Неофициальный перевод (с) ООО СоюзПравоИнформ

ПОСТАНОВЛЕНИЕ КАБИНЕТА МИНИСТРОВ УКРАИНЫ

от 3 декабря 2025 года №1580

Некоторые вопросы поиска и выявления потенциальных уязвимостей в информационно-коммуникационных системах

В соответствии с частью седьмой статьи 8 Закона Украины "Об основных принципах обеспечения кибербезопасности Украины" Кабинет Министров Украины постановляет:

1. Утвердить Порядок поиска и/или выявления потенциальных уязвимостей в информационных, электронных коммуникационных и информационно-коммуникационных системах, в которых обрабатываются государственные информационные ресурсы или информация с ограниченным доступом, требование по защите которой установлено законом, а также на объектах критической информационной инфраструктуры, который прилагается.

2. Внести в Порядок поиска и выявления потенциальной уязвимости информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей, утвержденного постановлением Кабинета Министров Украины от 16 мая 2023 г. №497 (Официальный вестник Украины, 2023 г., №52, ст. 2911), изменения, которые прилагаются.

Утвержден Постановлением Кабинета Министров Украины от 3 декабря 2025 года №1580

Порядок поиска и/или выявления потенциальных уязвимостей в информационных, электронных коммуникационных и информационно-коммуникационных системах, в которых обрабатываются государственные информационные ресурсы или информация с ограниченным доступом, требование по защите которой установлено законом, а также на объектах критической информационной инфраструктуры

1. Настоящий Порядок определяет механизм осуществления поиска и/или выявления потенциальных уязвимостей в информационных, электронных коммуникационных, информационно-коммуникационных системах, в которых обрабатываются государственные информационные ресурсы или информация с ограниченным доступом, требование по защите которой установлено законом, на объектах критической информационной инфраструктуры (далее - системы).

2. В настоящем Порядке термин "сканирование системы" означает организационно-техническое мероприятие по выявлению рисков кибербезопасности в системе путем пассивного или активного поиска, выявления и анализа потенциальных уязвимостей.

Другие термины употребляются в значении, приведенном в Законах Украины "Об основных принципах обеспечения кибербезопасности Украины", "Об электронных коммуникациях", "О защите информации в информационно-коммуникационных системах", "О государственной службе специальной связи и защиты информации Украины", Порядке поиска и выявления потенциальной уязвимости информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей, утвержденного постановлением Кабинета Министров Украины от 16 мая 2023 г. №497 (Официальный вестник Украины, 2023 г., №52, ст. 2911).

3. Организационно-техническими мероприятиями по поиску и/или выявлению потенциальных уязвимостей в системах являются:

сбор, анализ и распространение информации об уязвимостях, осуществляемых на постоянной основе субъектами национальной системы реагирования на киберинциденты, кибератаки и киберугрозы, владельцами или разрядниками систем;

сканирование систем, обеспечивающих размещение государственных информационных ресурсов в Интернете;

оценка состояния защищенности систем с целью поиска потенциальной уязвимости;

внедрение программы поиска и выявления потенциальных уязвимостей за вознаграждение и согласованное раскрытие уязвимостей.

4. Поиск и/или выявление потенциальных уязвимостей в системах обеспечивается владельцем или распорядителем системы на постоянной основе с момента ввода системы в промышленную эксплуатацию с учетом особенностей, определенных настоящим Порядком.

Владелец или распорядитель системы обеспечивает своевременное выявление потенциальных уязвимостей, в частности путем проведения организационно-технических мероприятий, определенных настоящим Порядком, осуществляет в установленном порядке управление уязвимостями в рамках выполнения базовых мероприятий по киберзащите, использует доступные средства, механизмы и сервисы для выявления новых уязвимостей, своевременного их устранения или минимизации рисков их эксплуатации.

5. Субъекты национальной системы реагирования на киберинциденты, кибератаки и киберугрозы, владельцы или разрядники систем на постоянной основе осуществляют сбор, анализ и распространение информации об уязвимостях в системах.

Сбор информации о потенциальных уязвимостях может осуществляться из любых доступных источников, в частности на основании договоров и других соглашений с юридическими или физическими лицами (резидентами или нерезидентами Украины) или международных договоров, в рамках государственно-частного взаимодействия, организационно-технических мероприятий, предусмотренных настоящим Порядком, а также других источников, не запрещенных законодательством.

