Постанова КМУ “Деякі питання надання та використання хмарних послуг та/або послуг центру обробки даних”
КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 11 лютого 2025 р. № 154
Київ
Деякі питання надання та використання хмарних послуг та/або послуг центру обробки даних
Відповідно до пункту 6 частини третьої статті 8, частини другої статті 10, статті 12, підпункту 1 пункту 3 статті 16 “Прикінцеві положення” Закону України “Про хмарні послуги” Кабінет Міністрів України постановляє:
1. Затвердити такі, що додаються:
Порядок надання хмарних послуг та/або послуг центру обробки даних, пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
вимоги до надавачів хмарних послуг та/або послуг центру обробки даних;
Порядок формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних;
Типовий договір про надання хмарних послуг та/або послуг центру обробки даних публічному користувачу хмарних послуг та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури.
до 31 грудня 2025 р. публічні користувачі хмарних послуг можуть ініціювати закупівлю хмарних послуг та/або послуг центру обробки даних у надавачів хмарних послуг та/або послуг центру обробки даних, не включених до переліку надавачів хмарних послуг та/або послуг центру обробки даних;
підготовка пропозицій щодо використання хмарних послуг та/або послуг центру обробки даних органами державної влади, органами влади Автономної Республіки Крим та їх розгляд здійснюються відповідно до Положення про формування та виконання Національної програми інформатизації, затвердженого постановою Кабінету Міністрів України від 2 лютого 2024 р. № 119 (Офіційний вісник України, 2024 р., № 18, ст. 1177).
ПОРЯДОК
надання хмарних послуг та/або послуг центру обробки даних, пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом
1. Цей Порядок визначає особливості надання хмарних послуг та/або послуг центру обробки даних (далі – послуги), пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом (далі – електронні інформаційні ресурси).
Дія цього Порядку не поширюється на відносини, визначені частинами третьою та четвертою статті 4 Закону України “Про хмарні послуги”.
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України “Про Державну службу спеціального зв’язку та захисту інформації України”, “Про електронні комунікації”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про інформацію”, “Про публічні електронні реєстри”, “Про основні засади забезпечення кібербезпеки України”, “Про хмарні послуги”.
3. Послуги надаються публічному користувачу хмарних послуг або користувачу хмарних послуг, що є власником (держателем, розпорядником) електронних інформаційних ресурсів (далі – користувач), надавачем послуг (далі – надавач) на підставі договору про надання послуг (далі – договір), строк дії якого повинен визначатися з урахуванням строку дії документа про відповідність, виданого акредитованим органом з оцінки відповідності в сфері електронних комунікацій, щодо відповідних послуг та не бути більшим строку дії такого документа.
4. Під час порівняння послуг та хмарної інфраструктури користувач враховує документ про відповідність, виданий акредитованим органом з оцінки відповідності в сфері електронних комунікацій, щодо відповідної послуги, який є достатнім документальним підтвердженням вимогам щодо управління інформаційною безпекою, неперервністю, безпеки мережевих та інформаційних систем надавачів.
5. Під час проведення аналізу ринку послуг з метою їх порівняння, зокрема щодо управління інформаційною безпекою, безперервністю та якістю надання послуг, їх впливу на довкілля, користувач використовує перелік надавачів, а також електронний каталог послуг.
6. Заходи з виконання вимог щодо захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, встановлених законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, можуть здійснюватися користувачами самостійно або надавачем.
У разі коли виконання таких вимог не може бути забезпечено надавачами, користувачі до початку користування послугами самостійно здійснюють заходи з виконання зазначених вимог.
7. Дані від користувача до надавача можуть передаватися з використанням матеріальних носіїв інформації або електронних комунікаційних мереж, засобів криптографічного захисту інформації з дотриманням вимог до цілісності, конфіденційності та доступності інформації, встановлених законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.
