Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/5977
Title: Створення та впровадження моделі підрозділу інформаційної та кібербезпеки в державних органах влади та місцевого самоврядування
Authors: Проценко, Олександр Анатолійович
Буркот, Євгеній Юрійович
Keywords: ISO/IEC 27001;OWASP Top 10;підрозділ інформаційної безпеки;оцінка ефективності моделі
Issue Date: 2023
Abstract: Метою даного дослідження є ретельний аналіз необхідності, ефективності та можливостей створення та впровадження спеціалізованого підрозділу з інформаційної та кібербезпеки у владних структурах. Основні цілі підлягатимуть у виявленні оптимальних стратегій формування цього підрозділу, його функціональних обов’язків та підходів до співпраці з іншими структурами. - Вивчити і аналізувати існуючі підходи та моделі підрозділів інформаційної та кібербезпеки в державних органах влади та місцевого самоврядування. Розробити оптимальну модель підрозділу інформаційної та кібербезпеки, яка відповідатиме потребам та особливостям державних органів влади та місцевого самоврядування. Визначити найефективніші методи та засоби захисту інформації та кібербезпеки в державних органах влади та місцевого самоврядування. Розробити пропозиції щодо впровадження запропонованої моделі підрозділу інформаційної та кібербезпеки в державних органах влади та місцевого самоврядування.
URI: https://er.chdtu.edu.ua/handle/ChSTU/5977
Appears in Collections:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Files in This Item:
File Description SizeFormat 
М_125_Буркот_Проценко.pdf
  Restricted Access
1.87 MBAdobe PDFView/Open Request a copy


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, 
AВТОТРАНСПОРТУ ТА МАШИНОБУДУВАННЯ 
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ 
СИСТЕМ ТА КІБЕРБЕЗПЕКИ 
 
 
 
До захисту допущено 
 
завідувач кафедри РТСК 
 
д.т.н., професор 
 
_______________ В.В. Палагін 
 
"______" __________ 2023 року 
 
 
 
Пояснювальна записка 
 
до дипломного проекту магістра 
 
на тему  «Створення та впровадження моделі підрозділу 
інформаційних технологій та кібербезпеки 
в державних органах влади » 
 
 
 
Виконав: студент 2 курсу, групи БІ-021 
Спеціальності 125 – «Кібербезпека» 
 
освітньої програми «Безпека 
інформаційних і комунікаційних систем» 
 
 
 Буркот Є.Ю. 
 
 Керівник Проценко О.А. 
 
 Рецензент Блюма А.В. 
 
 
 
 
 
Черкаси 2023 
Форма № Н-9.01 
 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
(повне найменування вищого навчального закладу) 
Факультет електронних технологій, автотранспорту та машинобудування  
(повна назва) 
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки  
(повна назва) 
Освітньо-кваліфікаційний рівень магістр  
 
Спеціальність 125 – «Кібербезпека»  
 
Освітня програма Безпека інформаційних і комунікаційних систем  
 
ЗАТВЕРДЖУЮ 
Завідувач кафедри д.т.н., проф. 
____________ Палагін В.В. 
“___” _____________ 2023 року 
 
З А В Д А Н Н Я 
НА КВАЛІФІКАЦІЙНУ РОБОТУ МАГІСТРА СТУДЕНТУ 
Буркоту Євгену Юрійовичу 
 (прізвище, ім’я, по батькові) 
 
1. Тема роботи «Створення та впровадження моделі підрозділу інформаційних технологій та 
кібербезпеки в державних органах влади»  
керівник роботи Проценко Олександр Анатолійович_____  
                                                                                     (прізвище, ім’я, по батькові, науковий ступінь, вчене звання) 
затверджені наказом Черкаського державного технологічного університету від  
«10» жовтня 2023 року №271/04.  
2. Строк подання студентом роботи «06» грудня 2023 р. 
3. Вихідні дані до роботи Постанова Кабінету Міністрів України від 29 грудня 2021 р. № 1426  
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити) 
Вступ, Розділ 1 Інформаційна безпека в державних органах влади, Розділ 2 Розробка моделі 
підрозділу, політик безпеки та оцінка ефективності моделі, Висновок, Список використаних джерел. 
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів): 
мультимедійна презентація “Створення та впровадження моделі підрозділу інформаційних 
технологій та кібербезпеки в державних органах влади” – 20 слайди (додається до роботи).  
6. Консультанти розділів роботи  
Підпис, дата 
Прізвище, ініціали та посада 
Розділ 
консультанта завдання видав завдання прийняв 
    
    
 
7. Дата видачі завдання __________________ 
 
КАЛЕНДАРНИЙ ПЛАН  
 
№ Строк виконання 
Назва етапів кваліфікаційної роботи магістра Примітка  
з/п етапів роботи 
1. Пошук і аналіз інформації по заданій темі 15.09.2023-  
30.09.2023 
2. Написан ня І розділу “Інформаційна безпека в 01.10.2023-  
державних органах влади” 19.10.2023 
3. Написан ня ІІ розділу роботи “Розробка моделі 20.10.2023-  
підрозділу, політик безпеки та оцінка ефективності 24.11.2023 
моделі” 
4. Написан ня вступу і висновків, складання списку 25.11.2023  
літератури 
5. Оформл ення кваліфікаційної роботи магістра 01.12.2023  
6. Подання  роботи в ЕК 06.12.2023  
7. Захист р оботи в ЕК   
 
Студент _____________________Буркот Є.Ю. 
    (підпис)                           (прізвище та ініціали) 
Керівник роботи   ________________Проценко О.А. 
                                                  (підпис)                        (прізвище та ініціали) 
 
 
ЗМІСТ 
 
ВСТУП ........................................................................................................................... 6 
РОЗДІЛ 1. ДОСЛІДЖЕННЯ І ОПИС СИСТЕМИ ЗАХИСТУ ДАНИХ ТА ЇЇ 
СКЛАДОВИХ …..................................................................................................…... 11 
1.1  Концепція інформаційної безпеки ....….……………………………………. 11 
1.2  Організаційні аспекти захисту інформації ……..……………….………….. 13 
1.3  Стандарти та рекомендації щодо інформаційної безпеки ……………….... 15 
1.4  Аналіз поточного стану інформаційної безпеки ………………......…….… 16 
1.5  Виявлення проблем та вразливостей ……………...……….……...…….….. 17 
1.6  Оцінка ризиків та потенційних загроз .........................………….………...... 19 
1.7  Аналіз структури та функцій підрозділу ІТ та кібербезпеки ....................... 22 
1.8  Розробка моделі підрозділу інформаційної безпеки …................................. 24 
1.9  Визначення ролей та обов'язків персоналу …................................................ 27 
1.10 Організаційна структура підрозділу …….......................................................... 29 
1.11 Поняття "підрозділ ІТ та кібербезпеки" …...…................................................. 32 
1.12 Оцінка ефективності моделі підрозділу ІТ та кібербезпеки ……………....… 35 
1.13 Вимірювання показників безпеки та впровадження заходів ……................... 37 
РОЗДІЛ 2. ПРАКТИЧНА ЧАСТИНА ………………….………………….…….. 40 
2.1 Розробка моделі підрозділу інформаційної безпеки .………….…..…..…...…. 40 
2.2 Організаційна структура підрозділу .........................…………………..……..... 42 
2.3 Розробка політик та процедур інформаційної безпеки ………………….……. 45 
2.4 Впровадження моделі підрозділу ІТ та кібербезпеки …...……….………...…. 46 
2.5 Комунікація та навчання персоналу……………………...……..……...........…. 52 
 
ЧДТУ.23.22186.001.ПЗ 
Змн. Арк. № докум. Підпис Дата 
Розроб. Буркот Е.Ю. Створ ення та впровадження Літ. Арк. Аркушів 
 Перевір. Проценко О.А. моделі підрозділу 4 92 
Реценз. Блюма А.В. інформаційних технологій та 
 Н. Контр. Байрак А.В. кібербезпеки ЧДТУ, БІ-021 
Затверд. Палагін В.В. в державних органах влади 
 
 
2.6 Технічна реалізація необхідних інфраструктурних змін ...…………..……...... 57 
2.7 Оцінка ефективності моделі підрозділу ІТ та кібербезпеки ……..…................ 62 
2.8 Вимірювання показників безпеки та впровадження заходів …..……….…...... 69 
2.9 Аналіз результатів та виявлення можливих поліпшень …………...………..... 71 
2.10 Рекомендації для подальшого розвитку підрозділу ІТ та кібербезпеки …… 72 
ЗАГАЛЬНІ ВИСНОВКИ ………………….……...………………………….……. 73 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ………….…….……...…….................. 74 
ДОДАТОК А ……………………………..…………………………………………. 76 
 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 5 
Змн. Арк. № докум. Підпис Дата 
 
 
ВСТУП 
 
Сучасний світ надзвичайно залежний від інформаційних технологій, що 
створює безпрецедентні можливості та виклики для суспільства. Державні органи 
влади, як ключові учасники формування суспільно-політичного ландшафту, не 
уникають цих викликів. Однак зростаюча кількість кіберзагроз та недостатня 
захищеність інформаційних систем стають серйозними перешкодами, для їх 
ефективності та безпеки. Зростаюча кількість кібератак та загрози безпеці 
інформаційних систем становлять серйозну загрозу, для державних органів. Ці 
органи часто зберігають конфіденційну інформацію, таку як особисті дані 
громадян, які можуть бути використані, для негативних цілей. Крім того, атаки на 
інформаційні системи можуть призвести до перешкод у роботі державних органів 
влади, зокрема до зупинки роботи ІТ інфраструктури та систем обслуговування 
громадян.  
Створення підрозділу інформаційних технологій та кібербезпеки дозволить 
державним органам активно захищати свої інформаційні системи від кібератак та 
інших загроз. Цей підрозділ може включати в себе спеціалістів інформаційних та 
мережевих технологій, а також спеціалістів з кібербезпеки, фахівців з аналізу 
загроз та реагування на інциденти. Вони будуть відповідальні за розробку та 
впровадження політик та процедур забезпечення безпеки, виявлення та 
реагування на потенційні загрози, навчання персоналу, щодо кібербезпеки та 
інших заходів, для забезпечення безпеки інформаційних систем. Державні органи 
влади також мають обов’язок забезпечити безпеку своїх інформаційних систем та 
даних, особливо там, де здійснюються операції, які мають важливе значення. 
Створення та впровадження моделі підрозділу інформаційних технологій та 
кібербезпеки в державних органах влади є кроком в напрямку забезпечення 
безпеки інформаційних систем і даних цих органів. Враховуючи постійне 
зростання загроз кібербезпеці, ця модель відіграє важливу роль у захисті 
Арк. 
ЧДТУ.23.22186.001.ПЗ 6 
Змн. Арк. № докум. Підпис Дата 
 
 
інформації з обмеженим доступом, технологічних та інших даних, що є власністю 
держави.  
Модель підрозділу інформаційних технологій та кібербезпеки має включати 
такі елементи: 
1. Аналіз загроз і ризиків. Підрозділ повинен здійснювати систематичний 
аналіз потенційних загроз і ризиків, для інформаційних систем і даних організації. 
На основі цього аналізу має бути розроблена стратегія захисту. 
2. Усунення вразливостей. Підрозділ повинен відстежувати вразливості і 
підходити до їх усунення вчасно і ефективно. Це може включати впровадження 
заходів з управління, встановлення рекомендацій, щодо захисту інформаційних 
систем та проведення навчання та тестування. 
3. Планування інцидентів. Підрозділ повинен мати план дій, на випадок 
кібератаки, або іншого інциденту в галузі кібербезпеки. Цей план має включати 
кроки, для виявлення, аналізу, відновлення і розслідування інциденту. 
4. Свідомість і навчання персоналу. Підрозділ повинен забезпечити навчання 
персоналу з питань кібербезпеки та поширювати свідомість, про загрози серед 
всього персоналу. Це може бути зроблено шляхом тренінгів, регулярних оновлень 
інформації, про нові загрози та комплексних навчальних програм. 
5. Моніторинг і виявлення загроз. Підрозділ повинен мати системи 
моніторингу, які відстежують активність в мережі та інформаційних системах 
організації і виявляють потенційно небезпечну діяльність або несправедливість. 
Проблематикою даної роботи є необхідність створення та впровадження 
моделі підрозділу інформаційної та кібербезпеки в державних органах влади та 
місцевому самоврядуванні, як відповіді на актуальні загрози цифрового віку. 
Підвищення рівня захищеності інформаційних ресурсів стає необхідністю, для 
забезпечення функціонування державних структур та забезпечення безпеки 
громадян. Для прикладу недавні кібератаки, спрямованих на державні структури, 
відкривають проблематику недостатньої захищеності інформаційних систем 
владних установ. Ці атаки свідчать про необхідність вдосконалення заходів 
Арк. 
ЧДТУ.23.22186.001.ПЗ 7 
Змн. Арк. № докум. Підпис Дата 
 
 
кібербезпеки та розробки нових стратегій, щоб запобігти таким загрозам у 
майбутньому. Також, для більш захищеності інформації, яка є достатньо 
секретною і т.д. Недостатня усвідомленість про необхідність забезпечення 
інформаційної та кібербезпеки. Багато державних органів і місцевих 
самоврядувань не розуміють, наскільки важливо захищати свою інформацію та 
системи від кібератак. Також ще брак кваліфікованого персоналу. Для успішної 
реалізації моделі підрозділу інформаційної та кібербезпеки потрібні фахівці з 
відповідними знаннями та навичками. Однак, велика частина державних органів 
має проблеми зі залученням та утриманням таких спеціалістів. Розробка та 
впровадження моделі підрозділу інформаційної та кібербезпеки вимагає певних 
витрат на придбання необхідного обладнання, програмного забезпечення, 
проведення навчання працівників та інші витрати. Багато державних органів та 
місцевого самоврядування можуть мати обмежені фінансові ресурси, для цих 
цілей. 
Метою даного дослідження є ретельний аналіз необхідності, ефективності 
та можливостей створення та впровадження спеціалізованого підрозділу з 
інформаційної та кібербезпеки у владних структурах. Основні цілі підлягатимуть 
у виявленні оптимальних стратегій формування цього підрозділу, його 
функціональних обов’язків та підходів до співпраці з іншими структурами. - 
Вивчити і аналізувати існуючі підходи та моделі підрозділів інформаційної та 
кібербезпеки в державних органах влади та місцевого самоврядування. Розробити 
оптимальну модель підрозділу інформаційної та кібербезпеки, яка відповідатиме 
потребам та особливостям державних органів влади та місцевого самоврядування. 
Визначити найефективніші методи та засоби захисту інформації та кібербезпеки в 
державних органах влади та місцевого самоврядування. Розробити пропозиції 
щодо впровадження запропонованої моделі підрозділу інформаційної та 
кібербезпеки в державних органах влади та місцевого самоврядування. 
Зараз у світі спостерігається постійне зростання кіберзагроз та кібератак, які 
часто спрямовані на державні структури, що робить цю тему надзвичайно 
Арк. 
ЧДТУ.23.22186.001.ПЗ 8 
Змн. Арк. № докум. Підпис Дата 
 
 
актуальною. Відповідно, розробка та імплементація спеціалізованих підрозділів є 
ключовими кроками у забезпеченні національної та глобальної кібербезпеки. 
Проблема кібербезпеки стає все актуальнішою у світі, і державні органи влади та 
місцевого самоврядування не є винятком. З моменту, коли величезна кількість 
інформації перейшла в електронний формат і з’явилися мережеві технології, 
небезпека кібератак почала зростати. Створення та впровадження моделі 
підрозділу інформаційної та кібербезпеки в державних органах влади та місцевого 
самоврядування є важливим кроком для забезпечення захисту державних 
інформаційних систем та забезпечення цифрової безпеки на рівні країни. 
Основні причини актуальності даної теми такі: 
1. Зростання кількості кібератак. За останні роки спостерігається збільшення 
кількості кібератак на державні інформаційні системи. Країна перебуваючи у 
стані війни, не раз опинилися під ударом хакерів, які намагаються отримати 
доступ до конфіденційної інформації або завдати шкоди критичній 
інфраструктурі. 
2. Важливість державної інформації. Державні органи влади та місцевого 
самоврядування зберігають велику кількість інформації, що може бути цінною, 
для зловмисників. Захист цієї інформації є важливим завданням. 
3. Застосування нових технологій. Розвиток цифрових технологій підвищує 
ступінь підвладності державного сектору кіберзагрозам. Впровадження нових 
інформаційно-комунікаційних технологій вимагає наявності надійної захисної 
системи. 
4. Законодавча база. В багатьох країнах вже прийнято закони, що регулюють 
питання кібербезпеки і зобов’язують уряд і органи влади реалізувати певні заходи 
з її забезпечення. Тому модернізація державного апарату та створення підрозділів 
з кібербезпеки є необхідною умовою виконання цих законодавчих норм. 
Отже, створення та впровадження моделі підрозділу інформаційної та 
кібербезпеки в державних органах влади та організаціях - це важливий етап для 
забезпечення захисту інформації та кібербезпеки в державі. Вдосконалення 
Арк. 
ЧДТУ.23.22186.001.ПЗ 9 
Змн. Арк. № докум. Підпис Дата 
 
 
законодавчої бази, що визначатиме функції та повноваження підрозділу 
інформаційної та кібербезпеки. Наступним кроком є створення спеціалізованих 
підрозділів з інформаційної та кібербезпеки в державних органах влади та 
підприємствах. Ці підрозділи повинні бути складовою частиною організаційної 
структури та мати відповідну кваліфіковану кадрову базу. Для успішного 
впровадження моделі підрозділу інформаційної та кібербезпеки, необхідно 
забезпечити навчання та підвищення кваліфікації співробітників цих підрозділів. 
Таким чином вони зможуть ефективно виявляти та протидіяти загрозам 
інформаційної безпеки. Також, важливим етапом є приділення достатньої уваги 
процесу виявлення та аналізу інцидентів, пов’язаних з кібербезпекою. Для цього 
необхідно впровадити систему моніторингу, яка дозволить оперативно виявляти 
аномалії та зловмисну діяльність. Крім того, необхідно розробити плани 
відновлення роботи після інцидентів з інформаційною безпекою. Ці плани 
повинні містити вказівки та процедури, для відновлення роботи систем та даних 
після кібератак. Загалом, створення та впровадження моделі підрозділу 
інформаційної та кібербезпеки в державних органах влади - це складний процес, 
який потребує не лише організаційних змін, але і серйозних інвестицій у 
технології, навчання персоналу та усвідомлення важливості забезпечення 
інформаційної та кібербезпеки. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 10 
Змн. Арк. № докум. Підпис Дата 
 
 
РОЗДІЛ 1. ДОСЛІДЖЕННЯ І ОПИС СИСТЕМИ ЗАХИСТУ 
ДАНИХ ТА ЇЇ СКЛАДОВИХ  
 
1.1. Концепція інформаційної безпеки. 
 
