В Госспецсвязи ответили на распространенные вопросы относительно перечня запрещенного программного обеспечения

С вступлением в силу постановления Кабинета Министров Украины от 22.10.2025 № 1335 был утвержден Порядок формирования и ведения открытого перечня запрещенного к использованию программного обеспечения и коммуникационного (сетевого) оборудования.

Государственная служба специальной связи и защиты информации предоставила ответы на самые распространенные вопросы относительно формирования, применения и последствий использования ПО из Перечня.

1. Как происходит формирование Перечня и какие именно ПО и оборудование попадают в Перечень?

Основания для включения, исключения и/или изменения сведений о программном обеспечении и коммуникационном (сетевом) оборудовании в Перечне четко определены и предусмотрены пунктами 5 и 7 Порядка. Согласно указанным пунктам, в Перечень включаются ПО и оборудование, если их правообладатели или конечные бенефициары находятся под украинскими или международными санкциями либо если это предусмотрено решением суда. То есть ключевым критерием является не техническая оценка безопасности продукта, а санкционный статус лиц, владеющих имущественными правами на него.

Анализ Указов Президента Украины о санкциях также выявил ряд технических аспектов, требующих урегулирования отдельным приказом Администрации Госспецсвязи. Поэтому в настоящее время Администрация Госспецсвязи разрабатывает приказ, который будет определять организационный и процедурный порядок обеспечения формирования и ведения Перечня. Это позволит систематизировать и наладить процесс сбора, анализа и обработки информации для формирования Перечня и обеспечит более эффективную работу с информацией о подсанкционных лицах и их правах собственности.

2. Почему формирование Перечня занимает так много времени и почему сейчас там только 40 позиций?

В настоящее время в Перечень включено то программное обеспечение и коммуникационное (сетевое) оборудование, информация о которых была непосредственно указана в ограничительной мере соответствующего приложения к решению Совета национальной безопасности и обороны Украины «О применении персональных специальных экономических и иных ограничительных мер (санкций)», введенному в действие Указом Президента Украины в соответствии с Законом Украины «О санкциях».

Перечень не является исчерпывающим и продолжает наполняться. В приоритетном порядке включаются те продукты, которые прямо указаны в соответствующих санкционных решениях.

3. Можно ли использовать ПО и оборудование, включенное в Перечень, если система, в которой оно используется, не имеет доступа к сети Интернет, находится в закрытой внутренней сети (то есть использование в АС-1, АС-2) или если такое ПО не обновляется?

Отсутствие доступа к сети Интернет или обновлений, безусловно, снижает риск удаленного доступа к оборудованию или доступа к информации, обрабатываемой в системе. Однако требования, установленные в соответствии с абзацем первым части четвертой статьи 4 Закона Украины «Об основных принципах обеспечения кибербезопасности Украины», не разграничивают системы по классам, то есть касаются всех систем и их составляющих (систем, в которых обрабатываются государственные информационные ресурсы или служебная информация и информация, составляющая государственную тайну, а также систем ОКИ). Требования законодательства применяются независимо от наличия или отсутствия доступа к сети Интернет.

4. Распространяется ли запрет на облачные сервисы (SaaS)?

Законодательство не разграничивает программное обеспечение по модели использования (локальная установка, использование через сеть Интернет, облачная инфраструктура и т. д.). Решающее значение имеет сам факт использования программного обеспечения в составе информационно-коммуникационной системы.

Таким образом, если программное обеспечение включено в Перечень, его использование в виде облачного сервиса (SaaS) в системах, на которые распространяются требования законодательства, также подпадает под установленные ограничения.

5. Если в Перечень внесена информация о ПО «1С» и «BAS», правообладателем которых является ООО «1С», можно ли использовать такое ПО, правообладателем которого определено другое юридическое лицо, и какие последствия предусмотрены за использование подсанкционных ПО и оборудования?

Включение программного продукта в Перечень связано именно с санкционным статусом правообладателя или иного лица, владеющего имущественными правами на соответствующий продукт.

В то же время необходимость и целесообразность использования определенного программного обеспечения в информационно-коммуникационной системе определяются на этапе ее проектирования разработчиком или владельцем с учетом особенностей задач, для автоматизации выполнения которых она создается, и ограничений согласно Закону Украины «О санкциях».

В соответствии с требованиями Закона Украины «О защите информации в информационно-коммуникационных системах» государственные информационные ресурсы или информация с ограниченным доступом, требование о защите которой установлено законом, в системах, объектах критической информационной инфраструктуры, владельцами или распорядителями которых являются органы государственной власти, государственные органы, государственные предприятия, учреждения и организации, органы местного самоуправления, должны обрабатываться в авторизованных системах безопасности либо путем получения сертификата соответствия стандарту информационной безопасности, выданного органом по оценке соответствия.

Авторизация по безопасности либо получение сертификата соответствия стандарту информационной безопасности в отношении систем, в которых обрабатываются государственные информационные ресурсы или служебная информация и информация, составляющая государственную тайну, объектов критической информационной инфраструктуры, владельцами или распорядителями которых являются органы государственной власти, государственные органы, государственные предприятия, учреждения и организации, органы местного самоуправления, осуществляется в соответствии с законодательством в сфере защиты информации и киберзащиты.

То есть при использовании в системе подсанкционного ПО или оборудования пройти авторизацию либо получить сертификат соответствия стандарту информационной безопасности такая система не сможет. Для уже авторизованных/сертифицированных систем выявление факта использования подсанкционного ПО или оборудования в системе будет означать отмену авторизации/сертификации на основании несоответствия нормам законодательства в сфере защиты информации и киберзащиты.

Также при выявлении факта использования подсанкционного ПО или оборудования во время проведения мероприятий государственного контроля в сфере защиты информации владелец системы будет обязан провести замену такого ПО или оборудования, а в случае невыполнения предписания будет составлен протокол об административном правонарушении по статье 18831 Кодекса Украины об административных правонарушениях (невыполнение законных требований должностных лиц органов Государственной службы специальной связи и защиты информации Украины), который в дальнейшем будет направлен в суд.

6. Относительно текущего вида сайта и опубликованного Перечня.

Формат отображения данных, необходимый для публикации и ведения Перечня, является новым для официального веб-сайта Госспецсвязи. Мы работаем над совершенствованием формата отображения данных для обеспечения удобства пользователей. Если у вас есть предложения по улучшению работы официального веб-сайта Госспецсвязи, вы можете направлять их через официальные каналы связи, мы обязательно их рассмотрим и в случае их конструктивности — учтем.

7. Какой именно программный продукт бухгалтерского учета использует Госспецсвязи?

Госспецсвязи соблюдает требования законодательства и не использует программное обеспечение, внесенное в Перечень или находящееся под санкциями, в том числе программные продукты ООО «1С».

Ключевые акценты

Основаниями для внесения являются применение специальных экономических и иных ограничительных мер в соответствии с Законом Украины «О санкциях», международных санкций, признаваемых Украиной, либо решение суда.

Использование подсанкционного ПО или оборудования в системах, где обрабатываются государственные информационные ресурсы или информация с ограниченным доступом, делает невозможным прохождение авторизации по безопасности либо получение сертификата соответствия и может быть основанием для отмены уже предоставленной авторизации/сертификата.

Требования применяются к определенным законом системам независимо от наличия доступа к сети Интернет.

Перечень является обновляемым и постепенно наполняется на основании решений о применении санкций и судебных решений.

Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на наш VIBER, страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.