Для передачі електронних інформаційних ресурсів користувачами використовуються засоби криптографічного захисту з відповідними криптоалгоритмами та криптопротоколами, включеними до переліку стандартів та технічних специфікацій, дозволених для реалізації в засобах криптографічного захисту інформації, затвердженого Адміністрацією Держспецзв’язку, та/або ті, на які за результатами експертних досліджень Адміністрацією Держспецзв’язку видано позитивний експертний висновок, відповідно до технічних регламентів.
Інші умови передачі даних, у тому числі щодо структурування даних, форматів даних, визначаються договором.
Порядок та підстави для передачі електронних інформаційних ресурсів від одного надавача до іншого передбачаються в договорі. У всіх випадках така передача повинна здійснюватися з дотриманням вимог щодо цілісності, конфіденційності та доступності інформації, встановлених законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.
8. Передача даних від користувача до надавача, а також від надавача до користувача повинна здійснюватися у систематизованому та структурованому вигляді, що забезпечує їх належне використання та обробку. Дані повинні передаватися у машинозчитуваному форматі, що забезпечить можливість збереження логічної структури даних та дасть змогу автоматизованої обробки даних без застосування додаткових засобів щодо їх конвертації.
Інформація щодо процесів, технічних вимог, строків передачі електронних інформаційних ресурсів від одного надавача до іншого або відмови від послуг повинна бути надана користувачу до визначення переможця процедури закупівлі (спрощеної процедури закупівлі).
У разі переходу користувача до іншого надавача електронні інформаційні ресурси передаються надавачем до іншого надавача у повному обсязі. Витрати на проведення робіт, пов’язаних з передачею електронних інформаційних ресурсів, здійснюються надавачем, якому передаються електронні інформаційні ресурси.
У разі переходу користувача до іншого надавача такий користувач не пізніше ніж за один календарний місяць до запланованої дати припинення використання послуг повідомляє надавачу про необхідність передачі даних, а також умови та порядок такої передачі.
У разі відмови користувача від використання послуг такий користувач не пізніше ніж за один календарний місяць до запланованої дати припинення використання послуг повідомляє надавачу про рішення, умови та процедури передачі даних, а також їх видалення.
У всіх випадках передача електронних інформаційних ресурсів повинна здійснюватися з дотриманням вимог законодавства у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.
У разі переходу користувача до іншого надавача або відмови від використання послуг такому користувачу повинна надаватися інформація щодо:
попереднього розрахунку вартості робіт для передачі даних та припинення обробки;
технічних вимог в обсязі, достатньому для проведення оцінки сумісності під час переходу до іншого надавача або для збереження даних;
строку, протягом якого повинно бути здійснено перехід до іншого надавача, або передачі та порядку видалення даних та суми витрат, необхідних на проведення робіт, пов’язаних з передачею електронних інформаційних ресурсів.
9. Під час надання послуг, пов’язаних з обробкою електронних інформаційних ресурсів, повинна забезпечуватися інтероперабельність.
10. Користувачі відповідно до частини шостої статті 8 Закону України “Про основні засади забезпечення кібербезпеки України” створюють резервні копії національних електронних інформаційних ресурсів, що перебувають у їх володінні або розпорядженні та є критичними для їх сталого функціонування, крім тих, передача яких обмежена законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, та передають їх для зберігання до Національного центру резервування державних інформаційних ресурсів. Передача резервних копій здійснюється відповідно до Порядку передачі, збереження і доступу до резервних копій національних електронних інформаційних ресурсів, затвердженого постановою Кабінету Міністрів України від 7 квітня 2023 р. № 311 “Деякі питання функціонування Національного центру резервування державних інформаційних ресурсів” (Офіційний вісник України, 2023 р., № 40, ст. 2163), та Закону України “Про захист інформації в інформаційно-комунікаційних системах”.
11. Умови припинення використання хмарної інфраструктури та послуг центру обробки даних, в яких обробляються та зберігаються електронні інформаційні ресурси та резервні копії даних, визначаються договором.
Умови та порядок видалення (знищення) даних та їх резервних копій, що створені (накопичені) та/або передані надавачу під час виконання договору, повинні бути передбачені договором з урахуванням методичних рекомендацій, затверджених Адміністрацією Держспецзв’язку.