6. Национальная команда реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA, отраслевые и региональные команды реагирования на киберинциденты, кибератаки и киберугрозы CSIRT распространяют информацию о потенциальных уязвимостях и рекомендации по их выявлению, предотвращению, устранению и минимизации потенциальных последствий их использования в рамках национальной системы обмена информацией о киберинцидентах, кибератаках, киберугрозах и обнародуют такую информацию и рекомендации на собственных официальных веб-сайтах.

7. Владельцы и распорядители систем учитывают полученную от национальной команды реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA и отраслевых и региональных команд реагирования на киберинциденты, кибератаки и киберугрозы CSIRT информацию о потенциальных уязвимостях и с учетом предоставленных рекомендаций осуществляют управление уязвимостями в рамках выполнения базовых мер по киберзащите.

8. Национальная команда реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA информирует администрацию Госспецсвязи и Ситуационный центр обеспечения кибербезопасности СБУ о выявленных потенциальных уязвимостях информационных, электронных коммуникационных и информационно-коммуникационных систем, в которых обрабатываются государственные информационные ресурсы или служебная информация и информация, составляющая государственную тайну, а также объектов критической информационной инфраструктуры с указанием обязательных и/или рекомендуемых мер реагирования для предоставления требования о реагировании.

Обязательные к выполнению требования о реагировании владельцам или распорядителям систем предоставляются в пределах полномочий СБУ и Администрацией Госспецсвязи - с целью принятия мер оперативного реагирования на киберинциденты, кибератаки, киберугрозы.

9. Сканирование систем, обеспечивающих размещение государственных информационных ресурсов в интернете, осуществляется Государственным центром киберзащиты Госспецсвязи в соответствии с Порядком сканирования на предмет уязвимости государственных информационных ресурсов, размещенных в сети Интернет, утвержденного приказом администрации Госспецсвязи от 15 января 2016 г. №20.

10. Сканирование систем, обеспечивающих размещение государственных информационных ресурсов в Интернете, проводится планово согласно годовому плану, который утверждается приказом администрации Госспецсвязи, или внепланово по письменному обращению органа государственной власти, другого государственного органа, органа местного самоуправления, собственника или распорядителя объекта критической информационной инфраструктуры, оператора критической инфраструктуры.

11. По результатам сканирования систем, обеспечивающих размещение государственных информационных ресурсов в Интернете, Государственный центр киберзащиты Госспецсвязи в течение 15 календарных дней со дня выявления уязвимости сообщает:

владельцу или распорядителю системы о выявленных уязвимостях и недостатках в настройке системы с предоставлением соответствующих рекомендаций по их устранению или минимизации риска эксплуатации уязвимости;

национальной команде реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA или отраслевым и региональным командам реагирования на киберинциденты, кибератаки и киберугрозы CSIRT об обнаруженных уязвимостях.

12. Оценка состояния защищенности систем с целью поиска потенциальных уязвимостей осуществляется в соответствии с порядком оценки состояния киберзащиты информационных, электронных коммуникационных и информационно-коммуникационных систем, в которых обрабатываются государственные информационные ресурсы или служебная информация и информация, составляющая государственную тайну, объектов критической инфраструктуры, объектов критической информационной инфраструктуры, предусмотренного частью третьей статьи 5 Закона Украины "Об основных принципах обеспечения кибербезопасности Украины".

По результатам оценки состояния защищенности систем субъекты оценки состояния киберзащиты, которые осуществляли оценку состояния защищенности систем в соответствии с указанным порядком сообщают владельцу или распорядителю систем, а также национальной команде реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA или соответствующим отраслевым/региональным командам реагирования на киберинциденты, кибератаки и киберугрозы CSIRT о выявленных уязвимостях.

13. Поиск и/или выявление потенциальных уязвимостей в системах, в которых обрабатываются государственные информационные ресурсы, может осуществляться в соответствии с процедурами поиска и выявления уязвимостей за вознаграждение и согласованного раскрытия уязвимостей, определенных Порядком поиска и выявления потенциальной уязвимости информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных, утвержденным постановлением Кабинета Министров Украины от 16 мая 2023 г. №497.