Концепція інформаційної безпеки є комплексною системою заходів, 
спрямованих на захист інформації від втручання, несанкціонованого доступу, 
руйнування, крадіжки або витоку. Основна мета концепції полягає у запобіганні 
завданню шкоди інформаційним системам, збереженні конфіденційності, 
цілісності та доступності інформації [1]. 
 
 
Рис.1. Складові системи кібербезпеки. 
 
Ключові аспекти концепції інформаційної безпеки включають: 
1. Конфіденційність: забезпечення захищеності інформації від 
несанкціонованого доступу або розголошення третім сторонам. 
2. Цілісність: забезпечення недоторканності інформації від 
несанкціонованої модифікації, втручання або руйнування. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 11 
Змн. Арк. № докум. Підпис Дата 
 
 
3. Доступність: забезпечення готовності та доступності інформації в 
потрібний момент часу. 
4. Аутентифікація: встановлення і підтвердження ідентичності користувачів 
та систем. 
5. Авторизація: визначення та контроль прав доступу користувачів до 
різних функцій та даних системи. 
6. Захист від втручання: виявлення, усунення та запобігання відмовам у 
роботі системи, всіляким атакам та загрозам безпеці інформації. 
7. Резервне копіювання: забезпечення створення резервних копій 
інформації, щоб мати можливість відновлення даних у разі втрати або 
пошкодження. Концепція інформаційної безпеки вимагає комплексного підходу 
до захисту інформації, включаючи технічні, організаційні та правові заходи. Вона 
також передбачає постійне оновлення заходів безпеки, спрямованих на 
запобігання новим загрозам та методам атак [17]. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 12 
Змн. Арк. № докум. Підпис Дата 
 
 
1.2. Організаційні аспекти захисту інформації. 
 
Організаційні аспекти захисту інформації означають політики, процедури та 
структури, які впроваджуються в організації для захисту конфіденційної 
інформації від несанкціонованого доступу, використання, розголошення, 
пошкодження або втрати [16]. Вони охоплюють такі аспекти, як: 
1. Політика захисту інформації: Організації повинні мати чітку політику, яка 
визначає, яка інформація потребує захисту, хто має до неї доступ, як вона має 
бути оброблена та збережена, та які заходи безпеки треба прийняти. 
2. Організаційна структура: Організації повинні мати чітко визначену 
структуру, яка включає ролі та відповідальності, пов'язані з захистом інформації. 
Це може включати безпекового керівника, комітет з безпеки чи спеціаліста з 
захисту інформації. 
3. Тренінг та свідомість співробітників: Організації повинні надавати 
тренінги та навчання своїм співробітникам щодо політики захисту інформації, 
прийнятих процедур та практик безпеки. Співробітники повинні бути свідомі 
ризиків безпеки та знати, як діяти, щоб запобігти інцидентам безпеки. 
4. Контроль доступу: Організації повинні мати механізми для обмеження 
доступу до конфіденційної інформації тільки необхідним особам. Це може бути 
здійсненням логінів та паролів, використання біометричних ідентифікаторів чи 
інших технологій контролю доступу. 
5. Моніторинг та аудит: Організації повинні мати системи моніторингу та 
аудиту, які дозволяють виявляти можливі інциденти безпеки і вживати заходів 
для їх усунення. Це може включати моніторинг мережевої активності, перевірку 
журналів доступу до систем та проведення регулярних аудитів безпеки. 
6. Запобіжні заходи: Організації повинні вживати різноманітних запобіжних 
заходів, щоб запобігти інцидентам безпеки і зменшити його наслідки. Це може 
включати використання антивірусного програмного забезпечення, мережевих 
мережевих фільтрів, шифрування даних та фізичну безпеку. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 13 
Змн. Арк. № докум. Підпис Дата 
 
 
7. Резервне копіювання та відновлення: Організації повинні мати процедури 
для регулярного резервного копіювання важливої інформації та можливості 
відновлення інформації у разі її втрати або пошкодження. 
Ці організаційні аспекти захисту інформації доповнюються технічними та 
фізичними заходами, щоб забезпечити повний захист конфіденційної інформації 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 14 
Змн. Арк. № докум. Підпис Дата 
 
 
1.3. Стандарти та рекомендації щодо інформаційної безпеки. 
 
Інформаційна безпека є важливим аспектом у будь-якій організації або 
компанії. Існує багато стандартів та рекомендацій, які регулюють питання 
безпеки й допомагають захистити інформацію від вторгнень, втрати та 
несанкціонованого доступу [5]. Ось деякі з них: 
1. ISO/IEC 27001: Цей стандарт встановлює міжнародні вимоги до системи 
управління інформаційною безпекою. Він надає фреймворк для розробки й 
впровадження ефективних заходів захисту інформації. 
2. NIST Cybersecurity Framework: Розроблений національним інститутом 
стандартів і технологій США (NIST), цей фреймворк пропонує методику 
керування ризиками та рекомендації щодо забезпечення безпеки інформації. 
3. GDPR: Загальний регламент про захист даних є європейським 
законодавством, яке регулює збір, обробку і передачу персональних даних. 
Дотримання цього законодавства вимагає від організацій забезпечити належний 
рівень захисту інформації. 
4. OWASP Top 10: Національна асоціація безпеки веб-додатків (OWASP) 
публікує щорічний список найпоширеніших вразливостей веб-додатків. Цей 
список допомагає розробникам виявляти й усувати потенційні загрози. 
5. CIS Controls: Ця незалежна організація надає список 20 базових 
контрольних точок безпеки, які допомагають організаціям покращити свою 
інформаційну безпеку. 
Усі ці стандарти та рекомендації можуть бути використані організаціями, 
щоб запровадити ефективні заходи захисту інформації та забезпечити безпеку 
даних. Найважливіше - обрати стандарт чи рекомендацію, яка відповідає 
потребам і особливостям вашої організації [9]. 
 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 15 
Змн. Арк. № докум. Підпис Дата 
 
 
1.4. Аналіз поточного стану інформаційної безпеки. 
 
Аналіз поточного стану інформаційної безпеки у державній адміністрації 
включає оцінку захищеності інформаційних ресурсів та систем, виявлення 
потенційних загроз та вразливостей і розробку стратегії захисту. Оцінка 
захищеності інформаційних ресурсів включає перевірку наявності механізмів 
аутентифікації та авторизації доступу до інформації, наявність резервного 
копіювання та відновлення даних, а також захисту від несанкціонованого 
знищення чи зміни інформації. Виявлення потенційних загроз та вразливостей 
включає аналіз середовища, в якому діє державна адміністрація, і визначення 
можливих шляхів доступу зовнішніх осіб до інформації. Також проводиться 
аналіз існуючих заходів забезпечення інформаційної безпеки та виявлення 
можливих прогалин в системі захисту [2].  
 
 
Рис.2. Стан інформаційної безпеки. 
 
Розробка стратегії захисту включає в себе встановлення пріоритетів у захисті 
різних категорій інформації, розробку правил і процедур для захисту 
інформаційних ресурсів, а також визначення необхідних технологій та 
інструментів для забезпечення безпеки.  
Аналіз поточного стану інформаційної безпеки у державній адміністрації дає 
змогу виявити проблемні сфери та вразливості, що потребують негайного 
вирішення. Він є важливим кроком у покращенні системи захисту інформації та 
забезпеченні безпеки державних ресурсів.  
Арк. 
ЧДТУ.23.22186.001.ПЗ 16 
Змн. Арк. № докум. Підпис Дата 
 
 
1.5. Виявлення проблем та вразливостей. 
 
Виявлення проблем і вразливостей у галузях інформаційної та кібербезпеки є 
важливим завданням для забезпечення безпеки систем та мереж у цих сферах. 
Деякі з проблем і вразливостей, які можуть бути виявлені, включають: 
1. Недостатня захищеність мереж та систем. Це може включати слабкі 
паролі, вразливості в програмному забезпеченні та недостатні заходи безпеки. 
2. Недостатня увага до безпеки даних. Компанії та організації можуть не 
виконувати достатніх заходів для захисту особистих даних своїх клієнтів, що 
може призвести до витоку цих даних. 
3. Соціальна інженерія. Це метод, який зловмисники використовують для 
отримання даних шляхом обману людей. Вони можуть надсилати фішингові 
листи або використовувати інші методи обману, щоб отримати доступ до 
збережених даних. 
4. Відсутність достатніх заходів захисту від вторгнень. Деякі системи можуть 
бути недостатньо захищені від хакерських атак та вторгнень. Це може привести 
до невпізнання атаки або недостатньої реакції на неї. 
5. Недостатнє оновлення програмного забезпечення. Багато вразливостей в 
програмному забезпеченні можуть бути використані зловмисниками для атаки на 
систему. Недостатнє оновлення програмного забезпечення може призвести до 
використання цих вразливостей. 
6. Нестача освіти та навичок в сфері кібербезпеки. Багато проблем у галузі 
кібербезпеки виникають через незнання або неправильне застосування заходів 
безпеки. Недостатня освіта та навички можуть призвести до погіршення ситуації з 
безпекою. 
7. Недостатні контрольні заходи. Керівництва компаній можуть не 
виконувати достатніх заходів для забезпечення безпеки даних і систем. 
Недостатні контрольні заходи можуть призвести до витоку даних та пов'язаних з 
цим наслідків. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 17 
Змн. Арк. № докум. Підпис Дата 
 
 
Загалом, виявлення проблем і вразливостей у галузях інформаційної та 
кібербезпеки дозволяє вжити відповідних заходів для запобігання атакам та 
забезпечення безпеки інформації.  
 
Зазначимо, що кожний державний інститут або відомство, забезпечуючи 
розробку та реалізацію політики захисту критичної інфраструктури, має чітко 
визначити спектр потенційних загроз для підпорядкованих йому критичних 
об’єктів, оперуючи відповідним набором інструментів та ресур сів. Погоджуємось 
із твердженням вчених Д. С. Бірюкова та С. І. Кондратова, що інститути 
державної політики захисту повинні враховувати розгалуженість світоглядних 
наукових досліджень, які мають передувати практичній частині реалізації 
державної політики захисту. До них науковці пропонують включити: 
- секторальний поділ критичної інфраструктури на національному, регіональному 
та місцевому рівнях; - ідентифікацію секторальних релевантних ризиків та загроз 
для об’єктів критичної інфраструктури; - оцінку вразливості окремих секторів 
критичної інфраструктури до визначених ризиків та загроз; - оцінку ризиків та 
загроз порушення або знищення секторів критичної інфраструктури; - прийняття 
відповідних запобіжних заходів на основі створення системи захисту критичної 
інфраструктури [4]. 
Загалом, можна стверджувати, що в основі цього підходу лежить виконання 
на рівні державних інститутів заходів стратегічного планування, кінцевою метою 
яких повинна стати профілактика виникнення нових і зниження відомих ризиків 
виникнення загроз об’єктам критичної інфраструктури. Кінцевим продуктом 
цього процесу мають стати управлінські рішення на місцевому, регіональному і 
загальнодержавному рівнях, орієнтовані на реалізацію комплексу заходів із 
ідентифікації ризиків, удосконалення організаційно-правових рамок управління 
ризиками, інвестування в заходи зі зниження ризиків, підвищення ефективності 
оперативного реагування на загрози та відновлення після надзвичайних ситуацій. 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 18 
Змн. Арк. № докум. Підпис Дата 
 
 
1.6. Оцінка ризиків та потенційних загроз. 
 
Оцінка ризиків та потенційних загроз у інформаційній та кібербезпеці 
галузях у державних органах влади та місцевого самоврядування є важливим 
етапом в запобіганні та захисті від кібератак та інших загроз інформаційній 
безпеці. Оцінка ризиків полягає у виявленні та аналізі вразливостей та загроз для 
інформаційної системи. Це можуть бути технологічні вразливості, які можуть 
бути використані зловмисниками для несанкціонованого доступу до інформації, 
фізичні загрози, такі як крадіжка або пошкодження обладнання, а також соціальні 
загрози, які включають фішинг, соціальний інжиніринг та ін. Також оцінка 
ризиків включає виявлення потенційних наслідків таких загроз. Це можуть бути 
втрата конфіденційності, цілісності та доступності інформації, психологічні та 
фінансові втрати, порушення приватності користувачів та інші наслідки [3]. 
Потенційні загрози у галузі кібербезпеки можуть включати кібератаки, 
віруси та шкідливі програми, фішинг, DDoS-атаки, крадіжку даних та багато 
інших. Для кожної загрози потрібно визначити ймовірність її виникнення та 
наслідки, які вона може мати. Оцінка ризиків та потенційних загроз у державних 
органах влади та місцевого самоврядування допомагає виявити найбільш вразливі 
об'єкти та запропонувати ефективні заходи для забезпечення інформаційної 
безпеки. Зокрема, можуть бути встановлені технічні та організаційні заходи, 
обмеження доступу до інформації, навчання персоналу про правила безпечної 
роботи з інформацією та інші заходи.  
Оцінювання ризиків і загроз у галузі інформаційної та кібернетичної безпеки 
є необхідним етапом до прийняття ефективних рішень щодо забезпечення безпеки 
інформаційних систем у державних органах влади та місцевого самоврядування. 
Це дозволяє виявити слабкі місця та розробити стратегічний план забезпечення 
захисту інформації, який буде враховувати потенційні загрози та ризики. 
 
 
Арк. 
ЧДТУ.23.22186.001.ПЗ 19 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
Рис.3. Алгоритм забезпечення критичного ризик-менеджменту як складника 
державної політики захисту критичної інфраструктури 
 
Відповідно до зображеної схеми, відзначимо, що захист критичної 
інфраструктури повинен базуватися на механізмах державного управління та 
оцінці критичних ризиків. Сфера державного управління для побудови дієвого 
захисту критичної інфраструктури має включати складник ризикменеджменту, 
який базується на відпрацюванні альтернатив з використанням результатів оцінки 
ризиків, аналізу ризиків та прогнозування наслідків для їх мінімізації. Тобто цей 
процес передбачає реалізацію багатокритеріальних завдань, які передують 
прийняттю рішення в умовах невизначеності. Оцінка ризику є основою для 
дослідження і вироблення заходів ризик-менеджменту відповідно до алгоритму 
дій із виявлення небезпек, оцінки факторів загроз та оцінки вразливості 
критичного об’єкта. У свою чергу, це потребує створення додаткового алгоритму, 
який дозволить змоделювати обставини надзвичайної ситуації і в подальшому 
допоможе керівництву та персоналу критичних об’єктів адаптуватись до них у 
Арк. 
ЧДТУ.23.22186.001.ПЗ 20 
Змн. Арк. № докум. Підпис Дата 
 
 
реальному житті. Таким чином, інтеграція ризик-менеджменту в структуру 
державної політики забезпечить механізм ідентифікації та управління загрозами 
критичним об’єктам. 
Загальна методика моделювання на основі теорії нечіткої логіки, адаптована 
під вимоги забезпечення безпеки критичної інфраструктури, повинна передбачати 
поетапне розв’язання таких завдань: виокремлення основних факторів впливу на 
критичну інфраструктуру та взаємозв’язків між ними; визначення і формалізацію 
лінгвістичних оцінок факторів; побудову нечіткої бази знань про взаємозв’язки 
між факторами; виведення нечітких логічних рівнянь на основі лінгвістичних 
оцінок і нечіткої бази знань; оптимізацію параметрів нечіткої моделі. Пропонуємо 
кілька алгоритмів у системах нечіткого умовиводу, опис яких заснований на 
поділі вихідного процесу на низку послідовних етапів:  
1. Формування бази даних правил нечіткого висновку системи.  
2. Фазифікація вхідних змінних.  
3. Агрегація підумов у нечітких умовах правила дії.  
4. Активізація або композиція підвисновків у правила нечіткої умови-дії.  
5. Накопичення висновків нечіткої умови правила дії.  
6. Дефазифікація вихідних змінних. 
Тобто при створенні алгоритму керівник критичного об’єкта буде 
аналізувати поточну ситуацію, порівнюючи її з раніше розробленими шаблонами 
критеріальних факторів, які є ознаками надзвичайної ситуації. Відповідно 
описану алгоритмізацію нечітких умовиводів у межах критичного ризик-
менеджменту можна застосовувати у ситуаціях, відносно незмінних у короткий 
проміжок часу і з невеликим обсягом ситуаційної інформації, а формалізовані 
алгоритмічні висновки відповідають умовам для прийняття екстрених 
управлінських рішень на критичних об’єктах [17]. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 21 
Змн. Арк. № докум. Підпис Дата 
 
 
1.7. Аналіз структури та функцій підрозділу ІТ та кібербезпеки. 
 
