Zakon.local
← До пошуку
ЧиннийПостанова

Про затвердження Порядку пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж

Номер
497-2023-п
Видавник
Кабінет Міністрів України
Прийнято
16 трав. 2023 р.
Редакція
10 груд. 2025 р.
Markdown Текст JSON (метадані) На rada.gov.ua

Про затвердження Порядку пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж

Тип: Постанова Кабінету Міністрів України; Порядок Видавник: Кабінет Міністрів України Номер: 497-2023-п Прийнято: 2023-05-16 Чинна редакція від: 2025-12-10 Стан: in_force Rada ID: 497-2023-%D0%BF

КАБІНЕТ МІНІСТРІВ УКРАЇНИ

ПОСТАНОВА

від 16 травня 2023 р. № 497

Київ

Про затвердження Порядку пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж

_Із змінами, внесеними згідно з Постановою КМ

№ 1580 від 03.12.2025_

Відповідно до пункту 2 розділу II “Прикінцеві положення” Закону України “Про внесення змін до Кримінального кодексу України щодо підвищення ефективності боротьби з кіберзлочинністю в умовах дії воєнного стану” Кабінет Міністрів України постановляє:

Затвердити Порядок пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж, що додається.

Прем'єр-міністр України

Д. ШМИГАЛЬ

Інд. 49

ЗАТВЕРДЖЕНО

постановою Кабінету Міністрів України

від 16 травня 2023 р. № 497

ПОРЯДОК

пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж

У тексті Порядку слово “координатор” в усіх відмінках замінено словом “організатор” у відповідному відмінку згідно з Постановою КМ № 1580 від 03.12.2025

1. Цей Порядок визначає механізм здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж (далі - пошук потенційної вразливості системи) шляхом розроблення та проведення програм пошуку і виявлення вразливостей за винагороду та узгодженого розкриття вразливостей.

Абзац перший пункту 1 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

Дія цього Порядку не поширюється на інформаційні (автоматизовані), електронні комунікаційні, інформаційно-комунікаційні системи, електронні комунікаційні мережі, в яких обробляється службова інформація та/або інформація, що становить державну таємницю, розвідувальну таємницю, банківську таємницю.

2. У цьому Порядку терміни вживаються в такому значенні:

власник або розпорядник системи (далі - власник системи) - юридична особа будь-якої форми власності та/або фізична особа - підприємець, що на правах власності, оренди або на інших законних підставах здійснює управління системою та відповідає за її поточне функціонування;

Абзац другий пункту 2 в редакції Постанови КМ № 1580 від 03.12.2025

вразливість системи - властивість системи, через використання якої створюється загроза для її безпеки, порушується сталий, надійний та штатний режим функціонування системи, здійснюється несанкціоноване втручання в її роботу, створюється загроза для безпеки (захищеності) електронних інформаційних ресурсів, конфіденційності, цілісності, доступності таких ресурсів;

декомпіляція - перетворення комп’ютерної програми з об’єктного коду у вихідний текст;

дизасемблювання - перетворення двійкового коду комп’ютерної програми в доступну для читання людиною форму;

дослідник потенційної вразливості (далі - дослідник) - фізична або юридична особа, яка здійснює пошук потенційної вразливості системи відповідно до вимог цього Порядку;

експлуатація вразливості - будь-які дії з використання вразливості системи, що можуть призвести до порушення сталого, надійного та штатного режиму функціонування системи та/або порушення конфіденційності, цілісності, доступності інформації в системі;

Пункт 2 доповнено новим абзацом згідно з Постановою КМ № 1580 від 03.12.2025

звіт про вразливість системи за результатами пошуку її потенційної вразливості (далі - звіт) - інформація про вразливість системи, підготовлена дослідником за результатами здійснення ним пошуку її потенційної вразливості;

зворотний інжиніринг - процес аналізу системи для ідентифікації її компонентів і визначення завдань, які вони виконують у системі;

зміни до системи - зміни, внесені до інформаційної (автоматизованої), електронної комунікаційної, інформаційно-комунікаційної системи, електронної комунікаційної мереж (далі - система) для вирішення проблеми вразливості системи, запобігання використанню вразливості, мінімізації можливих наслідків її використання;

організатор пошуку потенційної вразливості системи (далі - організатор) - фізична або юридична особа, яка надає послуги з організації пошуку потенційної вразливості системи;

період нерозголошення інформації про вразливість системи - строк, під час якого інформація про виявлену дослідником потенційну вразливість системи не підлягає розголошенню дослідником.

