 
> Державної служби
> 
> спеціального зв’язку
> 
> та захисту інформації України
> 
> 13 листопада 2024 року № 655
> 
> Зареєстровано в Міністерстві
> 
> юстиції України
> 
> 09 грудня 2024 року
> 
> за № 1880/43225
> 
> Порядок 
> 
> акредитації з безпеки комунікаційно-інформаційних систем (інформаційно-комунікаційних систем), де обробляється інформація НАТО з обмеженим доступом
> 
> I. Загальні положення
> 
> **1.** Цей Порядок визначає процедуру акредитації з безпеки комунікаційно-інформаційних систем, інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, де обробляється інформація НАТО з обмеженим доступом, що доступна (поширюється) для України та використовується органами державної влади, підприємствами, установами і організаціями України (далі — УКР-НАТО ІКС).
> 
> > _Пункт 1 розділу I в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **2.** Акредитація з безпеки УКР-НАТО ІКС проводиться з метою перевірки, аналізу, оцінки та підтвердження належного рівня впроваджених заходів безпеки УКР-НАТО ІКС щодо їх відповідності вимогам нормативно-правових актів України та НАТО з питань охорони та захисту інформації.
> 
> Основним елементом акредитації з безпеки УКР-НАТО ІКС є визначення прийнятного рівня залишкового ризику, який необхідно контролювати протягом усього життєвого циклу УКР-НАТО ІКС.
> 
> **3.** У цьому Порядку терміни вживаються в такому значенні:
> 
> акредитація з безпеки УКР-НАТО ІКС — процес підтвердження відповідності вимогам щодо забезпечення достатнього рівня захисту УКР-НАТО ІКС з урахуванням умов конфіденційності, цілісності, доступності, безвідмовності та ідентифікації, встановленим нормативно-правовими актами з питань охорони та захисту інформації;
> 
> власник УКР-НАТО ІКС — органи державної влади, підприємства, установи і організації, яким належить право власності на систему;
> 
> життєвий цикл УКР-НАТО ІКС — сукупність стадій та етапів, які проходить комунікаційно-інформаційна система (інформаційно-комунікаційна система) в своєму розвитку від дати прийняття рішення про початок її створення до дати виведення з експлуатації/утилізації обладнання;
> 
> національний Безпековий акредитаційний орган (далі — національний БАО) — державний орган, відповідальний за організацію акредитації з безпеки УКР-НАТО ІКС. Функції національного БАО відповідно до [Адміністративних домовленостей щодо охорони інформації з обмеженим доступом між Урядом України та Організацією Північноатлантичного Договору](rada:950_035-16), ратифікованих Законом України від 24 травня 2017 року [№ 2068-VIII](rada:2068-19) (далі — Адміністративні домовленості), виконує Державна служба спеціального зв’язку та захисту інформації України;
> 
> орган безпеки — державний орган, відповідальний за імплементацію заходів з охорони інформації НАТО з обмеженим доступом, забезпечення впровадження мінімальних стандартів охорони та поводження з інформацією з обмеженим доступом, обмін якою здійснюється між Україною та НАТО, нагляд і контроль за їх дотриманням;
> 
> розпорядник УКР-НАТО ІКС — юридична особа, що на підставі укладеного договору або за дорученням власника УКР-НАТО ІКС розпоряджається системою;
> 
> > _Пункт 3 розділу I доповнено абзацом сьомим згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> свідоцтво про акредитацію з безпеки УКР-НАТО ІКС — документально оформлений результат процесу, який підтверджує відповідність УКР-НАТО ІКС вимогам нормативно-правових актів з питань охорони та захисту інформації.
> 
> Інші терміни у цьому Порядку вживаються у значенні, наведеному в [Адміністративних домовленостях](rada:950_035-16), Законах України [«Про Державну службу спеціального зв’язку та захисту інформації України»](rada:3475-15), [«Про захист інформації в інформаційно-комунікаційних системах»](rada:80/94-%D0%B2%D1%80), [«Про державну таємницю»](rada:3855-12), [Положенні про технічний захист інформації в Україні](rada:1229/99), затвердженому Указом Президента України від 27 вересня 1999 року № 1229, [Правилах забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах](rada:373-2006-%D0%BF), затверджених постановою Кабінету Міністрів України від 29 березня 2006 року № 373, Порядку організації та забезпечення режиму секретності в державних органах, органах місцевого самоврядування, на підприємствах, в установах і організаціях, затвердженому постановою Кабінету Міністрів України від 18 грудня 2013 року № 939 (далі — Порядок 939), [Типовій інструкції про порядок ведення обліку, зберігання, використання і знищення документів та інших матеріальних носіїв інформації, що містять службову інформацію](rada:736-2016-%D0%BF), затвердженій постановою Кабінету Міністрів України від 19 жовтня 2016 року № 736, Правилах забезпечення охорони інформації НАТО з обмеженим доступом в Україні, затверджених наказом Служби безпеки України, Міністерства закордонних справ України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 16 червня 2023 року № 224/ДСК/55/ДСК/157/ДСК, зареєстрованих в Міністерстві юстиції України 03 липня 2023 року за № 1129/40185 (далі — Правила), Інструкції з організації та забезпечення безпеки криптографічного захисту службової інформації, затвердженій наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 24 червня 2019 року № 102/ДСК, зареєстрованій в Міністерстві юстиції України 28 серпня 2019 року за № 993/33964.