 
Рис.4. Загальна схема організаційно-керуючої інфраструктури кіберзахисту. 
 
Структура та функції підрозділу інформаційної безпеки в організації 
включають наступні елементи: 
1. Керівництво: Відділ інформаційної безпеки повинен мати керівника, який 
буде відповідати за всі аспекти безпеки інформації в організації. 
2. Аудит безпеки: Підрозділ інформаційної безпеки повинен здійснювати 
аудит систем та процесів безпеки для виявлення потенційних проблем та ризиків. 
3. Політики та процедури: Підрозділ інформаційної безпеки відповідає за 
розробку та впровадження політик та процедур безпеки, що регулюють доступ до 
інформації, шифрування даних, захист від шкідливих програм та ін. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 22 
Змн. Арк. № докум. Підпис Дата 
 
 
4. Системи захисту: Підрозділ інформаційної безпеки виконує встановлення 
та підтримку різних систем захисту, таких як брандмауери, антивірусне 
програмне забезпечення, системи виявлення вторгнень тощо. 
5. Здійснення розслідувань: Підрозділ інформаційної безпеки виконує 
розслідування інцидентів безпеки, таких як несанкціонований доступ до даних, 
витоки інформації тощо. 
6. Комунікація: Підрозділ інформаційної безпеки взаємодіє з іншими 
підрозділами організації для забезпечення своєчасного обміну інформацією про 
потенційні загрози та рекомендації з їх запобігання. 
7. Навчання та усвідомлення: Підрозділ інформаційної безпеки відповідає за 
навчання співробітників організації щодо безпеки інформації, а також 
формування свідомості щодо цінності та конфіденційності даних. 
8. Управління ризиками: Підрозділ інформаційної безпеки визначає та 
оцінює ризики безпеки інформації, розробляє плани та заходи для їх зменшення 
та контролю. 
Загалом, підрозділ інформаційної безпеки відповідає за захист інформації в 
організації від потенційних загроз та забезпечує впровадження політик, процедур 
та технологій для забезпечення безпеки. Він також забезпечує координацію між 
різними відділами та підрозділами організації для досягнення загальних цілей 
безпеки інформації 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 23 
Змн. Арк. № докум. Підпис Дата 
 
 
1.8. Розробка моделі підрозділу інформаційної безпеки. 
 
Розробка моделі підрозділу інформаційної безпеки включає визначення його 
структури, функцій, процесів та взаємозв'язків з іншими підрозділами організації. 
Основною метою такої моделі є забезпечення ефективного управління та захисту 
інформації в організації. 
Основні кроки у розробці моделі підрозділу інформаційної безпеки: 
1. Визначення структури підрозділу. Необхідно визначити, які функції 
забезпечення інформаційної безпеки будуть розподілені між співробітниками 
підрозділу. Наприклад, можуть бути такі функції: управління ризиками, технічний 
захист інформації, кібербезпека, навчання та освіту співробітників тощо. 
2. Встановлення процесів та процедур. Необхідно визначити, які процеси 
будуть використовуватися для забезпечення інформаційної безпеки, наприклад, 
процес виявлення та розслідування інцидентів, процес планування запобігання 
атакам, процес навчання співробітників тощо. Кожний процес має бути детально 
описаний та формалізований. 
3. Визначення ролей та відповідальностей. Важливо визначити, яку роль 
виконуватиме кожен співробітник підрозділу, які будуть його відповідальності та 
повноваження. Наприклад, можуть бути ролі розробників безпеки, аналітиків 
ризиків, адміністраторів систем і т.д. 
4. Встановлення комунікаційних зв'язків. Важливо визначити, як 
співробітники підрозділу інформаційної безпеки будуть спілкуватися з іншими 
підрозділами організації, наприклад, з відділом розробки програмного 
забезпечення або відділом IT-інфраструктури. Це може включати організацію 
зустрічей, відправку електронних повідомлень або використання спеціалізованих 
систем керування проектами. 
5. Встановлення систем моніторингу та контролю. Для ефективного 
управління інформаційною безпекою необхідно мати системи моніторингу та 
контролю, які дозволяють вчасно виявляти загрози та реагувати на них. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 24 
Змн. Арк. № докум. Підпис Дата 
 
 
Наприклад, можуть використовуватися системи виявлення вторгнень або системи 
моніторингу журналів подій. 
6. Оцінка та покращення моделі. Після впровадження моделі в організації 
необхідно її оцінити та здійснити необхідні покращення або корективи з 
урахуванням нових вимог та умов. 
Розробка моделі підрозділу інформаційної безпеки є важливим етапом у 
забезпеченні безпеки інформації в організації. Вона допомагає організувати 
роботу зі збереження конфіденційності, цілісності та доступності інформації та 
забезпечити її захист від незаконного доступу, витоку чи пошкодження. 
 
 
Рис.5. Схема організаційно-керуючої інфраструктури кіберзахисту 
 
Організаційно-керуюча інфраструктура кіберзахисту — Організаційно-
керуюча інфраструктура кіберзахисту ґрунтується на функціонуванні та взаємодії 
п’яти стратегічних груп стейкхолдерів (з підмножинами їхніх суб’єктів), що 
формують відповідні сектори кіберзахисту:  
загальнодержавний, до складу якого входять Президент України, вищі 
органи державної влади; галузевий, до складу якого входять державні органи, які 
забезпечують формування та/або реалізацію державної політики в одній чи 
кількох сферах, об’єкти критичної інфраструктури всіх форм власності; 
Арк. 
ЧДТУ.23.22186.001.ПЗ 25 
Змн. Арк. № докум. Підпис Дата 
 
 
регіональний (місцевий), до складу якого входять місцеві органи виконавчої 
влади та органи місцевого самоврядування, комунальні підприємства, організації, 
установи, що здійснюють діяльність в сфері захисту інформації та кібербезпеки; 
приватний, до складу якого входять підприємства недержавної форми 
власності, організації та установи, що здійснюють діяльність в сфері захисту 
інформації та кібербезпеки, інші підприємства, на яких реалізуються заходи 
кіберзахисту (крім об’єктів критичної інфраструктури);  
академічний, до складу якого входять науково-дослідні установи, заклади 
вищої освіти, аналітичні центри державної, комунальної та приватної форми 
власності, що здійснюють освітню, наукову та експертну діяльність в сфері 
захисту інформації та кібербезпеки, беруть участь у підготовці, підвищенні 
кваліфікації та перепідготовці професійних кадрів в сфері кібербезпеки; 
громадський, до складу якого входять громадські організації, об’єднання, 
асоціації, спілки та представники експертного середовища в сфері кібербезпеки, а 
також міжнародні партнери України, що здійснюють свою діяльність у сфері 
кібербезпеки. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 26 
Змн. Арк. № докум. Підпис Дата 
 
 
1.9. Визначення ролей та обов'язків персоналу. 
 
В державних органах влади та місцевого самоврядування існує ряд ролей та 
обов'язків персоналу інформаційної та кібербезпеки [8]. Наведемо основні з них: 
1. Керівництво. Керівники відповідають за розробку та впровадження 
політики інформаційної та кібербезпеки в організації. Вони визначають стратегію 
захисту інформації, приймають рішення про розподіл ресурсів на захист і 
продумати систему управління ризиками. 
2. Спеціалісти з інформаційної та кібербезпеки. Це фахівці, які забезпечують 
технічну реалізацію політики інформаційної та кібербезпеки. Вони встановлюють 
захисні системи, моніторять і реагують на потенційні загрози, проводять аудити 
безпеки, розробляють та впроваджують політики та процедури безпеки. 
3. Адміністратори систем. Ці фахівці відповідають за налагодження і 
підтримку безпеки інформаційних систем. Вони здійснюють контроль доступу, 
встановлюють та оновлюють програмне забезпечення, контролюють резервне 
копіювання та відновлення даних, забезпечують безпеку мережі. 
4. Користувачі. Кожен працівник державного органу чи органу місцевого 
самоврядування є користувачем інформаційної системи та, відповідно, має свої 
обов'язки забезпечення безпеки. Це включає своєчасне оновлення паролів, не 
використання слабких паролів, установку оновлень безпеки, недопущення витоку 
конфіденційної інформації. 
5. Безпекові аудитори та інспектори. Ці фахівці проводять регулярні аудити 
безпеки інформаційних систем та оцінюють рівень вразливостей, а також 
перевіряють дотримання внутрішніх політик та стандартів безпеки. 
6. Освітні фахівці з інформаційної та кібербезпеки. Це спеціалісти, які 
надають навчання та консультації персоналу з питань безпеки інформації. Вони 
забезпечують проведення тренінгів, семінарів, вебінарів та інших форм навчання 
з питань кібербезпеки. 
 
Арк. 
ЧДТУ.23.22186.001.ПЗ 27 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
 
Рис.6. Схема технологічної інфраструктури кіберзахисту. 
 
Важливо враховувати, що ролі та обов'язки персоналу інформаційної та 
кібербезпеки можуть відрізнятися в залежності від розміру та складності 
організації, а також відповідати вимогам відповідних нормативно-правових актів 
та стандартів безпеки, що застосовуються в країні. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 28 
Змн. Арк. № докум. Підпис Дата 
 
 
1.10. Організаційна структура підрозділу. 
 
Організаційна структура підрозділу інформаційної та кібербезпеки в 
державних органах влади та місцевого самоврядування може варіюватися 
залежно від конкретного органу та його потреб [12]. Однак, зазвичай така 
структура може включати наступні підрозділи: 
1.  Відділ/Департамент кібербезпеки – відповідає за розробку та 
впровадження політики та стратегії кібербезпеки в організації, виявлення та 
вирішення проблем інформаційної безпеки. 
2.  Відділ/Департамент інформаційної безпеки – займається захистом 
інформації, включаючи розробку та впровадження політик та процедур захисту 
інформації, надання рекомендацій щодо застосування технічних засобів та 
процесів безпеки. 
3.  Відділ/Департамент мережевої безпеки – відповідає за захист мереж і 
інфраструктури організації, включаючи розробку та впровадження процедур 
мережевої безпеки, моніторинг та виявлення потенційних загроз мережевій 
інфраструктурі. 
4.  Відділ/Департамент аналізу та відповіді на інциденти – займається 
аналізом інформації щодо кібер інцидентів, виявленням та реагуванням на них. 
Відповідає за впровадження планів відновлення роботи та вирішення проблем 
інцидентів. 
5.  Відділ/Департамент навчання та підвищення кваліфікації – забезпечує 
навчання співробітників організації з питань інформаційної та кібербезпеки, 
організовує тренінги та підвищує кваліфікацію персоналу. 
6.  Відділ/Департамент технічного забезпечення та захисту – відповідає 
за розробку та впровадження технічних заходів безпеки, таких як захист мереж і 
комп'ютерів, встановлення та підтримку програмного забезпечення для захисту 
інформації. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 29 
Змн. Арк. № докум. Підпис Дата 
 
 
7. Координаційна група з кібербезпеки – відповідає за координацію дій 
та співпрацю з іншими організаціями та ініціативами з метою забезпечення 
кібербезпеки. Основні завдання координаційної групи з кібербезпеки включають 
аналіз потенційних загроз, розробку та впровадження стратегій та політик 
кібербезпеки, співпрацю з різними секторами, включаючи державні інституції, 
приватний сектор та громадські організації, а також координацію реагування на 
кібератаки та інші кіберзагрози. Координаційна група з кібербезпеки зазвичай 
включає представників різних організацій та секторів, які мають експертизу в 
кібербезпеці. Це можуть бути представники уряду, правоохоронних органів, 
кібербезпекових компаній, академічного середовища та інших заінтересованих 
сторін. Організації, які можуть бути представлені в координаційній групі, 
включають в себе Національні центри кібербезпеки, Міжнародні організації з 
кібербезпеки, такі як Інтерпол та Європейська агенція з кібербезпеки, інші 
міжнародні агентства та кібербезпекові організації. Однією з основних ролей 
координаційної групи з кібербезпеки є забезпечення ефективного обміну 
інформацією та координація дій для попередження та виявлення кібер атак. Це 
може включати спільні вправи та тренування, обмін інформацією про нові загрози 
та вразливості, а також розробку спільних стратегій та політик кібербезпеки. 
Координаційна група з кібербезпеки також може брати участь у розслідуванні 
кібератак, співпрацювати з лавами виконавчої влади та правоохоронними 
органами для ідентифікації та переслідування злочинців. Вона також може 
рекомендувати заходи безпеки та захисту для різних секторів, оцінювати ризики 
та розробляти рекомендації для підвищення рівня кібербезпеки. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 30 
Змн. Арк. № докум. Підпис Дата 
 
 
 
Рис.7. Модель організаційної структури підрозділу. 
 
Модель організаційної структури підрозділу складається: 
1. Керівна команда: може включати директора або керівника відділу, який 
контролює його загальну діяльність, політику та стратегію. 
2. Операційний підрозділ кібербезпеки: команда зосереджена на 
моніторингу, виявленні та реагуванні на потенційні кіберзагрози та інциденти в 
режимі реального часу. Вони також можуть проводити оцінку ризиків і 
управління вразливістю. 
3. Група реагування на інциденти: підрозділ відповідає за розслідування 
та реагування на інциденти кібербезпеки, координацію з внутрішніми та 
зовнішніми зацікавленими сторонами та впровадження заходів з усунення. 
4. Підрозділ політики безпеки та відповідності: команда гарантує, що 
інформаційні системи та методи відповідають встановленим політикам безпеки, 
стандартам і нормативним вимогам. Вони також можуть надавати керівництво та 
інформування співробітників. 
5. Архітектура безпеки та інженерна група: підрозділ проектує та 
впроваджує безпечні інформаційні системи, мережі та інфраструктуру. Вони 
також можуть брати участь в оцінці та виборі технологій безпеки. 
6. Підрозділ аналізу загроз: команда збирає, аналізує та поширює 
інформацію про нові кіберзагрози та тенденції. Вони можуть співпрацювати з 
іншими організаціями та обмінюватися інформацією про загрози для покращення 
загальних заходів безпеки. 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 31 
Змн. Арк. № докум. Підпис Дата 
 
 
1.11. Поняття «підрозділ ІТ та кібербезпеки». 
 
Створення спеціалізованого підрозділу інформаційної безпеки в державній 
адміністрації є важливим кроком для забезпечення безпеки інформації, яка є 
цінним активом країни. Запобігання кібератакам, захист від витоку 
конфіденційної інформації, забезпечення належного функціонування 
інформаційних систем - усі ці завдання стають дедалі більш актуальними та 
складними в сучасному цифровому світі. Основна мета підрозділу інформаційної 
безпеки - забезпечення захисту інформації в державній адміністрації та 
запобігання можливим загрозам.  
 
Базова інфраструктура кіберзахисту складається з двох шарів, які 
взаємопов’язані ціллю захисту конфіденційності, цілісності та доступності 
інформації, а саме:  
- захищена інформаційна інфраструктура України;  
- захищені суспільство і громадяни України.  
 
 
Рис.8. Базисна інфраструктури кіберзахисту. 
 
Головною метою діяльності суб’єктів на рівні базової інфраструктури є 
забезпечення конфіденційності, цілісності та доступності інформації та систем.  
 
Арк. 
ЧДТУ.23.22186.001.ПЗ 32 
Змн. Арк. № докум. Підпис Дата 
 
 
 
Для досягнення цієї мети підрозділ виконує ряд функцій, серед яких: 
1. Моніторинг, аналіз і виявлення потенційних загроз - це включає постійне 
спостереження за інформаційними системами та мережами, аналіз можливих 
загроз безпеці інформації, розробку методів виявлення та реагування на 
інциденти безпеки. 
2. Розробка та впровадження заходів безпеки - підрозділ створює та 
впроваджує політики, процедури та технічні рішення щодо захисту інформації, 
включаючи контроль доступу, шифрування даних, захист від шкідливих програм, 
запобігання витоку даних тощо. 
3. Навчання персоналу - підрозділ проводить навчання та тренінги для 
співробітників державної адміністрації з питань інформаційної безпеки, формує 
культуру безпеки серед персоналу. 
4. Управління інцидентами - підрозділ відповідає за реагування на 
інциденти безпеки, виявлення та ліквідацію небажаних подій, аналіз причин та 
розробку рекомендацій для запобігання подібних інцидентів у майбутньому. 
Структура підрозділу інформаційної безпеки може варіюватись залежно від 
потреб та розміру державної адміністрації. Однак, важливо мати такі ролі та 
позиції: 
5. Керівник підрозділу - відповідає за координацію та керівництво роботою 
всього підрозділу і забезпечення виконання покладених завдань. 
6. Аналітики безпеки - виконують моніторинг та аналіз інформаційної 
безпеки, виявляють нові загрози та розробляють рекомендації щодо поліпшення 
захисту. 
7. Спеціалісти з технічної безпеки - відповідають за розробку, впровадження 
та підтримку технічних рішень безпеки, включаючи мережеві заходи, системи 
захисту, системи моніторингу тощо. 
8. Спеціалісти з управління інцидентами - відповідальні за реагування на 
інциденти безпеки, координацію дій з ліквідації інцидентів та аналіз їх причин. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 33 
Змн. Арк. № докум. Підпис Дата 
 
 
9. Спеціалісти з навчання та освіти - відповідають за проведення навчання 
та тренінгів для персоналу з питань інформаційної безпеки. 
Розподіл обов'язків між співробітниками підрозділу залежить від їх 
професійних навичок, досвіду та здібностей. Кожен з співробітників повинен 
мати свою відповідну область відповідальності, щоб забезпечити повне 
функціонування інформаційної безпеки в державній адміністрації. 
Створення підрозділу інформаційної безпеки є необхідним елементом 
ефективного управління інформаційною безпекою в державній адміністрації. Він 
забезпечує захист інформації, реагування на загрози та запобігання інцидентам 
безпеки. Відповідний розподіл завдань та функцій між співробітниками 
підрозділу забезпечує більш ефективне забезпечення безпеки інформації та захист 
інформаційних ресурсів держави [10]. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 34 
Змн. Арк. № докум. Підпис Дата 
 
 
1.12. Оцінка ефективності моделі підрозділу ІТ та кібербезпеки. 
 
Оцінка ефективності моделі підрозділу інформаційної безпеки може бути 
здійснена за допомогою різних показників та метрик. 
 
 
Рис.9. Модель підрозділу ІТ та кібербезпеки. 
 
Це модель структурного підрозділу який відповідає за управління 
технологічними аспектами та забезпеченням кібербезпеки в рамках цих органів. 
Він забезпечує впровадження, управління та підтримку інформаційних 
технологій, а також відповідає за захист інформації, що перебуває у власності або 
управлінні державних органів. Цей підрозділ грає ключову роль у забезпеченні 
безпеки, ефективності та оптимізації технологічних процесів в органах державної 
влади. 
Деякі з них включають: 
1. Кількість та склад інцидентів інформаційної безпеки: оцінка того, які та 
скільки інцидентів було виявлено та оброблено підрозділом. Важливо розглянути 
як кількісно, так і якісні показники інцидентів. 
2. Час виявлення та реагування на інциденти: вимірює, як швидко підрозділ 
реагує на інциденти після їх виявлення. Цей показник може дати уявлення про 
ефективність процесів моніторингу та реагування на загрози. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 35 
Змн. Арк. № докум. Підпис Дата 
 
 
3. Зниження ризиків інформаційної безпеки: оцінка того, наскільки успішно 
підрозділ знижує ризики та запобігає потенційним інцидентам. Цей показник 
може бути виміряний за допомогою аудитів та іспитів безпеки даних. 
4. Результати навчання та освіти: оцінка того, наскільки добре підрозділ 
інформує та навчає своїх працівників з питань інформаційної безпеки. Цей 
показник може включати в себе оцінку проходження навчальних курсів, 
сертифікаційних програм та штрафних справ. 
5. Кості та бюджет: оцінка витрат на підрозділ, які пов'язані з його 
діяльністю забезпечення інформаційної безпеки. Цей показник може включати в 
себе витрати на обладнання, програмне забезпечення та навчання. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 36 
Змн. Арк. № докум. Підпис Дата 
 
 
1.13. Вимірювання показників безпеки та впровадження заходів 
 
Вимірювання показників безпеки та впровадження заходів інформаційної та 
кібербезпеки в державних органах влади та місцевому самоврядуванні є 
важливим завданням, яке допомагає забезпечити захист інформації, персональних 
даних та критично важливих інфраструктур. Для забезпечення ефективності та 
безпеки роботи державних органів влади та місцевого самоврядування необхідно 
проводити систематичні вимірювання показників безпеки та оцінювати рівень 
інформаційної та кібербезпеки. Це дозволяє виявляти потенційні вразливості та 
недоліки, а також розробляти та впроваджувати відповідні заходи для їх 
мінімізації. 
 
 
Рис.10. Основні показники безпеки. 
 
Основні показники безпеки, які рекомендується вимірювати і оцінювати, 
включають: 
1. Рівень доступності: вимірювання часу доступу до ресурсів, виявлення та 
усунення перешкод, що не дозволяють отримувати необхідну інформацію. 
2. Рівень конфіденційності: визначення міри захисту інформації від 
несанкціонованого доступу та розголошення. 
3. Рівень цілісності: оцінка ступеня запобігання неправомірним змінам, 
втратам або руйнуванню інформації. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 37 
Змн. Арк. № докум. Підпис Дата 
 
 
4. Рівень достовірності: вимірювання точності, повноти та актуальності 
інформації, що надається. 
5. Рівень доступу: визначення прав доступу до інформації та ресурсів. 
6. Рівень аутентифікації: оцінка ступеня довіри до ідентифікації та 
підтвердження особи користувача. 
7. Рівень стійкості до атак: вимірювання міри здатності системи стояти 
перед спробами несанкціонованого доступу та атак. 
 
 
Рис.11. Маштабування моделі підрозділу. 
 
Крім вимірювання показників безпеки, також необхідно впроваджувати 
заходи інформаційної та кібербезпеки [12]. До основних заходів можна віднести: 
1. Розробка та впровадження політик безпеки: створення нормативно-
правової бази та внутрішніх правил у сфері інформаційної та кібербезпеки, 
розробка процедур та механізмів контролю за їх виконанням, а також навчання 
персоналу правилам безпеки і профілактики інформаційних загроз. 
2. Встановлення системи моніторингу та виявлення інформаційних і 
кіберзагроз: це може включати в себе встановлення спеціального програмного 
забезпечення для виявлення атак, моніторингу мережі та системи, і вжиття 
заходів для припинення атак та відновлення нормальної роботи системи. 
3. Захист інформації: це означає впровадження технологій та методів, що 
забезпечують захист інформації від несанкціонованого доступу, витоку або 
Арк. 
ЧДТУ.23.22186.001.ПЗ 38 
Змн. Арк. № докум. Підпис Дата 
 
 
пошкодження. Це може включати в себе використання шифрування, 
автентифікації, контролю доступу і резервного копіювання даних. 
4. Навчання персоналу: всі співробітники повинні бути навчені правилам 
безпеки використання інформації та протидії кіберзагрозам. Компанія може 
організовувати тренінги, навчальні семінари і проводити тести для перевірки 
рівня знань персоналу. 
5. Проведення аудитів та аналізу систем безпеки: це дозволяє виявляти 
слабкі місця системи безпеки, вживати заходів для їх усунення і попередження 
можливих загроз. 
6. Створення і підтримка культури безпеки в організації: необхідно залучати 
керівництво та всіх працівників до впровадження політики безпеки, проводити 
інформаційні кампанії, нагороджувати успішні приклади дотримання правил 
безпеки і навчання персоналу. 
Послідовне впровадження цих заходів допоможе забезпечити високий 
рівень інформаційної та кібербезпеки в організації. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 39 
Змн. Арк. № докум. Підпис Дата 
 
 
РОЗДІЛ 2. ПРАКТИЧНА ЧАСТИНА 
 
2.1. Розробка моделі підрозділу інформаційної безпеки. 
 
Відповідно наказу Департаменту фінансів від 31.08.2023 р. № 51-ос була 
проведена реорганізація і виведено із складу управління та створено самостійний 
відділ «Інформаційних технологій, кібербезпеки та захисту інформації». 
Основним завданням відділу є забезпечення  інформаційної безпеки та 
технічного захисту інформації, захисту відкритої, критичної та електронної 
інформації з обмеженим доступом, що є власністю держави, в інформаційно-
телекомунікаційній системі, згідно чинного законодавства у галузі 
«Кібербезпеки», реагування на кібератаки/кіберінциденти, а також здійснення 
контролю за роботою засобів обчислювальної техніки, серверів та локальних 
мереж Департаменту фінансів. 
 
 
Рис.12. Модель структурного підрозділу ІТ та кібербезпеки 
 
Це модель структурного підрозділу, який відповідає за управління 
технологічними аспектами та забезпеченням кібербезпеки в рамках цих органів. 
Він забезпечує впровадження, управління та підтримку інформаційних 
технологій, а також відповідає за захист інформації, що перебуває у власності або 
управлінні державних органів. Цей підрозділ грає ключову роль у забезпеченні 
Арк. 
ЧДТУ.23.22186.001.ПЗ 40 
Змн. Арк. № докум. Підпис Дата 
 
 
безпеки, ефективності та оптимізації технологічних процесів в органах державної 
влади. 
Управління інформаційними технологіями: Це охоплює впровадження 
нових технологій, технічну підтримку, управління мережами, обладнанням та 
програмним забезпеченням. 
Кібербезпека: Захист інформації та інфраструктури від кіберзагроз, 
виявлення вразливостей, вирішення інцидентів безпеки, впровадження стратегій 
та політик безпеки. 
Управління даними: Захист конфіденційної інформації, забезпечення 
дотримання вимог законодавства з питань захисту даних. 
 
Аналіз поточного стану інформаційної безпеки ДФ: 
Кожен користувач системи закріплений за робочою станцією, вхід 
користувача у систему із іншої робочої станції, блокується. 
Доступ до робочої станції дозволяється тільки користувачеві даної робочої 
станції, системному адміністратору й адміністратору безпеки, для всіх інших 
фізичний доступ до робочої станції неможливий. 
Кожен користувач повинен забезпечувати захист своєї робочої станції від 
можливого використання її сторонніми особами, для цього йому забороняється 
відходити від працюючої робочої станції без попереднього її блокування, 
повідомляти кому-небудь свій пароль, або де-небудь записувати його. 
Права доступу до кожного захищеного об’єкта встановлюватися в момент 
його створення або ініціалізації. 
Для користувачів системи розроблена інструкція, у якій прописані їхні права, 
обов’язки й правила при роботі з системою. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 41 
Змн. Арк. № докум. Підпис Дата 
 
 
2.2. Організаційна структура підрозділу. 
 
 
Рис.12. Схема організаційної структури підрозділу. 
 
Розглянемо детально організаційну схему досліджуваного об’єкту: 
Начальник відділу. 
Здійснює забезпечення контролю та організації роботи у відповідності з 
положенням про Департамент фінансів облдержадміністрації, положенням про 
відділ, положенням про роботу із засобами обчислювальної техніки та про доступ 
до інформаційних ресурсів Департаменту фінансів, планами контрольно–
економічної роботи відділу. 
Спеціаліст з кібербезпеки та захісту інформації. 
Здійснює забезпечення  інформаційної безпеки та технічного захисту 
інформації, захисту відкритої, критичної та електронної інформації з обмеженим 
доступом, що є власністю держави, в інформаційно-телекомунікаційній системі, 
згідно чинного законодавства у галузі «Кібербезпеки», реагування на 
кібератаки/кіберінциденти, а також здійснення контролю за роботою засобів 
обчислювальної техніки, серверів та локальних мереж. 
 
Арк. 
ЧДТУ.23.22186.001.ПЗ 42 
Змн. Арк. № докум. Підпис Дата 
 
 
 
Спеціаліст супроводження баз даних. 
Здійснює забезпечення контролю та безперебійного функціонування 
робочих місць, локальної комп’ютерної мережі та баз даних. Формування та 
ведення єдиної державної бази даних місцевих бюджетів Інформаційно 
Програмний Комплекс (ІПК) “Місцевий бюджет”, єдиної системи управління 
державними фінансами України “Програмного комплексу для розпорядників 
коштів державного бюджету” (ПК ГРК), єдиної державної бази даних “Мережа, 
штати і контингенти установ”. 
Спеціаліст супроводження програмно-технічних комплексів. 
Здійснює забезпечення організації впровадження, поточної підтримки та 
контролю,  програмно-технічних комплексів у частині технічних засобів та 
системного програмного забезпечення, територіальних громад та районних  
фінансових управлінь області. 
 
Після проведення аналізу можна ідентифікувати можливі поліпшення у 
підрозділах інформаційної та кібербезпеки державних органів влади та місцевого 
самоврядування. Це можуть бути: 
1. Підвищення свідомості персоналу з питань інформаційної та 
кібербезпеки шляхом проведення навчань та тренінгів. 
2. Розробка та впровадження більш строгих процедур та політик щодо 
захисту даних та кібербезпеки. 
3. Оновлення та підроскірнення інфраструктури та обладнання, щоб 
забезпечити відповідність сучасним стандартам безпеки. 
4. Зміцнення співпраці зі сторонніми компаніями та експертами з 
кібербезпеки для отримання додаткової експертизи та рекомендацій. 
5. Постійне моніторинг та оновлення систем безпеки з метою виявлення та 
запобігання потенційним загрозам. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 43 
Змн. Арк. № докум. Підпис Дата 
 
 
6. Впровадження системи відповідальності та внутрішнього контролю для 
забезпечення дотримання політик та процедур безпеки. 
7. Забезпечення регулярного аудиту та перевірки існуючих систем безпеки 
для виявлення можливих слабких місць та вдосконалення їх функціонування. 
Впровадження цих поліпшень може допомогти зміцнити захист інформації 
та кібербезпеки у державних органах влади та місцевого самоврядування, що 
робить їх більш стійкими до потенційних кібератак та витоків даних. Результатом 
буде покращення довіри громадян до системи та збільшення ефективності 
діяльності органів влади. 
 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 44 
Змн. Арк. № докум. Підпис Дата 
 
 
2.3. Розробка політик та процедур інформаційної безпеки. 
 
Аналіз результатів і виявлення можливих поліпшень у підрозділах 
інформаційної та кібербезпеки в державних органах влади та місцевого 
самоврядування може бути проведений на основі декількох ключових показників 
та метрик. Деякі з них включають: 
1. Рівень свідомості і кваліфікації персоналу: Оцінка знань та навиків 
персоналу щодо інформаційної та кібербезпеки може допомогти визначити, чи 
працівники знають про основні загрози та вміють виявляти та запобігати атакам. 
2. Наявність процедур та політик: Існуючі процедури і політики, пов'язані з 
інформаційною та кібербезпекою, можуть бути проаналізовані щодо їх 
ефективності та відповідності найкращим практикам. Це включає політики щодо 
паролів, доступу до систем та захисту даних. 
3. Технічні заходи безпеки: Оцінка наявних технічних рішень, таких як 
фаєрволи, антивіруси та системи виявлення вторгнень, допоможе виявити 
вразливість та потенційні прогалини в безпеці. 
4. Реагування на інциденти: Важливо оцінити, як швидко та ефективно 
реагує орган влади на інциденти кібербезпеки. Це може включати виявлення, 
вирішення та повідомлення про інциденти. 
5. Аудит безпеки: Проведення аудиту безпеки дозволить оцінити загальний 
стан інформаційної та кібербезпеки органу влади. Аудит розкриватиме потенційні 
проблеми та прогалини у безпеці та нададуть рекомендації щодо поліпшень. 
 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 45 
Змн. Арк. № докум. Підпис Дата 
 
 
2.4. Впровадження моделі підрозділу ІТ та кібербезпеки. 
 
 
Рис.13. Локальна захищена компьютерна мереда об’єкту. 
 
Умовні позначення: 
 
 
Арк. 
ЧДТУ.23.22186.001.ПЗ 46 
Змн. Арк. № докум. Підпис Дата 
 
 
2.4.1. Вимоги до антивірусного захисту в АС. 
В АС «Захист персональних даних» створена система антивірусного захисту 
інформації, для забезпечення можливості контролю проникнення та видалення 
вірусів у максимально короткі строки після їх появи та взаємного контролю 
різних продуктів. 
Система захисту файлових серверів та серверів баз даних повинна 
забезпечувати захист АС від комп’ютерних вірусів шляхом перевірки файлів та 
процесів на цих АС антивірусним монітором, сканером, що встановлюються на 
цих АС. 
- можливість безупинного захисту об’єктів АС відповідно до встановлених 
вимог та політики безпеки;  
- можливість автоматизованого блокування проникнення комп’ютерних 
вірусів з усіх можливих джерел;  
- лікування усіх відомих комп’ютерних вірусів з занесенням інформації про 
це у відповідні протоколи роботи для забезпечення моніторингу роботи. В разі 
підозри на зараження невідомими комп’ютерними вірусами та неможливості 
лікування, САЗ повинна забезпечувати блокування доступу користувачів до цієї 
інформації; 
- можливість оперативного повідомлення відповідальних осіб щодо 
виникнення критичних чи особливих ситуацій у АС, тобто: виявлення вірусу, збій 
у системі оновлень, зміна налаштувань САЗ; 
- гнучке масштабування при появі нових об’єктів антивірусного захисту 
у АС; 
- ліцензійність та підтримку постачальниками застосованого антивірусного 
програмного забезпечення. 
Для захисту інформації від пошкодження, або несанкціонованих дій з нею 
завдяки комп’ютерним вірусам в автоматизованій системі повинна бути 
встановлена система антивірусного захисту.  
Арк. 
ЧДТУ.23.22186.001.ПЗ 47 
Змн. Арк. № докум. Підпис Дата 
 
 
Система антивірусного захисту повинна бути сконфігурована таким 
чином, щоб не перешкоджати роботі програмного забезпечення. 
Доступ до налаштувань модуля оновлення баз даних системи антивірусного 
захисту повинен мати лише адміністратор безпеки. Обновлення антивірусних баз 
повинно проходити у автоматичному режимі по чітко визначеному шляху до 
нових баз. 
Додатково потрібно провести перевірку функціонування системи 
антивірусного захисту шляхом виконання процесу пошуку вірусів на зовнішніх 
носіях ІзОД. 
2.4.2. Організаційне забезпечення захисту. 
З метою забезпечення захисту інформації з обмеженим доступом під час її 
обробки в АС «Захист персональних даних» наказом начальника Департаменту 
фінансів Черкаської обласної державної адміністрації призначається 
відповідальна особа за технічний захист інформації в АС «Захист персональних 
даних», якій надаються повноваження щодо організації і впровадження КСЗІ, 
контролю за станом захищеності інформації тощо. 
Відповідно до рівня повноважень щодо доступу до ІзОД, характеру робіт, які 
виконуються у процесі функціонування АС «Захист персональних даних», для 
користувачів АС «Захист персональних даних» визначаються такі ролі: 
- Звичайний користувач; 
- Адміністратор безпеки; 
-  Системний адміністратор. 
Звичайний користувач – це користувач, який працює з документами, які 
містять ІзОД, а також з встановленими програмами. 
Адміністратор безпеки повинен виконувати такі функції: 
- ведення облікових карток користувачів; 
- ведення бази даних захисту; 
- ведення переліку комп’ютерів; 
Арк. 
ЧДТУ.23.22186.001.ПЗ 48 
Змн. Арк. № докум. Підпис Дата 
 
 
- встановлення параметрів роботи КЗЗ, які безпосередньо пов’язані з 
керуванням доступом; 
- спостереження за роботою системи; 
- архівація даних захисту; 
- забезпечення захисту інформації від комп’ютерних вірусів. 
Системний адміністратор повинен виконувати такі функції: 
- супроводження програмного забезпечення АС «Захист персональних 
даних», у тому числі програмного забезпечення КЗЗ; 
- настройка та супроводження апаратного забезпечення (разом із технічним 
персоналом); 
Усі дії, які прямо чи опосередковано можуть вплинути на захищеність 
інформації (зміни дозволів на доступ до файлів та папок, очищення журналів ОС, 
зміни настройок BIOS Setup тощо), системний адміністратор має узгоджувати з 
адміністратором безпеки. Порядок узгодження визначається «Планом захисту 
інформації». 
Користувачем АС може бути тільки співробітник Головного фінансового 
управління Черкаської обласної державної адміністрації. Призначення 
співробітника користувачем АС здійснюється наказом начальника Головного 
фінансового управління Черкаської обласної державної адміністрації, після чого 
адміністратор безпеки проводить короткий інструктаж співробітника і дає 
ознайомитися з інструкцією користувача. Після ознайомлення співробітник 
розписується в журналі реєстрації користувачів, далі адміністратор безпеки 
реєструє його в АС «Захист персональних даних», заводить тимчасовий пароль, 
який при першому запуску користувач зобов’язаний змінити, і видає фізичний 
ідентифікатор для входу в АС. 
Надалі фізичний ідентифікатор буде зберігатися у користувача. 
Правила одержання і зберігання фізичного ідентифікатора повинні бути 
описані в посадових інструкціях. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 49 
Змн. Арк. № докум. Підпис Дата 
 
 
Користувачі АС «Захист персональних даних» повинні мати базові навички 
роботи з обчислювальною технікою, з операційною системою Microsoft Windows, 
та прикладними програмами, наявність яких визвано службовою необхідністю. 
Усі носії, які містять ІзОД, повинні мати належне маркування та зберігатись 
у відповідальних користувачів. 
2.4.3. Вимоги до складу проектної та експлуатаційної документації. 
Необхідно надати таку документацію на КСЗІ: 
експлуатаційні документи: 
− формуляр на АС (або декілька формулярів на кожний компонент 
автоматизованої системи); 
− Інструкція щодо модернізації КСЗІ 
− Правила управління  паролями в АС 
− Правила класифікації та класифікатор інформації і користувачів 
− Інструкція про порядок введення в експлуатацію КСЗІ 
− Порядок видачі персональних ідентифікаторів 
− Інструкція про порядок проведення  оперативного відновлення 
функціонування  автоматизованої системи 
− Інструкція про порядок обліку, супроводження архівів, ротації носіїв 
інформації та резервування інформації в автоматизованій системі 
− Порядок проведення ремонтних робіт та відновлення роботи АС 
− Інструкція щодо забезпечення режиму конфідіційності під час обробки 
інформації в АС 
− Інструкція користувача; 
− Інструкція відповідального за ТЗІ; 
− Інструкція адміністратора безпеки; 
− Інструкція системного адміністратора; 
− Інструкція з використання програмних модулів КЗЗ; 
− Програма та методика випробувань; 
Арк. 
ЧДТУ.23.22186.001.ПЗ 50 
Змн. Арк. № докум. Підпис Дата 
 
 
організаційні документи: 
− Положення про службу захисту інформації;  
− План захисту інформації; 
− Інструкція щодо забезпечення режиму конфідіційности при використанні 
автоматизованої системи. 
Деякі експлуатаційні документи на КСЗІ можуть бути замінені відповідними 
документами, що входять до експлуатаційної документації на засоби захисту, що 
застосовуються в КСЗІ. 
Документація повинна оформлятись згідно з такими нормативними 
документами:  
ДСТУ 2226-93. Автоматизовані системи. Терміни та визначення. 
НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних 
системах від несанкціонованого доступу. 
ГОСТ 34.201-89. Виды, комплектность и обозначение документов при 
создании автоматизированных систем. 
РД 50-34.698-90. Автоматизированные системы. Требования к созданию 
документов. 
ГОСТ 24301-80. Система технической документации на АСУ. Общие 
требования к текстовым документам. 
ГОСТ 2.105-95. ЕСКД. Общие требования к текстовым документам. 
ГОСТ 2.106-96. ЕСКД. Текстовые документы. 
НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в 
автоматизованій системі 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 51 
Змн. Арк. № докум. Підпис Дата 
 
 
2.5. Комунікація та навчання персоналу. 
 
 
Рис.14. Схема навчання персоналу. 
 
Комунікація та навчання персоналу сприяє професійному розвитку 
співробітників підрозділу через проведення навчань, тренінгів та сертифікацій, а 
також заохочувати їх до самоосвіти та стежити за останніми трендами у сфері 
інформаційної та кібербезпеки. Один з підходів до сприяння професійному 
розвитку співробітників підрозділу включає проведення навчань, тренінгів та 
сертифікацій. Це може бути організація платформ для занять з експертами або 
вивчення спеціалізованих курсів, які допоможуть збільшити знання та вміння 
співробітників у сфері інформаційної та кібербезпеки. Це дозволить їм покращити 
свої навички та отримати нові знання, необхідні для ефективного виконання 
робочих обов'язків. Крім того, компанія може заохочувати співробітників до 
Арк. 
ЧДТУ.23.22186.001.ПЗ 52 
Змн. Арк. № докум. Підпис Дата 
 
 
самоосвіти. Надання доступу до ресурсів із самонавчання і створення 
можливостей для саморозвитку дозволить співробітникам вдосконалювати свої 
навички та знання, необхідні для розвитку в їхній обраній сфері. Заохочення до 
самоосвіти може включати фінансову підтримку для курсів з самонавчання або 
присутність на конференціях та семінарах, які дозволяють співробітникам 
поглиблювати свої знання. Крім того, важливо стежити за останніми трендами у 
сфері інформаційної та кібербезпеки. Компанія може створити механізми для 
вказування співробітникам на актуальні ресурси, джерела інформації та 
професійні матеріали, що стосуються інновацій та трендів у цій сфері. Це може 
включати підписку на спеціалізовані журнали, блоги, участь в професійних 
форумах або співпрацю зі спеціалізованими організаціями. Всі ці заходи 
сприятимуть постійному професійному розвитку співробітників у сфері 
інформаційної та кібербезпеки, що, в свою чергу, позитивно вплине на робочі 
результати та конкурентоспроможність підрозділу. 
Забезпечення постійної свідомості усіх співробітників про важливість 
інформаційної та кібербезпеки та їхню роль у забезпеченні цієї безпеки, 
наприклад, через проведення інформаційних кампаній та навчальних заходів. Для 
забезпечення постійної свідомості усіх співробітників про важливість 
інформаційної та кібербезпеки та їхню роль у забезпеченні цієї безпеки, можна 
використати різні методи, серед яких наступні: 
1. Інформаційні кампанії: Проведення постійних інформаційних кампаній із 
залученням всіх співробітників компанії. Це можуть бути буклети, постери, 
електронні листівки, веб-сайт зі статтями і порадами щодо інформаційної та 
кібербезпеки. Такі кампанії допоможуть постійно нагадувати працівникам про 
необхідність свідомо інтерпретувати та застосовувати правила безпеки. 
2. Навчальні заходи: Організація навчальних заходів, семінарів, тренінгів та 
лекцій з працівниками компанії. Теми можуть включати основні принципи 
безпеки, небезпеки кібератак, методи захисту від шкідливих програм, безпека 
Арк. 
ЧДТУ.23.22186.001.ПЗ 53 
Змн. Арк. № докум. Підпис Дата 
 
 
паролів тощо. Навчання має бути систематичним і регулярним, щоб змістя 
регулярно оновлювався і переглядався. 
3. Інтерактивні ігри та симуляції: Використання інтерактивних ігор та 
симуляцій для навчання працівників правилам інформаційної та кібербезпеки. Це 
може зробити процес навчання більш захоплюючим та ефективним, а також 
дозволить працівникам використовувати набуті знання на практиці. 
4. Внутрішні комунікаційні канали: Забезпечення наявності ефективних 
комунікаційних каналів внутрішньої зв'язку, які дозволяють поширювати важливу 
інформацію щодо безпеки комп'ютерних систем та пропагандувати культуру 
безпеки. Внутрішні блоги, форуми, чати або електронні розсилки можуть бути 
використані для цієї мети. 
5. Безпекова політика: Розроблення та впровадження безпекової політики, 
яка буде регламентувати правила та процедури забезпечення інформаційної та 
кібербезпеки в організації. Ця політика повинна включати в себе: 
- Визначення відповідальностей та обов’язків по забезпеченню 
інформаційної та кібербезпеки. 
- Встановлення правильних процедур і практик для захисту інформації та 
мережі від несанкціонованого доступу. 
- Визначення стандартів і політик щодо паролів, шифрування, 
антивірусного захисту і інших технологій безпеки. 
- Встановлення процедур та практик щодо моніторингу та виявлення 
потенційних загроз безпеці. 
- Впровадження процедур і практик з реагування на інциденти безпеки та 
відновлення після них. 
- Забезпечення регулярної аудиторії безпеки із метою виявлення слабких 
місць та вдосконалення безпекової політики. 
- Проведення навчання та підвищення свідомості працівників щодо 
інформаційної та кібербезпеки. 
- Постійне оновлення та вдосконалення безпекової політики. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 54 
Змн. Арк. № докум. Підпис Дата 
 
 
Ці кроки допоможуть установі забезпечити надійний захист важливої 
інформації та мережі, запобігти несанкціонованому доступу та іншим загрозам 
безпеці, а також зберегти довіру громадян та організацій. 
 
Ефективно співпрацювати з іншими підрозділами організації, зокрема з 
відділом IT, з метою подальшого вдосконалення системи інформаційної та 
кібербезпеки. Для ефективної співпраці з іншими підрозділами організації, 
зокрема з відділом IT, з метою подальшого вдосконалення системи інформаційної 
та кібербезпеки, можна виконати такі кроки: 
1. Встановити відкритий та постійний зв’язок. Забезпечте відкритість 
комунікації між вашим підрозділом і відділом IT. Регулярні зустрічі, електронні 
листи, спільні чати чи інтернет-платформи допоможуть вам знайти спільну мову 
та знати останні оновлення в галузі кібербезпеки. 
2. Розуміння потреб. Зрозумійте, які є потреби відділу IT щодо кібербезпеки. 
Проведіть збору інформації про потенційні загрози, вразливості та інші проблеми, 
з якими вони стикаються. Це допоможе вам краще зрозуміти їх вимоги та спільно 
розробити плани безпеки. 
3. Спільне планування. Розробити спільні плани для вдосконалення системи 
інформаційної та кібербезпеки, визначивши конкретні цілі та завдання. Урахуйте 
обміни ресурсами, прогнозуйте будь-які витрати, необхідні для виконання планів. 
4. Обмін знаннями та навичками. Забезпечте обмін знаннями та навичками 
між підрозділами. Це може включати навчання працівників відділу IT 
кібербезпеці, а також знайомство з їхньою роботою та процесами відділу 
кібербезпеки. 
5. Спільний моніторинг та вдосконалення. Після впровадження планів та 
заходів з кібербезпеки, здійснюйте спільний моніторинг їх ефективності. 
Періодично проводить аудити безпеки та досліджуйте випадки порушень для 
вдосконалення системи. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 55 
Змн. Арк. № докум. Підпис Дата 
 
 
6. Постійна взаємодія. Продовжуйте взаємодіяти з відділом IT постійно. Всі 
зміни в політиках безпеки, нові вразливості чи потенційні загрози мають бути 
обговорені з ними. Також, беріть до уваги їхні пропозиції та рекомендації для 
вдосконалення системи кібербезпеки. 
 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 56 
Змн. Арк. № докум. Підпис Дата 
 
 
2.6. Технічна реалізація необхідних інфраструктурних змін. 
 
2.6.1. Основні інженерні та технічні заходи. 
До інженерно-технічних заходів можна віднести захист від 
несанкціонованого доступу до комп'ютерної системи, резервування важливих 
комп'ютерних систем, забезпечення захисту від розкрадань і диверсій, резервне 
електроживлення, розробку і реалізацію спеціальних програмних і апаратних 
комплексів безпеки тощо. 
Фізичні засоби містять у собі різні інженерні засоби, що перешкоджають 
фізичному проникненню зловмисників на об'єкти захисту і захищаючий персонал, 
особисті засоби безпеки, матеріальні засоби і фінанси, інформацію від 
протиправних дій. 
До апаратних засобів відносяться прилади, пристрої, пристосування та інші 
технічні рішення, які використовуються в інтересах забезпечення безпеки. У 
практиці діяльності будь-якої організації знаходить широке застосування різна 
апаратура: від телефонного апарату до розроблених автоматизованих 
інформаційних систем, що забезпечують її виробничу діяльність. Основна задача 
апаратних засобів - стійка безпека комерційної діяльності. 
 
Рис.17. Основні інженерні та технічні заходи по захисту інформації в мережі. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 57 
Змн. Арк. № докум. Підпис Дата 
 
 
2.6.2. Правила адміністрування КЗЗ. 
Коригування переліку користувачів із їхніми атрибутами доступу здійснює 
адміністратор безпеки. 
Коригування переліку комп’ютерів здійснює адміністратор безпеки. 
Коригування атрибутів доступу до документів здійснює адміністратор 
безпеки. 
Для всіх користувачів АС «Захист персональних даних» заповнюються 
облікові картки (позамашинні документи), на підставі яких адміністратор безпеки 
вводить, змінює або видаляє інформацію про користувача. 
Інсталяцію та поновлення всіх програмних засобів здійснює системний 
адміністратор. Усі роботи, які прямо чи опосередковано можуть вплинути на 
захищеність інформації (у тому числі ті, що стосуються програмних засобів КЗЗ), 
проводяться за узгодженням з адміністратором безпеки. Порядок узгодження 
повинен визначатись документом «Планом захисту інформації». 
Повсякденні обов’язки щодо адміністрування (відстеження потенційно 
небезпечних подій, усунення збійних ситуацій тощо) виконують адміністратор 
безпеки та системний адміністратор. Розподіл обов’язків між ними визначається 
«Планом захисту інформації». 
Реєстрація дій користувачів. 
КЗЗ повинен вести журнал захисту та надавати адміністратору безпеки 
зручні засоби його перегляду та настроювання. 
Журнал захисту має зберігатись на сервері, до нього повинні включатись дані 
з усіх комп’ютерів. 
Засоби реєстрації повинні забезпечувати можливість реєстрації всіх 
важливих із точки зору безпеки інформації подій. Звіти про небезпечні події на 
робочих станціях мають зберігатись у відповідних журналах. 
Середовище функціонування. 
Розробник КСЗІ повинен надати зручні засоби інсталяції та ініціалізації КЗЗ, 
які гарантують що робота КЗЗ починається з безпечного стану. Розробник КСЗІ 
Арк. 
ЧДТУ.23.22186.001.ПЗ 58 
Змн. Арк. № докум. Підпис Дата 
 
 
повинен докладно описати процес інсталяції та ініціалізації КЗЗ, а також усі 
настройки ОС, які необхідні для роботи КЗЗ. 
Розробник КСЗІ повинен організувати процес постачання КЗЗ таким чином, 
щоб забезпечити його відповідність еталонній копії. 
Документація. 
Документація на КСЗІ повинна містити такі документи: 
- Акти категоріювання об’єктів ЕОТ; 
- Технічне завдання на створення комплексної системи захисту інформації в 
автоматизованій системі; 
- Формуляр на автоматизовану систему класу «2»; 
- План захисту інформації з обмеженим доступом - «інформація про 
персональні дані», в автоматизованій системі; 
- Посібник користувача автоматизованої системи; 
- Положення про службу захисту інформації; 
- Інструкція щодо забезпечення режиму конфіденційності під час обробки 
інформації в АС; 
- Інструкція з правил класифікації та класифікаторів інформації і 
користувачів  автоматизованої системи; 
- Інструкція з забезпечення безпеки інформації від НСД АС; 
- Інструкція системного адміністратора; 
- Інструкція щодо експлуатації, модернізації та проведення ремонтних робіт 
АС; 
- Інструкція про порядок обліку, супроводження архівів, ротації носіїв 
інформації та резервування інформації в автоматизованій системі; 
- Акт налаштування ОС Windows 7; 
- Програма та методика приймальних випробувань комплексної системи 
захисту інформації з обмеженим доступом, що є власністю держави,  в 
автоматизованій системі; 
- Протокол приймальних випробувань; 
Арк. 
ЧДТУ.23.22186.001.ПЗ 59 
Змн. Арк. № докум. Підпис Дата 
 
