У Держcпецзв'язку відповіли на поширені запитання щодо переліку забороненого програмного забезпечення

З набранням чинності постановою Кабінету Міністрів України від 22.10.2025 № 1335 було затверджено Порядок формування та ведення відкритого переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання.

Державна служба спеціального зв'язку та захисту інформації надала відповіді на найпоширеніші запитання щодо формування, застосування та наслідків використання ПЗ з Переліку.

1. Як відбувається формування Переліку та які саме ПЗ та обладнання потрапляють до Переліку?

Підстави для включення, виключення та/або зміни відомостей щодо програмного забезпечення та комунікаційного (мережевого) обладнання в Переліку є чітко визначеними та передбачені пунктами 5 та 7 Порядку. Згідно з зазначеними пунктами, до Переліку включаються ПЗ та обладнання, якщо їх правовласники або кінцеві бенефіціари перебувають під українськими чи міжнародними санкціями або якщо це передбачено рішенням суду. Тобто ключовим критерієм є не технічна оцінка безпечності продукту, а санкційний статус осіб, які володіють майновими правами на нього.

Аналіз Указів Президента України про санкції також виявив низку технічних аспектів, що потребують унормування через окремий наказ Адміністрації Держспецзв’язку. Тому наразі Адміністрація Держспецзв’язку розробляє наказ, що буде визначати організаційний та процедурний порядок забезпечення формування та ведення Переліку. Це дасть можливість систематизувати та налагодити процес збору, аналізу та опрацювання інформації для формування Переліку та забезпечить більш ефективну роботу з інформацією про підсанкційних осіб та їх права власності.

2. Чому формування Переліку займає так багато часу та чому зараз там тільки 40 позицій?

На цей час до Переліку включено те програмне забезпечення та комунікаційне (мережеве) обладнання, інформація про які була безпосередньо зазначена в обмежувальному заході відповідного додатка до рішення Ради національної безпеки і оборони України «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», введеного в дію Указом Президента України відповідно до Закону України «Про санкції».

Перелік не є вичерпним і продовжує наповнюватися. Пріоритетно включаються ті продукти, які прямо зазначені у відповідних санкційних рішеннях.

3. Чи можна використовувати ПЗ та обладнання, включене до Переліку, якщо система, де воно використовується, не має доступу до мережі Інтернет, знаходиться в закритій внутрішній мережі (тобто використання в АС-1, АС-2) або якщо таке ПЗ не оновлюється?

Відсутність доступу до мережі Інтернет або оновлень, звісно, знижує ризик віддаленого доступу до обладнання або доступу до інформації, що обробляється в системі. Проте вимоги, встановлені відповідно до абзацу першого частини четвертої статті 4 Закону України «Про основні засади забезпечення кібербезпеки України», не розмежовують системи за класами, тобто стосуються всіх систем і їх складових (систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, та систем ОКІ). Вимоги законодавства застосовуються незалежно від наявності або відсутності доступу до мережі Інтернет.

4. Чи поширюється заборона на хмарні сервіси (SaaS)?

Законодавство не розмежовує програмне забезпечення за моделлю використання (локальне встановлення, використання через мережу Інтернет, хмарна інфраструктура тощо). Вирішальним є сам факт використання програмного забезпечення у складі інформаційно-комунікаційної системи.

Таким чином, якщо програмне забезпечення включено до Переліку, його використання у вигляді хмарного сервісу (SaaS) у системах, на які поширюються вимоги законодавства, також підпадає під встановлені обмеження.

5. Якщо до Переліку внесено інформацію про ПЗ «1С» та «BAS», правовласником яких є ТОВ «1С», чи можна використовувати таке ПЗ, правовласником яких визначена інша юридична особа, та які наслідки передбачені за використання підсанкційних ПЗ та обладнання?

Внесення програмного продукту до Переліку пов’язується саме із санкційним статусом правовласника або іншої особи, яка володіє майновими правами на відповідний продукт.

Водночас, необхідність і доцільність використання певного програмного забезпечення в інформаційно-комунікаційній системі визначаються на етапі її проєктування розробником або власником з урахуванням особливостей завдань, для автоматизації виконання яких вона створюється, та обмежень згідно із Законом України «Про санкції».

Відповідно до вимог Закону України «Про захист інформації в інформаційно-комунікаційних системах» державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, у системах, об’єктах критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, мають оброблятися в авторизованих системах з безпеки або шляхом отримання сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності.

Авторизація з безпеки або отримання сертифіката відповідності стандарту інформаційної безпеки щодо систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, здійснюється відповідно до законодавства у сфері захисту інформації та кіберзахисту.

Тобто при використанні в системі підсанкційного ПЗ або обладнання пройти авторизацію або отримати сертифікат відповідності стандарту інформаційної безпеки така система не зможе. Для вже авторизованих/сертифікованих систем виявлення факту використання підсанкційного ПЗ або обладнання в системі буде означати скасування авторизації/сертифікації на підставі невідповідності нормам законодавства у сфері захисту інформації та кіберзахисту.

Також при виявленні факту використання підсанкційного ПЗ або обладнання під час проведення заходів державного контролю в сфері захисту інформації власник системи буде зобов’язаний провести заміну такого ПЗ або обладнання, а в разі невиконання припису – буде складено протокол про адміністративне правопорушення за статтею 18831 Кодексу України про адміністративні правопорушення (невиконання законних вимог посадових осіб органів Державної служби спеціального звʼязку та захисту інформації України), який в подальшому буде направлено до суду.

6. Щодо поточного вигляду сайту та опублікованого Переліку.

Формат відображення даних, необхідний для публікації та ведення Переліку, є новим для офіційного вебсайту Держспецзвʼязку. Ми працюємо над удосконаленням формату відображення даних для забезпечення зручності користувачів. Якщо ви маєте пропозиції щодо покращення роботи офіційного вебсайту Держспецзв’язку, можете надавати їх через офіційні канали зв’язку, ми обов’язково їх розглянемо і в разі їх конструктивності – врахуємо.

7. Який саме програмний продукт бухгалтерського обліку використовує Держспецзв’язку?

Держспецзв’язку дотримується вимог законодавства та не використовує програмне забезпечення, внесене до Переліку або таке, що перебуває під санкціями, у тому числі програмні продукти ТОВ «1С».

Ключові акценти

Підставами для внесення є застосування спеціальних економічних та інших обмежувальних заходів відповідно до Закону України «Про санкції», міжнародних санкцій, що визнаються Україною, або рішення суду.

Використання підсанкційного ПЗ чи обладнання у системах, де обробляються державні інформаційні ресурси або інформація з обмеженим доступом, унеможливлює проходження авторизації з безпеки або отримання сертифіката відповідності та може бути підставою для скасування вже наданої авторизації/сертифіката.

Вимоги застосовуються до визначених законом систем незалежно від наявності доступу до мережі Інтернет.

Перелік є оновлюваним та поступово наповнюється на підставі рішень про застосування санкцій та судових рішень.

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.