14. С целью осуществления информационного обмена об уязвимостях, а также обеспечения совместимости и унификации подходов к регистрации, анализу и обнародованию уязвимостей национальная команда реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA координирует субъектов обеспечения кибербезопасности относительно согласованного раскрытия уязвимостей и обеспечивает взаимодействие с европейской базой уязвимостей, администрированной Агентством Европейского Союза по кибербезопасности ENISA.

Утверждены Постановлением Кабинета Министров Украины от 3 декабря 2025 года №1580

Изменения, которые вносятся в Порядок поиска и выявления потенциальной уязвимости информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей

1. Абзац первый пункта 1 после слов "(далее - поиск потенциальной уязвимости системы)" дополнить словами "путем разработки и проведения программ поиска и выявления уязвимостей за вознаграждение и согласованного раскрытия уязвимостей".

2. В пункте 2:

1) абзац второй изложить в следующей редакции:

"собственник или распорядитель системы (далее - собственник системы) - юридическое лицо любой формы собственности и/или физическое лицо-предприниматель, что на правах собственности, аренды или на других законных основаниях осуществляет управление системой и отвечает за ее текущее функционирование;";

2) дополнить пункт после абзаца шестого новым абзацем следующего содержания:

"эксплуатация уязвимости - любые действия по использованию уязвимости системы, которые могут привести к нарушению устойчивого, надежного и штатного режима функционирования системы и/или нарушению конфиденциальности, целостности, доступности информации в системе".

В связи с этим абзацы седьмой-двенадцатый считать соответственно абзацами восьмым-тринадцатым;

3) абзац тринадцатый после слов "О защите информации в информационно-коммуникационных системах" дополнить словами ", "О Государственной службе специальной связи и защиты информации Украины".

3. В пункте 3:

1) в абзаце втором слова "поиска потенциальной уязвимости системы" заменить словами "программ поиска и выявления уязвимостей системы за вознаграждение";

2) в абзаце третьем слова "поиска потенциальной уязвимости системы" заменить словами "программы поиска и обнаружения уязвимостей системы за вознаграждение".

4. Абзац первый пункта 4 после слов "уязвимости системы осуществляется" дополнить словом "исследователем".

5. В пункте 6:

1) абзац пятый после слов "внесение изменений в систему," дополнить словами "источники выплаты вознаграждения";

2) в абзаце шестом слова "период неразглашения информации" заменить словами "условие о неразглашении или период неразглашения информации";

3) дополнить пункт абзацем следующего содержания:

"Привлечение услуг организатора и организация программ поиска потенциальных уязвимостей системы, а также привлечение исследователей может осуществляться на условиях государственно-частного взаимодействия, в том числе за счет источников, не запрещенных законодательством.".

6. В пункте 7:

1) в абзаце первом слово "может" заменить словами "с соблюдением условий публичного предложения имеет право";

2) последний абзац после слова "осуществлять" дополнить словами "эксплуатацию уязвимости,".

7. Пункт 8 дополнить абзацем следующего содержания:

"На основании данных, изложенных в отчете, исследователь одновременно сообщает об обнаруженной уязвимости национальной команде реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA или соответствующим отраслевым/региональным командам реагирования на киберинциденты, кибератаки, киберугрозы CSIRT путем представления информации по форме, размещенной на их официальных веб-сайтах.".

8. Пункт 10 изложить в следующей редакции:

"10. Владелец системы и/или организатор проверяет полученный отчет на соответствие требованиям, определенным публичным предложением, предмет наличия в нем информации об уязвимости системы, выявленной ранее другими исследователями, изучает условия и возможные риски использования выявленной уязвимости.

По результатам проверки отчета владелец системы оценивает возможные последствия использования уязвимости системы для ее безопасности, нарушения устойчивого, надежного и штатного режима ее функционирования, осуществления несанкционированного вмешательства в ее работу, создания угрозы для безопасности (защищенности) электронных информационных ресурсов, конфиденциальности, целостности, доступности таких ресурсов (далее - последствия уязвимости системы) и принимает решение о внесении или невнесении изменений в систему.

После проверки отчета владелец системы или организатор в течение 30 рабочих дней с даты регистрации такого отчета сообщает исследователю, национальной команде реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA или соответствующим отраслевым/региональным командам реагирования на киберинциденты, кибератаки, киберугрозы CSIRT о принятом решении о внесении или невнесении изменений в систему.