> 
> **4.** Відповідно до [пункту 1](rada:950_035-16) статті 3 Адміністративних домовленостей грифи обмеження доступу України та НАТО співвідносяться таким чином:
> 
> В Україні
> 
> У НАТО
> 
> Цілком таємно (далі — ЦТ)
> 
> NATO SECRET (далі — NS)
> 
> Таємно (далі — Т)
> 
> NATO CONFIDENTIAL (далі — NC)
> 
> Для службового користування (далі — ДСК)
> 
> NATO RESTRICTED (далі — NR)
> 
> **5.** Об’єктом акредитації з безпеки є УКР-НАТО ІКС.
> 
> **6.** Суб’єктами акредитації з безпеки УКР-НАТО ІКС є:
> 
> національний БАО;
> 
> орган безпеки;
> 
> власник або розпорядник УКР-НАТО ІКС.
> 
> > _Пункт 6 розділу I із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> II. Особливості захисту інформації НАТО в УКР-НАТО ІКС
> 
> **1.** Загальні аспекти
> 
> **1.** УКР-НАТО ІКС підлягають обов’язковій акредитації з безпеки. Акредитація з безпеки УКР-НАТО ІКС здійснюється з метою встановлення достатнього рівня захисту УКР-НАТО ІКС та інформації НАТО, яка обробляється в УКР-НАТО ІКС, а також підтримки цього рівня з урахуванням умов конфіденційності, цілісності, доступності, безвідмовності та ідентифікації.
> 
> Для досягнення цих цілей має застосовуватися збалансований набір заходів безпеки (фізичної, персоналу, інформації, УКР-НАТО ІКС), а саме:
> 
> забезпечення конфіденційності, цілісності та доступності інформації шляхом контролю доступу до інформації НАТО з обмеженим доступом, яка обробляється в УКР-НАТО ІКС, підтримки системних сервісів і ресурсів;
> 
> забезпечення надійної ідентифікації та автентифікації осіб, пристроїв і сервісів, які мають доступ до УКР-НАТО ІКС, підтвердження ідентифікації та автентифікації користувачів УКР-НАТО ІКС;
> 
> неухильне дотримання користувачами інструкцій, правил роботи в УКР-НАТО ІКС.
> 
> **2.** Вимоги з безпеки в УКР-НАТО ІКС визначаються нормативно-правовими актами України, зокрема цим Порядком та імплементованими нормативними документами НАТО в сфері охорони та захисту інформації відповідно до вищого ступеня обмеження доступу до інформації, яка буде оброблятися в УКР-НАТО ІКС, умов і особливостей функціонування конкретної УКР-НАТО ІКС.
> 
> **3.** Акредитація з безпеки УКР-НАТО ІКС з грифами обмеження доступу ДСК/NR, які мають мережеві з’єднання, Т/NC, ЦТ/NS здійснюється відповідно до вимог цього Порядку з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.
> 
> Акредитація з безпеки УКР-НАТО ІКС з грифом обмеження доступу ДСК/NR, які не мають мережевих з’єднань, здійснюється відповідно до національних процедур, які визначаються [Законом України](rada:80/94-%D0%B2%D1%80) «Про захист інформації в інформаційно-комунікаційних системах», постановою Кабінету Міністрів України від 18 червня 2025 року [№ 712](rada:712-2025-%D0%BF) «Деякі питання захисту інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем» та з урахуванням вимог нормативного документа НАТО AC/322-D/0048-REV3 (INV). Technical and Implementation Directive on CIS Security.
> 
> > _Абзац другий пункту 3 глави 1 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **4.** Забезпечення захисту інформації в УКР-НАТО ІКС має здійснюватися протягом усього життєвого циклу УКР-НАТО ІКС у всіх режимах її функціонування та на всіх технологічних етапах обробки інформації.
> 
> **5.** Власник або розпорядник УКР-НАТО ІКС зобов’язаний негайно інформувати національний БАО та орган безпеки про будь-які події, що можуть вплинути на безпеку УКР-НАТО ІКС.
> 
> **6.** Національний БАО надає консультативну та методичну допомогу власникам або розпорядникам УКР-НАТО ІКС, проводить перевірку впроваджених заходів безпеки в УКР-НАТО ІКС щодо їх відповідності вимогам законодавства та надає рекомендації стосовно коригувальних заходів.
> 
> **2.** Підрозділ з кіберзахисту або призначені особи, на яких покладається забезпечення захисту інформації НАТО з обмеженим доступом та контролю за цим в УКР-НАТО ІКС
> 
> > _Заголовок глави 2 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **1.** Власник або розпорядник УКР-НАТО ІКС утворює підрозділ з кіберзахисту або призначає осіб, відповідальних за забезпечення охорони та захисту інформації НАТО з обмеженим доступом в УКР-НАТО ІКС (далі — ПК/ПО УКР-НАТО ІКС), на яких покладається завдання з організації, координації та виконання робіт з побудови УКР-НАТО ІКС та забезпечення в межах компетенції охорони та захисту інформації НАТО з обмеженим доступом, адміністрування і контролю.