ВИМОГИ
до надавачів хмарних послуг та/або послуг центру обробки даних
1. Ці вимоги визначають заходи, які повинні бути здійснені надавачем хмарних послуг та/або послуг центру обробки даних (далі – надавач) для внесення відомостей про нього до переліку надавачів (далі – перелік), та порядок підтвердження відповідності надавача цим вимогам.
2. У цих вимогах терміни вживаються у значенні, наведеному в Законах України “Про електронні комунікації”, “Про захист інформації в інформаційно-комунікаційних системах”, “Про технічні регламенти та оцінку відповідності”, “Про критичну інфраструктуру”, “Про основні засади забезпечення кібербезпеки України”, “Про хмарні послуги”.
3. Надавач повинен відповідати вимогам, визначеним у статті 8 Закону України “Про хмарні послуги”, та цим вимогам.
4. Безпека системи та устаткування забезпечується шляхом впровадженням системи управління інформаційною безпекою та/або комплексної системи захисту інформації з підтвердженою відповідністю за результатами державної експертизи у сфері технічного захисту інформації.
5. Система управління інформаційною безпекою створюється відповідно до законодавства у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, національних та міжнародних стандартів у зазначених сферах.
6. Надавач забезпечує цілодобову охорону приміщень, будівель, споруд, які використовуються для надання хмарних послуг та/або послуг центру обробки даних (далі – послуги).
7. Врегулювання інцидентів кібербезпеки забезпечується шляхом:
1) здійснення технічних та організаційних заходів для реагування на всі відомі загрози безпеці системи, що використовує технологію хмарних обчислень;
2) розроблення рекомендацій щодо класифікації, встановлення пріоритетів та загострення інцидентів кібербезпеки;
3) утворення групи працівників надавача з реагування на надзвичайні ситуації для скоординованого врегулювання інцидентів кібербезпеки;
4) інформування про інциденти кібербезпеки публічних користувачів хмарних послуг або користувачів хмарних послуг, що є власниками (держателями, розпорядниками) електронних інформаційних ресурсів (далі – користувачі), яких ці інциденти стосуються;
5) збирання даних про інциденти кібербезпеки та проведення аналізу типових інцидентів кібербезпеки;
6) проведення регулярного навчання з реагування на інциденти кібербезпеки з метою встановлення їх ефективності та виявлення недоліків;
7) повідомлення Адміністрації Держспецзв’язку та урядовій команді реагування на комп’ютерні надзвичайні події України CERT-UA про будь-який інцидент, який має значний негативний вплив на надання послуг, у порядку, затвердженому Адміністрацією Держспецзв’язку.
Якщо зазначений вплив поширюється на державні інформаційні ресурси або інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законом, або на об’єкт критичної інформаційної інфраструктури, урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA невідкладно інформує Ситуаційний центр забезпечення кібербезпеки СБУ.
8. Управління безперервністю надання послуг забезпечується шляхом:
1) планування можливих сценаріїв реагування на кіберзагрози за результатами аналізу ризиків;
2) визначення пріоритетних хмарних ресурсів надавача, зупинення функціонування яких призведе до негативних наслідків надання послуг та/або їх припинення;
3) проведення оцінки залежності безперервного функціонування надання послуг від програмного забезпечення, субпідрядників;
4) прогнозування наслідків запланованих і незапланованих перерв у наданні послуг, збоїв у роботі хмарних ресурсів, що можуть виникати протягом певного часу;
5) визначення максимально допустимого строку перерв у наданні послуг та усунення збоїв у роботі хмарних ресурсів;
6) забезпечення наявності технічних та людських ресурсів, необхідних для відновлення роботи у визначені строки;
7) виконання плану заходів із забезпечення безперервності надання послуг;
8) упорядкування процесів, пов’язаних з функціонуванням хмарних ресурсів, а саме щодо:
закупівлі, введення в експлуатацію, технічного обслуговування, виведення з експлуатації та видалення (знищення) хмарних ресурсів;
ведення обліку хмарних ресурсів та позначення технічних засобів залежно від визначених рівня захисту та заходів із захисту інформації;
підтримання безпечної конфігурації механізмів обробки помилок у системі, що використовує технологію хмарних обчислень, реєстрації подій, шифрування, аутентифікації та авторизації в такій системі;
визначення вимог та процедур щодо використання версій програмного забезпечення та його оновлення, правил поводження з програмним забезпеченням, технічна підтримка якого не здійснюється;
запровадження обмежень на встановлення програмного забезпечення або використання послуг;
запровадження віддаленої деактивації, видалення (знищення) або блокування;
повного та незворотного видалення (знищення) даних під час виведення хмарного ресурсу з експлуатації;
видів та порядку проведення оновлень;
вимог щодо проведення тестування;
вимог щодо проведення термінових оновлень;
9) здійснення технічних та організаційних заходів для проведення моніторингу надання та припинення надання послуг, зокрема необхідних для забезпечення виконання умов договору про надання послуг публічному користувачу та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури щодо обсягу і якості надання послуг.
