Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/5980
Title: Оцінювання та підвищення рівня кіберзахисту ІКС об'єктів критичної інформаційної інфраструктури
Authors: Байрак, Анатолій Володимирович
Копійка, Віктор Юрійович
Keywords: NIST Cybersecurity Framework;Наказ Адміністрації Держспецзв’язку від 06.10.2021 №601;Класифікація заходів кіберзахисту;цільовоий стан кіберзахисту
Issue Date: 2023
Abstract: "Метою роботи є впровадження оцінювання та підвищення рівня кіберзахисту ІКС ОКІІ, який базується на сучасних передових практиках в сфері кібербезпеки. Для досягнення мети поставлені такі завдання: Ознайомитись з NIST Cybersecurity Framework ; Ознайомитись із Наказом Адміністрації Держспецзв’язку від 06.10.2021 № 601; Дослідити систему заходів кіберзахисту; Дослідити класифікацію заходів кіберзахисту. Ознайомитись із нормативними та довідковими посиланнями. Розробити опис поточного та цільового станів кіберзахисту, порівняти стани кіберзахисту. Розробити оцінювання заходів кіберзахисту за статусом реалізації. Узагальнити результати описів поточного та цільового станів, та оцінювання заходів кіберзахисту"
URI: https://er.chdtu.edu.ua/handle/ChSTU/5980
Appears in Collections:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Files in This Item:
File Description SizeFormat 
М_125_Копійка_Байрак.pdf
  Restricted Access
1.52 MBAdobe PDFView/Open Request a copy


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Extracted text
 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
(повне найменування вищого навчального закладу) 
Факультет електронних технологій і робототехніки 
(повна назва факультету) 
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки 
(повна назва кафедри) 
 
 
 
Пояснювальна записка 
 
до кваліфікаційної роботи магістра 
(освітньо-кваліфікаційний рівень) 
 
 
на тему «Оцінювання та підвищення рівня кіберзахисту ІКС об'єктів 
критичної інформаційної інфраструктури» 
 
 
 
Виконав студент 2 курсу, групи БІ-021 
 
Спеціальності 125 - «Кібербезпека», 
освітньої програми «Безпека 
інформаційних і комунікаційних систем» 
(шифр і назва спеціальності) 
Копійки В.Ю. 
(прізвище та ініціали) 
Керівник Байрак А.В.  
(прізвище та ініціали) 
Рецезент  
(прізвище та ініціали) 
 
 
 
 
 
 
 
Черкаси 2023 
 
 
 
ЗМІСТ 
ВСТУП 5 
РОЗДІЛ 1 ОПИС ТА ДОСЛІДЖЕННЯ ОБ’ЄКТІВ КРИТИЧНОЇ 
ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ ЩОДО КІБЕРЗАХИСТУ 7 
1.1 Складові та застосування Рекомендацій 7 
1.2 Система заходів кіберзахисту 8 
1.3 Рівні реалізації заходів із захисту інформації 17 
1.4 Профіль рівня захищеності 24 
РОЗДІЛ 2 РОЗРОБКА ПОТОЧНОГО ТА ЦІЛЬОВОГО ПРОФІЛІВ 
КІБЕРЗАХИСТУ. РОЗРОБКА ОЦІНЮВАННЯ ЗАХОДІВ КІБЕРЗАХИСТУ 
ЗА СТАТУСОМ РЕАЛІЗАЦІЇ  27 
2.1 Опис поточного та цільового профілів кіберзахисту 27 
2.2 Оцінювання заходів кіберзахисту за статусом реалізації 54 
2.3 Заповнення відомостей щодо узагальнення заходів кіберзахисту Ошибка! 
Закладка не определена. 
ВИСНОВКИ 68 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 69 
ДОДАТОК А 71 
 
 
 
ВСТУП 
Національна та економічна безпека України залежить від надійного 
функціонування критичної інфраструктури. Загрози кібербезпеці використовують 
зростаючу складність і взаємозв'язок систем критичної інфраструктури, ставлячи 
під загрозу безпеку, економіку, громадську безпеку і здоров'я нації. 
Подібно до фінансових та репутаційних ризиків, ризик кібербезпеки 
впливає на кінцевий результат компанії. Він може призвести до збільшення 
витрат і вплинути на доходи.  
«Ми першими зустрічаємо російську кіберзброю. Україна стала тестовим 
майданчиком, на якому вона випробовується» - керівник кібербезпеки СБУ Ілля 
Вітюк. 
Жодна країна світу не зазнає такої кількості кібератак, як Україна. І тому 
для нашої держави питання кіберзахисту стоїть особливо гостро. 
В даній роботі розглянемо об’єкти критичної інформаційної 
інфраструктури, тому що їх функціонування становить важливу роль для 
держави. 
За наказом Адміністрації Держспецзв’язку від 06.10.2021 № 601 , в 
державних органах в Україні, які є об’єктами критичної інформаційної 
інфраструктури (далі - ОКІІ) впроваджується огляд та підвищення рівня 
кіберзахисту критичної інформаційної інфраструктури. 
Методичні рекомендації щодо підвищення рівня кіберзахисту критичної 
інформаційної інфраструктури створені на основі NIST Cybersecurity Framework, 
розроблений Національним інститутом стандартів і технологій США (NIST). 
Методичні Рекомендації оцінювання та підвищення рівня кіберзахисту 
інформаційно-комунікаційних систем (далі – ІКС) ОКІІ розроблено з метою 
надання роз’яснень щодо проведення заходів з ідентифікації та складання 
поточних профілів кіберзахисту та визначення суб’єктами, які складають такі 
профілі, поточного стану справ у забезпеченні своєї кібербезпеки та рівня 
впровадження цих заходів в ІКС ОКІІ. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 5 
Змн. Арк. № докум. Підпис Дата 
 
 
Метою роботи є впровадження оцінювання та підвищення рівня 
кіберзахисту ІКС ОКІІ, який базується на сучасних передових практиках в сфері 
кібербезпеки. 
Для досягнення мети поставлені такі завдання: 
 Ознайомитись з NIST Cybersecurity Framework ; 
 Ознайомитись із Наказом Адміністрації Держспецзв’язку від 06.10.2021 
№ 601; 
 Дослідити систему заходів кіберзахисту; 
 Дослідити класифікацію заходів кіберзахисту. 
 Ознайомитись із нормативними та довідковими посиланнями. 
 Розробити опис поточного та цільового станів кіберзахисту, порівняти 
стани кіберзахисту. 
 Розробити оцінювання заходів кіберзахисту за статусом реалізації. 
 Узагальнити результати описів поточного та цільового станів, та 
оцінювання заходів кіберзахисту 
Об’єктом досліджень є інформаційно-комунікаційна система об’єктів 
критичної інформаційної інфраструктури. 
Предметом досліджень є NIST CSF, Наказ Адміністрації Держспецзв’язку 
від 06.10.2021 № 601. 
Методи досліджень. Практичні заходи, які спираються на теоретичні 
дослідження та використання теорії інформаційної безпеки, стандартів 
інформаційної безпеки, управління інформаційною безпекою, та досвід інших 
організацій. 
Робота містить 79 сторінки основного тексту та 4 рисунків, 13 таблиць, 17 
посилання. 
  