> 
> > _Пункт 1 глави 2 розділу II в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **2.** Функції ПК/ПО УКР-НАТО ІКС:
> 
> розробка та погодження організаційно-технічних рішень на створення УКР-НАТО ІКС;
> 
> визначення необхідної (обґрунтованої) кількості користувачів УКР-НАТО ІКС та їх прав доступу до УКР-НАТО ІКС;
> 
> розробка та погодження з національним БАО документів з безпеки УКР-НАТО ІКС в обсязі, визначеному пунктом 1 глави 2 розділу III цього Порядку;
> 
> проведення в межах компетенції інструктажів і навчань користувачів УКР-НАТО ІКС з питань охорони та захисту інформації в УКР-НАТО ІКС;
> 
> оформлення, збереження та ведення технічної та експлуатаційної документації на УКР-НАТО ІКС;
> 
> проведення періодичної перевірки середовища безпеки УКР-НАТО ІКС, технічних засобів, облікових записів користувачів УКР-НАТО ІКС;
> 
> проведення заходів спільно з підрозділом реєстрації документів НАТО щодо з’ясування та усунення обставин, що призвели до порушень безпеки в УКР-НАТО ІКС, інформування про це національного БАО, а також за фактами виявлених порушень проведення службових розслідувань, службової перевірки, розслідування інциденту інформаційної безпеки тощо (далі — службові розслідування) в порядку, встановленому законодавством;
> 
> забезпечення експлуатації, функціонування, налаштування апаратних, програмних, програмно-апаратних засобів захисту інформації УКР-НАТО ІКС та здійснення поточного контролю за ними;
> 
> проведення заходів щодо виведення УКР-НАТО ІКС з експлуатації.
> 
> > _Пункт 2 глави 2 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **3.** ПК/ПО УКР-НАТО ІКС спільно з підрозділом реєстрації документів НАТО здійснює оцінку ризиків безпеки УКР-НАТО ІКС, керуючись військовим стандартом «ВСТ 01.008.002–2021 (01). «Захист інформації з обмеженим доступом. Управління ризиками з безпеки комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1017-REV3, Guidelines for Security Risk Management (SRM) оf Communication and Information Systems (CIS), IDT)».
> 
> > _Пункт 3 глави 2 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **4.** Результати оцінки ризиків безпеки оформлюються в окремий документ (Оцінка ризиків безпеки УКР-НАТО ІКС), який затверджується власником або розпорядником УКР-НАТО ІКС та зберігається у нього.
> 
> ПК/ПО УКР-НАТО ІКС протягом життєвого циклу УКР-НАТО ІКС здійснює періодичну оцінку ризиків безпеки з метою актуалізації процесів управління активами та протидії загрозам.
> 
> > _Пункт 4 глави 2 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **5.** ПК/ПО УКР-НАТО ІКС повинна забезпечити виконання заходів безпеки для охорони та захисту інформації в УКР-НАТО ІКС відповідно до вимог національних нормативно-правових актів з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.
> 
> Заходи з безпеки повинні виконуватися протягом усього життєвого циклу УКР-НАТО ІКС.
> 
> Заходи з безпеки УКР-НАТО ІКС мають постійно оновлюватися та доповнюватися актуальними вимогами із забезпечення охорони та захисту інформації НАТО з обмеженим доступом.
> 
> > _Пункт 5 глави 2 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **3.** Користувачі УКР-НАТО ІКС
> 
> **1.** Користувачі, яким надається доступ до інформації, що обробляється в УКР-НАТО ІКС і має гриф обмеження доступу Т/NC і вище, а також особи, які не мають безпосередньо доступу до інформації, яка обробляється в УКР-НАТО ІКС, але мають доступ до підтримуючих системних сервісів і ресурсів, повинні мати відповідну форму допуску до державної таємниці та сертифікат особового допуску НАТО.
> 
> > _Пункт 1 глави 3 розділу II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **2.** Користувачі УКР-НАТО ІКС зобов’язані дотримуватися вимог щодо забезпечення режиму обмеження доступу під час роботи в УКР-НАТО ІКС та обробки інформації НАТО з обмеженим доступом.
> 
> **4.** Вимоги щодо фізичного середовища УКР-НАТО ІКС
> 
> **1.** Власник або розпорядник УКР-НАТО ІКС визначає приміщення/зони, в яких буде розташована УКР-НАТО ІКС, з урахуванням вимог Порядку 939, Правил та з дотриманням вимог нормативного документа НАТО AC/35-D/2001-REV3. Directive on Physical Security.