9. Надавач повинен запровадити інформування про поточні загрози та програми навчання працівників щодо безпеки інформації, які повинні охоплювати, зокрема, питання:
поводження із програмним забезпеченням, яке використовується для надання послуг;
поводження з даними користувачів;
здійснення дій у разі виникнення інцидентів кібербезпеки.
10. Надавач повинен розміщувати інформацію про наявність та доступність хмарних ресурсів, з якою користувач може ознайомитися на веб-сайті надавача, а також забезпечити можливість здійснення користувачами контролю за розподілом призначених їм системних ресурсів.
11. Надавач повинен запровадити здійснення заходів з автоматизованого контролю за наданням послуг.
12. Моніторинг, аудит та випробування проводяться шляхом:
1) запровадження механізмів реєстрації та моніторингу подій ненавмисного характеру, зокрема природного, технічного, технологічного, у тому числі внаслідок дії людського фактора, що мають вплив на програмне забезпечення, які повинні передбачати:
визначення подій ненавмисного характеру, зокрема природного, технічного, технологічного, помилкового, у тому числі внаслідок дії людського фактора, які можуть призвести до порушення безпеки захисту інформації;
визначення умов для початку, зупинення, зокрема тимчасового, реєстрації подій ненавмисного характеру, зокрема природного, технічного, технологічного, у тому числі внаслідок дії людського фактора;
проведення аналізу інформації про строк зберігання журналів реєстрації подій ненавмисного характеру, зокрема природного, технічного, технологічного, у тому числі внаслідок дії людського фактора, а також визначення працівників, що відповідають за реєстрацію зазначених подій та ведення журналів;
синхронізацію часу програмного забезпечення;
2) запровадження планування та проведення аудитів щодо виявлення, реєстрації та моніторингу дій, які можуть призвести до перерв/збоїв у наданні послуг або порушення умов договорів про надання послуг публічному користувачу та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури, що виконуються під час планового технічного обслуговування програмного забезпечення;
3) регулярного (не менш як один раз на квартал) проведення випробувань (навчань) для виявлення загальновідомих вразливостей програмного забезпечення, які використовуються для надання послуг;
4) здійснення випробувань (навчань) щодо можливості обходу та/або деактивації засобів захисту програмного забезпечення відповідно до визначеної надавачем методики, які повинні проводитися персоналом надавача, що має відповідну кваліфікацію, або із залученням інших осіб;
5) проведення аналізу результатів випробувань (навчань) щодо виявлення та усуненням вразливостей.
13. Надавач повинен проводити не менш як один раз на рік внутрішні аудити для перевірки відповідності системи внутрішнього контролю безпеки цим вимогам.
14. Надавач забезпечує відповідність міжнародному стандарту ISO/IEC 27001 або стандарту іноземної країни, прийнятому відповідно до міжнародного стандарту ISO/IEC 27001, або ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги”, ДСТУ ISO/IEC 27018:2019 “Інформаційні технології. Методи захисту. Кодекс усталеної практики для захисту персональної ідентифікаційної інформації (РII) у загальнодоступних хмарах, що діють як процесори РII” (ISO/IEC 27018:2019, IDT).
