Про затвердження Порядĸу сĸануван... | від 15.01.2016 № 20 (Теĸст для друĸу)
24/09/2022, 00:53
спеціального зв’язку
та захисту інформації України
15 січня 2016 року № 20
(у редакції наказу Адміністрації
Державної служби
спеціального зв’язку
та захисту інформації України
від 28 жовтня 2021 року № 640)
Зареєстровано в Міністерстві
юстиції України
05 лютого 2016 р.
за № 196/28326
ПОРЯДОК
сканування на предмет вразливості державних інформаційних
ресурсів, розміщених в Інтернеті
І. Загальні положення
1. Цей Порядок визначає організаційні засади проведення сканування на предмет
вразливості державних інформаційних ресурсів, розміщених в Інтернеті (далі - сканування).
2. Терміни у цьому Порядку вживаються у значеннях, наведених у Законах України «Про
захист інформації в інформаційно-телекомунікаційних системах», «Про телекомунікації», «Про
Державну службу спеціального зв’язку та захисту інформації України», «Про основні засади
забезпечення кібербезпеки України».
3. Сканування є однією з форм проведення оцінки стану захищеності інформації в
інформаційно-телекомунікаційних системах (далі - ІТС) і полягає у дистанційній перевірці ІТС,
яка забезпечує розміщення державних інформаційних ресурсів у мережі Інтернет (далі розміщені в Інтернеті ДІР), на предмет виявлення в ній вразливостей, які створюють
передумови до порушення конфіденційності, цілісності та доступності інформації та державних
інформаційних ресурсів, що обробляються ІТС, або спостережності самої IТС.
4. Об’єктами сканування є ІТС, в якій обробляються розміщені в Інтернеті ДІР, її окремі
елементи, програмні і програмно-апаратні засоби, що застосовані в ІТС, незалежно від
наявності побудованої комплексної системи захисту інформації та/або системи управління
інформаційною безпекою з підтвердженою відповідністю.
5. Сканування проводиться згідно зі встановленим Порядком оцінки стану захищеності
державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційнотелекомунікаційних системах, затвердженим наказом Адміністрації Держспецзв’язку від 02
грудня 2014 року № 660, зареєстрованим в Міністерстві юстиції України 28 січня 2015 року за
№ 90/26535 (далі - Порядок оцінки).
6. Сканування проводиться Державним центром кіберзахисту Державної служби
спеціального зв’язку та захисту ��нформації України (далі - ДЦКЗ Держспецзв’язку) відповідно
до Порядку оцінки:
за письмовим зверненням державного органу, органу місцевого самоврядування,
військового формування, підприємства, установи і організації державної форми власності (далі
- розпорядник розміщених в Інтернеті ДІР);
в автоматичному режимі відповідно до переліку об’єктів сканування, який формується у
рамках планування проведення оцінки стану захищеності в державних органах, органах
місцевого самоврядування, військових формуваннях, на підприємствах, в установах і
організаціях незалежно від форм власності (далі - Перелік об’єктів сканування).
7. Посадовим особам ДЦКЗ Держспецзв’язку, що безпосередньо проводять сканування,
забороняється розголошувати його результати третім сторонам, крім випадків, передбачених
законодавством та цим Порядком, а також використовувати виявлені вразливості для
проведення дій, що можуть призвести до порушення штатного режиму функціонування ІТС, що
сканується, порушення цілісності, конфіденційності та доступності інформації та розміщених в
Інтернеті ДІР, а також для отримання доступу до персональних даних, що можуть оброблятися
в ІТС.
8. У разі виявлення під час сканування випадків порушення правил обробки та захисту
інформації, що може спричинити розголошення службової інформації або інформації, що
становить державну таємницю, Держспецзв’язку інформує Службу безпеки України про факти
порушень протягом п’яти календарних днів з моменту їх виявлення.
II. Сканування за письмовим зверненням
1. Власник ІТС, у якій обробляються державні інформаційні ресурси, у разі потреби
https://zakon.rada.gov.ua/laws/show/z0196-16/print
Page 2 of 5