Неофициальный перевод (с) ООО СоюзПравоИнформ

ЗАКОН УКРАИНЫ

от 27 марта 2025 года №4336-IX

О внесении изменений в некоторые Законы Украины относительно защиты информации и киберзащиты государственных информационных ресурсов, объектов критической информационной инфраструктуры

Верховная Рада Украины постановляет:

I. Внести изменения в такие законы Украины:

1. В Законе Украины "О защите информации в информационно-коммуникационных системах" (Ведомости Верховной Рады Украины, 2005 г., №26, ст. 347 со следующими изменениями):

1) в части первой статьи 1:

абзацы третий, седьмой и пятнадцатый изложить в следующей редакции:

"утечка информации-результат действий или бездействия, вследствие которых информация, обрабатываемая в системе или устройством обработки информации, становится известной или доступной физическим и/или юридическим лицам, не имеющим права доступа к ней";

"защита информации в системе-деятельность, направленная на предотвращение нарушения целостности, конфиденциальности и доступности информации в системе";

"обработка информации в системе - выполнение одной или нескольких операций, в частности сбор, ввод, запись, преобразование, считывание, хранение, уничтожение, Регистрация, прием, получение, передача, осуществляемые в системе с помощью технических и программных средств или автономно (без подключения к другим средствам обработки информации, линиям связи или сетям передачи данных) устройствами обработки информации";

дополнить с учетом алфавитного порядка терминами следующего содержания:

"авторизация по безопасности-решение о возможности функционирования (эксплуатации) соответствующей информационной, электронной коммуникационной, информационно-коммуникационной, технологической системы с учетом ее соответствия требованиям законодательства, национальным стандартам и нормативным документам в сферах технической защиты, криптографической защиты и киберзащиты, принимаемой в установленном законодательством порядке";

"авторизованная система по безопасности-информационная, электронная коммуникационная, информационно-коммуникационная, технологическая система или ее отдельные элементы, объект критической информационной инфраструктуры, в которых введены меры и/или системы по безопасности информации, прошедшие авторизацию по безопасности";

"комплекс технической защиты информации-совокупность мероприятий, средств технической защиты информации, предназначенных для защиты информации от утечки техническими каналами в информационных, электронных коммуникационных и информационно-коммуникационных системах";

"Устройства обработки информации-технические устройства (средства) обработки информации, в которых технически невозможно реализовать программные процедуры разграничения доступа пользователей и другие функциональные услуги безопасности";

"перечень авторизованных систем по безопасности - единая электронная база данных, содержащая сведения об авторизованных системах по безопасности информационных, электронных коммуникационных, информационно-коммуникационных и технологических систем, в которых обрабатываются государственные информационные ресурсы или служебная информация и информация, составляющая государственную тайну, объектов критической информационной инфраструктуры, владельцами или распорядителями которых являются органы государственной власти, государственные органы, государственные предприятия, учреждения и организации, органы местного самоуправления, порядок ведения которой, порядок внесения данных по авторизованным системам по безопасности к которой и порядок доступа и предоставления информации по которой определяются специально уполномоченным центральным органом исполнительной власти по вопросам организации специальной связи и защиты информации. Информация об авторизованных системах по безопасности, содержащаяся в перечне, является открытой, общедоступной и бесплатной, кроме информации с ограниченным доступом и информации, доступ к которой ограничен в соответствии с законодательством на период действия военного положения";

"технический канал утечки информации-взаимосвязанная совокупность источника опасного сигнала, среды его распространения и средства технической разведки, направленная на обеспечение утечки информации";

2) статью 8 изложить в следующей редакции:

"Статья 8. Условия обработки информации в системе

Условия обработки информации в системе, объекте критической информационной инфраструктуры определяются собственником или распорядителем соответствующей системы с учетом требований по защите информации, определенных законодательством.

Государственные информационные ресурсы или информация с ограниченным доступом, требование по защите которой установлено законом, в системах, объектах критической информационной инфраструктуры, владельцами или распорядителями которых являются органы государственной власти, государственные органы, государственные предприятия, учреждения и организации, органы местного самоуправления, должны обрабатываться в авторизованных системах по безопасности или путем получения сертификата соответствия стандарту информационной безопасности, выданного органом по оценке соответствия.

Авторизация по безопасности систем, объектов критической информационной инфраструктуры, владельцами или распорядителями которых являются органы государственной власти, государственные органы, государственные предприятия, учреждения и организации, органы местного самоуправления, а также подтверждение соблюдения требований по безопасности относительно таких систем, объектов критической информационной инфраструктуры в течение их жизненного цикла осуществляются в порядке, установленном Кабинетом Министров Украины.

Составляющей такого порядка авторизации по безопасности должно быть установление уведомительного (декларативного) принципа относительно принятия владельцем или распорядителем системы, объекта критической информационной инфраструктуры (кроме тех, в которых обрабатывается информация, составляющая государственную тайну) решения об осуществлении авторизации по безопасности с учетом соответствующих профилей безопасности, а также сроки и порядок подтверждения соблюдения требований в соответствии с базовым, целевым и отраслевым (при наличии) профилей безопасности в течение жизненного цикла соответствующей системы, объекта критической информационной инфраструктуры.

Подтверждение соответствия стандарта информационной безопасности по результатам процедуры по оценке соответствия национальным стандартам Украины осуществляется органом по оценке соответствия, который аккредитован национальным органом Украины по аккредитации или национальным органом по аккредитации иностранного государства, если национальный орган Украины по аккредитации и национальный орган по аккредитации соответствующего государства являются членами Международной или региональной организации по аккредитации и/или заключили с такой организацией соглашение о взаимном признании по оценке соответствия.

Процедура получения сертификата соответствия стандарту информационной безопасности не применяется к системам, в которых обрабатывается информация, составляющая государственную тайну.

Авторизация по безопасности или получение сертификата соответствия стандарту информационной безопасности относительно систем, в которых обрабатываются государственные информационные ресурсы или служебная информация и информация, составляющая государственную тайну, объектов критической информационной инфраструктуры, владельцами или распорядителями которых являются органы государственной власти, государственные органы, государственные предприятия, учреждения и организации, органы местного самоуправления, осуществляется при одновременном соблюдении следующих условий: