Деякі питання об’єктів критичної інформаційної інфраструктури
{Із змінами, внесеними згідно з Постановою КМ
№ 991 від 02.09.2022}
Відповідно до абзацу першого частини третьої статті 4 Закону України “Про основні засади забезпечення кібербезпеки України” Кабінет Міністрів України постановляє:
1. Затвердити такі, що додаються:
Порядок формування переліку об’єктів критичної інформаційної інфраструктури;
Порядок внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування.
2. Адміністрації Державної служби спеціального зв’язку та захисту інформації:
сформувати перелік об’єктів критичної інформаційної інфраструктури та внести в установленому порядку Кабінетові Міністрів України;
створити державний реєстр об’єктів критичної інформаційної інфраструктури та забезпечити його функціонування;
встановити форму подання відомостей до державного реєстру об’єктів критичної інформаційної інфраструктури.
3. Міністерствам та іншим органам виконавчої влади протягом шести місяців сформувати секторальні переліки об’єктів критичної інформаційної інфраструктури, що належать до сфери їх управління, забезпечити їх ведення та надання Адміністрації Державної служби спеціального зв’язку та захисту інформації відомостей про об’єкти критичної інформаційної інфраструктури.
4. Визнати такою, що втратила чинність, постанову Кабінету Міністрів України від 23 серпня 2016 р. № 563 “Про затвердження Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави” (Офіційний вісник України, 2016 р., № 69, ст. 2332).
ПОРЯДОК
формування переліку об’єктів критичної інформаційної інфраструктури
1. Цей Порядок визначає механізм формування національного та секторальних переліків об’єктів критичної інформаційної інфраструктури.
2. Терміни, що вживаються у цьому Порядку, мають таке значення:
безпека об’єкта критичної інфраструктури - стан захищеності об’єкта критичної інфраструктури, за якого забезпечується функціональність і безперервність його роботи та/або можливість надання ним основних послуг;
власник та/або керівник об’єкта критичної інфраструктури (далі - оператор основних послуг) - державний орган, підприємство, установа, організація будь-якої форми власності, юридична та/або фізична особа, якому/якій на правах власності, оренди або на інших законних підставах належить об’єкт критичної інфраструктури або який/яка відповідає за його поточне функціонування;
життєво важливі послуги та функції (далі - основні послуги) - послуги, які надаються, та функції, що виконуються, операторами основних послуг, збої та переривання у наданні (виконанні) яких призводять до негативних наслідків для населення, суспільства, соціально-економічного стану та національної безпеки і оборони України;
захист об’єктів критичної інформаційної інфраструктури - організаційні, нормативно-правові, інженерно-технічні та інші заходи, спрямовані на забезпечення безпеки об’єктів критичної інформаційної інфраструктури;
ідентифікація об’єкта критичної інформаційної інфраструктури - процедура віднесення об’єкта інформаційної інфраструктури до об’єктів критичної інформаційної інфраструктури;
критична інформаційна інфраструктура - сукупність об’єктів критичної інформаційної інфраструктури;
сектор (підсектор) критичної інфраструктури - сукупність об’єктів критичної інфраструктури, які належать до одного сектору (підсектору) економіки та/або мають спільну функціональну спрямованість;
уповноважений орган державної влади, відповідальний за сектор (підсектор) критичної інфраструктури (далі - уповноважений орган), - центральний орган виконавчої влади, інший державний орган, який забезпечує формування та/або реалізацію державної політики в одній чи кількох сферах.
Інші терміни вживаються у значенні, наведеному в Законах України “Про інформацію”, “Про електронні комунікації”, “Про захист інформації в інформаційно-комунікаційних системах” та “Про основні засади забезпечення кібербезпеки України”.
{Абзац десятий пункту 2 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 }
3. Оператор основних послуг проводить ідентифікацію об’єктів критичної інформаційної інфраструктури, що забезпечують функціонування об’єкта критичної інфраструктури та надання ним основних послуг.
4. Ідентифікація об’єктів критичної інформаційної інфраструктури проводиться у такому порядку:
оператор основних послуг визначає всі об’єкти інформаційної інфраструктури (автоматизовані, інформаційні, електронні комунікаційні, інформаційно-комунікаційні системи, автоматизовані системи управління технологічними процесами), що експлуатуються на об’єкті критичної інфраструктури;
{Абзац другий пункту 4 із змінами, внесеними згідно з Постановою КМ № 991 від 02.09.2022 }
оператор основних послуг визначає, які з наведених об’єктів інформаційної інфраструктури необхідні для забезпечення безперервного та стійкого функціонування об’єкта критичної інфраструктури з точки зору надання ним основних послуг, та проводить оцінку їх критичності.