15. Підтвердження відповідності надавача цим вимогам є обов’язковим для внесення відомостей про нього до переліку, ведення якого здійснюється Адміністрацією Держспецзв’язку.
16. Відповідність надавача цим вимогам підтверджується:
1) документом про відповідність, виданим органом з оцінки відповідності, та/або документом про підтвердження відповідності комплексної системи захисту інформації за результатами державної експертизи у сфері технічного захисту інформації;
2) документами, що визначають порядок обробки персональних даних, якими регламентовано дотримання конфіденційності обробки персональних даних;
3) документами, що підтверджують право власності або право користування засобами, що використовуються під час надання послуг, у разі відсутності такої інформації в публічних електронних реєстрах, інформаційно-комунікаційних системах;
4) документами, що підтверджують право власності або право користування приміщеннями, що використовуються для розміщення всіх складових програмно-технічного комплексу, що забезпечують надання послуг;
5) документом про відповідність, виданим органом з оцінки відповідності у сфері електронних комунікацій, що підтверджує відповідність юридичних осіб, фізичних осіб – підприємців, які мають намір надавати послуги, цим вимогам.
17. Адміністрація Держспецзв’язку після отримання від надавача заяви про внесення відомостей про нього до переліку забезпечує проведення перевірки достовірності відомостей та повноти поданих надавачем документів.
18. Достовірність зазначених у заяві про внесення відомостей про надавача до переліку реквізитів документів, передбачених підпунктами 2, 4, 5 пункту 16 цих вимог, перевіряється Адміністрацією Держспецзв’язку шляхом доступу до відповідних інформаційно-комунікаційних систем або в автоматичному режимі шляхом електронної інформаційної взаємодії відповідно до Порядку електронної (технічної та інформаційної) взаємодії, затвердженого постановою Кабінету Міністрів України від 8 вересня 2016 р. № 606 (Офіційний вісник України, 2016 р., № 73, ст. 2455; 2023 р., № 11, ст. 721).
У разі відсутності технічної можливості передачі даних у спосіб, визначений абзацом першим цього пункту, електронна інформаційна взаємодія суб’єктів інформаційних відносин може здійснюватися з використанням інших інформаційно-комунікаційних систем із застосуванням у них відповідних комплексних систем захисту інформації з підтвердженою відповідністю за результатами державної експертизи в порядку, встановленому законодавством у сфері захисту інформації та кібербезпеки.
У разі неможливості отримання відомостей шляхом електронної інформаційної взаємодії Адміністрація Держспецзв’язку надсилає до суб’єкта, який видав документи, запит щодо підтвердження видачі такого документа та/або достовірності відомостей. Зазначений суб’єкт протягом п’яти робочих днів з дня отримання такого запиту підтверджує або заперечує видачу відповідного документа та/або достовірність відомостей з використанням системи електронної взаємодії електронних ресурсів або відповідної інформаційно-комунікаційної системи. Якщо протягом п’яти робочих днів з дня отримання суб’єктом запиту відповідь на запит від суб’єкта не отримано, надана надавачем інформація вважається достовірною.
ПОРЯДОК
формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних
1. Цей Порядок визначає процедуру формування, використання електронних каталогів хмарних послуг та/або послуг центру обробки даних.
2. У цьому Порядку терміни вживаються у такому значенні:
електронний каталог хмарних послуг та/або послуг центру обробки даних (далі – електронний каталог) – база даних, яка містить систематизовану та структуровану інформацію про хмарні послуги та/або послуги центру обробки даних (далі – послуги), що формується та ведеться надавачем таких послуг;
структура електронного каталогу – перелік видів інформації, що міститься в електронному каталозі, про надавачів послуг (далі – надавачі) та послуги, що ними надаються.
Інші терміни вживаються у значенні, наведеному в Законах України “Про публічні закупівлі” та “Про хмарні послуги”.
3. Надавачі подають інформацію про послуги відповідно до структури електронного каталогу згідно з додатком окремо за кожним видом послуг, передбачених частинами другою та четвертою статті 3 Закону України “Про хмарні послуги”.
