# Про встановлення вимог щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов'язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об'єктів критичної інформаційної інфраструктури **Тип:** Адміністрація Держспецзв’язку **Видавник:** Адміністрація Державної служби спеціального зв'язку та захисту інформації України **Номер:** z1975-25 **Прийнято:** 2025-12-17 **Чинна редакція від:** 2025-12-17 **Стан:** in_force **Rada ID:** `z1975-25` --- > АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ > > НАКАЗ > > 17.12.2025  № 836 > > Зареєстровано в Міністерстві > > юстиції України > > 31 грудня 2025 року > > за № 1975/45381 > > Про встановлення вимог щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури > > Відповідно до [пункту 96](rada:3475-15) частини першої статті 14 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України», [підпункту 95](rada:411-2014-%D0%BF)[-25](rada:411-2014-%D0%BF) пункту 4, [пункту 10](rada:411-2014-%D0%BF) Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, > > НАКАЗУЮ: > > **1.** Затвердити такі, що додаються: > > Вимоги щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури; > > [Критерії критичності товарів, робіт, послуг, що постачаються власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури](rada:z1976-25); > > [Порядок визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури рівня ризику, пов’язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику](rada:z1977-25); > > [Порядок підтвердження постачальниками товарів, робіт, послуг відповідності впроваджених заходів безпеки інформації встановленим вимогам відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт, послуг власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури](rada:z1978-25). > > **2.** Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України. > > **3.** Цей наказ набирає чинності з дня його офіційного опублікування. > > **4.** Контроль за виконанням цього наказу залишаю за собою. > > Голова Служби > > Олександр ПОТІЙ > > ПОГОДЖЕНО: > > > Голова Державної регуляторної служби України > > Олексій КУЧЕР > > ЗАТВЕРДЖЕНО > > Наказ Адміністрації > > Державної служби > > спеціального зв’язку > > та захисту інформації України > > 17 грудня 2025 року № 836 > > Зареєстровано в Міністерстві > > юстиції України > > 31 грудня 2025 року > > за № 1975/45381 > > Вимоги > > щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури > > **1.** Ці Вимоги встановлюють вимоги щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури (далі — системи). > > **2.** Ці Вимоги застосовуються до постачальників товарів, робіт, послуг і власників або розпорядників систем в разі, якщо товари, роботи, послуги, які постачають постачальники, забезпечують функціонування систем. > > **3.** У цих Вимогах терміни вживаються у такому значенні: > > постачальник — будь-яка фізична або юридична особа, яка постачає товари, роботи і послуги власникам або розпорядникам систем; > > уповноважений користувач — представник постачальника, який має доступ до інформаційно-комунікаційної системи (далі — ІКС) постачальника, де обробляється інформація щодо договору про постачання товарів, робіт, послуг власникам або розпорядникам систем. > > Інші терміни вживаються у значенні, наведеному в [Законі України](rada:80/94-%D0%B2%D1%80) «Про захист інформації в інформаційно-комунікаційних системах», [Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем](rada:712-2025-%D0%BF), затвердженому постановою Кабінету Міністрів України від 18 червня 2025 року № 712. > > **4.** Для постачання товарів, робіт і послуг, що належать до першого рівня ризику постачальник повинен виконати вимоги базових заходів безпеки в ІКС постачальника, де обробляється інформація щодо договору про постачання товарів, робіт, послуг власникам або розпорядникам систем (в разі наявності), а саме: > > обмежувати доступ до ІКС постачальника для уповноважених користувачів, процесів, що діють від імені уповноважених користувачів в ІКС постачальника, або пристроїв (у тому числі інші ІКС); > > обмежувати доступ до ІКС постачальника уповноважених користувачів тими функціями, які дозволено їм виконувати; > > обмежувати зовнішні підключення до ІКС постачальника та контролювати їх використання; > > забезпечувати захист інформації щодо договору про постачання товарів, робіт, послуг від несанкціонованого витоку до публічно доступних інформаційних ресурсів ІКС постачальника; > > визначати уповноважених користувачів ІКС постачальника, процеси, що діють від імені уповноважених користувачів в ІКС постачальника, або пристрої; > > автентифікувати уповноважених користувачів, процеси, що діють від імені уповноважених користувачів в ІКС постачальника, пристрої перед наданням доступу до ІКС постачальника; > > забезпечувати гарантоване знищення інформації щодо договору про постачання товарів, робіт, послуг на фізичному носії інформації перед його утилізацією або передачею для іншого використання; > > надавати фізичний доступ до ІКС постачальника, обладнання та фізичного середовища розташування ІКС постачальника лише уповноваженим особам; > > здійснювати супровід і контроль дій відвідувачів у приміщення, де розташовано обладнання ІКС постачальника;; > > вести журнали аудиту фізичного доступу до приміщення, де розташовано обладнання ІКС постачальника; > > здійснювати контроль та управління фізичним доступом до обладнання ІКС постачальника; > > проводити моніторинг, контроль і захист інформації, що передається або отримується ІКС постачальника з інших мереж; > > упроваджувати підмережі для публічно доступних компонентів ІКС постачальника;. > > своєчасно виявляти та виправляти збої та помилки у роботі ІКС постачальника; > > забезпечувати захист від шкідливого програмного забезпечення в ІКС постачальника; > > оновлювати механізми захисту ІКС постачальника від шкідливого програмного забезпечення за наявності оновлень; > > виконувати періодичне сканування ІКС постачальника та сканування файлів із зовнішніх джерел у режимі реального часу під час завантаження, відкриття або виконання файлів на наявність шкідливого програмного забезпечення. > > **5.** Для постачання товарів, робіт і послуг, що належать до другого-четвертого рівнів ризику постачальник повинен виконати вимоги базового або галузевого профілю безпеки системи в ІКС постачальника відповідно до інформації, що обробляється у ІКС постачальника (відкрита інформація чи інформація з обмеженим доступом), або функціонального призначення ІКС постачальника. > > **6.** ІКС постачальника, яка має комплексну систему захисту інформації (далі — КСЗІ) з підтвердженою відповідністю може застосовуватися для постачання товарів, робіт і послуг власникам або розпорядникам систем, в межах функцій визначених цією КСЗІ. > > Директор Департаменту > > захисту інформації > > Адміністрації Держспецзв’язку > > Андрій ГОЛОВЕНКО