> 
> **2.** При визначенні рівня (оцінки ризику безпеки) фізичної безпеки приміщення/зони, в якому(-ій) має бути реалізовано фізичний захист інформації, необхідно враховувати основні критерії оцінки відповідно до вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив, а саме:
> 
> категорію та ступінь обмеження доступу до інформації;
> 
> кількість (Мб, томи, аркуші, вироби) та вид (електронний, паперовий, окремі вироби тощо) інформації з обмеженим доступом, яка зберігається та/або обробляється в приміщенні/зоні та УКР-НАТО ІКС;
> 
> контроль за доступом до приміщень/зон з визначенням переліку осіб, які мають право доступу до цих приміщень/зон;
> 
> загрози від ворожих спецслужб, а також внутрішні загрози (тероризм, шпигунство, диверсії, саботаж, організована злочинність).
> 
> **3.** Заходи з фізичної безпеки розробляються з метою:
> 
> своєчасного виявлення та стримування внутрішніх загроз, а також запобігання виникненню цих загроз;
> 
> контролю та обмеження кола осіб, яким надається доступ до приміщень/зон відповідно до їх посадових обов’язків, форми допуску до державної таємниці та рівня сертифікатів особового допуску НАТО;
> 
> запобігання, виявлення загроз безпеки та негайного вжиття заходів, спрямованих на їх усунення.
> 
> **5.** Криптографічний захист інформації НАТО з обмеженим доступом в УКР-НАТО ІКС
> 
> **1.** Для передачі інформації НАТО з обмеженим доступом в УКР-НАТО ІКС за межі приміщення (зони) необхідно здійснювати криптографічний захист інформації за допомогою криптографічного обладнання.
> 
> **2.** Порядок застосування криптографічного обладнання та матеріалів для захисту інформації НАТО з обмеженим доступом визначено в розділі 11 «Криптографічна безпека» додатка «F» політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO)
> 
> **3.** Для передачі інформації НАТО з грифом обмеження доступу ЦТ/NS в УКР-НАТО ІКС використовується сертифіковане криптографічне обладнання відповідно до переліку, затвердженого Військовим комітетом НАТО.
> 
> **4.** Для передачі інформації НАТО з грифом обмеження доступу Т/NC або ДСК/NR в УКР-НАТО ІКС використовується сертифіковане криптографічне обладнання відповідно до переліку, затвердженого Військовим комітетом НАТО або державою — членом НАТО.
> 
> **5.** Вибір сертифікованого криптографічного обладнання здійснює власник або розпорядник УКР-НАТО ІКС за погодженням з національним БАО.
> 
> **6.** Вибір і погодження використання криптографічного обладнання здійснюються відповідно до процедур, визначених нормативним документом НАТО MCM-0008-2020 Process for Non-NATO Nations and International Organizations for the Provision and Procurement of NATO-Approved Cryptographic Systems.
> 
> **7.** Отримання, контроль, видача, експлуатація та виведення з експлуатації криптографічних матеріалів та засобів криптографічного захисту інформації (криптографічне обладнання) НАТО (апаратних/програмних засобів і ключів до них) здійснюються органом спеціального зв’язку/службою криптографічного захисту інформації власника  або розпорядника УКР-НАТО ІКС через Головний центр реєстрації документів НАТО з обмеженим доступом Міністерства закордонних справ України (далі — Головний центр) та підрозділи реєстрації документів НАТО.
> 
> Проведення таких процедур відбувається під контролем національного БАО та органу безпеки відповідно до вимог національних нормативно-правових актів з урахуванням нормативних документів НАТО з питань охорони та захисту інформації.
> 
> > _Розділ II із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> III. Порядок проведення акредитації з безпеки УКР-НАТО ІКС
> 
> Акредитація з безпеки УКР-НАТО ІКС є безперервним і цілісним процесом, що складається з таких послідовних взаємопов’язаних етапів:
> 
> початковий етап акредитації з безпеки УКР-НАТО ІКС;
> 
> погодження документів з безпеки УКР-НАТО ІКС;
> 
> перевірка середовища безпеки УКР-НАТО ІКС;
> 
> тестування безпеки УКР-НАТО ІКС;
> 
> прийняття рішення про акредитацію з безпеки УКР-НАТО ІКС.
> 
> **1.** Початковий етап акредитації з безпеки УКР-НАТО ІКС
> 
> **1.** Власник або розпорядник УКР-НАТО ІКС (ПК/ПО УКР-НАТО ІКС спільно з підрозділом реєстрації документів НАТО) формує заявку на проведення акредитації з безпеки УКР-НАТО ІКС (далі — Заявка), яка надсилається до національного БАО для розгляду.
> 
> Примірник Заявки також надсилається до органу безпеки.