4. Надавач актуалізує інформацію, зазначену в електронному каталозі, протягом п’яти робочих днів з дня настання обставин, що зумовлюють необхідність такої актуалізації.
5. Електронний каталог ведеться державною мовою. Комерційні найменування надавачів, послуг, найменування стандартів, настанов, схем сертифікацій та оцінки відповідності можуть зазначатися українською та англійською мовами.
6. Інформація з електронного каталогу використовується публічним користувачем хмарних послуг або користувачем хмарних послуг, що є власником (держателем, розпорядником) державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та операторами критичної інфраструктури щодо об’єктів критичної інформаційної інфраструктури для проведення аналізу ринку таких послуг та планування закупівель та підготовки до проведення закупівель відповідно до Закону України “Про публічні закупівлі”.
7. Надавач забезпечує доступ до електронного каталогу через власний веб-сайт на безоплатній основі цілодобово сім днів на тиждень, крім випадків проведення модернізації або планових і позапланових профілактичних та/або технічних робіт, пов’язаних з усуненням технічних та/або методологічних недоліків чи технічного збою в роботі. Інформація про тривалість проведення таких робіт розміщується надавачем на його веб-сайті.
| Додаток до Порядку формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних |
СТРУКТУРА
електронного каталогу хмарних послуг та/або послуг центру обробки даних
1. Повне найменування юридичної особи або прізвище, власне ім’я, по батькові (за наявності) фізичної особи – підприємця.
2. Код згідно з ЄДРПОУ або міжнародний ідентифікаційний код (код LEI) юридичної особи чи реєстраційний номер облікової картки платника податків фізичної особи – підприємця або серія (за наявності) та номер паспорта (для фізичних осіб, які через свої релігійні переконання в установленому порядку відмовилися від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідному контролюючому органу і мають відмітку у паспорті).
3. Місцезнаходження юридичної особи або задеклароване чи зареєстроване місце проживання (перебування) фізичної особи – підприємця.
4. Контактні дані особи, відповідальної за надання інформації про надавача хмарних послуг та/або послуг центру обробки даних (далі – надавач) та послуги, що ним надаються:
1) прізвище, власне ім’я, по батькові (за наявності);
5. Вид хмарних послуг та/або послуг центру обробки даних відповідно до Закону України “Про хмарні послуги”:
3) програмне забезпечення як послуга;
5) інші послуги, що відповідають визначенню хмарних послуг;
6) технічне адміністрування електронних комунікаційних мереж, інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем;
7) технічна підтримка користувача хмарних послуг (далі – користувач);
8) розміщення обладнання у центрі обробки даних, включаючи надання у користування окремих приміщень для розміщення обладнання;
9) надання у користування технічних засобів, розміщених у центрі обробки даних;
6. Комерційне найменування хмарних послуг та/або послуг центру обробки даних (далі – послуги) (за наявності).
7. Короткий опис послуги та її зміст (гіперпосилання на веб-сайт надавача з детальною інформацією про послуги та їх зміст. Якщо надавач надає відповідну послугу разом з іншим надавачем або з використанням його послуг, зазначається інформація про іншого надавача та опис функцій, що здійснюються ним).
8. Можливість надання послуги у:
9. Умови використання послуги (загальна інформація щодо веб-браузера (веб-браузерів) інтерфейсу, інтерфейс прикладного програмування, інсталяції програмного забезпечення, сумісності операційних систем, можливості використання на електронних пристроях, наявності документації та обмежень, у разі потреби іншої інформації з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови використання послуг).
10. Загальна інформація щодо надання послуг (можливість автоматичного збільшення/зменшення обсягу послуг, порядок та час надання, повідомлення про надмірне споживання, обмеження цих послуг з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови надання послуг).
11. Доступність послуги (гарантовані доступні обсяги, відповідальність надавача у разі недотримання обсягів надання послуг з гіперпосиланням на веб-сайт надавача з детальною інформацією про рівень надання послуг).