Інші терміни вживаються у значенні, наведеному в Законах України “Про основні засади забезпечення кібербезпеки України”, “Про електронні комунікації”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про Державну службу спеціального зв’язку та захисту інформації України”, Загальних вимогах до кіберзахисту об’єктів критичної інфраструктури, затверджених постановою Кабінету Міністрів України від 19 червня 2019 р. № 518 (Офіційний вісник України, 2019 р., № 50, ст. 1697), ДСТУ ISO/IEC 29147:2016 “Інформаційні технології. Методи захисту. Розкриття вразливостей”, ДСТУ ISO/IEC 27000:2015 “Інформаційні технології. Методи захисту. Система управління інформаційною безпекою. Огляд і словник”.

Абзац тринадцятий пункту 2 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

3. Організація пошуку потенційної вразливості системи здійснюється її власником.

У разі потреби власник системи може прийняти рішення про залучення організатора для організації програм пошуку та виявлення вразливостей системи за винагороду.

Абзац другий пункту 3 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

Залучення організатора відбувається шляхом укладення між власником системи та організатором договору про надання послуг з організації програми пошуку та виявлення вразливостей системи за винагороду, в якому, зокрема, визначаються:

Абзац третій пункту 3 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

права та обов’язки, питання щодо платності чи безоплатності надання послуг з організації пошуку потенційної вразливості системи;

порядок та умови виплати винагороди досліднику, якщо така винагорода передбачена публічною пропозицією про здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж (далі - публічна пропозиція);

порядок звітування організатора перед власником системи про виплату винагороди досліднику, якщо така винагорода передбачена публічною пропозицією;

механізм інформування організатором власника системи про отриманий звіт і результати його перевірки;

механізм інформування власником системи організатора про результати перевірки звіту та прийняте рішення про внесення або невнесення змін до системи з урахуванням виявленої вразливості.

У разі коли договір про надання послуг з організації пошуку потенційної вразливості системи передбачає надання організатором платних послуг, такий договір укладається відповідно до вимог законодавства у сфері публічних закупівель.

4. Пошук потенційної вразливості системи здійснюється дослідником на підставі публічної пропозиції.

Абзац перший пункту 4 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

Публічна пропозиція оприлюднюється власником системи на власному офіційному веб-сайті.

У разі залучення власником системи організатора публічна пропозиція оприлюднюється організатором на його власному офіційному веб-сайті. У такому разі власник системи оприлюднює на своєму офіційному веб-сайті посилання на відповідну сторінку веб-сайта організатора.

Публічна пропозиція викладається українською мовою, при цьому додатково власник системи або організатор може викласти пропозицію іноземною мовою, яка є офіційною мовою Ради Європи.

5. Публічна пропозиція розробляється власником системи або організатором відповідно до примірної публічної пропозиції про здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж і методичних рекомендацій з розроблення публічної пропозиції про здійснення пошуку та виявлення потенційної вразливості інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж, що затверджуються Адміністрацією Держспецзв’язку.

6. У публічній пропозиції визначаються, зокрема:

інформація про систему, пошук потенційної вразливості якої здійснюється;

дії дослідника щодо системи, які йому заборонено проводити;

порядок надання дослідником звіту, вимоги до його підготовки, форми;

розмір, форма, порядок і умови виплати винагороди досліднику, який надав звіт, за результатами розгляду якого власник системи прийняв рішення про внесення змін до системи, джерела виплати винагороди та/або публічне висловлювання подяки;

Абзац п'ятий пункту 6 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

умова про нерозголошення або період нерозголошення інформації про вразливість системи, що становить не більше шести місяців з дати реєстрації звіту.

Абзац шостий пункту 6 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

Власник системи або організатор може визначити додаткові умови до публічної пропозиції з урахуванням секторальної (галузевої) специфіки функціонування системи.