 
- Акт завершення дослідної експлуатації; 
- Акт завершення робіт зі створення КСЗІ 
Випробування. 
Необхідно скласти програму і методику випробувань, які б дозволили: 
− пересвідчитись, що процедури інсталяції та ініціалізації КЗЗ виконані 
коректно; 
− перевірити комплектність документації, 
− провести попередні випробування та дослідну експлуатацію; 
− пересвідчитись, що організаційні заходи захисту впроваджені; 
За складеною програмою і методикою слід провести попередні 
випробування. 
За результатами попередніх випробувань скласти акт, та провести дослідну 
експлуатацію, без використання інформації з обмеженим доступом, та за 
результатами дослідних випробувань надати прохання в Адміністрацію ДССЗЗІ 
Украіни на проведення державної експертизи експертом. 
2.6.3. Порядок внесення змін і доповнень до технічного завдання. 
Зміни до затвердженого технічного завдання на створення КСЗІ в АС «Захист 
персональних даних», необхідність внесення яких виявлена в процесі виконання 
робіт, оформляються окремим доповненням, яке погоджується і затверджується в 
тому ж порядку і на тому ж рівні, що і основний документ. 
Доповнення до ТЗ на створення КСЗІ в АС складається з вступної частини і 
змінюваних підрозділів. У вступній частині зазначається причина випуску 
доповнення. В змінюваних підрозділах наводяться номери та зміст змінюваних, 
нових, або пунктів, що скасовуються. 
2.6.4. Порядок проведення випробувань комплексної системи захисту 
інформації. 
Для перевірки відповідності КСЗІ вимогам цього ТЗ перед поданням на 
державну експертизу вона повинна пройти попередні випробування. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 60 
Змн. Арк. № докум. Підпис Дата 
 
 
Попередні випробування КСЗІ проводяться комісією у складі співробітників 
Головного фінансового управління Черкаської обласної державної адміністрації 
відповідно до затвердженої встановленим порядком програми та методики 
випробувань. Випробування проводяться з використанням умовної інформації 
(яка не є ІзОД). 
За результатами попередніх випробувань складається акт, у якому 
зазначаються результати випробувань і дається висновок щодо можливості 
впровадження КСЗІ АС у дослідну експлуатацію. 
Комплексна система захисту інформації АС вводиться у дослідну 
експлуатацію згідно з наказом начальника Головного фінансового управління 
Черкаської обласної державної адміністрації. 
Дослідна експлуатація проводиться у визначений в наказі термін з 
використанням умовної інформації (яка не є ІзОД). 
Після завершення дослідної експлуатації складається акт, у якому 
позначаються результати дослідної експлуатації і дається висновок про 
можливість пред’явлення КСЗІ на державну експертизу. 
Державна експертиза КСЗІ здійснюється організатором експертизи 
відповідно до «Положення про державну експертизу в сфері технічного захисту 
інформації», яке затверджено наказом Адміністрації Державної служби 
спеціального зв’язку та захисту інформації України від 26.05.07 р. № 93. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 61 
Змн. Арк. № докум. Підпис Дата 
 
 
2.7. Оцінка ефективності моделі підрозділу ІТ та кібербезпеки. 
 
2.7.1. Політика інформаційної та кібербезпеки об’єкту. 
Постійно оновлюється і вдосконалюється політика інформаційної та 
кібербезпеки організації, враховуючи нові загрози та ризики, а також зміни в 
законодавстві. Створення та постійне оновлення політики інформаційної та 
кібербезпеки є критичним завданням для будь-якої організації. Загрози та ризики, 
пов'язані з кібербезпекою, швидко зростають, тому необхідно постійно 
оновлювати політику, щоб впроваджувати нові стратегії та технології для захисту 
інформації. Важливо розглядати політику інформаційної та кібербезпеки як 
процес, який постійно еволюціонує. Регулярні аудити та перегляди політики 
допомагають виявляти слабкі місця і внести необхідні зміни. Також слід 
відстежувати нові загрози та ризики, які можуть виникнути через технологічний 
прогрес або зміни в законодавстві.  
 
 
Рис.15. Правові норми забезпечення безпеки інформації. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 62 
Змн. Арк. № докум. Підпис Дата 
 
 
 
Додатково, варто враховувати такі фактори у політиці інформаційної та 
кібербезпеки: 
1. Загрози та ризики: Організації повинні зрозуміти, які загрози та ризики 
існують для їхньої інформації та інфраструктури. Потім можна розробити 
стратегії й політику, що враховують ці загрози та ризики та здатні захистити 
організацію. 
2. Зміни в законодавстві: Закони та правила в кібербезпеці змінюються 
постійно. Організації повинні відстежувати ці зміни, а також забезпечувати 
виконання всіх вимог і визначень, які містяться в законодавстві. 
3. Технологічні рішення: Важливо регулярно переглядати нові технологічні 
рішення та розглядати їхній потенціал для поліпшення інформаційної та 
кібербезпеки. Наприклад, можна розглянути реалізацію сучасного програмного 
забезпечення або використання хмарних рішень для зберігання даних. 
4. Навчання та свідомість працівників: Кібербезпека має бути вбудована в 
культуру організації. Важливо проводити навчання і надавати належну 
інформацію всім працівникам, щоб підвищити їхню свідомість та навички в сфері 
кібербезпеки. 
2.7.2. Аналіз умов функціонування. 
Аналіз умов функціонування АС «Захист персональних даних», що 
впливають на безпеку інформації, дозволяє виявити можливі загрози інформації. 
Вони розрізняються за результатами впливу на захищеність інформації, що 
підлягає захисту, тобто на її конфіденційність, цілісність та доступність. 
В таблиці 1 наведені основні загрози інформації в АС «Захист персональних 
даних» та основні властивості інформації, які при цьому втрачаються. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 63 
Змн. Арк. № докум. Підпис Дата 
 
 
Загрози інформації в АС «Захист персональних даних» 
Таблиця 1. 
Можливість 
Найменування Небезпека Актуальність Заходи щодо протидії загрозам 
№ реалізації 
загрози загрози загрози 
загрози Технічні Організаційні 
Загрози несанкціонованого доступу до інформації 
Загрози знищення, розкрадання апаратних засобів АС, носіїв інформації шляхом фізичного доступу до 
елементів АС 
Пропускний 
Крадіжка робочої режим 
1 Низька Низька Низька - 
станції Цілодобова 
охорона 
Акт 
Охоронна 
2 Крадіжка сервера Низька Середня Низька установлення 
сигналізація 
засобів захисту 
Охоронна Облік носіїв 
Крадіжка носіїв 
сигналізація інформації 
3 ІзОД (диски CD Низька Висока Низька 
Зберігання в 
або DVD) Опломбування 
сейфі 
Зберігання Заборона 
Крадіжка носіїв 
інформації використання 
4 ІзОД (флеш- Низька Висока Низька 
тільки на флеш-дисків як 
дисків) 
сервері носіїв ІзОД 
Система Акт 
Модифікація, 
5 Середня Середня Середня захисту від установлення 
знищення ІзОД 
НСД засобів захисту 
Своєчасне 
проведення 
Вихід з ладу 
Сертифіковане регламентних 
6 вузлів робочих Низька Висока Низька 
обладнання робіт               
станцій 
Резервування 
інформації 
Несанкціоновани
Система Акт 
й доступ до 
7 Низька Низька Низька захисту від установлення 
інформації при 
НСД засобів захисту 
ремонті 
Несанкціоноване Настроювання Інструкція 
8 Середня Низька Висока 
відключення засобів захисту адміністратора 
Арк. 
ЧДТУ.23.22186.001.ПЗ 64 
Змн. Арк. № докум. Підпис Дата 
 
 
засобів захисту безпеки 
Акт 
установлення 
засобів захисту 
Загрози розкрадання, несанкціонованої модифікації або блокування інформації за рахунок 
несанкціонованого доступу (НСД) із застосуванням програмно-апаратних засобів (у тому числі 
програмно-математичних впливів) 
Інструкція 
користувача 
Інструкція 
Комп‘ютерні Антивірусне адміністратора 
9 Низька Середня Низька 
віруси ПЗ безпеки 
Акт 
установлення 
засобів захисту 
Не декларовані 
можливості 
10 Середня Середня Середня - Ліцензійне ПЗ 
системного і 
прикладного ПЗ 
Установлення ПЗ Інструкція 
не пов‘язаного з користувача 
Настроювання 
11 виконанням Низька Середня Низька Інструкція 
засобів захисту 
службових адміністратора 
обов‘язків безпеки 
Наявність 
Огляд техніки, 
12 апаратних Низька Низька Низька - 
та пломбування. 
закладок 
Впровадження 
апаратних 
Захист 
13 закладок Низька Висока Низька Пломбування 
приміщення 
сторонніми 
особами після 
початку 
Впровадження 
експлуатації АС 
апаратних 
14 закладок Низька Висока Низька - Пломбування 
співробітниками 
організації 
Арк. 
ЧДТУ.23.22186.001.ПЗ 65 
Змн. Арк. № докум. Підпис Дата 
 
 
Ремонт 
фахівцями 
Впровадження 
підприємства 
апаратних 
Ремонт в інших 
закладок 
організаціях, з 
15 обслуговуючим Низька Висока Середня - 
подальшою 
персоналом 
перевіркою на 
(ремонтними 
наявність 
організаціями) 
закладних 
пристроїв 
Порядок 
пропускного 
режиму   
Інструкція 
Впровадження 
користувача 
сторонніх Настроювання 
16 Низька Висока Низька Інструкція 
апаратних засобів захисту 
відповідального 
засобів 
заТЗІ 
Інструкція 
адміністратора 
безпеки 
Загрози не навмисних дій користувачів і порушень безпеки функціонування АС через збої в 
програмному забезпеченні, а також від погроз не антропогенного (збоїв апаратури через ненадійність 
елементів, збоїв електроживлення) і стихійного (ударів блискавок, пожеж, повеней і т.п.) характеру 
Інструкція 
користувача 
17 Втрата паролів Середня Середня Висока   Інструкція 
адміністратора 
безпеки 
Ненавмисна 
модифікація Настроювання Резервне 
18 Середня Висока Середня 
(знищення) ІзОД засобів захисту копіювання 
співробітниками 
Доступ до 
встановлення Інструкція 
Ненавмисне режимів користувача 
19 відключення Низька Висока Низька роботи засобів Інструкція 
засобів захисту захисту адміністратора 
надається безпеки 
тільки 
адміністратору 
безпеки 
Арк. 
ЧДТУ.23.22186.001.ПЗ 66 
Змн. Арк. № докум. Підпис Дата 
 
 
Дублювання 
Вихід з ладу критичних 
апаратно- компонентів Резервне 
20 Середня Середня Середня 
програмних системи копіювання 
засобів обробки 
інформації 
Використання 
Збій системи джерела 
Резервне 
21 електропостачан Висока Середня Середня безперебійного 
копіювання 
ня електроживлен
ня 
Пожежна Надійне 
22 Стихійне лихо Низька Низька Низька 
сигналізація зберігання копій 
Загрози навмисних дій внутрішніх порушників 
Доступ до ІзОД, 
Акт 
модифікація, 
Система установлення 
знищення 
23 Низька Висока Низька захисту від засобів захисту 
особами, не 
НСД Дозвільна 
допущеними до її 
система допуску 
обробки 
Розголошення, 
Договір про 
модифікація, Акт 
нерозголошення 
24 знищення ІзОД Середня Висока Середня установлення 
Інструкція 
допущеними до її засобів захисту 
користувача 
обробки 
сКпоіпвірюовбаітнннияк ІазмОиД  Акт 
на зйомні носії установлення 
Система 
контактного й засобів захисту 
захисту від 
бездротового Технологічний 
25 Низька Висока Низька НСД Облік 
доступу, у т.ч. процес  
носіїв 
допущеними до її Акт 
інформації 
обробки установлення 
співробітниками засобів захисту 
Копіювання ІзОД Система НАекмто жливість 
шляхом захисту від пусідткалнюовчлеенннняя  
26 створення Низька Висока Низька НСД Облік знаесворбаіхво зваахниисхт у. 
твердої копії, у носіїв Тзйеохмннолиохг нічонсиіїйв  
т.ч. інформації іпнрфооцремс аоцбірї обки. 
співробітниками, Акт 
допущеними до її установлення 
обробки засобів захисту 
Арк. 
ЧДТУ.23.22186.001.ПЗ 67 
Змн. Арк. № докум. Підпис Дата 
 
 
Доступ до ІзОД 
реєстрації дій 
користувачів і 
Акт 
контролю за 
Система установлення 
НСД, її 
27 Низька Висока Висока захисту від засобів захисту 
модифікація, 
НСД Дозвільна 
знищення 
система допуску 
особами, не 
допущеними до її 
обробки 
Загрози несанкціонованого доступу по каналах зв'язку 
Технологічний 
процес 
Інструкція 
Несанкціоновани
Відсутне користувача 
й доступ до АС 
28 Низька Висока Низька фізичне Інструкція 
через ЛОМ 
підключення адміністратора 
організації 
безпеки. Акт 
установлення 
засобів захисту 
Несанкціоновани Інструкція 
й доступ у АС адміністратора 
Настроювання 
29 через Низька Висока Низька безпеки. Акт 
засобів захисту 
комутаційне установлення 
обладнання засобів захисту 
Інструкція 
користувача 
Відсутне Інструкція 
Витік атрибутів 
30 Низька Середня Низька фізичне адміністратора 
доступу 
підключення безпеки. Акт 
установлення 
засобів захисту 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 68 
Змн. Арк. № докум. Підпис Дата 
 
 
2.8. Вимірювання показників безпеки та впровадження заходів. 
 
Виділяти достатні ресурси на розробку та впровадження резервних копій та 
відновлення інформації , щоб забезпечити захист даних та продовження роботи 
системи в разі виникнення непередбачуваних ситуацій, таких як технічні відмови, 
атаки хакерів або природні катастрофи. Для цього необхідно мати достатні обсяги 
дискового простору для зберігання резервних копій інформації, а також регулярно 
створювати резервні копії. Важливо також мати можливість швидко відновлювати 
інформацію з резервної копії у випадку потреби.  
 
 
Рис. 16. Основні організаційні та адміністративні заходи по захисту 
інформації в мережі. 
 
Арк. 
ЧДТУ.23.22186.001.ПЗ 69 
Змн. Арк. № докум. Підпис Дата 
 
 
Крім того, слід забезпечити фізичну і логічну безпеку системи, щоб запобігти 
несанкціонованому доступу до даних і втраті інформації. Це може включати 
застосування сильних паролів, шифрування інформації, використання 
багаторівневої аутентифікації і встановлення фізичних бар’єрів, таких як камери 
спостереження і контроль доступу.  
Також рекомендується проводити тестування резервних копій і процедур 
відновлення для перевірки їх ефективності і своєчасність. Це допоможе виявити 
та виправити можливі проблеми до виникнення ситуації, коли відновлення 
інформації стає критичним.  
Узагалі, запобігання і відновлення в разі втрати даних та інформації - це 
надзвичайно важливі процеси, які потребують постійного внимания і вложень. 
Компанії, які цінує свої дані та інформацію, повинні забезпечувати достатні 
ресурси для їх захисту і відновлення в разі необхідності. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 70 
Змн. Арк. № докум. Підпис Дата 
 
 
2.9. Аналіз результатів та виявлення можливих поліпшень. 
 
Поточний профіль кіберзахисту створюється на основі Методичних 
рекомендацій щодо підвищення рівня кіберзахисту критичної інформаційної 
інфраструктури, затверджених наказом Адміністрації Держспецзв’язку 
від 06.10.2021 № 601. 
 
Розглянемо опис поточного та цільового станів кіберзахисту, порівняння 
станів кіберзахисту (ДОДАТОК А) ДФ – що являє собою структурований опис 
заходів кіберзахисту, які реалізовані на об’єкті критичної інформаційної 
інфраструктури ДФ, що враховує практику реалізації заходів кіберзахисту та 
потреби діяльності, на прикладі Ідентифікації ризиків кібербезпеки (ID). 
 
Ідентифікація ризиків кібербезпеки (ID) 
- ID.AM Управління активами 
- ID.BE Середовище надання життєво важливих послуг та функцій 
- ID.GV Управління безпекою 
- ID.RA Оцінка ризиків 
- ID.RM Стратегія управління ризиками організації 
- ID.SC Управління ризиками системи постачання 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 71 
Змн. Арк. № докум. Підпис Дата 
 
 
2.10. Рекомендації для подальшого розвитку підрозділу ІТ та 
кібербезпеки. 
 