Арк. 
ЧДТУ.23.22191.006.ПЗ 6 
Змн. Арк. № докум. Підпис Дата 
 
 
РОЗДІЛ 1 ОПИС ТА ДОСЛІДЖЕННЯ ОБ’ЄКТУ КРИТИЧНОЇ 
ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ ЩОДО КІБЕРЗАХИСТУ 
1.1 Складові та застосування Методичних рекомендацій. 
Методичні Рекомендації можуть використовуватися під час упровадження 
заходів кіберзахисту, які спрямовані на управління ризиками кібербезпеки для 
об’єкта критичної інформаційної інфраструктури, що є елементами одного 
об’єкта критичної інфраструктури.  
Методичні рекомендації описують загальний підхід до забезпечення 
кібербезпеки, що дозволяє:  
 Проаналізувати та охарактеризувати поточний стан кібербезпеки 
об’єкта критичної інформаційної інфраструктури;  
 описати цільовий стан кібербезпеки об’єкта критичної інформаційної 
інфраструктури;  
 ідентифікувати та визначити пріоритети при впровадженні заходів 
кіберзахисту в безперервному та повторюваному процесі управління 
ризиками кібербезпеки об’єкта критичної інформаційної 
інфраструктури; 
 ідентифікувати та визначити рівень упровадження заходів 
кіберзахисту; 
 провести оцінку прогресу у досягненні цільового стану кібербезпеки 
об’єкта критичної інформаційної інфраструктури;  
 забезпечити комунікацію безпосередньо на об’єкті критичної 
інфраструктури, та із партнерами організації щодо управління 
ризиками у сфері кібербезпеки.  
 
Рекомендації складаються з трьох основних частин:  
 система заходів кіберзахисту;  
 рівні упровадження заходів кіберзахисту;  
Арк. 
ЧДТУ.23.22191.006.ПЗ 7 
Змн. Арк. № докум. Підпис Дата 
 
 
 профіль кіберзахисту.  
Визначений методичними рекомендаціями підхід не є уніфікованим підходом для 
управління ризиками, тому що об’єкти, які належать різним секторам однієї 
інфраструктури, мають різні вразливості, різні допустимі рівні ризику, залежно 
від специфіки та напрямку діяльності об’єкта, але, одночасно з цим, деякі аспекти 
є однаковими на різних об’єктах.  
Заходи кіберзахисту наведені у Методичних Рекомендаціях впроваджуються 
різними підходами, об’єкт може використовувати рекомендації щоб впровадити 
системний процес для визначення, оцінки та управління ризиками у сфері 
кібербезпеки, та розробки плану удосконалення для відповідного затвердження 
організацією та планування фінансування заходів з реалізації. Об’єкт критичної 
інфраструктури може порівнювати діяльність із захисту інформації, яка 
проводиться відповідно до галузевих вимог безпеки, або впроваджену КСЗІ із 
заходами кіберзахисту, що викладені у Методичних Рекомендаціях, для 
визначення недоліків у поточній діяльності із захисту інформації та управління 
ризиками кібербезпеки, а також вдосконалити систему захисту інформації.  
При плануванні захисту інформації потрібно описати вимоги до 
кібербезпеки. При проектування системи захисту інформації вимоги до 
кібербезпеки є частиною вимог із захисту інформації та частиною процесу 
проектування системи надання основних послуг.  
 
1.2 Система заходів кіберзахисту. 
Система заходів кіберзахисту базується на нормативних документах, 
національних та міжнародних стандартах, усталеній практиці захисту інформації 
та забезпечення кібербезпеки, що розвиваються разом з технологіями 
забезпечення кібербезпеки. Це забезпечує ефективність реалізації заходів 
кіберзахисту та можливість підтримки нових технологій і методів забезпечення 
кібербезпеки. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 8 
Змн. Арк. № докум. Підпис Дата 
 
 
Методичні рекомендації визначають систему заходів кіберзахисту для 
досягнення цільового стану кібербезпеки, але система заходів кіберзахисту не є 
вичерпним переліком заходів. 
Діяльність із забезпечення кібербезпеки спрямована на зниження ризиків 
кібербезпеки та формує цикл управління кібербезпекою, який складається з п’яти 
функцій кібербезпеки. 
 
 
Рис.1. – Цикл управління кібербезпекою 
Функції кібербезпеки забезпечують:  
 Прийняття рішення з управління ризиками кібербезпеки на об’єкті 
критичної інформаційної інфраструктури;  
 Вибір та впровадження заходів кіберзахисту;  
 Реагування на загрози кібербезпеки;  
 Вдосконалення кіберзахисту, враховуючи набутий досвід.  
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 9 
Змн. Арк. № докум. Підпис Дата 
 
 
Функції кібербезпеки узгоджені з чинними підходами щодо управління 
ризиками кібербезпеки та допомагають продемонструвати ефективність 
інвестицій в кібербезпеку.  
Наприклад, планування забезпечення кібербезпеки та тренування персоналу 
покращують своєчасне реагування на кіберінциденти та відновлення 
функціонування об’єкта критичної інформаційної інфраструктури, в результаті 
чого знижується негативний вплив кіберінцидентів на своєчасність та 
безперервність надання життєво важливих послуг та функцій.  
Система заходів кіберзахисту складається з чотирьох елементів: 
 клас заходів кіберзахисту;  
 категорія заходів кіберзахисту;  
 підкатегорія заходів кіберзахисту;  
 інформаційні посилання.  
 
Рис.2. – Елементи системи заходів кіберзахисту 
Арк. 
ЧДТУ.23.22191.006.ПЗ 10 
Змн. Арк. № докум. Підпис Дата 
 
 
 
Рис.3. - Структура системи заходів кіберзахисту 
 
Клас заходів кіберзахисту розділяє заходи кіберзахисту та визначає зміст 
циклу управління кібербезпекою.  
Всього існує п’ять класів заходів кіберзахисту:  
 ідентифікація ризиків;  
 кіберзахист;  
 виявлення кіберінцидентів;  
 реагування на кіберінциденти;  
 відновлення поточного стану кібербезпеки.  
Кожний клас заходів кіберзахисту має свій ідентифікатор, що складається з 
двох літер.  
«Ідентифікація ризиків кібербезпеки» (ID) - передбачає заходи, реалізація 
яких спрямована на поглиблення знань керівництва та персоналу об’єкта 
критичної інформаційної інфраструктури щодо наявних ризиків, способів 
Арк. 
ЧДТУ.23.22191.006.ПЗ 11 
Змн. Арк. № докум. Підпис Дата 
 
 
управління ризиками кібербезпеки для інформаційних систем, активів, даних, що 
використовуються для надання життєво важливих послуг та функцій.  
«Кіберзахист» (PR) - визначає діяльність із розробки та впровадження 
відповідних методів, засобів, процедур кіберзахисту для забезпечення стійкого, 
безперервного та безпечного надання життєво важливих послуг та функцій 
об’єкта критичної інфраструктури. Ці заходи дозволяють обмежити або стримати 
вплив кіберінцидентів.  
«Виявлення кіберінцидентів» (DE) - містить заходи своєчасного виявлення 
кіберінцидентів.  
 «Реагування на кіберінцидентів» (RS) - містить заходи реагування на 
кіберінциденти та кібератаки.  
 «Відновлення стану кібербезпеки» (RC) – визначає заходи забезпечують 
своєчасне відновлення штатної роботи об’єкту критичної інформаційної 
інфраструктури та зменшення негативного впливу кіберінциденту. 
Категорія заходів кіберзахисту являє собою складові елементи класу 
заходів кіберзахисту, упорядковані за групою цільових результатів забезпечення 
кібербезпеки та тісно пов’язані із завданнями забезпечення кібербезпеки та 
конкретними групами заходів кіберзахисту.  
Кожна категорія заходів кіберзахисту має власний ідентифікатор, який 
складається з ідентифікатора класу заходів кіберзахисту (перші дві літери) та 
ідентифікатора категорії (останні дві літери). Наприклад, управління активами – 
ID.AM.  
Підкатегорія заходів кіберзахисту являє собою складовий елемент 
категорії заходів кіберзахисту. Підкатегорії заходів кіберзахисту містять 
сукупність конкретних заходів кіберзахисту, які сформульовані у вигляді 
конкретного результату, що має бути досягнутий під час упровадження заходів 
кіберзахисту. По суті це набір результатів, які, хоча і не є вичерпними, але 
допомагають досягти цільових результатів забезпечення кібербезпеки за кожною 
категорією заходів кіберзахисту.  
Арк. 
ЧДТУ.23.22191.006.ПЗ 12 
Змн. Арк. № докум. Підпис Дата 
 