В случае получения от владельца системы или организатора уведомления о невнесении изменений в систему исследователь имеет право по окончании периода неразглашения информации об уязвимости обнародовать информацию об обнаруженной уязвимости и ее технических особенностях, если условиями публичного предложения не был предусмотрен запрет на разглашение информации об уязвимости.".

9. Абзац четвертый пункта 11 после слов "о внесении изменений в систему" дополнить словами ", если условиями публичного предложения не был предусмотрен запрет на разглашение информации об уязвимости,".

10. Дополнить Порядок пунктами 12-16 следующего содержания:

"12. Согласованное раскрытие уязвимостей системы является процессом официального распространения информации об уязвимостях системы, в которых обрабатываются государственные информационные ресурсы, с целью дальнейшего реагирования в рамках национальной системы реагирования на киберинциденты, кибератаки, киберугрозы.

13. Исследователь имеет право без согласия владельца системы осуществлять поиск и выявление уязвимостей системы без вмешательства в ее работу (функционирование) и при условии неосуществления эксплуатации уязвимости.

По результатам выявления уязвимости исследователь безотлагательно, но в любом случае не позднее 24 часов, отправляет сообщение об уязвимости владельцу системы, в которой обнаружена уязвимость, национальной команде реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA или соответствующим отраслевым/региональным командам реагирования на киберинциденты, кибератаки, киберугрозы CSIRT по форме, размещенной на их официальных веб-сайтах. Исследователь имеет право сообщить об уязвимости анонимно или с указанием своего псевдонима.

Национальная команда реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA или отраслевые/региональные команды реагирования на киберинциденты, кибератаки, киберугрозы CSIRT, владельцы систем, в которых обрабатываются государственные информационные ресурсы, размещают на собственных официальных веб-сайтах форму уведомления об уязвимости.

Национальная группа реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA, как координатор согласованного раскрытия уязвимостей, определяет форму сообщения об уязвимости.

Форма сообщения об уязвимости должна содержать необходимый минимум технической информации, достаточной для воспроизведения и проверки уязвимости без осуществления ее эксплуатации.

14. Национальная команда реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA или отраслевые/региональные команды реагирования на киберинциденты, кибератаки, киберугрозы CSIRT, которые получили соответствующее уведомление, предусмотренное пунктом 13 настоящего Порядка, от исследователя об обнаруженной уязвимости системы, фиксируют дату поступления сообщения об уязвимости, присваивают ему регистрационный номер, обеспечивают анонимность исследователя в случае, когда исследователь отметил о такой необходимости во время представления формы, регистрируют его с указанием даты поступления и присвоенного регистрационного номера.

После проведения анализа уязвимости, в частности оценки потенциального воздействия уязвимости на национальную систему кибербезопасности, национальная команда реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA или отраслевые/региональные команды реагирования на киберинциденты, кибератаки, киберугрозы CSIRT осуществляют распространение информации об уязвимости в рамках национальной системы обмена информацией о киберинцидентах, кибератаках, киберугрозах и вместе с владельцем системы принимают меры реагирования в рамках национальной системы реагирования на киберинциденты, кибератаки, киберугрозы, киберугрозы, а также в случае необходимости инициируют взаимодействие с другими субъектами национальной системы реагирования на киберинциденты, кибератаки, киберугрозы, координируют дальнейшие действия во время согласованного раскрытия уязвимости.

15. Владелец системы после получения уведомления об уязвимости проводит его проверку и, оценив возможные последствия использования уязвимости в отношении системы, принимает решение о внесении или невнесении изменений в систему.

16. Публичное распространение информации о выявленных уязвимостях при условии получения согласия владельца системы, в которой выявлена уязвимость, в случае, когда такое публичное распространение информации не создает рисков нарушения устойчивого, надежного и штатного режима функционирования системы и/или нарушения конфиденциальности, целостности, доступности информации в системе, могут осуществлять национальная группа реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA или отраслевые/региональные группы реагирования на киберинциденты, кибератаки, киберугрозы CSIRT, или исследователи, обнаружившие уязвимости.".

11. В тексте Порядка слово "координатор" во всех падежах заменить словом "организатор" в соответствующем падеже.