> 
> > _Пункт 1 глави 1 розділу III із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **2.** Заявка повинна містити інформацію про УКР-НАТО ІКС та умови і особливості її функціонування:
> 
>    - **1)** назву УКР-НАТО IKC;
> 
>    - **2)** повне найменування власника або розпорядника УКР-НАТО ІКС, місцезнаходження, код згідно з ЄДРПОУ, контактний телефон відповідальної особи та адресу електронної пошти;
> 
>    - **3)** найвищий гриф обмеження доступу до інформації, яка буде зберігатися, оброблятися та передаватися в УКР-НАТО ІКС;
> 
>    - **4)** детальний опис вимог щодо обміну інформацією в УКР-НАТО ІКС:
> 
> кількість робочих місць;
> 
> тип інформації;
> 
> своєчасність (у реальному часі, майже в реальному часі, не в реальному часі);
> 
> об’єм інформації та частота її обміну (наприклад: текстові повідомлення, не в реальному часі, до 100 Мб, двічі на тиждень);
> 
> перелік органів і структурних підрозділів НАТО, з якими планується обмін інформацією НАТО з обмеженим доступом, а також тематика, за якою буде здійснюватися такий обмін (кіберзахист, навчання, операції тощо). Якщо обмін інформацією з органами та структурними підрозділами НАТО не планується, про це необхідно зазначити;
> 
> необхідні режими обміну інформацією НАТО (електронна пошта, голосовий зв’язок, відеоконференцзв’язок);
> 
>    - **5)** місцезнаходження приміщень/зон, де буде розташована УКР-НАТО ІКС;
> 
>    - **6)** наявність спеціального дозволу на провадження діяльності, пов’язаної з державною таємницею (категорія режиму секретності, номер, термін дії) (для ІКС, які призначені для обробки інформації з грифом T/NC та/або ЦТ/NS);
> 
>    - **7)** наявність відповідної форми допуску до державної таємниці України та сертифікатів особового допуску НАТО в осіб, які виконують роботи з УКР-НАТО ІКС.
> 
> **3.** Для УКР-НАТО ІКС з грифами обмеження доступу ДСК/NR, які мають мережеві з’єднання, Т/NC, ЦТ/NS, до Заявки додаються Оцінка ризиків безпеки УКР-НАТО ІКС відповідно до вимог військового стандарту ВСТ 01.008.002–2021 (01). «Захист інформації з обмеженим доступом. Управління ризиками з безпеки комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1017-REV3, Guidelines for Security Risk Management (SRM) оf Communication and Information Systems (CIS), IDT)» та Опис УКР-НАТО ІКС (склад робочих місць, схема організації зв’язку, особливості УКР-НАТО ІКС).
> 
> **4.** Для УКР-НАТО ІКС з грифом обмеження доступу ДСК/NR, які не мають мережевих з’єднань, до Заявки додається Декларація про відповідність комплексної системи захисту інформації вимогам нормативних документів з технічного захисту інформації або Атестат відповідності комплексної системи захисту інформації, або документ, що підтверджує дотримання вимог з безпеки в таких ІКС, відповідно до вимог [статті 8](rada:80/94-%D0%B2%D1%80) Закону України «Про захист інформації в інформаційно-комунікаційних системах».
> 
> > _Абзац перший пункту 4 глави 1 розділу III в редакції Наказу Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25) з урахуванням змін, внесених Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 822 від 11.12.2025](rada:z1882-25)_
> 
> Для акредитації таких систем проводиться перевірка виконання вимог нормативного документа НАТО AC/322-D/0048-REV3 (INV). Technical and Implementation Directive on CIS Security та за результатами перевірки приймається рішення про акредитацію з безпеки.
> 
> **5.** Протягом десяти робочих днів після отримання Заявки від власника або розпорядника УКР-НАТО ІКС національний БАО розглядає її та за результатами розгляду повідомляє власника або розпорядника УКР-НАТО ІКС і орган безпеки про початок процесу акредитації з безпеки УКР-НАТО ІКС та про необхідність надання кандидатур до складу комісії з перевірки середовища безпеки та тестування безпеки УКР-НАТО ІКС (далі — Комісія) або про відмову у проведенні такої акредитації, у разі виявлення в наданих власником або розпорядником УКР-НАТО ІКС документах недостовірних відомостей або недоцільності функціонування такої УКР-НАТО ІКС.
> 
> **6.** З метою проведення перевірки середовища безпеки та тестування безпеки УКР-НАТО ІКС національний БАО утворює Комісію, до складу якої входять співробітники національного БАО та органу безпеки.
> 
> **7.** Національний БАО своїм наказом затверджує склад Комісії та План акредитації з безпеки конкретної УКР-НАТО ІКС.
> 
> План акредитації з безпеки УКР-НАТО ІКС має містити такі заходи:
> 
> визначення власником або розпорядником УКР-НАТО ІКС постачальника послуг, апаратного та/або програмного забезпечення, необхідних для належного функціонування УКР-НАТО ІКС;
> 
> проведення погодження документів з безпеки УКР-НАТО ІКС;
> 
> проведення перевірки середовища безпеки УКР-НАТО ІКС;
> 
> проведення тестування безпеки УКР-НАТО ІКС.
> 
> **8.** У разі відмови у проведенні акредитації з безпеки УКР-НАТО ІКС національний БАО готує рішення із зазначенням причин відмови та письмово інформує про це власника або розпорядника УКР-НАТО ІКС.