 
Кожна підкатегорія заходів кіберзахисту має свій власний ідентифікатор, 
що складається з ідентифікатора категорії заходів кіберзахисту та порядкового 
номера підкатегорії. Наприклад: ID.AM-1.  
Довідкові матеріали являє собою елемент системи заходів кіберзахисту, 
який містить посилання на стандарти, нормативні документи, рекомендації та 
загальноприйняті практики, поширені у галузях критичної інфраструктури для 
забезпечення безпеки об’єкта критичної інформаційної інфраструктури. Ці 
посилання ілюструють методи, способи та технології досягнення цільових 
результатів для кожної підкатегорії заходів кіберзахисту.  
Інформаційні посилання, наведені в Рекомендаціях, є довідковими та не є 
вичерпними.  
Нормативні посилання базуються на національних стандартах, нормативних 
документах, прийнятих в Україні.  
Довідкові посилання базуються на міжнародних і регіональних стандартах, 
нормативних документах інших країн.  
Таблиця 1 Категорії, їх опис та підкатегорії заходів кіберзахисту. 
Категорія заходів Опис Підкатегорія 
кіберзахисту заходів 
кіберзахисту 
1 2 3 
Клас заходів кіберзахисту «Ідентифікація ризиків кібербезпеки» (ID) 
ID.AM  Описуються дані, персонал, пристрої та носії ID.AM-1 
Управління інформації, інформаційні системи, що ID.AM-2 
активами дозволяють забезпечити надання життєво ID.AM-3 
важливих послуг та функцій до рівня ID.AM-4 
важливості для організації відносно життєво ID.AM-5 
важливих послуг та функцій, а також ID.AM-6 
описується політика управління ризиками 
 
ID.BE  Формування обов’язків персоналу щодо ID.BE-1  
Середовище забезпечення кібербезпеки, а також рішень з ID.BE-2  
надання життєво управління ризиками у сфері кібербезпеки. ID.BE-3  
важливих  ID.BE-4  
послуг та функцій ID.BE-5 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 13 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 1. 
ID.GV  Формування правил, процедур і процесів для ID.GV-1 
Управління управління й моніторингу впроваджених ID.GV-2 
безпекою нормативних, екологічних та експлуатаційних ID.GV-3 
вимог, а також вимог щодо забезпечення ID.GV-4 
кібербезпеки. 
ID.RA  Визначення ризиків у сфері кібербезпеки для ID.RA-1 
Оцінка ризиків процесів надання життєво важливих послуг та ID.RA-2 
функцій, а також активів організації. ID.RA-3 
ID.RA-4 
ID.RA-5 
ID.RA-6 
ID.RM Стратегія Визначення пріоритетів, обмежень, ID.RM-1 
управління допустимого рівня ризику для підтримки ID.RM-2 
ризиками рішень щодо зниження ризиків кібербезпеки. ID.RM-3 
організації 
ID.SC Управління Визначення пріоритетів, обмежень, ID.SC-1 
ризиками системи допустимого рівня ризику щодо системи ID.SC-2 
постачання постачання для підтримки рішень щодо ID.SC-3 
ризиків, пов’язаних із системою постачання ID.SC-4 
послуг третіми особами. ID.SC-5 
Клас заходів кіберзахисту «Кіберзахист» (PR) 
PR.AC Управління Забезпечення доступу до фізичних і логічних PR.AC-1 
ідентифікацією, ресурсів ОКІ та пов’язаних з ними об’єктів PR.AC-2 
автентифікацією тільки для авторизованих користувачів, PR.AC-3 
та контроль адміністраторів або процесів. Управління PR.AC-4 
доступу здійснюється з урахуванням встановленого PR.AC-5 
допустимого рівня ризику несанкціонованого PR.AC-6 
доступу. PR.AC-7 
PR.AT Обізнаність Забезпечення інформування та обізнаності PR.AT-1 
та навчання організації та партнерів організації щодо PR.AT-2 
питань кібербезпеки. Співробітники мають PR.AT-3 
освіту або пройшли спеціалізовану підготовку PR.AT-4 
для покращення інформованості з питань PR.AT-5 
кібербезпеки, пройшли належну підготовку 
для виконання своїх обов'язків щодо 
забезпечення кібербезпеки відповідно до 
встановлених політик, правил, процедур та 
угод. 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 14 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 1. 
PR.DS Безпека Забезпечення управління інформацією та PR.DS-1 
даних документацією, з метою захисту PR.DS-2 
конфіденційності, цілісності та доступності PR.DS-3 
інформації. PR.DS-4 
PR.DS-5 
PR.DS-6 
PR.DS-7 
PR.DS-8 
PR.IP Процеси та Забезпечення підтримання та управління PR.IP-1 
процедури політикою безпеки, процесами та PR.IP-2 
кіберзахисту процедурами, які використовуються для PR.IP-3 
управління захистом інформаційних систем і PR.IP-4 
активів організації. PR.IP-5 
PR.IP-6 
PR.IP-7 
PR.IP-8 
PR.IP-9 
PR.IP-10 
PR.IP-11 
PR.IP-12 
PR.MA Технічне Технічне обслуговування та ремонт PR.MA-1 
обслуговування компонентів системи управління виробничими PR.MA-2 
процесами, компонентів інформаційно-
комунікаційних систем виконуються з 
дотриманням правил та процедур безпеки. 
PR.PT Технології Управління технічними рішеннями PR.PT-1 
кіберзахисту (технологіями) кіберзахисту з метою PR.PT-2 
забезпечення безпеки та стійкості систем і PR.PT-3 
активів організації з дотриманням правил, PR.PT-4 
процедур з безпеки PR.PT-5 
Клас заходів кіберзахисту «Виявлення кіберінцидентів» (DE) 
DE.AE Аномалії та Своєчасне виявлення аномальної активності та DE.AE-1 
кіберінциденти передбачення потенційного впливу DE.AE-2 
кіберінцидентів. DE.AE-3 
DE.AE-4 
DE.AE-5 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 15 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 1. 
DE.CM Відстеження безпеки інформаційних систем та DE.CM-1 
Безперервний активів організації через дискретні інтервали DE.CM-2 
моніторинг для виявлення кіберінцидентів та перевірки DE.CM-3 
кібербезпеки ефективності заходів кібербезпеки DE.CM-4 
DE.CM-5 
DE.CM-6 
DE.CM-7 
DE.CM-8 
DE.DP Процеси Підтримання і тестування процесів й процедур DE.DP-1 
виявлення виявлення кіберінцидентів для забезпечення DE.DP-2 
кіберінцидентів своєчасного та адекватного оповіщення про DE.DP-3 
аномальні кіберінциденти DE.DP-4 
DE.DP-5 
Клас заходів кіберзахисту «Реагування на кіберінциденти» (RS) 
RS.RP Планування Процеси та процедури реагування на RS.RP-1 
реагування кіберінциденти виконуються та 
підтримуються з метою забезпечення 
своєчасного реагування на виявлені 
кіберінциденти. 
RS.CO Координація заходів з реагування між RS.CO-1 
Комунікації внутрішніми та зовнішніми партнерами RS.CO-2 
організації (у разі доцільності). RS.CO-3 
RS.CO-4 
RS.CO-5 
RS.AN Аналіз Проведення аналізу кіберінцидентів для RS.AN-1 
забезпечення адекватних заходів реагування та RS.AN-2 
підтримки відновлення. RS.AN-3 
RS.AN-4 
RS.AN-5 
RS.MI Мінімізація Виконання заходів з метою запобігання RS.MI-1 
наслідків розширенню кіберінциденту, мінімізації його RS.MI-2 
наслідків та унеможливлення його RS.MI-3 
повторення. 
RS.IM Удосконалення заходів з реагування шляхом RS.IM-1 
Удосконалення врахування досвіду з поточних або виконаних RS.IM-2 
заходів виявлення/реагування. 
Функція кібербезпеки «Відновлення стану кібербезпеки» (RC) 
RC.RP Планування Процеси та процедури відновлення RC.RP-1 
відновлення виконуються та підтримуються з метою 
своєчасного відновлення систем або активів, 
постраждалих від кіберінцидентів. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 16 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 1 
RC.IM Планування відновлення та процеси RC.IM-1 
Удосконалення відновлення удосконалюються шляхом RC.IM-2 
урахування отриманого досвіду. 
RC.CO Заходи з відновлення координуються з RC.CO-1 
Комунікації внутрішніми та зовнішніми партнерами RC.CO-2 
організації, такими як координаційні центри, RC.CO-3 
постачальники електронних комунікаційних 
мереж та/або послуг, власники атакуючих 
систем, інші групи реагування на інциденти, 
пов’язані з інформаційною та/або 
кібербезпекою  
 
