ЗАТВЕРДЖЕНО Наказ Адміністрації Державної служби спеціального зв’язку та захисту інформації України 17 грудня 2025 року № 836
Зареєстровано в Міністерстві юстиції України 31 грудня 2025 року за № 1977/45383
Порядок визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури рівня ризику, пов’язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику
1. Цей Порядок встановлює процедуру визначення власниками або розпорядниками інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури (далі — системи) рівня ризику, пов’язаного з критичністю таких товарів, робіт, послуг для забезпечення функціонування та заходів безпеки, що відповідають такому ризику.
2. Цей Порядок застосовується до постачальників товарів, робіт, послуг і власників або розпорядників систем в разі, якщо товари, роботи, послуги, які постачають постачальники, забезпечують функціонування систем.
3. У цьому Порядку під терміном «постачальник» розуміється будь-яка фізична або юридична особа, яка постачає товари, роботи і послуги власникам або розпорядникам систем.
Інші терміни вживаються у значенні, наведеному в Законах України «Про захист інформації в інформаційно-комунікаційних системах», «Про Державну службу спеціального зв’язку та захисту інформації України».
4. Власники або розпорядники систем зобов’язані визначити рівні ризику, пов’язані з критичністю товарів, робіт, послуг, що постачаються для забезпечення функціонування та заходів безпеки та відповідають такому ризику.
5. Ризики, пов’язані з критеріями критичності постачання товарів, робіт, послуг власникам або розпорядникам систем для забезпечення їх функціонування та заходів безпеки поділяються на такі рівні:
перший рівень ризику — товари, роботи і послуги за першим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури;
другий рівень ризику — товари, роботи і послуги за другим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси, об’єктів критичної інформаційної інфраструктури, інформація про яких віднесена до відкритої або конфіденційної інформації;
третій рівень ризику — товари, роботи і послуги за другим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси, об’єктів критичної інформаційної інфраструктури, інформація про яких віднесена до службової інформації;
четвертий рівень ризику — товари, роботи і послуги за другим критерієм критичності, призначені для інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси, об’єктів критичної інформаційної інфраструктури, інформація про яких віднесена до інформації, що становить державну таємницю.
Директор Департаменту захисту інформації Адміністрації Держспецзв’язку
Андрій ГОЛОВЕНКО