12. Передача даних та систем між користувачем та надавачем, зокрема після припинення, розірвання договору про надання послуг публічному користувачу та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури (далі – договір) (загальна інформація щодо способів передачі даних та систем, зокрема матеріальних носіїв інформації, інтерфейсів прикладного програмування, формату даних, захисту даних та систем, з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови передачі даних та систем).
13. Видалення даних (їх копій), систем користувача (час зберігання даних (їх копій), систем після видалення користувачем за їх видами, час зберігання даних (їх копій), систем після припинення, розірвання договору, способи знищення даних (їх копій), систем та підтвердження такого знищення з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови видалення даних (їх копій), систем).
14. Передача даних та систем від одного надавача до іншого, зокрема після припинення, розірвання договору (загальна інформація щодо способів передачі даних та систем, зокрема матеріальних носіїв інформації, інтерфейсів прикладного програмування, формату даних, захисту даних та систем, з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови передачі даних та систем).
15. Резервне копіювання даних та відновлення надання послуг (наявність, безперервність роботи з відновлення, частота резервного копіювання даних, особа, відповідальна за налаштуванням резервного копіювання, у разі потреби інша інформація з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови резервного копіювання даних та відновлення надання послуг).
16. Місце розташування хмарних ресурсів, центру обробки даних, зокрема інших надавачів, за допомогою яких надаються послуги (країна, можливість вибору місця розташування користувачем та здійснення контролю за місцем розташування з гіперпосиланням на веб-сайт надавача з детальною інформацією про місце розташування хмарних ресурсів, центру обробки даних, зокрема інших надавачів, та можливість здійснення контролю за місцем розташування).
17. Порядок захисту даних (загальна інформація щодо процедур із захисту, у тому числі криптографічного захисту даних під час їх передачі та зберігання, застосованих протоколів, алгоритмів з гіперпосиланням на веб-сайт надавача з детальною інформацією про захист даних).
18. Підтримка користувачів (загальна інформація щодо рівнів та способів підтримки (за номером телефону, адресою електронної пошти, у режимі відеоконференції з використанням відповідного програмного забезпечення, зокрема через Інтернет), доступності підтримки (цілодобово, сім днів на тиждень тощо), часу надання відповіді на запит користувача з гіперпосиланням на веб-сайт надавача з детальною інформацією про підтримку користувачів).
19. Повідомлення про інциденти (інциденти кібербезпеки, плановані та позапланові експлуатаційні роботи, що можуть вплинути на якість послуг, з гіперпосиланням на веб-сайт надавача з детальною інформацією про підтримку користувачів щодо інцидентів).
20. Ціна послуг (загальна інформація щодо плати за послуги, фіксована періодична плата або інший порядок формування ціни, деталізація послуг, можливість здійснення контролю за використанням послуг, знижок (за наявності), онлайн-калькулятора з гіперпосиланням на веб-сайт надавача з детальною інформацією про ціни послуг та способи оплати).
21. Відповідність міжнародному стандарту ISO/IEC 27001 або стандарту іноземної країни, прийнятому відповідно до міжнародного стандарту ISO/IEC 27001, або ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) “Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги”, ДСТУ ISO/IEC 27018:2019 “Інформаційні технології. Методи захисту. Кодекс усталеної практики для захисту персональної ідентифікаційної інформації (РII) у загальнодоступних хмарах, що діють як процесори РII” (ISO/IEC 27018:2019, IDT) з гіперпосиланням на веб-сайт надавача з детальною інформацією про відповідність стандартам та законодавству.
| ЗАТВЕРДЖЕНО постановою Кабінету Міністрів України від 11 лютого 2025 р. № 154 |
ТИПОВИЙ ДОГОВІР
про надання хмарних послуг та/або послуг центру обробки даних публічному користувачу хмарних послуг та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури
СПЕЦИФІКАЦІЯ
хмарних послуг та/або послуг центру обробки даних, що надаються за договором
ТЕХНІЧНІ ВИМОГИ
до договору
ПЕРЕЛІК
авторизованих осіб
Error: Contact form not found.
google 
зателефонуємо Вам найближчим часом!