> 
> **2.** Погодження документів з безпеки УКР-НАТО ІКС
> 
> **1.** Власник або розпорядник УКР-НАТО ІКС зобов’язаний надати на погодження національному БАО документи з безпеки УКР-НАТО ІКС відповідно до нормативних документів НАТО або їх національний еквівалент:
> 
> опис УКР-НАТО ІКС;
> 
> оцінка ризиків безпеки УКР-НАТО ІКС;
> 
> положення про вимоги безпеки УКР-НАТО ІКС (AC/35-D/1015-REV4. Guidelines for the Development of Security Requirement Statements (SRSs));
> 
> заходи щодо забезпечення захисту УКР-НАТО ІКС (ВСТ 01.008.001-2021 (01). «Захист інформації з обмеженим доступом. Структура та зміст процедур з безпеки для комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1014-REV3, Guidelines for the Structure and Content of Security Operating Procedures (SecOPs) for Communication and Information Systems (CIS), IDT)»;
> 
> інші документи, що підтверджують виконання заходів безпеки в УКР-НАТО ІКС (за наявності).
> 
> **2.** Документи з безпеки УКР-НАТО ІКС розробляються українською та за вимогою національного БАО — англійською мовами.
> 
> **3.** Під час погодження документів з безпеки УКР-НАТО ІКС національний БАО може звернутися до власника системи за наданням коментарів і роз’яснень до наданих документів.
> 
> **4.** У разі виявлення недоліків (розбіжностей) у документах з безпеки УКР-НАТО ІКС або невідповідності їх вимогам національних нормативно-правових актів з урахуванням нормативних документів НАТО з питань охорони та захисту інформації про це інформується власник або розпорядник УКР-НАТО ІКС. Документи з безпеки УКР-НАТО ІКС повертаються власнику або розпоряднику УКР-НАТО ІКС для доопрацювання та усунення недоліків.
> 
> **5.** Після усунення недоліків власник або розпорядник УКР-НАТО ІКС повторно надсилає документи на погодження.
> 
> **3.** Перевірка середовища безпеки УКР-НАТО ІКС
> 
> **1.** Комісія проводить перевірку середовища безпеки, в якому буде експлуатуватися УКР-НАТО ІКС відповідно до вимог національних нормативно-правових актів з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO), підтримуючих директив та наявної оцінки ризиків безпеки УКР-НАТО ІКС.
> 
> **2.** Власник або розпорядник УКР-НАТО ІКС зобов’язаний забезпечити створення умов, необхідних для проведення перевірки середовища безпеки УКР-НАТО ІКС.
> 
> **3.** Про час проведення перевірки середовища безпеки УКР-НАТО ІКС національний БАО письмово повідомляє власника або розпорядника УКР-НАТО ІКС.
> 
> **4.** За результатами проведення перевірки середовища безпеки, в якому буде експлуатуватися УКР-НАТО ІКС, Комісія готує відповідний висновок у довільній формі, в якому зазначається інформація про відповідність (невідповідність) середовища безпеки вимогам національних нормативно-правових актів з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.
> 
> У разі виявлення порушень під час перевірки середовища безпеки УКР-НАТО ІКС інформація про такі порушення вноситься до висновку про результати перевірки.
> 
> **5.** Висновок підписують члени Комісії та затверджує її Голова.
> 
> Примірники висновку надсилаються до національного БАО та органу безпеки.
> 
> **6.** Національний БАО протягом десяти робочих днів письмово інформує власника або розпорядника УКР-НАТО ІКС щодо необхідності усунення виявлених порушень або про завершення перевірки середовища безпеки УКР-НАТО ІКС.
> 
> **7.** Власник або розпорядник УКР-НАТО ІКС вживає заходів щодо усунення порушень і за результатами усунення письмово інформує національний БАО.
> 
> **8.** Національний БАО після отримання листа від власника або розпорядника УКР-НАТО ІКС про усунення порушень протягом десяти робочих днів організовує проведення Комісією контрольної перевірки середовища безпеки УКР-НАТО ІКС.
> 
> **4.** Тестування безпеки УКР НАТО ІКС
> 
> **1.** Власник або розпорядник УКР-НАТО ІКС письмово інформує Національний БАО про готовність до проведення тестування безпеки УКР-НАТО ІКС.
> 
> **2.** До проведення тестування безпеки УКР-НАТО ІКС, у разі потреби, залучаються члени Комісії. Також до тестувань з безпеки УКР-НАТО ІКС можуть бути залучені представники постачальника апаратних та/або програмних засобів УКР-НАТО ІКС.
> 
> **3.** За результатами тестування безпеки власник або розпорядник УКР-НАТО ІКС розробляє та надає Комісії протокол проведення тестування безпеки УКР-НАТО ІКС.
> 
> **4.** Комісія після отримання протоколу проведення тестування безпеки перевіряє його щодо повноти, об’єктивності, достатності, а також здійснює оцінку результатів тестування.
> 
> **5.** За результатами перевірки та оцінки наданих матеріалів Комісія готує відповідний висновок і разом з протоколом проведення тестування безпеки надсилає його до національного БАО.
> 
> **6.** У разі надання Комісією зауважень за результатами тестування безпеки УКР-НАТО ІКС національний БАО повертає надані матеріали власнику або розпоряднику УКР-НАТО ІКС для доопрацювання та усунення недоліків.
