Держспецзв'язку надала роз'яснення щодо Порядку формування та ведення відкритого переліку забороненого до використання програмного забезпечення та обладнання, затвердженого постановою Кабінету Міністрів України № 1335. Як повідомили у відомстві, головним критерієм для внесення продукту до переліку є санкційний статус його правовласників, а не технічна оцінка безпечності.
Критерії внесення до переліку та сфера застосування
Згідно з роз'ясненням, програмне забезпечення (ПЗ) або комунікаційне обладнання потрапляє до забороненого переліку, якщо його правовласники, кінцеві бенефіціари чи пов'язані особи перебувають під українськими або міжнародними санкціями. Також підставою може стати відповідне рішення суду.
Вимоги щодо заборони використання поширюються на:
Системи, де обробляються державні інформаційні ресурси.
Системи, що містять службову інформацію або державну таємницю.
Об'єкти критичної інформаційної інфраструктури (ОКІ).
У Держспецзв'язку наголосили, що обмеження застосовуються незалежно від того, чи має система доступ до Інтернету. Навіть якщо ПЗ використовується в закритому внутрішньому контурі (АС-1, АС-2) і не оновлюється, його використання залишається під забороною. Аналогічно, заборона поширюється і на хмарні сервіси (SaaS), якщо базове ПЗ включено до переліку.
Наслідки використання забороненого ПЗ
Використання програмного забезпечення чи обладнання з переліку має прямі юридичні та технічні наслідки для державних установ та підприємств.
1. Неможливість авторизації та сертифікації. Система, в якій використовується підсанкційне ПЗ, не зможе пройти авторизацію з безпеки або отримати сертифікат відповідності стандартам інформаційної безпеки.
2. Скасування чинних сертифікатів. Для вже авторизованих систем виявлення факту використання забороненого ПЗ стане підставою для скасування відповідних атестатів та сертифікатів.
3. Адміністративна відповідальність. У разі виявлення порушення під час державного контролю, власник системи буде зобов'язаний замінити заборонений продукт. Невиконання припису тягне за собою складання протоколу про адміністративне правопорушення за статтею 188-31 КпАП.
Для бізнесу та державних установ вкрай важливо проводити ретельну перевірку постачальників ПЗ. Такі інструменти, як LIGA360, дозволяють автоматизувати перевірку контрагентів на наявність у санкційних списках, що є ключовим елементом комплаєнсу.
Актуальність переліку та подальші кроки
Наразі до переліку внесено продукти, що були прямо зазначені у відповідних рішеннях РНБО. У відомстві зазначають, що список не є вичерпним і буде постійно доповнюватися. Для систематизації цього процесу Адміністрація Держспецзв'язку розробляє окремий наказ, який врегулює процедурні питання збору та аналізу інформації.
Щоб мінімізувати юридичні та безпекові ризики, українським підприємствам та державним установам необхідно регулярно відстежувати оновлення переліку забороненого ПЗ та забезпечити відповідність своїх інформаційних систем вимогам законодавства. LIGA360 надає доступ до актуальних санкційних списків та нормативної бази, допомагаючи приймати виважені управлінські рішення.
Нагадаємо, раніше Держспецзв'язку оприлюднила "чорний список" програмного забезпечення.