Планування та керування впровадженням моделі підрозділу ІТ та 
кібербезпеки в державних органах влади - це складний процес, який потребує 
систематичного та структурованого підходу. Основні кроки це:  
Визначення цілей та обсягу: Ретельне визначення цілей та завдань 
впровадження моделі підрозділу ІТ та кібербезпеки. Це може включати охоплення 
певних систем, політик безпеки, підготовку персоналу тощо. 
Формування команди та ресурсів: Створення команди проекту, призначення 
відповідальних осіб, виділення бюджету, людських ресурсів та матеріальних 
активів для виконання завдань. 
Розроблення плану дій: Створення детального плану дій, який включає 
календарний графік, конкретні кроки для кожної фази впровадження та відповідні 
вимірювальні показники. 
Аналіз ризиків та управління ними: Визначення можливих ризиків і 
розроблення стратегії їх управління. Це включає в себе планування запобіжних 
заходів та моніторинг ризиків під час впровадження. 
Комунікація та звітність: Встановлення механізмів звітності та комунікації 
між усіма зацікавленими сторонами для забезпечення прозорості та відстеження 
прогресу. 
Впровадження та тестування: Реалізація запланованих заходів впровадження, 
тестування систем, процесів та політик на етапах. 
Оцінка та аналіз результатів: Проведення оцінки ефективності впровадження 
моделі, аналіз результатів, ідентифікація досягнень та областей для подальшого 
вдосконалення. 
Вдосконалення та збереження: Впровадження удосконалень на основі 
отриманих результатів та забезпечення сталого функціонування підрозділу ІТ та 
кібербезпеки.  
Арк. 
ЧДТУ.23.22186.001.ПЗ 72 
Змн. Арк. № докум. Підпис Дата 
 
 
ЗАГАЛЬНІ ВИСНОВКИ 
 
Створення та впровадження моделі підрозділу інформаційної та кібербезпеки 
в державних органах влади та місцевому самоврядуванні, є актуальною 
відповіддю на загрози сучасного стану в якому перебуває Україна. Це крок в 
напрямку забезпечення безпеки інформаційних систем і даних цих органів. 
Враховуючи постійне зростання загроз кібербезпеці, ця модель відіграє важливу 
роль у захисті інформації з обмеженим доступом, технологічних та інших даних, 
що є власністю держави. 
В данній роботі було розроблено та запропоновано сучасну модель 
підрозділу інформаційних технологій та кібербезпеки, та проведено наступу 
роботу: 
здійснено систематичний аналіз потенційних загроз і ризиків, для 
інформаційних систем і даних організації та розроблена стратегія захисту; 
відстежено вразливості і підходити до їх усунення вчасно і ефективно, що 
включає впровадження заходів з управління, встановлення рекомендацій, щодо 
захисту інформаційних систем та проведення навчання та тестування; 
розроблено план дій, на випадок кібератаки, або іншого інциденту в галузі 
кібербезпеки, що включає кроки, для виявлення, аналізу, відновлення і 
розслідування інциденту; 
проведено навчання персоналу з питань кібербезпеки, а також розроблена 
програма тренінгу, регулярних оновлень інформації, про нові загрози та 
комплексних навчальних програм; 
запущено систему моніторингу, яка відстежує активність в мережі та 
інформаційних системах і виявляють потенційно небезпечну діяльність в 
інформаційно-телекомунікаційній мережі Департаменту фінансів Черкаської 
обласної державної адміністрації. 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 73 
Змн. Арк. № докум. Підпис Дата 
 
 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 
 
1. Аверченко В.І. Автоматизація проектування комплексних систем 
захисту інформації / В.І. Аверченков, М.Ю. Ритов, О.М. Голембиовская – Брянск: 
БГТУ, 2012. – 139 с. 
2. Аверченко В.І. Організація захисту інформації: підруч. / В.І. 
Аверченков, М.Ю. Ритов, О.М. Голембиовская – Брянск: БГТУ, 2010. – 184 с. 
3. Аудит інформаційної безпеки: підручник / В. А. Ромака, А. Е. Лагун, Ю. 
Р. Гарасим та ін. 
4. Галатенко В.А. Основи інформаційної безпеки.  [3-е вид.] В.А. Глатенко – 
М.: ИНТУНТ.РУ «Інтернет університет інформаційних технологій» , 2006. – 208с.  
5. ДСТУ 3396.2-97 Захист інформації. Технічний захист інформації. 
Терміни і визначення. 
6. Закон України «Про інформацію». Затверджено ВР України  від 13.01.2011 
№2938-17. 
7. Лапоніна О.Р. Основи мережевої безпеки: криптографічні алгоритми і 
протоколи взаємодії / Лапоніна О.Р. – М.: ИНТУНТ.РУ «Інтернет університет 
тнформаційних технологій», 2005. – 608 с. 
8. Правила забезпечення захисту інформації в інформаційних, 
телекомунікаційних та інформаційно-телекомунікаційних системах. Затверджені 
постановою Кабінету Міністрів України від 29.03.2006 № 373. 
9. Сідак В. С., Артемов В. Ю. Забезпечення інформаційної безпеки в 
країнах НАТО та ЄС: Навчальний посібник. 
10. НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в 
комп’ютерних системах від несанкціонованого доступу. 
11. НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в 
комп’ютерних системах від несанкціонованого доступу. 
Арк. 
ЧДТУ.23.22186.001.ПЗ 74 
Змн. Арк. № докум. Підпис Дата 
 
 
12. НД ТЗІ 1.1-005-07 Захист інформації на об’єктах інформаційної 
діяльності. Створення комплексу технічного захисту інформації. Основні 
положення. 
13. Положення про державну експертизу в сфері технічного захисту 
інформації. Затверджено наказом Адміністрації Державної служби спеціального 
зв’язку та захисту інформації України від 16.05.2007 № 93. Зареєстровано в 
Міністерстві юстиції України 16.07.2007 за № 820/14087. 
14. Положення про технічний захист інформації в Україні. Затверджено 
Указом Президента України  від 27.09.99 № 1229. 
15. Харченко B. C. Інформаційна безпека. Глосарій. – К.: КНТ, 2005. 
16. Шаньгін В.Ф. Захист комп’ютерної інформації. Ефективні методи і 
засоби / Ганьгін В.Ф. – М.: ДМК Пресс, 2008. – 544 с. 
17. Щербаков А.Ю. Сучасна комп’ютерна безпека. Теоретичні основи. 
Практичні аспекти / Щербаков А.Ю. – М.: Книжковий світ, 2009. – 352 с. 
 
  
Арк. 
ЧДТУ.23.22186.001.ПЗ 75 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
 
 
 
 
 
 
 
ДОДАТОК А 
Арк. 
ЧДТУ.23.22186.001.ПЗ 76 
Змн. Арк. № докум. Підпис Дата 
 
ДОДАТОК А 
 
Опис поточного та цільового станів кіберзахисту, порівняння станів кіберзахисту 
 
Заходи для 
Цільовий 
№ Поточний профіль досягнення 
Заходи кіберзахисту профіль 
з/п кіберзахисту цільового профіля 
кіберзахисту 
за роками 
 
 
1 2 3 4 5 
Ідентифікація ризиків кібербезпеки (ID) 
ID.AM Управління активами 
1. I D.AM-1. Фізичне обладнання та системи в Проведена інвентаризація усього Реалізовано Проведена щорічна 
організації ідентифіковано та задокументовано. обладнання, в документі [від інвентаризацію всіх інвентаризація -4 квартал 
31.08.2023] “Положення про критично важливих 2021: 
роботу із засобами активів. Задокументовано 
Заплановано інвентарний 
обчислювальної техніки та про всі складові, які беруть 
облік – 4 квартал 2023 
доступ до інформаційних участь у технологічному 
ресурсів департаменту фінансів” процесі обробки які тим чи 
зафіксовані всі складові, які беруть участь у іншим чином впливають на 
технологічному процесі обробки і тим чи 
іншим чином впливають на безпеку безпеку інформації. 
інформації. Відповідна інформація 
На кожен екземпляр обладнання Системи задокументована в наказі, 
заведено формуляр. 
положенні та інструкціях. 
1 2 3 4 5 
2. I D.AM-2. Програмне забезпечення, що Проведена інвентаризація Проведено інвентаризацію Проведена щорічна планова 
використовуються організацією для надання програмного забезпечення на виконання листа від інвентаризація комп’ютерних 
життєво важливих послуг та функцій, “Форма подання інформації про 28.01.2022, лист програм на виконання 
ідентифіковано та задокументовано. результати планової №717/01/01-21 щодо Постанови ПКМ №1433 від 
інвентаризації комп’ютерних планової інвентаризації 10.09.2003 -1 квартал 2022: 
програм у 2021 році” [від комп’ютерних програм, 
Запланована щорічна планова 
28.01.2022] задокументовано відділу з питань цифрового 
призначення та склад спеціалізованого інвентаризація комп’ютерних 
розвитку, цифрової 
програмного забезпечення його життєве програм – 1 квартал 2024 
трансформації і 
важливі послуги та функції які беруть 
цифровізації Черкаської 
участь у технологічному процесі 
обробки і тим чи іншим чином обласної державної 
впливають на безпеку інформації. адміністрації. 
3. I D.AM-3. Електронні комунікації та потоки Електронні комунікації та потоки Проведено аудит Проведено щорічна плановий 
даних організації ідентифіковано та даних ідентифіковано та комунікаційного аудит комунікаційного 
задокументовано. задокументовано в первинному обладнання та портів на обладнання та портів  -3 
документі [ТЕХНІЧНИЙ виконання листа про квартал 2022. 
ПАСПОРТ 32243206.130- заходи з посилення 
Запланована щорічна 
04/90.023.ПС] кіберзахисту державних 
плановий аудит 
Визначено номери VLAN та ІР- інформаційних ресурсів, 
комунікаційного обладнання 
адресація внутрішніх підмереж інформаційно-
та портів -4 квартал 2023. 
для різних потоків даних: IP- комунікаційних систем 
телефонія, передача даних та №300/1/C/3231 від  
віддаленого управління. 17.08.2022 Генеральний 
штаб ЗС України. 
1 2 3 4 5 
4. I D.AM-4. Зовнішні інформаційні та Взаємодіє з мережею Інтернет. Заключено договір, Постійний моніторинг 
інформаційно-комунікаційні системи, Схема організації такої взаємодії проведено підключення що комунікаційного обладнання 
промислові системи, які взаємодіють з задокументована [від 08.02.2022 підтверджено актом провайдеру впродовж року. 
інформаційно-комунікаційними та іншими №1223] ПАТ “УКРТЕЛЕКОМ”, виконаних робіт, що 
системами організації обліковано. тарифний план: ”Базовий” та включають аналіз 
передбачає використання інформаційного 
з’єднань через  середовища, розробка 
оптоволоконні комунікаційні технічного завдання, 
системи провайдера. фізична реалізація, 
супроводження роботи 
обладнання.   
5. I D.AM-5. Критичність активів (обладнання, В Департаменті фінансів Створено комісію з Проведено щорічний опис 
устаткування, даних, програмного забезпечення) обробляється відкрита категоріювання оброблювальної інформації та 
організації визначено відповідно до оцінки їх інформація, що є власністю оброблювальної технологічних елементів 
впливу на надання життєво важливих послуг та держави згідно Постанови КМУ інформації. Оцінено інформаційно-
функцій організації. від 29 березня 2006 р. № 373 критичність технологічних телекомунікаційної системи 
та Постанови КМУ від елементів інформаційно- Департаменту фінансів на 
03.08.2005 №688 “ Про телекомунікаційної завдання Адміністрації 
затвердження Положення про системи Департаменту Державної служби 
Реєстр інформаційних, фінансів на що складено спеціального зв'язку та 
телекомунікаційних та Акт.  захисту інформації України 
інформаційно- для внесення інформації до 
телекомунікаційних систем Реєстру ІТС. -1 квартал 2023 
органів виконавчої влади, а 
Заплановано щорічний опис   
також підприємств, установ і 
-1 квартал 2024 
організацій, що належать до 
сфери їх управління”. 
 
 
1 2 3 4 5 
6. I D.AM-6. Обов'язки штатного персоналу Обов’язки штатного персоналу Визначено обов’язки та У Департаменті фінансів 
організації та персоналу партнерів організації та посадових осіб, відповідальність затверджується та доводиться 
(наприклад – постачальників, клієнтів, тощо) відповідальних за забезпечення начальника відділу до штатних працівників 
щодо забезпечення кібербезпеки визначено та кіберзахисту зокрема обмін інформаційних технологій політика інформаційної 
закріплено у відповідних документах. інформацією щодо та захисту інформації та безпеки.  
кіберінцидентів відповідно до головного спеціаліста 
Проводиться щорічне 
Порядку взаємодії суб'єктів пов’язаних із 
оцінювання спеціалістів.  
забезпечення кібербезпеки під забезпеченням 
час реагування на кібербезпеки, взаємодією з Працівники відділу 
кіберінциденти/кібератаки іншими підрозділами інформаційних технологій та 
визначено у Положенні про Черкаської обласної захисту інформації 
відділ інформаційних технологій державної адміністрації та приймають участь у програмі 
та захисту інформації від зовнішніми організаціями. підвищення обізнаності та 
17.07.2020 та посадових навчанні з питань 
інструкціях начальнику відділу забезпечення кібербезпеки. 
та головного спеціаліста від 
25.05.2020. 
ID.BE Середовище надання життєво важливих послуг та функцій 
7. I D.BE-1. Роль організації в ланцюгу постачання Роль Департаменту фінансів Департамент фінансів Розпорядник щоденно 
товарів і послуг визначено та повідомлено всім визначається як фінансування проводить регуляторну здійснює оперативне 
постачальникам організації. органів місцевого політику для органів інформування про: 
самоврядування та формування, місцевого самоврядування -Підготовка бюджетних 
виконання бюджетів та виконання бюджетів запитів, формування 
територіальних громад територіальних громад тимчасового розпису бюджету 
(сільських, селищних, міських) в (сільських, селищних, по дохідний та видатковій 
умовах дії Бюджетного кодексу міських) згідно чинного частині бюджету; -
України. Відповідна інформація законодавства. Формування постійних 
розміщена на веб-сайті розписів бюджету по 
Черкаської  ОДА. дохідний та видатковій 
частині бюджету; 
-Формування кошторисів 
установ та зведеного 
кошторису; 
-Формування помісячних 
планів асигнувань; 
-Формування лімітних 
довідок для розпорядників 
нижчого рівня; 
-Балансування бюджету, 
формування тимчасових та 
постійних розписів 
фінансування; 
-Підготовка рішення рад(и) 
про бюджет, формування 
додатків до рішень; 
-Формування 
розписів(тимчасових, 
постійних) бюджетів в 
електронному вигляді для 
подання до фінансових 
управлінь районних 
державних адміністрацій та 
1 2 3 4 5 
управлінь державного 
казначейства.  
8. I D.BE-2. Місце та роль організації в системі Департамент фінансів взаємодіє з Департамент фінансів має Департамент фінансів 
надання життєво важливих послуг та функцій Міністерством фінансів України місце в складі Черкаської постійно виконує контроль  
держави визначено і повідомлено всім щодо своєї ролі фінансування ОДА та грає роль стану виконання дохідної 
постачальникам організації. органів місцевого регуляторної політики, для частини бюджету, проведення 
самоврядування та формування, органів місцевого аналізу виконання для 
виконання бюджетів самоврядування та підготовки звіту про стан 
територіальних громад виконання бюджетів виконання бюджету 
(сільських, селищних, міських) в територіальних громад територіальної громади, 
умовах дії Бюджетного кодексу (сільських, селищних, проведених видатків 
України. міських) згідно чинного бюджету, проведення аналізу 
законодавства. фінансування, контроль 
залишків призначень, за 
станом рахунків бюджету та 
інше. 
9. I D.BE-3. Пріоритетність цілей, завдань і заходів В Департаменті фінансів  Департамент фінансів  має Регулярне оновлювання 
щодо забезпечення кібербезпеки, надання визначено пріоритети щодо ефективний механізм пріоритетів в залежності від 
життєво важливих послуг та функцій забезпечення кібербезпеки та координації та розподілу завдань, розроблення плану 
встановлено та повідомлено. надання життєво важливих пріоритетів, завдань та дій з метою підвищення 
послуг. Ця інформація регулярно заходів щодо забезпечення ефективності кіберзахисту та 
повідомляється відповідним кібербезпеки. надання життєво важливих 
відділам та регулюються послуг. 
відділом з питань цифрового 
розвитку, цифрових 
трансформацій та цифровізації 
Черкаської обласної державної 
адміністраціцї та Адміністрацією 
Державної служби спеціального 
зв'язку та захисту інформації 
України. 
1 2 3 4 5 
10. I D.BE-4. Залежності та найважливіші процеси Міністерство фінансів визначає Департамент взаємодіє з Міністерство цифрової 
для забезпечення надання життєво важливих найважливіші процеси, що структурними трансформації України 
послуг та функцій встановлено. необхідні для фінансування підрозділами Черкаської керуючись Законами України, 
органів місцевого ОДА, для постійного запроваджує комплекс 
самоврядування та формування, вдосконалення та заходів, для визначення 
виконання бюджетів оптимізації процесів, з потенційних вразливостей в 
територіальних громад метою найефективнішого інформаційно-
(сільських, селищних, міських) в виконання обов’язків. телекомунікаційних системах 
умовах дії Бюджетного кодексу органів державної влади та 
України. Відповідна інформація місцевого самоврядування, 
розміщена на веб-сайті розробляє план їх усунення та 
Черкаської  ОДА. забезпечення стійкості систем 
до збоїв та кібератак. 
11. ID .BE-5. Вимоги до стійкості організації щодо Керуючись рекомендаціями Ради Вдосконалення вимог до Департамент фінансів 
забезпечення надання життєво важливих послуг національної безпеки і оборони стійкості інформаційно- проводить регулярні оцінки 
та функцій встановлено. України, Адміністрації телекомунікаційної стійкості, розробляє плани з 
Державної служби спеціального системи, їх адаптація з підвищення стійкості, 
зв'язку та захисту інформації метою забезпечення проводить навчання 
України, Департамент фінансів надійної і безперебійної посадових осіб, 
розробив план та інструкції щодо роботи Департаменту відповідальних за 
стійкості власної інформаційно- фінансів, здійснюється на забезпечення кіберзахисту з 
телекомунікаційної системи в виконання завдань відділу питань забезпечення стійкості 
умовах різних загроз, зокрема з з питань цифрового та управління ризиками. 
урахуванням кібербезпеки. Ці розвитку, цифрових 
інструкції включають заходи трансформацій та 
щодо резервування ресурсів, цифровізації Черкаської 
планування відновлення та обласної державної 
механізми управління ризиками. адміністраціцї та 
Адміністрації Державної 
служби спеціального 
зв'язку та захисту 
інформації України. 
1 2 3 4 5 
ID.GV Управління безпекою 
12. I D.GV-1. Правила (політики) кібербезпеки Правила кібербезпеки визначено Визначено правила під час У Департаменті фінансів 
організації встановлено та задокументовано у Положенні про управління здійснення службових затверджується та доводиться 
доходів, фінансів виробничої обов’язків штатного до штатних працівників 
сфери та інформаційних персоналу Департаменту політика інформаційної 
технологій від 01.11.2018. фінансів пов’язаних із безпеки.  
забезпеченням Проводиться щорічне 
кібербезпеки, взаємодією з оцінювання спеціалістів з 
іншими підрозділами кібербезпеки.  
Черкаської обласної Працівники Департаменту 
державної адміністрації та фінансів приймають участь у 
зовнішніми організаціями. програмі підвищення 
обізнаності та навчанні з 
питань забезпечення 
кібербезпеки. 
13. I D.GV-2. Обов’язки щодо забезпечення Обов’язки посадових осіб щодо Керівництво Департаменту З питань кібербезпеки 
кібербезпеки організації скоординовано та дотримання кібербезпеки фінансів безпосередньо Департамент фінансів 
узгоджено з обов’язками персоналу організації скоординовані з загальними підтримує впровадження взаємодіє з відділом з питань 
та із зовнішніми партнерами рекомендаціями щодо культури кібербезпеки, цифрового розвитку, 
забезпечення інформаційної виконує вимоги з цифрових трансформацій та 
безпеки, узгоджених з відділом з кібербезпеки та забезпечує цифровізації Черкаської 
питань цифрового розвитку, дотримання вимог з обласної державної 
цифрових трансформацій та кібербезпеки відповідно до адміністраціцї та 
цифровізації Черкаської обласної прийнятих політики та Адміністрацією Державної 
державної адміністрації та процедур що відносяться служби спеціального зв'язку 
Адміністрацією Державної до органів державної та захисту інформації 
служби спеціального зв'язку та влади. України. 
захисту інформації України. 
 
