# Порядок визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об'єктів критичної інформаційної інфраструктури рівня ризику, пов'язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику **Тип:** Адміністрація Держспецзв’язку **Видавник:** Адміністрація Державної служби спеціального зв'язку та захисту інформації України **Номер:** z1977-25 **Прийнято:** 2025-12-17 **Чинна редакція від:** 2025-12-17 **Стан:** in_force **Rada ID:** `z1977-25` --- > ЗАТВЕРДЖЕНО > > Наказ Адміністрації > > Державної служби > > спеціального зв’язку > > та захисту інформації України > > 17 грудня 2025 року [№ 836](rada:z1975-25) > > Зареєстровано в Міністерстві > > юстиції України > > 31 грудня 2025 року > > за № 1977/45383 > > Порядок > > визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури рівня ризику, пов’язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику > > **1.** Цей Порядок встановлює процедуру визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури (далі — системи) рівня ризику, пов’язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику. > > **2.** Цей Порядок застосовується до постачальників товарів, робіт, послуг і власників або розпорядників систем в разі, якщо товари, роботи, послуги, які постачають постачальники, забезпечують функціонування систем. > > **3.** У цьому Порядку під терміном «постачальник» розуміється будь-яка фізична або юридична особа, яка постачає товари, роботи і послуги власникам або розпорядникам систем. > > Інші терміни вживаються у значенні, наведеному в Законах України [«Про захист інформації в інформаційно-комунікаційних системах»](rada:80/94-%D0%B2%D1%80), [«Про Державну службу спеціального зв’язку та захисту інформації України»](rada:3475-15). > > **4.** Власники або розпорядники систем зобов’язані визначити рівні ризику, пов’язані з критичністю товарів, робіт, послуг, що постачаються для забезпечення функціонування та заходів безпеки та відповідають такому ризику. > > **5.** Ризики, пов’язані з критеріями критичності постачання товарів, робіт, послуг власникам або розпорядникам систем для забезпечення їх функціонування та заходів безпеки поділяються на такі рівні: > > перший рівень ризику — товари, роботи і послуги за першим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури; > > другий рівень ризику — товари, роботи і послуги за другим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси, об’єктів критичної інформаційної інфраструктури, інформація про яких віднесена до відкритої або конфіденційної інформації; > > третій рівень ризику — товари, роботи і послуги за другим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси, об’єктів критичної інформаційної інфраструктури, інформація про яких віднесена до службової інформації; > > четвертий рівень ризику — товари, роботи і послуги за другим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси, об’єктів критичної інформаційної інфраструктури, інформація про яких віднесена до інформації, що становить державну таємницю. > > Директор Департаменту > > захисту інформації > > Адміністрації Держспецзв’язку > > Андрій ГОЛОВЕНКО