1.3 Рівні реалізації заходів із захисту інформації  
Рівні впровадження заходів кіберзахисту характеризують ступінь 
практичного впровадження організацією заходів із кіберзахисту, здатність 
організації досягти запланованих результатів кіберзахисту та надають 
інструментарій оцінювання ступеня впровадження процесів управління 
кібербезпекою.  
Визначаються чотири рівні впровадження заходів кіберзахисту:  
1 рівень – частковий;  
2 рівень – ризик-орієнтований;  
3 рівень – повторюваний;  
4 рівень – адаптивний.  
Арк. 
ЧДТУ.23.22191.006.ПЗ 17 
Змн. Арк. № докум. Підпис Дата 
 
 
 
Рис. 4. – Рівні впровадження заходів кібербезпеки 
Під час вибору рівня впровадження, організації доцільно розглянути свою 
поточну практику управління ризиками, навколишнє середовище загроз, 
юридичні та нормативні вимоги, цілі підприємства та організаційні обмеження.  
Рівень 4. Адаптивний  
Практика кіберзахисту адаптується  
Рівень 3. Повторюваний  
Практика кіберзахисту систематизована, впроваджено загально-
організаційний підхід до управління ризиками кібербезпеки, взаємодія з іншими 
об’єктами формалізована. 
Рівень 2. Ризик-орієнтований  
Практика кіберзахисту впроваджується, але не є систематизованою, ризики 
кібербезпеки зрозумілі, але немає формалізованого процесу управління ризиками, 
Арк. 
ЧДТУ.23.22191.006.ПЗ 18 
Змн. Арк. № докум. Підпис Дата 
 
 
оператор об’єкту критичної інфраструктури взаємодіє з іншими об'єктами, але 
процеси взаємодії не є формалізованими. 
Рівень 1. Частковий  
Практика кіберзахисту існує, але вона не є формалізованою, обмежене 
розуміння ризиків, власник об’єкту не розуміє місце та роль об’єкта критичної 
інфраструктури у системі забезпечення кібербезпеки.  
Процес вибору рівня впровадження враховує поточну практику щодо 
реалізації заходів кіберзахисту та управління ризиками кібербезпеки на об’єкті 
критичної інформаційної інфраструктури, характеристики загроз кібербезпеки, 
законодавчі та нормативні вимоги, комерційні та стратегічні цілі об’єкту, вимоги 
до кібербезпеки в ланцюзі поставок програмного чи апаратного забезпечення та 
організаційні та інші наявні обмеження. Рекомендовано визначати цільовий 
рівень впровадження, переконавшись, що вибраний рівень зменшує ризик 
кібербезпеки до критично важливих активів і ресурсів, прийнятних для 
організації.  
Рекомендується враховувати вимоги галузевих нормативних актів, 
нормативно-правових актів у сфері кібербезпеки та захисту інформації, 
рекомендації урядової команди реагування на комп’ютерні інциденти (CERT-
UA/CERT), інциденти комп’ютерної безпеки (CSIRT) або галузевих центрів 
управління безпекою (SOC), існуючі моделі зрілості або інші джерела, які 
допоможуть визначити бажаний рівень ризику кібербезпеки.  
Об’єкти критичної інформаційної інфраструктури , що досягли певного 
рівня впровадження, рекомендується розглянути можливість просування до 
наступного або більшого рівня. Рівні призначено для підтримки прийняття 
організаційних рішень про те, як керувати ризиком кібербезпеки, які заходи для 
Об’єкту критичної інформаційної інфраструктури мають вищий пріоритет та на 
які заходи можуть виділятися додаткові ресурси.  
Арк. 
ЧДТУ.23.22191.006.ПЗ 19 
Змн. Арк. № докум. Підпис Дата 
 
 
Успішність впровадження заходів з кіберзахисту базується на досягненні 
результатів, описаних у цільовому профілі організації, а не на визначеному рівні 
впровадження.  
Таблиця 2 Рівні впровадження заходів з кіберзахисту 
Рівень Практика Політика управління Взаємодія з іншими 
кіберзахисту ризиками ОКІ 
1 2 3 4 
Частковий Практична Обмежене розуміння Організація не розуміє 
діяльність із ризику кібербезпеки свою роль у 
реалізації на організаційному екосистемі щодо своїх 
заходів рівні. Інформованість власних залежностей 
кіберзахисту та керівництва та або залежних від неї 
управління персоналу організації інших суб’єктів. 
ризиками про ризики Організація не 
кібербезпеки не кібербезпеки є опрацьовує або 
є недостатньою. отримує інформацію 
формалізованою. Загальний підхід до (дослідження загроз, 
Діяльність з управління ризиками кращі практики, 
упровадження кібербезпеки в технології) від інших 
заходів масштабі всього ОКІІ організацій 
кіберзахисту та не встановлено. (споживачі, 
управління Заходи кіберзахисту постачальники, 
ризиками носить впроваджуються залежні від неї або від 
довільний та нерегулярно, яких вона залежить 
ситуативний ситуативно, організацій, 
характер. використовуючи організацій аналізу та 
Пріоритетність різноманітний поширення 
виконання практичний досвід інформації, 
заходів або інформацію, дослідники, державні 
кіберзахисту отриману із органи) та не 
безпосередньо зовнішніх джерел. поширює таку 
не враховує цілі Процесів, що інформацію. 
ОКІІ щодо забезпечують Організація взагалі не 
управління внутрішній обмін усвідомлює ризиків 
ризиками, інформацією про кібербезпеки, 
характеристики стан кібербезпеки, не пов’язаних з 
загроз, завдання зафіксовано. послугами, які вона 
щодо надання надає та якими 
життєво користується. 
важливих послуг 
та функцій. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 20 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 2. 
Ризик- Практика Існує усвідомлення Загалом організація 
орієнтований реалізації ризику кібербезпеки розуміє свою роль у 
заходів на організаційному екосистемі щодо своїх 
кіберзахисту та рівні, але загальний власних залежностей 
управління підхід організації до або залежних від неї 
ризиками управління ризиком інших суб’єктів, але 
затверджується кібербезпеки не не їх обох. 
керівництвом встановлено. Організація 
організації, але Інформація про опрацьовує та 
може не кібербезпеку отримує деяку 
встановлюватися поширюється в інформацію від інших 
як загальна межах організації на організацій, створює 
політика для неофіційній основі. на підставі неї власну 
організації. Розгляд кібербезпеки інформацію, але може 
Пріоритетність в цілях та програмах не поширювати таку 
діяльності з організації може інформацію між 
кібербезпеки та відбуватися на іншими 
потреби захисту деяких, але не на всіх організаціями. Крім 
безпосередньо рівнях організації. того, організація 
залежать від Оцінка ризиків усвідомлює ризики 
цілей кібербезпеки для кібербезпеки, 
організаційного організаційних та пов’язані з послугами, 
ризику, зовнішніх активів які вона надає та 
середовища відбувається, але якими користується, 
загроз або вимог зазвичай не але не діє послідовно 
щодо надання повторюється або або за затвердженими 
життєво однаково не правилами. 
важливих послуг проводиться. 
та функцій. 
 
