16.07.2026

З чого почати приведення установи у відповідність до Закону 4336

0
Офіс CISO Chief Information Security Officer в установі для відповідності Закону 4336

Офіс CISO Chief Information Security Officer в установі для відповідності Закону 4336

Завершальна публікація серії пропонує узагальнений чек-ліст як точку входу для будь-якої установи. Кожен пункт прямо пов’язаний з нормою закону або підзаконного акта, тож це не загальні поради, а структура реальних дій. Чек-ліст задає мову проєкту та чіткі очікування на наступні 6–12 тижнів.

Десять кроків для відповідності

Крок 1. Визначити статус установи. Це орган державної влади, орган місцевого самоврядування, власник або розпорядник об’єкта критичної інфраструктури та якої категорії критичності? Від цього залежить весь обсяг подальших обов’язків (стаття 5¹).

Крок 2. Провести геп-аналіз. Скласти таблицю «вимога — поточний стан — розрив» за статтями 5¹, 8, 9¹ та вимогами Порядку № 1516, постанов № 1668, № 1740, наказу № 798. Без такої таблиці складно говорити з регулятором мовою фактів.

Крок 3. Кадровий блок. Утворити підрозділ (для держоргану — обов’язково). Підготувати кандидата на посаду керівника з кіберзахисту або відповідальної особи з урахуванням вимог до освіти і стажу.

Крок 4. Процедура призначення. Для держоргану — звернення до Адміністрації Держспецзв’язку, перевірка СБУ, очікування погодження (з урахуванням норми про «мовчазне погодження» через місяць). Для приватного об’єкта критичної інфраструктури — внутрішнє призначення відповідно до методичних рекомендацій.

Крок 5. Усунення конфлікту інтересів. Перевірити, що керівник з кіберзахисту не суміщає посаду з CDTO. У підзвітності кіберзахист має бути окремою лінією, а не частиною IT-блоку.

Крок 6. Управління ризиками і моніторинг. Впровадити безперервний моніторинг (24/7), політики безпеки, контроль зйомних носіїв. Це базова основа, без якої адміністративні санкції за неповідомлення про кіберінциденти ризикують стати регулярною статтею витрат.

Крок 7. Процедура повідомлень про кіберінциденти. Прописати внутрішній SLA на повідомлення згідно зі статтею 9¹ і підзаконними актами. Це найочевидніший спосіб уникнути адміністративної відповідальності.

Крок 8. Атестація фахівців. Запланувати проходження іспитів у акредитованих кваліфікаційних центрах для CISO та ключових ролей з реєстрацією у Державному реєстрі Національного агентства кваліфікацій.

Крок 9. Стрес-тести і навчання. Регулярно відпрацьовувати сценарії: відновлення з резервних копій, ізоляція пристроїв, час реагування. Це водночас управлінська практика і доказова база на випадок перевірки.

Крок 10. Документування. Під кожен крок — внутрішній наказ, журнал, протокол. Регуляторний контроль (постанова № 1668) перевіряє не наміри, а документи. У сфері кіберзахисту відсутність документа за фактом дорівнює відсутності факту.

Цей чек-ліст не виходить за межі того, що вже зараз вимагається або однозначно випливає із закону і підзаконних актів. Він не містить «надмірності» — і саме тому є реалістичним стартовим набором для впровадження. Джерело готове провести установу всіма десятьма кроками — від визначення статусу до атестації фахівців.

Стаття 5¹, 8, 9¹ Закону «Про основні засади забезпечення кібербезпеки України» у редакції 4336-IX; постанова КМУ № 1516 від 26.11.2025; постанова КМУ № 1668 від 17.12.2025; наказ Адміністрації Держспецзв’язку № 798 від 03.12.2025.

Leave a Reply

Your email address will not be published. Required fields are marked *