> 
> **5.** Прийняття рішення про акредитацію з безпеки УКР-НАТО ІКС
> 
> **1.** За результатами проведених перевірок та з урахуванням висновків Комісії національний БАО приймає рішення про акредитацію/тимчасову акредитацію або відмову в акредитації з безпеки УКР-НАТО ІКС із зазначенням причин.
> 
> **2.** Національний БАО видає власнику або розпоряднику УКР-НАТО ІКС свідоцтво про акредитацію з безпеки УКР-НАТО ІКС (далі — Свідоцтво) за формою згідно з додатком до цього Порядку.
> 
> Свідоцтво підписує Голова національного БАО.
> 
> Строк дії Свідоцтва становить 3 (три) роки.
> 
> **3.** У разі наявності в УКР-НАТО ІКС незначних недоліків безпеки національний БАО приймає рішення про тимчасову акредитацію з безпеки УКР-НАТО ІКС (далі — тимчасова акредитація) із чітким зазначенням умов тимчасової акредитації та заходів, яких необхідно вжити (наприклад, додаткові контрзаходи/гарантії або остаточне затвердження документів з безпеки).
> 
> Строк дії тимчасової акредитації становить 6 (шість) місяців.
> 
> **4.** У разі невиконання власником або розпорядником УКР-НАТО ІКС заходів, визначених в умовах тимчасової акредитації, національний БАО приймає рішення про її скасування, про що письмово інформує власника або розпорядника УКР-НАТО ІКС.
> 
> **5.** Строк прийняття рішення та видача Свідоцтва не може перевищувати 15 робочих днів з дня реєстрації останнього висновку Комісії щодо результатів проведення перевірок.
> 
> **6.** Після отримання Свідоцтва власник або розпорядник УКР-НАТО ІКС вживає заходів щодо введення УКР-НАТО ІКС в експлуатацію.
> 
> > _Розділ III із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> IV. Післяакредитаційні заходи
> 
> **1.** Національний БАО здійснює контроль за виконанням заходів з безпеки УКР-НАТО ІКС шляхом проведення перевірок результатів періодичних оцінок ризиків безпеки та стану виконання заходів з безпеки, наданих СЗІ/ПО УКР-НАТО ІКС відповідно до вимог національних нормативно-правових актів з урахуванням вимог політики НАТО C-M(2002)49-REV1. Security Within the North Atlantic Treaty Organization (NATO) та підтримуючих директив.
> 
> **2.** Національний БАО, у разі потреби, протягом усього життєвого циклу УКР-НАТО ІКС проводить підтвердження акредитації з безпеки УКР-НАТО ІКС, внаслідок настання подій, які можуть призвести до необхідності повторної акредитації з безпеки УКР-НАТО ІКС, визначених ВСТ 01.008.004-2021 (01). «Захист інформації з обмеженим доступом. Акредитація з безпеки комунікаційно-інформаційних систем, де обробляється інформація НАТО з обмеженим доступом. Настанова (AC/35-D/1021-REV3, Guidelines for the Security Accreditation of Communication and Information Systems (CIS), IDT)».
> 
> **3.** Національний БАО протягом життєвого циклу УКР-НАТО ІКС надає ПК/ПО УКР-НАТО ІКС консультації та рекомендації щодо:
> 
> внесення змін до архітектури та конфігурації УКР-НАТО ІКС;
> 
> внесення змін до експлуатаційних вимог УКР-НАТО ІКС;
> 
> зміни грифа обмеження доступу інформації НАТО, яка обробляється в УКР-НАТО ІКС;
> 
> внесення змін до документів з безпеки УКР-НАТО ІКС;
> 
> порядку виведення з експлуатації УКР-НАТО ІКС;
> 
> інших питань з безпеки експлуатації УКР-НАТО ІКС.
> 
> > _Пункт 3 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **4.** Співробітники ПК/ПО УКР-НАТО ІКС та органу спеціального зв’язку/ служби криптографічного захисту, користувачі та особи, які провадять роботи в УКР-НАТО ІКС, повинні постійно (не рідше одного разу на рік) підвищувати кваліфікацію шляхом участі в освітніх заходах і навчальних програмах з питань охорони та захисту інформації в інформаційно-комунікаційних системах.
> 
> > _Пункт 4 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **5.** ПК/ПО УКР-НАТО ІКС здійснює постійну оцінку ризиків безпеки, яка має враховувати актуальні загрози та вразливості, сучасні доступні технічні рішення, що мають усунути залишкові ризики до прийнятного рівня.
> 
> Якщо поточний залишковий ризик є неприйнятним, необхідно вжити додаткових заходів безпеки, щоб зменшити його до прийнятного рівня.
> 
> > _Пункт 5 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **6.** ПК/ПО УКР-НАТО ІКС не рідше ніж один раз на рік забезпечує проведення періодичних технічних та/або фізичних перевірок приміщень/зон, де циркулює інформація НАТО з обмеженим доступом, щодо ризику пасивного/активного прослуховування.