 
 
 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 21 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 2. 
Повторюваний Практика В організації існує Організація розуміє 
реалізації загальний підхід до свою роль у 
заходів управління ризиками екосистемі щодо своїх 
кіберзахисту та кібербезпеки. власних залежностей 
управління Політики або залежних від неї 
ризиками в інформування про інших суб’єктів та 
організації є ризики, процеси та може сприяти 
офіційно процедури визначені, ширшому розумінню 
затвердженою і реалізуються за спільнотою ризиків. 
визначена як призначенням та Організація регулярно 
політика. переглядаються. опрацьовує та 
Результати Існують послідовні отримує інформацію 
кіберзахисту методи ефективного від інших організацій, 
регулярно реагування на зміни що доповнює власну 
відстежуються ризику. Персонал створену інформацію 
та заходи володіє знаннями та та поширює її між 
кіберзахисту вміннями виконувати іншими 
регулярно призначені їм організаціями. 
оновлюються на обов’язки. Організація 
основі Організація усвідомлює ризики 
застосування послідовно і точно кібербезпеки, 
процесів контролює ризик пов’язані з послугами, 
управління кібербезпеки для які вона надає та 
ризиками до активів організації. якими користується 
змін у вимогах Пов’язані та не 
щодо надання пов’язані з 
життєво- кібербезпекою 
важливої головні виконавці 
функції, регулярно 
мінливих загроз спілкуються щодо 
та ризику кібербезпеки. 
технологічного 
ландшафту. 
 
 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 22 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 2. 
Адаптивний Організація В організації існує майже в режимі 
адаптує свою загальний підхід до реального часу і 
практику в галузі управління ризиком послідовно реагує 
кібербезпеки на кібербезпеки, який на ризики 
основі використовує політику, кібербезпеки, 
попередніх та процеси та процедури з пов’язані з 
поточних заходів урахуванням ризиків для послугами, які вона 
з кібербезпеки, вирішення потенційних надає та якими 
включаючи кіберінцидентів. користується. 
отримані Взаємозв’язок між 
результати та ризиком кібербезпеки та 
прогнозні цілями організації чітко 
показники. усвідомлюється та 
Завдяки процесу враховується під час 
безперервного прийняття рішень. 
вдосконалення, Головні виконавці 
що передбачає контролюють ризик 
передові кібербезпеки в тому 
технології та самому контексті, що і 
практики фінансовий ризик та інші 
кібербезпеки, ризики для організації. 
організація Управління ризиками 
активно кібербезпеки є частиною 
адаптується до організаційної культури і 
мінливих розвивається на основі 
кіберзагроз та усвідомлення попередньої 
своєчасно й діяльності та постійного 
ефективно реагує усвідомлення діяльності у 
на кіберзагрози, своїх системах та 
що розвиваються комунікаційних мережах. 
та Організація може швидко 
ускладняються. та ефективно враховувати 
зміни у тому, як 
підходити до 
опрацювання та 
повідомляти про ризик. 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 23 
Змн. Арк. № докум. Підпис Дата 
 
 
1.4 Профіль рівня захищеності 
Профіль рівня захищеності - це узгодження функцій, категорій та 
підкатегорій з вимогами підприємства, ризикостійкістю та ресурсами 
підприємства. Профіль дозволяє об’єктам створити дорожню карту для зниження 
ризиків інформаційної безпеки, яка узгоджена з цілями підприємства та галузі, 
враховує законодавчі та нормативні вимоги й передовий галузевий досвід, а також 
відображає пріоритети управління ризиками.  
Профілі рівня захищеності використовуються для опису поточного стану та 
цільового стану заходів інформаційної безпеки. У поточному профілі 
зазначаються показники інформаційної безпеки, наявні на даний момент. 
Цільовий профіль зазначає показники, необхідні для досягнення бажаних цілей 
управління ризиками інформаційної безпеки. Профілі підтримують стратегічні 
цілі й допомагають обмінюватися даними про ризики всередині й між 
організаціями.  
Підхід, заснований на інформованості про ризики, дозволяє підприємству 
налаштувати методи оцінки ресурсів для досягнення цілей інформаційної безпеки 
ефективно з економічної точки зору та відповідно до пріоритетів.  
Розробку та впровадження профілю кіберзахисту проведено згідно з 
рекомендаціями в такому прядку:  
1. Визначення пріоритетів та сфери застосування профілю.      
Визначаються цілі та організаційні пріоритети щодо надання життєво 
важливих послуг та функцій. За допомогою отриманої інформації приймається 
рішення щодо реалізації заходів кіберзахисту та визначається обсяг 
інформаційних систем та активів, які підтримують надання життєво важливих 
послуг та функцій.  
2. Аналіз середовища для надання життєво важливих послуг та функцій.  
Визначаються відповідні системи та активи, що безпосередньо 
забезпечують надання життєво важливих послуг та функцій, аналізуються 
нормативні вимоги та загальний підхід до управління ризиками для цих систем.  
Арк. 
ЧДТУ.23.22191.006.ПЗ 24 
Змн. Арк. № докум. Підпис Дата 
 
 
3. Створення поточного профілю кіберзахисту.  
Розробляється поточний профіль кіберзахисту, вказуючи, які заходи 
кіберзахисту, реалізовані на цей час. По суті розробка поточного профілю 
кіберзахисту є етапом самоаналізу, який дозволяє об’єкту критичної 
інформаційної інфраструктури з’ясувати, які заходи захисту інформації 
впроваджено та на якому рівні вони реалізовані.  
4. Проведення оцінки ризику.  
Оцінка ризику кібербезпеки має базуватися на процесі оцінки ризику, який 
вже впроваджено на ОКІІ або отримані під час створення КСЗІ, СУІБ, системи 
інформаційної безпеки або проведення аудиту безпеки. Аналіз середовища 
експлуатації інформаційних систем та активів проводиться з метою визначення 
ймовірності реалізації кібератак та оцінки наслідків, які можуть настати у 
результаті настання такої події. Важливо враховувати нові ризики, дані про 
загрози та вразливості, що сприяє надійному розумінню ймовірності та наслідків 
кіберінцидентів;  
5. Створення цільового профілю кіберзахисту.  
Розробляється цільовий профіль кіберзахисту, що базується на аналізі 
заходів кіберзахисту. Цільовий профіль кіберзахисту описує бажані результати із 
забезпечення кібербезпеки об’єкта критичної інформаційної інфраструктури. При 
створенні цільового профілю кіберзахисту мають бути розглянуті та враховані 
вплив та вимоги з кібербезпеки зовнішніх партнерів організації.  
6. Визначення, аналіз та пріоритизація недоліків.  
Проводиться порівняння поточного профілю кіберзахисту із цільовим 
профілем кіберзахисту для визначення недоліків. Далі проводиться розробка 
плану дій щодо усунення виявлених недоліків, який відображає завдання, 
результати аналізу витрат чи вигоди, а також ризики досягнення результатів 
цільового профілю кіберзахисту. Далі об’єкт критичної інформаційної 
інфраструктури може визначити необхідні ресурси: фінансові, матеріальні, 
людські, потрібні для усунення недоліків.  
Арк. 
ЧДТУ.23.22191.006.ПЗ 25 
Змн. Арк. № докум. Підпис Дата 
 
 
7. Реалізація плану удосконалення заходів кіберзахисту.  
Визначається, які дії слід вживати для усунення виявлених недоліків. Під 
час реалізації плану постійно відстежуються відповідність поточної практики 
кіберзахисту цільовому профілю кіберзахисту. При цьому визначаються 
стандарти, нормативні документи, у тому числі ті, що стосуються сектору 
критичної інфраструктури та впроваджуються для забезпечення кібербезпеки.  
 
