Голові Державної служби спеціального
зв'язку та захисту інформації України
ПОТІЮ О.В.
Вих. № 125
від 28.10.2025
Інформація на лист Адміністрації Держспецзв’язку
від 21.10.2025 № 04/04/02-11266/2025
Шановний Олександре Володимировичу!
Інтернет Асоціація України (ІнАУ) засвідчує Вам свою повагу та у відповідь на лист Адміністрації Держспецзв’язку від 21.10.2025 № 04/04/02-11266/2025, а також Протокол від 16.10.2025 узгоджувальної наради щодо проєкту наказу Адміністрації Держспецзв’язку «Про встановлення вимог щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури» (далі – проєкт наказу), повідомляє наступне.
1. Звертаємо увагу, що ІнАУ не погоджується з висновком у Протоколі про те, що пропозиції та зауваження, надані до проєкту наказу ІнАУ листом від 02.10.2025 № 120, є врегульованими, оскільки ми наразі не ознайомлені з доопрацьованою редакцією проєкту наказу.
2. За результатом опрацювання зауважень та пропозицій до проєкту наказу, у т.ч. у ході засідання 16.10.2025, додатково уточнюємо наші зауваження та пропозиції до проєкту наказу і просимо їх урахувати.
2.1. Щодо Порядку підтвердження постачальниками товарів, робіт, послуг відповідності впроваджених заходів безпеки інформації встановленим вимогам відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт, послуг власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури.
У п. 2 зазначено: «Цей Порядок застосовується до постачальників товарів, робіт, послуг і власників або розпорядників систем в разі, якщо товари, роботи, послуги, які постачають постачальники, забезпечують функціонування систем.»
Але у додатках до проєкту наказу та у Законі «Про захист інформації в інформаційно-комунікаційних системах», Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем, затвердженому постановою Кабінету Міністрів України від 18 червня 2025 року № 712, відсутнє визначення поняття «функціонування систем». Також в зазначених нормативно-правових актах застосовується додатково слово (експлуатація), що уточнює поняття «функціонування систем».
З урахуванням зазначеного, пропонуємо або надати визначення поняття «функціонування систем» або, принаймні, доповнити словом «експлуатація»: «…..забезпечують функціонування (експлуатацію) систем.». У такому разі буде зрозуміло, що товари, роботи і послуги стосуватимуться лише забезпечення експлуатації систем, оскільки поняття функціонування значно ширше і може на практиці трактуватись взагалі як таке, що стосується абсолютно усіх товарів, робіт і послуг, ледь дотичних до забезпечення функціонування систем.
Аналогічні зміни пропонуємо внести і до інших проєктів документів у складі проєкту наказу.
Крім цього, вважаємо доцільним скласти орієнтовний перелік таких товарів, робіт і послуг при застосуванні цього Порядку. Виконання цієї пропозиції, вважаємо, більше орієнтуватиме постачальників та власників/розпорядників про вимоги наказу Адміністрації Держспецзв’язку та забезпечуватиме його чітке та однозначне розуміння та виконання.
У пункті 5 проєкту Порядку зазначено: «Виконання вимог відповідно до другого – четвертого рівнів ризику підтверджується постачальником шляхом проведення авторизації з безпеки та наявності інформаційно-комунікаційної системи постачальника у переліку авторизованих систем з безпеки.»
З проведених обговорень проєкту наказу та формулювання у цьому пункті проєкту Порядку слідує, що усі постачальники (фізичні та юридичні особи, які підпадають під регулювання цим наказом) повинні провести авторизацію з безпеки та бути включеними до переліку авторизованих систем з безпеки.
На наш погляд, реалізація такої вимоги у наказі буде сумнівною та може мати негативні наслідки. По-перше, не кожна юридична, а, тим більше, фізична особа буде здійснювати авторизацію систем безпеки, оскільки, як мінімум, це не потрібно невеликим за обсягами постачання фізичним та юридичним особам. Відтак, ринок постачання товарів, робіт і послуг значно зменшиться, і не виключаємо, що у якихось невеликих населених пунктах взагалі зникне. Тобто, така вимога може мати негативний наслідок на ринок постачання товарів, робіт і послуг власникам/розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури. І, особливо, це може мати небезпечно негативні наслідки саме на забезпечення стабільної діяльності об’єктів критичної інформаційної інфраструктури. По-друге, виникає сумнів в тому, що кожен постачальник (фізична чи юридична особа) зможуть виконати вимоги постанови Кабінету Міністрів України від 18 червня 2025 р. № 712, з огляду на положення пунктів 1, 5 Порядку авторизації з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних систем.
2.2. Вимоги щодо запровадження постачальниками заходів безпеки відповідно до рівня ризику, пов’язаного з постачанням товарів, робіт і послуг власникам або розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури.
Відповідно до визначення у Законі: інформаційно-комунікаційна система - сукупність інформаційних та електронних комунікаційних систем, які у процесі обробки інформації діють як єдине ціле.
З огляду на це визначення, з п. 4 пропонуємо виключити наступні абзаци:
«здійснювати супровід і контроль дій відвідувачів у приміщення, де розташовано обладнання ІКС постачальника;
вести журнали аудиту фізичного доступу до приміщення, де розташовано обладнання ІКС постачальника;».
Вважаємо сумнівним, що реалізація таких заходів постачальником, враховуючи, що система – це єдине ціле, має важливе значення при постачанні товарів, робіт і послуг, що належать до першого рівня ризику і взагалі може бути реалізованою на практиці. Це формальні заходи, які лише створюють додаткові незручності для діяльності постачальників.
2.3. Критерії критичності товарів, робіт, послуг, що постачаються власникам або розпорядникам інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури.
Відповідно до п.4 проєкту Критеріїв: «Критерії критичності товарів, робіт та послуг, що постачаються власникам або розпорядникам систем є: перший критерій критичності – товари, роботи і послуги, що постачаються власникам або розпорядникам систем не стосуються участі інформаційно-комунікаційної системи постачальника в обробці державних інформаційних ресурсів або службової інформації та інформації, що становить державну таємницю».
Пропонуємо доопрацювати цей пункт проєкту Критеріїв та скласти орієнтовний перелік таких товарів, робіт і послуг, які відносяться до першого критерію критичності.
3. Також, з урахуванням зауважень та пропозицій, наданих у цьому листі та, враховуючи пропозиції та зауваження, надані ІнАУ до проєкту наказу листом від 02.10.2025 № 120, пропонуємо:
- додатки до проєкту наказу сформувати одним документом, що полегшить його сприйняття, прочитання та застосування суб’єктами, на яких положення цього наказу будуть спрямовані. При цьому, такий один документ може мати відповідні розділи, що, на наш погляд, забезпечить дотримання Адміністрацією Держспецзв’язку вимог п.п. 95²⁵ п. 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411;
- доповнити пунктом, в якому буде визначено вичерпний перелік документів, які повинен мати постачальник при реалізації товарів, робіт і послуг власникам/розпорядникам інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктам критичної інформаційної інфраструктури.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК