Закон України “Про захист інформації в інформаційно-комунікаційних системах”
ЗАКОН УКРАЇНИ
Про захист інформації в інформаційно-комунікаційних системах
{Назва Закону із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020}
(Відомості Верховної Ради України (ВВР), 1994, № 31, ст.286)
{Вводиться в дію Постановою ВР
№ 81/94-ВР від 05.07.94, ВВР, 1994, № 31, ст.287}
{Із змінами, внесеними згідно із Законом
№ 1703-IV від 11.05.2004, ВВР, 2004, № 32, ст.394}
{В редакції Закону
№ 2594-IV від 31.05.2005, ВВР, 2005, № 26, ст.347}
{Із змінами, внесеними згідно із Законами
№ 879-VI від 15.01.2009, ВВР, 2009, № 24, ст.296
№ 1180-VI від 19.03.2009, ВВР, 2009, № 32-33, ст.485
№ 721-VII від 16.01.2014, ВВР, 2014, № 22, ст.801 – втратив чинність на підставі Закону
№ 732-VII від 28.01.2014, ВВР, 2014, № 22, ст.811
№ 767-VII від 23.02.2014, ВВР, 2014, № 17, ст.593
№ 1170-VII від 27.03.2014, ВВР, 2014, № 22, ст.816
№ 681-IX від 04.06.2020, ВВР, 2020, № 42, ст.349
№ 1089-IX від 16.12.2020
№ 1882-IX від 16.11.2021, ВВР, 2023, № 5, ст.13
№ 2130-IX від 15.03.2022, ВВР, 2023, № 16, ст.63
№ 2801-IX від 01.12.2022, ВВР, 2023, № 54, ст.159
№ 3549-IX від 16.01.2024, ВВР, 2024, № 18, ст.76
№ 3783-IX від 05.06.2024, ВВР, 2024, № 40, ст.252
№ 4336-IX від 27.03.2025}
{У тексті Закону:
слова “власник інформації” у всіх відмінках і числах замінено словами “володілець інформації” у відповідному відмінку і числі;
слова “інформація, яка є власністю держави” у всіх відмінках замінено словами “державні інформаційні ресурси” у відповідному відмінку згідно із Законом № 1170-VII від 27.03.2014}
Цей Закон регулює відносини у сфері захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах (далі – система).
{Преамбула із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020}
У цьому Законі наведені нижче терміни вживаються в такому значенні:
авторизація з безпеки – рішення щодо можливості функціонування (експлуатації) відповідної інформаційної, електронної комунікаційної, інформаційно-комунікаційної, технологічної системи з урахуванням її відповідності вимогам законодавства, національним стандартам та нормативним документам у сферах технічного захисту, криптографічного захисту та кіберзахисту, що приймається у встановленому законодавством порядку;
{Частину першу статті 1 доповнено терміном згідно із Законом № 4336-IX від 27.03.2025}
авторизована система з безпеки – інформаційна, електронна комунікаційна, інформаційно-комунікаційна, технологічна система або її окремі елементи, об’єкт критичної інформаційної інфраструктури, в яких запроваджені заходи та/або системи з безпеки інформації, що пройшли авторизацію з безпеки;
{Частину першу статті 1 доповнено терміном згідно із Законом № 4336-IX від 27.03.2025}
блокування інформації в системі – дії, внаслідок яких унеможливлюється доступ до інформації в системі;
виток інформації – результат дій або бездіяльності, внаслідок яких інформація, що обробляється в системі чи пристроєм обробки інформації, стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;
{Абзац статті 1 в редакції Закону № 4336-IX від 27.03.2025}
володілець інформації – фізична або юридична особа, якій належать права на інформацію;
{Абзац статті 1 в редакції Закону № 1170-VII від 27.03.2014}
власник системи – фізична або юридична особа, якій належить право власності на систему;
доступ до інформації в системі – отримання користувачем можливості обробляти інформацію в системі;
захист інформації в системі – діяльність, спрямована на запобігання порушенню цілісності, конфіденційності і доступності інформації в системі;
{Абзац статті 1 в редакції Закону № 4336-IX від 27.03.2025}
знищення інформації в системі – дії, внаслідок яких інформація в системі зникає;
інформаційна (автоматизована) система – організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
інформаційно-комунікаційна система – сукупність інформаційних та електронних комунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
комплекс технічного захисту інформації – сукупність заходів, засобів технічного захисту інформації, призначених для захисту інформації від витоку технічними каналами в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах;
{Частину першу статті 1 доповнено терміном згідно із Законом № 4336-IX від 27.03.2025}
комплексна система захисту інформації – взаємопов’язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
користувач інформації в системі (далі – користувач) – фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;
криптографічний захист інформації – вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
несанкціоновані дії щодо інформації в системі – дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;
обробка інформації в системі – виконання однієї або кількох операцій, зокрема збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання, що здійснюються в системі за допомогою технічних і програмних засобів або автономно (без підключення до інших засобів обробки інформації, ліній зв’язку або мереж передачі даних) пристроями обробки інформації;
{Абзац статті 1 в редакції Закону № 4336-IX від 27.03.2025}
перелік авторизованих систем з безпеки – єдина електронна база даних, що містить відомості про авторизовані системи з безпеки інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, порядок ведення якої, порядок внесення даних щодо авторизованих систем з безпеки до якої та порядок доступу і надання інформації з якої визначаються спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації. Інформація про авторизовані системи з безпеки, що міститься в переліку, є відкритою, загальнодоступною та безоплатною, крім інформації з обмеженим доступом та інформації, доступ до якої обмежений відповідно до законодавства на період дії воєнного стану;
{Частину першу статті 1 доповнено терміном згідно із Законом № 4336-IX від 27.03.2025}
порушення цілісності інформації в системі – несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст;
порядок доступу до інформації в системі – умови отримання користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;
пристрої обробки інформації – технічні пристрої (засоби) обробки інформації, в яких технічно неможливо реалізувати програмні процедури розмежування доступу користувачів та інші функціональні послуги безпеки;
{Частину першу статті 1 доповнено терміном згідно із Законом № 4336-IX від 27.03.2025}
електронна комунікаційна система – сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання та/або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
технічний захист інформації – вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації;
технічний канал витоку інформації – взаємопов’язана сукупність джерела небезпечного сигналу, середовища його поширення та засобу технічної розвідки, спрямована на забезпечення витоку інформації;
{Частину першу статті 1 доповнено терміном згідно із Законом № 4336-IX від 27.03.2025}
резервна копія державних інформаційних ресурсів – копія інформації, яка міститься в державних інформаційних ресурсах, що перебувають у володінні або розпорядженні органів державної влади, органів місцевого самоврядування, військових формувань, утворених відповідно до законів України, державних підприємств, установ та організацій, та є критичною для їх сталого функціонування, створюється, записується, обробляється або зберігається у цифровій чи іншій нематеріальній формі за допомогою електронних, магнітних, електромагнітних, оптичних, технічних, програмних або інших засобів з метою подальшого відновлення цієї інформації;
{Частину першу статті 1 доповнено абзацом згідно із Законом № 2130-IX від 15.03.2022}
резервування державних інформаційних ресурсів та систем – сукупність заходів, спрямованих на забезпечення створення резервної копії (резервних копій) та зберігання державних інформаційних ресурсів та систем з метою забезпечення безперервності їх роботи та подальшого відновлення інформації, що міститься в державних інформаційних ресурсах та системах, а також інсталяційних копій програмного забезпечення та операційних систем (та/або їх образів), в яких здійснюється їх обробка. Перелік видів державних інформаційних ресурсів та систем, щодо яких може здійснюватися резервне копіювання, визначається Кабінетом Міністрів України.
{Частину першу статті 1 доповнено абзацом згідно із Законом № 2130-IX від 15.03.2022}
Інші терміни вживаються у значенні, наведеному в законах України “Про інформацію” та “Про технічні регламенти та оцінку відповідності”.
{Статтю 1 доповнено частиною другою згідно із Законом № 681-IX від 04.06.2020}
{Стаття 1 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020}
Стаття 2. Об’єкти захисту в системі
Об’єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
Суб’єктами відносин, пов’язаних із захистом інформації в системах, є:
спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації і підпорядковані йому регіональні органи;
{Абзац п’ятий частини першої статті 3 в редакції Закону № 879-VI від 15.01.2009}
{Абзац шостий частини першої статті 3 виключено на підставі Закону № 767-VII від 23.02.2014}
{Частину другу статті 3 виключено на підставі Закону № 1170-VII від 27.03.2014}
На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі – розпоряднику системи.
Стаття 4. Доступ до інформації в системі
Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються володільцем інформації.
Порядок доступу до державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її володільця в порядку, встановленому законом.
{Частина третя статті 4 із змінами, внесеними згідно із Законом № 1170-VII від 27.03.2014}
Стаття 5. Відносини між володільцем інформації та власником системи
Власник системи забезпечує захист інформації в системі в порядку та на умовах, визначених у договорі, який укладається ним із володільцем інформації, якщо інше не передбачено законом.
Власник системи на вимогу володільця інформації надає відомості щодо захисту інформації в системі.
Протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування володільці інформації – власники (держателі) державних інформаційних ресурсів можуть укладати договори про технічне адміністрування відповідних реєстрів з іноземними компаніями, організаціями – постачальниками послуг з надання хмарних ресурсів (надавачами хмарних послуг), утвореними відповідно до законодавства інших держав, та/або їх зареєстрованими (акредитованими або легалізованими) відповідно до законодавства України філіями, представництвами та іншими відокремленими підрозділами з місцезнаходженням на території України в порядку, встановленому Кабінетом Міністрів України.
{Статтю 5 доповнено частиною третьою згідно із Законом № 2130-IX від 15.03.2022}
Стаття 6. Відносини між власником системи та користувачем
Власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.
Стаття 7. Відносини між власниками систем
Власник системи, яка використовується для обробки інформації з іншої системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між власниками систем, якщо інше не встановлено законодавством.
Власник системи, яка використовується для обробки інформації з іншої системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.
Стаття 8. Умови обробки інформації в системі
Умови обробки інформації в системі, об’єкті критичної інформаційної інфраструктури визначаються власником або розпорядником відповідної системи з урахуванням вимог щодо захисту інформації, визначених законодавством.
Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, у системах, об’єктах критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, мають оброблятися в авторизованих системах з безпеки або шляхом отримання сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності.
Авторизація з безпеки систем, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, а також підтвердження дотримання вимог з безпеки щодо таких систем, об’єктів критичної інформаційної інфраструктури протягом їх життєвого циклу здійснюються в порядку, встановленому Кабінетом Міністрів України.
Складовою такого порядку авторизації з безпеки має бути встановлення повідомного (декларативного) принципу щодо прийняття власником або розпорядником системи, об’єкта критичної інформаційної інфраструктури (крім тих, в яких обробляється інформація, що становить державну таємницю) рішення про здійснення авторизації з безпеки з урахуванням відповідних профілів безпеки, а також строки та порядок підтвердження дотримання вимог відповідно до базового, цільового та галузевого (за наявності) профілів безпеки протягом життєвого циклу відповідної системи, об’єкта критичної інформаційної інфраструктури.
Підтвердження відповідності стандарту інформаційної безпеки за результатами процедури з оцінки відповідності національним стандартам України здійснюється органом з оцінки відповідності, який акредитовано національним органом України з акредитації чи національним органом з акредитації іноземної держави, якщо національний орган України з акредитації та національний орган з акредитації відповідної держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності.
Процедура отримання сертифіката відповідності стандарту інформаційної безпеки не застосовується до систем, в яких обробляється інформація, що становить державну таємницю.
Авторизація з безпеки або отримання сертифіката відповідності стандарту інформаційної безпеки щодо систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, здійснюється за одночасного дотримання таких умов:
використання для захисту інформації в системах засобів технічного та/або криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації або документ про відповідність (крім систем, об’єктів критичної інформаційної інфраструктури, в яких обробляється службова інформація або інформація, що становить державну таємницю), виданий органом з оцінки відповідності, який акредитовано національним органом України з акредитації або національним органом з акредитації іноземної держави, якщо національний орган України з акредитації та національний орган з акредитації відповідної держави є членами міжнародної або регіональної організації з акредитації та/або уклали з такою організацією угоду про взаємне визнання щодо оцінки відповідності;
жодний з елементів системи, об’єкта критичної інформаційної інфраструктури не розташований на тимчасово окупованій території України, на території держави, визнаної Верховною Радою України державою-агресором, або на території держави, яка входить до митного або воєнного союзу з такими державами;
власник або розпорядник жодного з елементів системи, об’єкта критичної інформаційної інфраструктури не є юридичною або фізичною особою, зареєстрованою на тимчасово окупованій території України, резидентом держави, визнаної Верховною Радою України державою-агресором, резидентом держави, яка входить до митного або воєнного союзу з такими державами або щодо якої застосовано санкції відповідно до Закону України “Про санкції”;
власник або розпорядник системи, об’єкта критичної інформаційної інфраструктури або його представник, який надає послуги з використанням системи, об’єкта критичної інформаційної інфраструктури, елементи якої розміщуються поза межами України, є юридичною особою, зареєстрованою в Україні, або має свого офіційного представника в Україні;
виконання особливих вимог, встановлених Кабінетом Міністрів України до забезпечення захисту інформації в системах залежно від категорії державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, що обробляються.
Інформація, що становить державну таємницю, має оброблятися в системі, об’єкті критичної інформаційної інфраструктури із застосуванням комплексу технічного захисту інформації з підтвердженою відповідністю та за умови використання засобів криптографічного захисту суб’єктів господарювання, які провадять ліцензовану діяльність відповідно до законодавства. Порядок атестації такого комплексу технічного захисту інформації визначається спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв’язку та захисту інформації.
Програмне забезпечення, що забезпечує функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем, в яких обробляється інформація, що становить державну таємницю, використовується за умови проведення державної експертизи у сфері захисту інформації в порядку, встановленому Кабінетом Міністрів України.
Національний банк України визначає умови обробки інформації, використання засобів захисту інформації в системах у сфері надання платіжних, банківських та інших фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, валютного регулювання та валютного нагляду, а також у системі депозитарного обліку Національного банку України.
Власники або розпорядники систем, об’єктів критичної інформаційної інфраструктури для забезпечення їх належного функціонування та захисту інформації, що обробляється в них:
створюють резервні копії державних інформаційних ресурсів та систем із дотриманням встановлених для таких ресурсів, систем, об’єктів критичної інформаційної інфраструктури вимог щодо їх захисту, цілісності та конфіденційності;
забезпечують створення резервних копій державних інформаційних ресурсів, систем, об’єктів критичної інформаційної інфраструктури на окремих фізичних носіях у зашифрованому вигляді та їх подальшу передачу (переміщення) для зберігання в установленому законодавством порядку, у тому числі за межами України (зокрема в закордонних дипломатичних установах України), під час дії воєнного стану в Україні та протягом шести місяців з дня його припинення чи скасування;
забезпечують в установленому законодавством порядку передачу (переміщення) державних інформаційних ресурсів та їх резервних копій для розміщення на хмарних ресурсах та/або в центрах обробки даних, розташованих за межами України, під час дії воєнного стану в Україні та протягом шести місяців з дня його припинення чи скасування.
Розміщення систем, об’єктів критичної інформаційної інфраструктури або їх елементів та зберігання резервних копій державних інформаційних ресурсів на тимчасово окупованій території України, території держави, визнаної Верховною Радою України державою-агресором, або на території держави, яка входить до митного або воєнного союзу з такими державами, забороняється.
{Стаття 8 із змінами, внесеними згідно із Законами № 1170-VII від 27.03.2014, № 681-IX від 04.06.2020, № 1882-IX від 16.11.2021, № 2801-IX від 01.12.2022, № 2130-IX від 15.03.2022; в редакції № 4336-IX від 27.03.2025}
Стаття 9. Забезпечення захисту інформації в системі
Відповідальність за забезпечення захисту інформації в системі покладається на власника або розпорядника системи.
{Частина перша статті 9 із змінами, внесеними згідно із Законом № 4336-IX від 27.03.2025}
Власник системи, в якій обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює підрозділ із кіберзахисту або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
{Частина друга статті 9 із змінами, внесеними згідно із Законами № 1170-VII від 27.03.2014, № 4336-IX від 27.03.2025}
Про спроби та/або факти несанкціонованих дій у системі щодо державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє відповідно спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації або підпорядкований йому регіональний орган.
{Частина третя статті 9 із змінами, внесеними згідно із Законом № 879-VI від 15.01.2009}
Стаття 10. Повноваження державних органів у сфері захисту інформації в системах
Мінімальні вимоги щодо заходів захисту як базовий профіль безпеки щодо систем, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом (крім вимог щодо забезпечення захисту інформації, встановлених законом у сфері надання платіжних, банківських та інших фінансових послуг), встановлюються Кабінетом Міністрів України.
{Частина перша статті 10 в редакції Закону № 4336-IX від 27.03.2025}
{Частину другу статті 10 виключено на підставі Закону № 879-VI від 15.01.2009}
Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв’язку та захисту інформації:
{Абзац перший частини третьої статті 10 в редакції Закону № 879-VI від 15.01.2009}
розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
визначає вимоги та порядок створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
здійснює контроль за забезпеченням захисту державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
здійснює заходи щодо виявлення загроз державним інформаційним ресурсам від несанкціонованих дій та витоку інформації технічними каналами в інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних системах, надає рекомендації щодо запобігання таким загрозам;
{Частину третю статті 10 доповнено абзацом згідно із Законом № 1180-VI від 19.03.2009; в редакції Закону № 4336-IX від 27.03.2025}
забезпечує реалізацію та здійснює методичне керівництво щодо підтвердження відповідності комплексної системи захисту інформації, авторизації з безпеки, порядок проведення яких затверджується Кабінетом Міністрів України;
{Частину третю статті 10 доповнено новим абзацом згідно із Законом № 4336-IX від 27.03.2025}
затверджує порядок ведення переліку авторизованих систем з безпеки;
{Частину третю статті 10 доповнено новим абзацом згідно із Законом № 4336-IX від 27.03.2025}
здійснює включення авторизованих систем з безпеки до переліку авторизованих систем з безпеки та виключення з такого переліку;
{Частину третю статті 10 доповнено новим абзацом згідно із Законом № 4336-IX від 27.03.2025}
у порядку, встановленому Кабінетом Міністрів України, розробляє та затверджує базовий профіль безпеки як мінімальний набір заходів захисту, встановлених для відповідної категорії інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси.
{Частину третю статті 10 доповнено абзацом згідно із Законом № 3783-IX від 05.06.2024}
Органи державної влади, державні органи, органи місцевого самоврядування з урахуванням набору мінімальних вимог щодо заходів захисту (базового профілю безпеки), відповідних стандартів, політик безпеки, призначення системи, її структурно-функціональних характеристик, результатів аналізу ризиків безпеки та особливостей функціонування системи розробляють та затверджують цільові профілі безпеки для інформаційних, електронних комунікаційних, інформаційно-комунікаційних та технологічних систем, власником або розпорядником яких вони є.
{Частина четверта статті 10 із змінами, внесеними згідно із Законом № 879-VI від 15.01.2009; в редакції Закону № 4336-IX від 27.03.2025}
Органи державної влади, державні органи в межах своїх повноважень у відповідній сфері або галузі розробляють та за погодженням із Державною службою спеціального зв’язку та захисту інформації України затверджують галузеві профілі безпеки для відповідної сфери або галузі з урахуванням мінімальних вимог щодо заходів захисту (базового профілю безпеки), а також відповідних стандартів, політик безпеки та особливостей функціонування системи у відповідній сфері або галузі.
{Частина п’ята статті 10 в редакції Закону № 4336-IX від 27.03.2025}
Порядок затвердження цільових та галузевих профілів безпеки затверджується Кабінетом Міністрів України.
{Частина статті 10 в редакції Закону № 4336-IX від 27.03.2025}
Національний банк України встановлює вимоги щодо забезпечення захисту інформації, вимоги щодо захисту якої встановлені законом у сфері надання платіжних, банківських та інших фінансових послуг (крім професійної діяльності на ринках капіталу та діяльності в системі накопичувального пенсійного забезпечення), державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, валютного регулювання та валютного нагляду, а також у системі депозитарного обліку Національного банку України.
{Частина статті 10 в редакції Закону № 4336-IX від 27.03.2025}
Міністерство оборони України та Служба безпеки України в порядку, встановленому Кабінетом Міністрів України, розробляють і затверджують галузеві та/або цільові профілі безпеки для інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, власником (розпорядником) яких є відповідно Міністерство оборони України та/або Збройні Сили України і Служба безпеки України.
{Статтю 10 доповнено частиною згідно із Законом № 3549-IX від 16.01.2024; в редакції Закону № 3783-IX від 05.06.2024}
{Стаття 10 із змінами, внесеними згідно із Законом № 1089-IX від 16.12.2020}
Стаття 11. Відповідальність за порушення законодавства про захист інформації в системах
Особи, винні в порушенні законодавства про захист інформації в системах, несуть відповідальність згідно із законом.
Стаття 12. Міжнародні договори
Якщо міжнародним договором, згода на обов’язковість якого надана Верховною Радою України, визначено інші правила, ніж ті, що передбачені цим Законом, застосовуються норми міжнародного договору.
Стаття 13. Прикінцеві та перехідні положення
{Назва статті 13 в редакції Закону № 4336-IX від 27.03.2025}
1. Цей Закон набирає чинності з 1 січня 2006 року.
1-1. Установити, що комплексні системи захисту інформації, системи управління інформаційною безпекою з підтвердженою відповідністю, створені до набрання чинності Законом України “Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури”, застосовуються відповідно до умов їх створення та не потребують повторного підтвердження відповідності (авторизації).
{Статтю 13 доповнено пунктом 1-1 згідно із Законом № 4336-IX від 27.03.2025}
2. Нормативно-правові акти до приведення їх у відповідність із цим Законом діють у частині, що не суперечить цьому Закону.
3. Кабінету Міністрів України та Національному банку України в межах своїх повноважень протягом шести місяців з дня набрання чинності цим Законом:
привести свої нормативно-правові акти у відповідність із цим Законом;
забезпечити приведення міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом.
Error: Contact form not found.
google 
зателефонуємо Вам найближчим часом!