Наказ Адміністрації Держспецзв’язку №836 від 17.12.2025 формує модель роботи з постачальниками для систем, у яких обробляються державні інформаційні ресурси, службова інформація, інформація, що становить державну таємницю, а також для об’єктів критичної інформаційної інфраструктури.
Простими словами, держава формалізувала те, що в міжнародній практиці давно називається безпекою ланцюга постачання. Тепер важливо не лише те, що саме постачає контрагент, а й наскільки це критично для системи, чи залучена ІКС постачальника до обробки інформації, який рівень ризику виникає, і чим саме постачальник може підтвердити належний рівень безпеки.
У цій статті ми спробуємо розібрати, що саме змінив наказ Держспецзв’язку №836 у підході до роботи з постачальниками, як тепер виглядає загальна логіка їх оцінки та яке рішення може допомогти компаніям впорядкувати процеси взаємодії з контрагентами та контролю відповідності у цій сфері.
Порядок дій для оцінки постачальника за новими вимогами
Нижче наведемо спрощений чекліст, який допоможе зрозуміти загальну логіку застосування нових вимог до постачальників.
Важливо: Для коректного застосування вимог у конкретній ситуації необхідно звертатися безпосередньо до текстів наказу №836 та пов’язаних із ним документів.
1. Визначити, що саме постачається
Зафіксувати товар, роботу або послугу, а також її зв’язок із конкретною системою чи процесом.
2. Оцінити критичність постачання
Встановити, чи пов’язане постачання з участю ІКС постачальника в обробці інформації, що підпадає під вимоги наказу.
3. Визначити рівень ризику
На основі критичності та типу інформації віднести постачання до відповідного рівня ризику. Перший рівень охоплює товари, роботи й послуги за першим критерієм критичності, призначені для ІКС, де обробляються державні інформаційні ресурси, службова інформація або інформація, що становить державну таємницю, а також для об’єктів критичної інформаційної інфраструктури. Другий, третій і четвертий рівні стосуються товарів, робіт і послуг за другим критерієм критичності та розрізняються за категорією інформації про об’єкти критичної інформаційної інфраструктури: відкрита або конфіденційна – другий рівень, службова – третій, державна таємниця – четвертий. Саме від цього надалі залежать вимоги до заходів безпеки та форма підтвердження відповідності.
4. Зіставити рівень ризику з обов’язковими вимогами
Визначити, які саме заходи безпеки повинен мати постачальник для цього рівня.
5. Визначити форму підтвердження відповідності
Перевірити, чим саме постачальник має підтвердити виконання вимог: декларацією, сертифікатом, атестатом або іншим передбаченим документом.
6. Зібрати та перевірити матеріали, що підтверджують відповідність
Отримати від постачальника документи, оцінити їх актуальність і відповідність встановленому рівню ризику.
7. Задокументувати рішення
Зафіксувати критерій критичності, рівень ризику, перелік вимог, отримані підтвердження та результат оцінки.
8. Підготувати матеріали до аудиту або перевірки
Забезпечити збереження всієї логіки оцінки та доказів у структурованому вигляді.
Для замовника або власника системи користь у тому, що з’являється формальна модель відбору та контролю постачальників. Для постачальника користь у тому, що очікування стають зрозумілими. Не потрібно здогадуватися, який пакет доказів або які заходи безпеки будуть вимагатися, бо це вже прив’язано до типу постачання і рівня ризику.
Практична роль ResilientX TPRM у нових вимогах
Із набранням чинності наказу №836 робота з постачальниками переходить у значно більш структурований формат. У межах нових вимог недостатньо разово отримати документи або формально оцінити контрагента. Як ми вже зазначали вище, потрібно послідовно визначати критичність постачання, встановлювати рівень ризику, збирати й актуалізувати підтвердження відповідності, контролювати строки та зберігати всю логіку рішень у вигляді, придатному для перевірки й аудиту.
Саме в цій процесній, доказовій і контрольній частині корисним є ResilientX TPRM. Звичайно, платформа не видає авторизацію з безпеки ІКС, сертифікат чи атестат, але допомагає централізувати оцінювання постачальників, збір і контроль документів та доказів відповідності, автоматизацію подальших дій, моніторинг і звітність.
Розберемо детальніше, чим саме ResilientX TPRM може допомогти.
1. Збір даних для класифікації постачальника і первинної оцінки
Практичне застосування нових вимог починається зі збору структурованої інформації про постачальника, характер його взаємодії із системою та наявність документів, що підтверджують відповідність. Для цього ResilientX TPRM може використовуватися як інструмент стандартизованого опитування: платформа підтримує готові та налаштовувані шаблони, умовну логіку, моделі оцінювання, які можна кастомізувати, а також локалізацію опитувальників для міжнародних постачальників.
2. Автоматизація анкет, нагадувань і контролю строків
Для першого рівня ризику порядок прямо передбачає декларативне підтвердження в межах укладення договору. У такому сценарії ResilientX TPRM може використовуватися для збирання анкет, автоматичного надсилання нагадувань, контролю прострочення, відображення статусів у режимі реального часу та збереження історії взаємодій.
Для другого-четвертого рівнів ризику порядок вимагає наявності документів, що підтверджують відповідність впроваджених заходів безпеки встановленим вимогам. ResilientX TPRM не видає таких документів, але може використовуватися для централізованого запиту, зберігання та оновлення доказової бази постачальника, зокрема для контролю строків дії документів, керування версіями та приймання файлів через захищені посилання.
Це спрощує підготовку до внутрішнього контролю, аудиту та перевірок, оскільки зменшує залежність від розрізнених таблиць, листування та ручного пошуку матеріалів, що підтверджують відповідність.
3. Оцінювання ризиків і пріоритизація
За Порядком рівень ризику визначає власник або розпорядник системи. Тому коректно говорити не про автоматичне визначення платформою рівня ризику в розумінні наказу, а про підтримку внутрішньої пріоритизації постачальників. ResilientX підтримує безперервне оцінювання ризиків постачальників у вигляді рейтингів у режимі реального часу, що базуються на cyber performance, вразливостях і даних з дарквеб. Платформа також підтримує налаштовувану матрицю ризику відповідно до політики організації, врахування впливу конкретного постачальника на бізнес і надає зрозумілі результати оцінювання та звітність для прийняття рішень.
Висновок
Наказ Держспецзв’язку №836 змінює підхід до роботи з постачальниками. Замість загальної перевірки контрагента запроваджується послідовна формалізована оцінка, у якій враховуються критичність постачання, рівень ризику, обов’язкові заходи безпеки та форма підтвердження відповідності. У результаті процес стає більш структурованим і зрозумілим як для замовника, так і для постачальника.
Для компаній це означає потребу не лише оцінити постачальника на старті, а й надалі впорядковано працювати з анкетами, документами, строками дії підтверджень, історією рішень і матеріалами для перевірок. У цьому контексті доцільно розглянути рішення ResilientX TPRM. Це інструмент, що допомагає централізувати процес оцінки третіх сторін, спростити процесну й контрольну частини цієї роботи та зменшити залежність від розрізнених таблиць, листування і ручного супроводу.
Якщо ви бажаєте отримати демо ResilientX TPRM, будь ласка, заповніть контактну форму нижче.