 
1 2 3 4 5 
14. I D.GV-3. Правові та нормативні вимоги щодо Вимоги законодавства у сфері Проводиться опрацювання Періодичність виконання 
забезпечення кібербезпеки організації, в тому захисту інформації та та виконання вимог вимог здійснюється 
числі зобов’язання щодо захисту недоторканості кібербезпеки затверджено та   законодавства у сфері систематично, а також 
особистого життя (приватності), усвідомлено та виконуються посадовими захисту інформації та поставлених завдань від 
управління ними здійснюється особами відповідальних за кібербезпеки. відділу з питань цифрового 
забезпечення кіберзахисту. розвитку, цифрових 
трансформацій та 
цифровізації Черкаської 
обласної державної 
адміністрації та Адміністрації 
Державної служби 
спеціального зв'язку та 
захисту інформації України. 
15. I D.GV-4. Процеси управління безпекою та Процеси в системі управління Достатня кількість заходів Департаментом фінансів 
управління ризиками спрямовано на вирішення інформаційною безпекою(СУІБ) що проводяться для постійно проводиться оцінка 
питання оброблення ризиків кібербезпеки Департаменту фінансів обробки ризиків, в тому ризиків. Складається перелік 
спрямовані на оцінку та числі зменшення ризиків загроз, вразливостей, 
оброблення ризиків кібербезпеки та під час описуються методи та 
кібербезпеки. проведення аудиту способи обробки ризиків. 
інформаційно-
телекомунікаційної 
системи. 
ID.RA Оцінка ризиків 
1 2 3 4 5 
16. I D.RA-1. Вразливості активів організації Для обробки ризиків Ідентифікація, аналіз Усі відомі вразливості були 
проаналізовано, ідентифіковано та ідентифіковано та вразливостей та їх обробка виявлені, проаналізовані та 
задокументовано проаналізовано вразливості є механізмом пом’якшення оцінені відповідальними 
інформаційно- ризиків в контексті безпеки особами за забезпечення 
телекомунікаційної системи. інформаційно- кіберзахисту та розглядаються 
телекомунікаційної шляхи їх виправлення або/та 
системи. необхідність впровадження 
додаткових заходів із 
 
кіберзахисту. 
17. I D.RA-2. Інформацію про загрози безпеки та Для постійного оновлення даних Відповідно до політики Проводиться постійний 
вразливості отримано з форумів обміну про загрози безпеки та управління ризиками моніторинг, аналіз та 
інформацією та офіційних джерел вразливості укладено посадова особа, що передача інформації про 
Меморандум з Службою безпеки відповідальна за інциденти в сфері 
України “Про організацію забезпечення кіберзахисту інформаційної безпеки. 
взаємодії з питань обміну зокрема обмін 
інформацією щодо інформацією щодо 
кіберінцидентів з використанням кіберінцидентів, визначає 
Malware Information Sharing та задокументує можливі 
Platform & Threat Sharing загрози, які можуть бути 
"Ukrainian Advantage"(MISP-UA) реалізовані через 
та договір з ПАТ “Укртелеком” ідентифіковані вразливості 
про надання в її активах. 
телекомунікацційних послуг( 
реєстратор подій, аналіз загроз, 
індикатор пошуку компромісу, 
чорний список, візуалізація та 
мережева ізоляція) 
1 2 3 4 5 
18. I D.RA-3. Загрози кібербезпеки (модель загроз) Для обробки зовнішніх та Ідентифікація, аналіз Усі відомі загрози були 
як внутрішні, так і зовнішні визначено й внутрішніх загроз кібербезпеки загроз кібербезпеки та їх виявлені, проаналізовані та 
задокументовано ідентифіковано та обробка є механізмом оцінені відповідальними 
проаналізовано вразливості пом’якшення загроз в особами за забезпечення 
інформаційно- контексті безпеки кібербезпеки та 
телекомунікаційної системи. інформаційно- розглядаються шляхи їх 
телекомунікаційної виправлення або/та 
системи. необхідність впровадження 
додаткових заходів із 
 
кібербезпеки. 
19. I D.RA-4. Потенційні наслідки (рівень шкоди), Виконується кількісна та якісна Відповідно до ЗУ “Про Складається щорічний план 
які можуть завдати загрози внаслідок їх оцінка збитків, що можуть бути основні засади заходів з кібербезпеки 
реалізації на безперервне надання життєво нанесені Департаменту фінансів забезпечення кібербезпеки Департаменту фінансів. 
важливих послуг та функцій та ймовірності їх внаслідок реалізації загроз, які України” проводиться 
реалізації визначено описані у “Загальній моделі регулярна оцінка та 
загроз для інформаційно- оновлення інформації 
телекомунікаційної системи щодо потенційних загроз, 
Департаменту фінансів” від 15.05 що наведені у відповідній 
2015. актуальній документації. 
 
20. I D.RA-5. Для визначення ризику Посадова особа, що Посадова особа, що Вразливості та загрози 
застосовуються дані щодо загроз, вразливостей, відповідальна за забезпечення відповідальна за враховуються під час процесу 
їх ймовірностей та рівня шкоди використано для кібербезпеки Департаменту забезпечення кіберзахисту ідентифікації ризиків. 
визначення ризику кібербезпеки фінансів визначає у методології зокрема обмін 
управління ризиками, які є інформацією щодо 
критерії для визначення кіберінцидентів визначає 
ймовірності та впливу ризику. рівень ризику на основі 
даних щодо загроз, 
вразливостей та рівня 
шкоди. 
1 2 3 4 5 
21. I D.RA-6. Заходи реагування на ризик Обов’язки посадових осіб щодо Посодові особи З питань заходів реагування 
кібербезпеки визначено та їх пріоритетність реагування на ризики Департаменту фінансів на ризики кібербезпеки 
встановлено кібербезпеки описані в інструкції дотримується заходів Департамент фінансів 
щодо першочергових кроків при реагування на ризики, взаємодіє з відділом з питань 
виявленні кібератак або виконуються вимоги з цифрового розвитку, 
кіберінцидентів, узгодженою з кібербезпеки відповідно до цифрових трансформацій та 
відділом з питань цифрового прийнятих політики та цифровізації Черкаської 
розвитку, цифрових процедур, що відносяться обласної державної 
трансформацій та цифровізації до органів державної адміністрації та 
Черкаської обласної державної влади. Адміністрацією Державної 
адміністрації та Адміністрацією служби спеціального зв'язку 
Державної служби спеціального та захисту інформації 
зв'язку та захисту інформації України. 
України. 
 
 
ID.RM Стратегія управління ризиками організації 
22. I D.RM-1. Процеси управління ризиками Процеси в системі управління Департамент фінансів Департаментом фінансів 
визначено, узгоджено із партнерами організації інформаційною безпекою(СУІБ) забезпечує належне постійно проводиться 
та управляються Департаменту фінансів визначення процесу управління та обробка ризиків 
узгоджені з відділом з питань управління ризиками та відповідальними  посадовими 
цифрового розвитку, цифрових керується ними відповідно особами, які забезпечуюють 
трансформацій та цифровізації до стратегії (політики) кіберзахист зокрема обмін 
Черкаської обласної державної управління ризиками, та інформацією щодо 
адміністрації та Адміністрацією формулює комплексний кіберінцидентів. 
Державної служби спеціального підхід до управління 
зв'язку та захисту інформації ризиками, пов’язаний з 
України та спрямовані на оцінку використанням 
та оброблення ризиків інформаційно-
кібербезпеки. телекомунікаційної 
системи. 
1 2 3 4 5 
23. I D.RM-2. Допустимий рівень ризику Виконується кількісна та якісна Відповідно до ЗУ “Про Складається щорічний план 
кібербезпеки визначено та чітко виражено оцінка допустимого рівня ризику основні засади заходів з кібербезпеки 
кібербезпеки, що можуть бути забезпечення кібербезпеки Департаменту фінансів, які 
нанесені Департаменту фінансів України” проводиться включають в себе оцінку 
внаслідок реалізації загроз, які регулярна оцінка та допустимого рівня ризику 
описані у “Загальній моделі оновлення інформації кібербезпеки. 
загроз для інформаційно- щодо допустимого рівня 
телекомунікаційної системи ризику кібербезпеки, що 
Департаменту фінансів” від 15.05 наведені у відповідній 
2015. актуальній документації. 
 
24. I D.RM-3. Визначення допустимого рівня Департамент фінансів є Відділ з питань цифрового Постійне виконання завдань 
ризику ґрунтується на ролі організації у структурним підрозділом розвитку, цифрових від Адміністрації Державної 
загальнодержавній структурі та аналізі ризиків, Черкаської обласної державної трансформацій та служби спеціального зв'язку 
притаманних відповідному державному сектору адміністрації. Формування цифровізації Черкаської та захисту інформації України 
допустимого рівня ризику обласної державної структурними підрозділами 
регулюється відділом з питань адміністрації визначає Черкаської обласної 
цифрового розвитку, цифрових порядок обробки ризиків, державної адміністрації. 
трансформацій та цифровізації врахування наявності 
Черкаської обласної державної остаточних ризиків з 
адміністрації. запобіганням їх 
взаємовпливу та можливих 
каскадних ефектів з 
урахуваннями визначеного 
рівня допустимості 
ризиків. 
ID.SC Управління ризиками системи постачання 
1 2 3 4 5 
25. I D.SC-1. Процеси управління ризиками Департамент фінансів взаємодіє Процеси управління Департамент фінансів 
кібербезпеки системи постачання визначено, зі своїм постачальником ризиками кібербезпеки проводить аудит 
узгоджено з партнерами організації та телекомунікаційних послуг(ПАТ системи постачання постачальників товарів і 
управляються  “Укртелеком”) з метою визначено, узгоджено та послуг, використовуючи 
узгодження підходів до управляється відділом з методологію Адміністрації 
кібербезпеки та обміну питань цифрового розвитку, Державної служби 
інформацією про потенційні цифрових трансформацій та спеціального зв'язку та 
загрози(MISP-UA) та укладає цифровізації Черкаської захисту інформації України 
договори, що встановлюють обласної державної яка використовується 
взаємні зобов'язання стосовно адміністрації. внутрішньо для управління 
кібербезпеки. ризиками. 
26. I D.SC-2. Постачальники (розпорядники) Здійснюється обробка Ідентифікація, аналіз рівня Департамент фінансів 
інформаційних систем, товарів і послуг для ідентифікація та аналіз рівня критичності постачальника взаємодіє з постачальниками 
організації ідентифіковано, рівень їх критичності критичності постачальника телекомунікаційних послуг щодо заходів зі зменшення 
оцінено у відповідності до політики управління телекомунікаційних послуг(ПАТ та його обробка є ризиків та регулярно 
ризиками кібербезпеки з урахуванням ризиків, “Укртелеком”) відповідно до механізмом управління проводить аудит безпеки. 
притаманних системі постачання політики управління ризиками ризиками кібербезпеки Управління ризиками 
кібербезпеки. інформаційно- кібербезпеки системи 
телекомунікаційної системи постачання виконується 
Департаменту фінансів. посадовими особами, що 
відповідальні за 
 
забезпечення кібербезпеки 
Департаменту фінансів та 
розглядається необхідність 
впровадження додаткових 
заходів із кібербезпеки. 
1 2 3 4 5 
27. I D.SC-3. Постачальники товарів і послуг та Департамент фінансів отримує Департамент фінансів, Департамент фінансів 
партнери, у відповідності до договору, можуть телекомунікаційні послуги спільно з постачальником постійно проводить аудит, 
впроваджувати заходи, спрямовані на “Мережа надання послуг телекомунікаційних послуг, оцінку ефективності 
досягнення мети політики інформаційної Інтернет” (ПАТ “Укртелеком”), впроваджує широкий спектр впроваджених заходів, 
безпеки/кібербезпеки організації та плану узгоджує та впроваджує заходів, для досягнення мети навчання та підготовку 
управління ризиками постачання. необхідні заходи кібербезпеки політики кібербезпеки та персоналу для забезпечення 
відповідно до вимог щодо управління ризиками. високого рівня кібербезпеки. 
політики кібербезпеки та 
управління ризиками. 
28. I D.SC-4. Постачальники товарів і послуг та Постачальник Здійснюється постійний Департамент фінансів 
партнери регулярно оцінюються за допомогою телекомунікаційних послуг(ПАТ моніторинг та оцінка постійно покращує 
аудитів, результатів тестів або інших форм “Укртелеком”) регулярно діяльності постачальників і процедури аудиту та оцінки, 
оцінки, щоб підтвердити, що вони виконують проходить атестацію, відповідно партнерів, включаючи розробляє та впроваджує 
свої договірні зобов’язання. до вимог нормативних аудити, тестування та інші нові інструменти та 
документів технічного захисту форми оцінки, що методики для ефективного 
інформації в Україні. забезпечують виконання контролю та моніторингу 
Департамент фінансів проводить ними договірних власної інформаційно-
оцінку для визначення рівня зобов'язань. Виконуються телекомунікаційної системи. 
дотримання вимог до пункти кібербезпеки що 
кібербезпеки, встановлених в враховуються та 
договорах. впроваджуються на всіх 
рівнях діяльності. 
1 2 3 4 5 
29. I D.SC-5. З Постачальниками здійснюється Усі угоди з постачальником Департамент фінансів Департамент фінансів 
планування та тестування реагування за телекомунікаційних послуг(ПАТ активно працює над регулярно проводить аудит 
відповідними політиками реагування на “Укртелеком”) містять умови вдосконаленням процесів безпеки, що включає 
кіберінциденти та відновлення стану щодо планування та тестування планування та тестування перевірку планування та 
кібербезпеки реагування на кіберінциденти реагування на тестування реагування на 
відповідно до політики кіберінциденти. Це включає кіберінциденти, 
реагування на кіберінциденти взаємодію з органами використовуючи 
організації. Постачальники державної влади та методологію Адміністрації 
зобов'язані повідомляти про місцевого самоврядування, Державної служби 
інциденти кібербезпеки та щодо сценаріїв реагування спеціального зв'язку та 
взаємодіяти з організацією щодо на кіберінциденти, захисту інформації України 
відновлення стану кібербезпеки. планування спільного та систему MISP-UA. 
тестування, обмін 
практиками та визначення 
планів щодо вдосконалення.