Залучення послуг організатора та організація програм пошуку потенційних вразливостей системи, а також залучення дослідників може здійснюватися на умовах державно-приватної взаємодії, в тому числі за рахунок джерел, не заборонених законодавством.

Пункт 6 доповнено абзацом згідно з Постановою КМ № 1580 від 03.12.2025

7. Під час пошуку потенційної вразливості системи дослідник з дотриманням умов публічної пропозиції має право:

Абзац перший пункту 7 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

здійснювати збір інформації про систему та умови її використання у відкритих джерелах;

аналізувати та вивчати документацію щодо роботи системи, оприлюднену власником системи або власником прав інтелектуальної власності на систему;

здійснювати збір публічно доступних даних про інфраструктуру та інтерфейси системи, сканувати мережу, хости і сервіси без подолання систем логічного захисту;

використовувати системи за призначенням і здійснювати нагляд за функціонуванням системи без порушення штатного режиму функціонування;

аналізувати алгоритми штатного режиму функціонування системи, порядок та результати виконання нею завдань, здійснювати пошук ознак поширеної вразливості системи, виявленої в інших системах;

здійснювати експлуатацію вразливості, зворотний інжиніринг, декомпіляцію, дизасемблювання, відтворення системи в тестовому середовищі, модифікацію системи з метою пошуку її вразливості та проводити інші дії за згодою власника системи та власника прав інтелектуальної власності на систему та її компоненти, крім випадків, передбачених статтею 24 Закону України “Про авторське право і суміжні права”.

Абзац пункту 7 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

8. Після завершення пошуку потенційної вразливості системи дослідник повідомляє про результати власнику системи або організатору згідно з умовами публічної пропозиції та подає йому звіт.

На підставі даних, викладених у звіті, дослідник одночасно повідомляє про виявлену вразливість національній команді реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA або відповідним галузевим/регіональним командам реагування на кіберінциденти, кібератаки, кіберзагрози CSIRT шляхом подання інформації за формою, розміщеною на їх офіційних веб-сайтах.

Пункт 8 доповнено абзацом згідно з Постановою КМ № 1580 від 03.12.2025

9. Після отримання звіту власник системи або організатор протягом 10 робочих днів повідомляє досліднику про те, що звіт отримано, і зазначає його реєстраційний номер та дату реєстрації.

10. Власник системи та/або організатор перевіряє отриманий звіт на відповідність вимогам, визначеним публічною пропозицією, предмет наявності в ньому інформації про вразливість системи, виявлену раніше іншими дослідниками, вивчає умови та можливі ризики використання виявленої вразливості.

За результатами перевірки звіту власник системи оцінює можливі наслідки використання вразливості системи для її безпеки, порушення сталого, надійного та штатного режиму її функціонування, здійснення несанкціонованого втручання в її роботу, створення загрози для безпеки (захищеності) електронних інформаційних ресурсів, конфіденційності, цілісності, доступності таких ресурсів (далі - наслідки вразливості системи) та приймає рішення щодо внесення або невнесення змін до системи.

Після перевірки звіту власник системи або організатор протягом 30 робочих днів з дати реєстрації такого звіту повідомляє досліднику, національній команді реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA або відповідним галузевим/регіональним командам реагування на кіберінциденти, кібератаки, кіберзагрози CSIRT про прийняте рішення щодо внесення або невнесення змін до системи.

У разі отримання від власника системи або організатора повідомлення щодо невнесення змін до системи дослідник має право після закінчення періоду нерозголошення інформації про вразливість оприлюднити інформацію про виявлену вразливість та її технічні особливості, якщо умовами публічної пропозиції не було передбачено заборону на розголошення інформації про вразливість.

Пункт 10 в редакції Постанови КМ № 1580 від 03.12.2025

11. У разі прийняття рішення про внесення змін до системи власник системи вживає заходів щодо:

запобігання можливим наслідкам у разі використання вразливості;

внесення змін до системи.

Під час вжиття заходів щодо внесення змін до системи, якщо умовами публічної пропозиції не було передбачено заборону на розголошення інформації про вразливість, власник системи або організатор готує та оприлюднює інформацію про виявлення вразливості та внесення змін до системи, зокрема:

Абзац четвертий пункту 11 із змінами, внесеними згідно з Постановою КМ № 1580 від 03.12.2025

назву системи, її версію та іншу інформацію, яка дає можливість визначити систему, що містить вразливість;

дату виявлення вразливості;

опис вразливості;

реєстраційний номер звіту;

про користувачів, на яких могли вплинути наслідки у разі використання вразливості;

можливі наслідки, якщо такою вразливістю скористатися;

технічні особливості та інструкції щодо користування системою після внесення змін до системи.