З метою постійної оцінки стану кібербезпеки та для вдосконалення 
практики кіберзахисту визначені етапи необхідно повторювати. Згідно 
рекомендацій термін повторення етапів бажано робити не рідше ніж один раз на 
рік, але організація визначає частоту повторюваності етапів самостійно. 
Відстеження прогресу проводиться шляхом повторювання оновлення поточного 
профілю кіберзахисту, а потім порівняння його із цільовим профілем 
кіберзахисту.  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 26 
Змн. Арк. № докум. Підпис Дата 
 
 
РОЗДІЛ 2 РОЗРОБКА ПОТОЧНОГО ТА ЦІЛЬОВОГО ПРОФІЛІВ 
КІБЕРЗАХИСТУ. РОЗРОБКА ОЦІНЮВАННЯ ЗАХОДІВ КІБЕРЗАХИСТУ 
ЗА СТАТУСОМ РЕАЛІЗАЦІЇ 
2.1 Опис поточного та цільового профілів кіберзахисту 
Об’єктом практичних досліджень є інформаційно-комунікаційна система 
апарату обласної державної адміністрації. Для опису поточного стану було 
проведено роботу по ідентифікації наявних ресурсів та механізмів щодо 
кіберзахисту.  
Якщо більш детально то було ідентифіковано: 
 Фізичне обладнання та системи 
 Програмне забезпечення 
 Потоки даних 
 Обов’язки персоналу 
 Наявні загрози 
 Критичність активів 
 Політики протидії кіберзагрозам 
 Політики відновлення після кіберінциденту 
 Зв’язки із зовнішніми партнерами об’єкту 
 Рівень обізнаності персоналу 
 Стан ведення документації 
 Політики розмежування доступу та фізичного доступу 
 Зв’язки з громадськістю 
Також були визначені цільові показники із зазначеними термінами 
виконання заходів для досягнення цих показників. 
Загалом, як було описано, профіль поділяється на 5 класів заходів, сам 
профіль не є практичною роботою по виконанню цих заходів, це лише їх 
Арк. 
ЧДТУ.23.22191.006.ПЗ 27 
Змн. Арк. № докум. Підпис Дата 
 
 
документальне підтвердження, тому що, самі дії, описані у профілі, не можливо 
висвітлити у даній роботі за тих чи інших причин. 
Для Апарату Обласної Державної Адміністрації найкритичнішим 
напрямком роботи є функціонування системи електронного документообігу 
(СЕД), забезпечення безперервного доступу працівників до СЕД, тому 
забезпечення кіберзахисту на доволі високому рівні потребують робоче 
середовище працівників, та мережі. 
Загалом в компетенції роботи мого відділу є забезпечення та захист робочого 
середовища:  
 Відділу бухгалтерського та господарського забезпечення 
 Відділ документообігу та контролю 
 Відділу управління персоналом  
 Юридичного управління 
 Секору звернень громадян 
 Організаційного відділу 
 Прес-служби 
 Голови та заступників голови ОДА 
 Керівника апарату 
 Патронатної служби 
 Відділу з мобілізаційної роботи 
 Відділу по боротьбі з корупцією 
Першим класом є Ідентифікація Ризиків Кібербезпеки (ID) , він складається 
із 29 підпунктів. Враховуючи те що дії описані у цих пунктах направлені на 
ідентифікацію ризиків, його аж ніяк не можна пропускати, тому що для 
подальшої роботи щодо кіберзахисту необхідно знати що ми захищаємо, та яку 
критичність має той чи інший напрямок. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 28 
Змн. Арк. № докум. Підпис Дата 
 
 
До цього класу входять такі категорії: 
 ID.AM – Управління активами 
 ID.BE – Середовище надання життєво важливих послуг та функцій 
 ID.GV – Управління безпекою 
 ID.RA – Оцінка ризиків 
 ID.RM – Стратегія управління ризиками організації 
 ID.SC – Управління ризиками системи постачання 
Опис поточного та цільового станів кіберзахисту, порівняння станів 
кіберзахисту 
Таблиця 3 Ідентифікація ризиків кібербезпеки (ID). 
№ Заходи кіберзахисту Поточний профіль Цільовий профіль Заходи для 
з/п кіберзахисту кіберзахисту досягнення 
цільового профіля 
за роками 
1 2 3 4 5 
Ідентифікація ризиків кібербезпеки (ID) 
ID.AM Управління активами 
1.             I D   . A   M-1. Фізичне Так.  Планується щорічний  4 квартал 2024 
обладнання та системи на перегляд. року 
Проведена 
ОКІ ідентифіковано та 
інвентаризація усього 
задокументовано. 
обладнання 
зафіксовані всі 
складові, які беруть 
участь у 
технологічному 
процесі обробки і тим 
чи іншим чином 
впливають на безпеку 
інформації. 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 29 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 3. 
2.             I D   . A   M-2. Програмне Проведена  Закріпити у  4 квартал 2024 
забезпечення, що інвентаризація відповідних року 
використовуються ОКІ для програмного документах 
надання життєво забезпечення, програмне 
важливих послуг та забезпечення, 
призначення та склад 
функцій, ідентифіковано призначення та 
спеціалізованого 
та задокументовано. склад 
програмного 
спеціалізованого 
забезпечення і його 
програмного 
послуги та функції які 
забезпечення і його 
беруть участь у 
життєво важливих 
технологічному процесі 
послуг та функцій 
обробки і тим чи іншим 
які беруть участь у 
чином впливають на 
технологічному 
безпеку інформації 
процесі обробки і 
тим чи іншим чином 
впливають на 
безпеку інформації. 
Планується 
щорічний перегляд. 
3.             I D   . A   M-3. Електронні Електронні комунікації  Закріпити у 4 квартал 2024 
комунікації та потоки та потоки даних відповідних року 
даних ОКІ ідентифіковано ідентифіковано. документах 
та задокументовано. ідентифіковані 
Визначено номери VLAN електронні 
та ІР-адресація комунікації та 
внутрішніх підмереж потоки даних. 
для різних потоків 
даних: інформаційно- Планується 
аналітичних, щорічний перегляд. 
моніторингу та 
віддаленого управління. 
4.             I D   . A   M-4. Зовнішні Взаємодіє з мережею  Планується  4 квартал 2024 
інформаційні та Інтернет. Схема щорічний перегляд. року 
інформаційно- організації такої 
комунікаційні системи, взаємодії передбачає 
промислові системи, які використання з’єднань 
взаємодіють з через: 
інформаційно-
комунікаційними та 1. Провайдер послуг 
іншими системами ОКІ доступу до мережі 
обліковано. інтернет «Укртелеком». 
Арк. 
ЧДТУ.23.22191.006.ПЗ 30 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 3. 
5.             I D   . A   M-5. Критичність  Критичними активами  Критичність  3 квартал 2024 
активів (обладнання, організації є: активів року 
устаткування, даних, відповідно до 
1. Серверне 
програмного оцінки їх впливу 
обладнання 
забезпечення) ОКІ на надання 
2. Локальна мережа 
визначено відповідно до життєво 
3. Пристрої 
оцінки їх впливу на важливих послуг, 
працівників 
надання життєво оцінено в 
 
важливих послуг та повному обсязі. 
функцій ОКІ. 
Створити та 
задокументувати 
метод 
класифікації 
активів 
відповідно до 
важливості 
інформації та 
критичності 
процесів. 
Планується 
щорічний 
перегляд. 
6.             I D   . A   M-6. Обов'язки  Обов'язки штатного  Закріпити у  4 квартал 2024 
штатного персоналу ОКІ та персоналу та персоналу, відповідних року 
персоналу партнерів партнерів організації щодо документах 
організації (наприклад – забезпечення визначені 
постачальників, клієнтів, кібербезпеки визначено. обов’язки 
тощо) щодо забезпечення штатного 
кібербезпеки визначено персоналу та 
та закріплено у персоналу 
відповідних документах. партнерів 
організації щодо 
забезпечення 
кібербезпеки. 
Планується 
щорічний 
перегляд. 
ID.BE Середовище надання життєво важливих послуг та функцій 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 31 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 3. 
7.             I D   . B  E -1. Роль ОКІ в  Так.  Планується 4 квартал 2024 
ланцюгу постачання щорічний року 
Організація ідентифікує та 
товарів і послуг визначено перегляд. 
класифікує постачальників 
та повідомлено всім 
у відповідних ланцюгах 
постачальникам 
поставок враховуючи 
організації. 
товари і послуги, що 
надаються згідно з 
чинними угодами та 
законодавством. 
8.             I D   . B  E -2. Місце та роль Не враховується  Не враховується  Не враховується 
ОКІ в системі надання 
життєво важливих послуг 
та функцій сектору 
(підсектору) критичної 
інфраструктури визначено 
і повідомлено всім 
постачальникам 
організації. 
9.             I D   . B  E -3. Пріоритетність Не враховується Не враховується  Не враховується 
цілей, завдань і заходів 
щодо забезпечення 
кібербезпеки, надання 
життєво важливих послуг 
та функцій встановлено та 
повідомлено. 
10.           I D   . B E-4. Залежності та Критичним сервісом є СЕД   Планується 4 квартал 2023 
найважливіші процеси щорічний року 
Для забезпечення сталості 
для забезпечення надання перегляд. 
роботи сервісу 
життєво важливих послуг 
постачальник інтернет 
та функцій встановлено. 
послуг надає доступ до 
мережі інтернет 24/7. 
Найважливіші процеси для 
забезпечення надання  
послуг та функцій  
ідентифіковано, та 
зареєстровано. 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 32 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 3. 
11.           I D   . B E-5. Вимоги до  Стійкість організації щодо Задокументувати 3 квартал 2024 
стійкості ОКІ щодо забезпечення надання визначені року 
забезпечення надання послуг та функцій критерії. 
життєво важливих послуг визначено та відповідає 
та функцій встановлено. загальним вимогам на 
достатньому рівні. 
ID.GV Управління безпекою 
12.          I D   . G V-1. Правила  Встановлено правила  Планується 4 квартал 2024 
(політики) кібербезпеки кібербезпеки, та щорічний року 
ОКІ встановлено та задокументовано. перегляд. 
задокументовано 
 
13.          I D   . G V-2. Обов’язки щодо  Усі обов’язки пов’язані із  Планується  1 квартал 2024 
забезпечення забезпеченням щорічний року 
кібербезпеки ОКІ кібербезпеки визначені. перегляд. 
скоординовано та Керівництво підтримує та 
узгоджено з обов’язками виконує вимоги з 
персоналу ОКІ та із кібербезпеки відповідно 
зовнішніми партнерами до політик та процедур 
організації. Вимоги та 
політики виконуються всім 
персоналом. 
14.          I D   . G V-3. Правові та Так.   Планується  1 квартал 2024 
нормативні вимоги щодо щорічний року 
Забезпечення кіберзахисту 
забезпечення перегляд. 
виконується з 
кібербезпеки ОКІ, в тому 
дотриманням 
числі зобов’язання щодо 
національних та 
захисту недоторканості 
європейських норм, у тому 
особистого життя 
числі щодо захисту 
(приватності), 
недоторканості особистого 
усвідомлено та управління 
життя.  
ними здійснюється 
15.          I D   . G V-4. Процеси Так.  Задокументувати 3 квартал 2023 
управління безпекою та проведений року 
Аналіз ризиків проведено.  
управління ризиками аналіз ризиків. 
спрямовано на вирішення 
питання оброблення 
ризиків кібербезпеки 
Арк. 
ЧДТУ.23.22191.006.ПЗ 33 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 3. 
ID.RA Оцінка ризиків 
16.          I D   . R A-1. Вразливості  Вразливості активів Планується  1 квартал 2024 
активів ОКІ проаналізовано та документування року 
проаналізовано, ідентифіковано. вразливості 
ідентифіковано та активів. 
задокументовано 
17.          I D   . R A-2. Інформацію про  Інформацію про загрози Планується  1 квартал 2024 
загрози безпеки та безпеки та вразливості щорічний року 
вразливості отримано з отримано з CERT-UA. перегляд. 
форумів обміну 
інформацією та офіційних 
джерел 
18.          I D   . R A-3. Загрози Загрози кібербезпеки,  Задокументувати  1 квартал 2024 
кібербезпеки (модель визначено але не визначені загрози року 
загроз) як внутрішні, так і задокументовано. кібербезпеки. 
зовнішні визначено й 
Планується 
задокументовано 
щорічний 
перегляд. 
19.          I D   . R A-4. Потенційні  Так. Методика  Задокументувати 4 квартал 2023 
наслідки (рівень оцінювання ризиків визначену року 
шкоди),які можуть визначена, але не методику 
завдати загрози в задокументована. оцінювання 
наслідок їх реалізації на ризиків. 
безперервне надання 
Планується 
життєво важливих послуг 
щорічний 
та функцій та ймовірності 
перегляд. 
їх реалізації визначено 
20.          I D   . R A-5. Для визначення Так.  Задокументувати  4 квартал 2024 
ризику застосовуються встановлені року 
 Критерії для визначення 
данні щодо загроз, критерії для 
ймовірності та впливу 
вразливостей, їх визначення 
ризику встановлено щодо 
ймовірностей та рівня ймовірності та 
ідентифікованих загроз та 
шкоди використано для впливу ризику. 
ризиків. 
визначення ризику 
Планується 
кібербезпеки 
щорічний 
перегляд. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 34 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 3. 
21.          I D   . R A-6. Заходи  Заходи реагування на  Планується  1 квартал 2024 
реагування на ризик ризики впроваджено, та щорічний року 
кібербезпеки визначено розраховані рівні та перегляд. 
та їх пріоритетність пріоритетність ризиків. 
встановлено 
ID.RM Стратегія управління ризиками організації 
22.          I D   . R M-1. Процеси  Відповідальні особи  Планується 4 квартал 2023 
управління ризиками визначені, але не документування року 
визначено, узгоджено із задокументовано. процесів 
партнерами організації та управління 
управляються ризиками та 
відповідальних 
осіб. 
23.          I D   . R M-2. Допустимий Так.  Задокументувати  3 квартал 2024 
рівень ризику встановлений року. 
Підхід до обробки 
кібербезпеки визначено підхід до обробки 
ризиків та відповідний 
та чітко виражено ризиків та 
допустимий рівень 
відповідний 
ризику сформульований 
допустимий 
та встановлений.  
рівень ризику. 
Планується 
щорічний 
перегляд. 
24.          I D   . R M-3. Визначення Не враховується.  Не враховується. Не враховується. 
допустимого рівня ризику 
ґрунтується на ролі ОКІ як 
складової частини сектору 
критичної інфраструктури 
та аналізі ризиків, 
притаманних 
відповідному сектору 
критичної інфраструктури 
ID.SC Управління ризиками системи постачання 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 35 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 3. 
25.           I D   . S C-1. Процеси Не враховується.  Не враховується.  Не враховується. 
управління ризиками 
кібербезпеки системи 
постачання визначено, 
узгоджено з партнерами 
організації та 
управляються 
26.           I D   . S C-2. Постачальники Не враховується.  Не враховується.  Не враховується. 
(розпорядники) 
інформаційних систем, 
товарів і послуг для ОКІ 
ідентифіковано, рівень їх 
критичності оцінено у 
відповідності до політики 
управління ризиками 
кібербезпеки з 
урахуванням ризиків, 
притаманних системі 
постачання 
27.           I D   . S C-3. Постачальники Не враховується.  Не враховується. Не враховується. 
товарів і послуг та 
партнери, у відповідності 
до договору, можуть 
впроваджувати заходи, 
спрямовані на досягнення 
мети політики 
інформаційної 
безпеки/кібербезпеки ОКІ 
та плану управління 
ризиками постачання. 
28.           I D   . S C-4. Постачальники  Не враховується.  Не враховується.  Не враховується. 
товарів і послуг та 
партнери регулярно 
оцінюються за допомогою 
аудитів, результатів тестів 
або інших форм оцінки, 
щоб підтвердити, що вони 
виконують свої договірні 
зобов’язання. 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 36 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 3. 
29.           I D   . S C-5. З Не враховується. Не враховується.  Не враховується. 
Постачальниками 
здійснюється планування 
та тестування реагування 
за відповідними 
політиками реагування на 
кіберінциденти та 
відновлення стану 
кібербезпеки 
 