> 
> > _Пункт 6 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **7.** У разі виникнення будь-яких порушень вимог з безпеки в УКР-НАТО ІКС або в приміщеннях/зонах, де розташована УКР-НАТО ІКС, власник або розпорядник УКР-НАТО ІКС за поданням ПК/ПО УКР-НАТО ІКС забороняє обробку інформації НАТО з обмеженим доступом та проводить заходи щодо усунення цих порушень.
> 
> Про зазначене власник або розпорядник УКР-НАТО ІКС інформує національний БАО, орган безпеки та Головний центр.
> 
> За фактом порушень у місячний строк власник або розпорядник УКР-НАТО ІКС проводить службове розслідування в порядку, встановленому законодавством.
> 
> До проведення службових розслідувань залучаються ПК/ПО УКР-НАТО ІКС і підрозділ реєстрації документів НАТО.
> 
> > _Пункт 7 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **8.** Національний БАО надає консультативну допомогу ПК/ПО УКР-НАТО ІКС у проведенні службових розслідувань у випадку виявлення будь-яких порушень або підозри на порушення вимог з безпеки.
> 
> > _Пункт 8 розділу IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> **9.** Національний БАО веде облік усіх УКР-НАТО ІКС, що отримали Свідоцтво, а також тих, що знаходяться в процесі акредитації.
> 
> > _Розділ IV із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> V. Виведення з експлуатації/утилізація обладнання УКР-НАТО ІКС
> 
> **1.** Власник або розпорядник УКР-НАТО ІКС приймає рішення про виведення з експлуатації/утилізації обладнання своєї системи. Після прийняття рішення готується вмотивований запит до національного БАО, в якому зазначається фактична інформація про УКР-НАТО ІКС, а саме:
> 
> назва УКР-НАТО ІКС;
> 
> місцезнаходження УКР-НАТО ІКС;
> 
> склад УКР-НАТО ІКС та/або окреме обладнання зі складу УКР-НАТО ІКС та/або матеріальні носії інформації;
> 
> причина виведення з експлуатації;
> 
> номер і дата реєстрації Свідоцтва;
> 
> технічна та експлуатаційна документація на УКР-НАТО ІКС (назва, реєстраційний номер і дата документа).
> 
> **2.** Вмотивований запит готується за підписом керівника власника або розпорядника УКР-НАТО ІКС.
> 
> **3.** За результатами розгляду запиту національний БАО приймає рішення про погодження виведення з експлуатації/утилізації обладнання УКР-НАТО ІКС, про що письмово інформує власника або розпорядника УКР-НАТО ІКС.
> 
> **4.** Національний БАО координує дії власника або розпорядника УКР-НАТО ІКС щодо процедури утилізації та/або знищення обладнання, матеріальних носіїв інформації УКР-НАТО ІКС відповідно до вимог національних нормативно-правових актів з урахуванням нормативних документів НАТО з питань охорони та захисту інформації.
> 
> **5.** Орган спеціального зв’язку/служба криптографічного захисту інформації власника або розпорядника УКР-НАТО ІКС надсилає на погодження до національного БАО відповідний запит на виведення з експлуатації криптографічних матеріалів і засобів криптографічного захисту інформації (криптографічного обладнання) (апаратних/програмних засобів і ключів до них). Запит повинен містити інформацію про УКР-НАТО ІКС і перелік криптоматеріалів та засобів криптографічного захисту інформації, які планується вивести з експлуатації.
> 
> Після погодження Орган спеціального зв’язку/служба криптографічного захисту інформації власника або розпорядника УКР-НАТО ІКС у координації з національним БАО здійснює виведення з експлуатації криптографічних матеріалів і засобів криптографічного захисту інформації (криптографічне обладнання) (апаратних/програмних засобів і ключів до них), про що інформує підрозділ реєстрації документів НАТО.
> 
> **6.** Після завершення процедури виведення з експлуатації УКР-НАТО ІКС власник або розпорядник УКР-НАТО ІКС складає відповідний акт.
> 
> Акт має містити інформацію про окремі складові частини УКР-НАТО ІКС та УКР-НАТО ІКС у цілому із зазначенням актів виведення з експлуатації (знищення) окремих складових частин УКР-НАТО ІКС.
> 
> Примірник акта надсилається до національного БАО та Головного центру.
> 
> > _Розділ V із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_
> 
> Директор Департаменту
> 
> захисту інформації
> 
> Адміністрації Державної
> 
> служби спеціального зв’язку
> 
> та захисту інформації України
> 
> Олександр ГРИЩЕНКО
> 
> Додаток
> 
> до Порядку акредитації з безпеки
> 
> комунікаційно-інформаційних систем
> 
> (інформаційно-комунікаційних систем),
> 
> де обробляється інформація НАТО
> 
> з обмеженим доступом
> 
> (пункт 2 глави 5 розділу III)
> 
> СВІДОЦТВО 
> 
> ПРО АКРЕДИТАЦІЮ З БЕЗПЕКИ УКР-НАТО ІКС
> 
> > _Додаток із змінами, внесеними згідно з Наказом Адміністрації Державної служби спеціального зв'язку та захисту інформації [№ 738 від 19.11.2025](rada:z1826-25)_