Власник системи може прийняти рішення про оприлюднення інформації про виявлену вразливість до внесення змін до системи.

Якщо публічною пропозицією передбачено публічне висловлювання подяки, власник системи або організатор публікує повідомлення з висловленням подяки досліднику, в якому зазначається власне ім’я та прізвище або псевдонім дослідника (за його згодою).

12. Узгоджене розкриття вразливостей системи є процесом офіційного поширення інформації про вразливості системи, в яких обробляються державні інформаційні ресурси, з метою подальшого реагування в рамках національної системи реагування на кіберінциденти, кібератаки, кіберзагрози.

Порядок доповнено пунктом 12 згідно з Постановою КМ № 1580 від 03.12.2025

13. Дослідник має право без згоди власника системи здійснювати пошук та виявлення вразливостей системи без втручання в її роботу (функціонування) та за умови нездійснення експлуатації вразливості.

За результатами виявлення вразливості дослідник невідкладно, але в будь-якому разі не пізніше 24 годин, надсилає повідомлення про вразливість власнику системи, в якій виявлено вразливість, національній команді реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA або відповідним галузевим/регіональним командам реагування на кіберінциденти, кібератаки, кіберзагрози CSIRT за формою, розміщеною на їх офіційних веб-сайтах. Дослідник має право повідомити про вразливість анонімно або із зазначенням свого псевдоніма.

Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA або галузеві/регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози CSIRT, власники систем, в яких обробляються державні інформаційні ресурси, розміщують на власних офіційних веб-сайтах форму повідомлення про вразливість.

Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, як координатор узгодженого розкриття вразливостей, визначає форму повідомлення про вразливість.

Форма повідомлення про вразливість повинна містити необхідний мінімум технічної інформації, достатньої для відтворення та перевірки вразливості без здійснення її експлуатації.

Порядок доповнено пунктом 13 згідно з Постановою КМ № 1580 від 03.12.2025

14. Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA або галузеві/регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози CSIRT, які отримали відповідне повідомлення, передбачене пунктом 13 цього Порядку, від дослідника про виявлену вразливість системи, фіксують дату надходження повідомлення про вразливість, присвоюють йому реєстраційний номер, забезпечують анонімність дослідника у разі, коли дослідник зазначив про таку необхідність під час подання форми, реєструють його із зазначенням дати надходження та присвоєного реєстраційного номера.

Після проведення аналізу вразливості, зокрема оцінки потенційного впливу вразливості на національну систему кібербезпеки, національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA або галузеві/регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози CSIRT здійснюють поширення інформації про вразливість в рамках національної системи обміну інформацією про кіберінциденти, кібератаки, кіберзагрози та разом із власником системи вживають заходів реагування в рамках національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, а також у разі потреби ініціюють взаємодію з іншими суб’єктами національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, координують подальші дії під час узгодженого розкриття вразливості.

Порядок доповнено пунктом 14 згідно з Постановою КМ № 1580 від 03.12.2025

15. Власник системи після отримання повідомлення про вразливість проводить його перевірку та, оцінивши можливі наслідки використання вразливості стосовно системи, приймає рішення щодо внесення або невнесення змін до системи.

Порядок доповнено пунктом 15 згідно з Постановою КМ № 1580 від 03.12.2025

16. Публічне поширення інформації про виявлені вразливості за умови отримання згоди власника системи, в якій виявлено вразливість, у разі, коли таке публічне поширення інформації не створює ризиків порушення сталого, надійного та штатного режиму функціонування системи та/або порушення конфіденційності, цілісності, доступності інформації в системі, можуть здійснювати національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA або галузеві/регіональні команди реагування на кіберінциденти, кібератаки, кіберзагрози CSIRT, або дослідники, які виявили вразливості.

Порядок доповнено пунктом 16 згідно з Постановою КМ № 1580 від 03.12.2025