Другим класом профілю Кіберзахист (PR) , даний клас містить в собі 38 
підпунктів, він описує дії для забезпечення безперервної роботи, та для 
обмеження або стримування впливу кіберінцидентів.  
Даний клас містить такі категорії: 
 PR.AC – Управління ідентифікацією, автентифікацією та контроль 
доступу 
 PR.AT – Обізнаність та навчання 
 PR.DS – Безпека даних 
 PR.IP – Процеси та процедури кіберзахисту 
 PR.MA – Технічне обслуговування 
 PR.PT – Технології кіберзахисту 
 
 
 
 
 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 37 
Змн. Арк. № докум. Підпис Дата 
 
 
Таблиця 4 Кіберзахист (PR). 
№ Заходи кіберзахисту Поточний профіль кіберзахисту Цільовий профіль Заходи для 
з/п кіберзахисту досягнення 
цільового 
профіля за 
роками 
1 2 3 4 5 
Кіберзахист (PR) 
PR.AC Управління ідентифікацією, автентифікацією та контроль доступу 
30 PR.AC-1. Ідентифікатори  Забезпечується управління та Планується  4 квартал 
.        т  а    д  а ні автентифікації для перевірка, періодичний перегляд задокументувати та 2023 року.  
авторизованих особистих обов’язків та проводити 
користувачів, повноважень користувачів, щорічний перегляд.  
адміністраторів та адміністраторів організації, 
процесів призначаються, керується ними, перевіряється, та 
верифікуються, скасовується відповідно до 
адмініструються, встановлених внутрішніх 
відкликаються процесів.  
(скасовуються) та 
перевіряються 
31 PR.AC-2. Фізичний  Організація охороняє та керує Планується  4 квартал 
.        д  о  с  т  уп до ОКІІ фізичним доступом до своїх щорічний перегляд. 2023 року   
захищений та об’єктів та інфраструктури, що 
управляється підтримують її комунікаційні 
мережі   
32 PR.AC-3. Здійснюється Організація має політику Планується 1 квартал 
.        к  о  н  т  роль та управління віддаленого доступу у щорічний перегляд. 2024 року    
віддаленого доступу відповідності до якої 
здійснюється управління ним та 
контролюється віддалений 
доступ до своїх комунікаційних 
мереж та інформаційних систем 
за допомогою SSL та протоколів 
IPSec, VPN, RDS тощо. 
33 PR.AC-4. Права доступу  Права доступу із застосуванням Планується 1 квартал 
.        в  с  т  а н овлено із принципів мінімальних привілеїв щорічний перегляд. 2024 року    
застосуванням принципів та розподілу обов’язків 
мінімальних привілеїв та встановлені, тимчасові права 
розподілу обов’язків доступу постійно переглядаються 
та скасовуються одразу після 
виконання завдання. 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 38 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 4. 
34 PR.AC-5. Цілісність Так. Планується 1 квартал 
.        е  л  е  к  тронної Цілісність електронної щорічний 2024 року    
комунікаційної мережі комунікаційної мережі захищена за перегляд. 
захищено (наприклад, допомогою поділу і сегментації 
сегментація мережі) мережі. Проектування електронної 
комунікаційної мережі 
унеможливлює отримання доступу 
до будь-якої системи з будь-якої 
підмережі.  
35 PR.AC-6. Ідентичність  Так. Планується 1 квартал 
.        о  с  о  б  и підтверджується і Функцію підтвердження особи, з щорічний 2024 року 
прив’язується до можливістю прив’язки до облікових перегляд. 
облікових даних та даних налаштовано. 
затверджується під час 
взаємодії 
36 PR.AC-7. Так. Планується 1 квартал 
.        А   в  т  е нтифікація Автентифікація користувачів, щорічний 2024 року      
користувачів, адміністраторів, пристроїв перегляд. 
адміністраторів, здійснюється методом 
пристроїв та інших багатофакторної автентифікації, 
активів здійснюється відповідно до встановленого ризику 
(наприклад методами порушення безпеки.  
однофакторної, 
багатофакторної 
автентифікації) 
відповідно до 
встановленого ризику 
порушення безпеки 
PR.AT Обізнаність та навчання 
37 PR.AT-1. Усі Так, сформовано план дій для Планується 1 квартал 
.        с  п  і в  р обітники ОКІ навчання працівників з питань щорічний 2024 року       
обізнані та пройшли кібербезпеки.  перегляд. 
підготовку з питань Проводяться щорічні навчання з 
кібербезпеки кібергігієни для всіх співробітників 
на платформах для проходження 
спеціалізованих курсів з цифрової 
грамотності, основ інформаційної 
безпеки. Захисту персональних 
даних та кібергігієни, зокрема: 
- Дія. Цифрова освіта 
https://osvita.diia.gov.ua/ 
- Прометеус 
https://prometheus.org.ua/ 
- Портал управління знаннями 
НАДС https://pdp.nacs.gov.ua/  
Арк. 
ЧДТУ.23.22191.006.ПЗ 39 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 4. 
38 PR.AT-2. Користувачі Так, створено програму Планується щорічний 1 квартал 
.        (  а д  м   іністратори) з необхідного навчання, та перегляд. 2024 року       
перевагами доступу забезпечена його 
розуміють свої ефективність. 
обов’язки з питань Співробітники, які мають 
кібербезпеки привілеї доступу до 
мережі та системи 
ретельно вивчають свої 
обов’язки, необхідні для 
виконання своїх функцій. 
39 PR.AT-3. Партнери Не враховується. Не враховується. Не 
.        о  р  г  а  нізації розуміють враховуєть
свої обов’язки з питань ся. 
кібербезпеки 
40 PR.AT-4. Керівництво Керівництво усвідомлює - - 
.        О   К   І   розуміє свої свої обов’язки з питань 
обов’язки з питань кібербезпеки, спрямовує 
кібербезпеки роботу, та здійснює 
відповідне забезпечення.  
41 PR.AT-5. Персонал із Визначені та назначені всі Підвищення кваліфікації 4 квартал 
.        з  а  б  е з печення фізичної обов’язки пов’язані із персоналу раз на 5 років. 2026 року 
та інформаційної забезпеченням фізичної та 
безпеки розуміє свої інформаційної безпеки. 
обов’язки Персонал має відповідну 
кваліфікацію для 
виконання покладених на 
них обов’язків, на 
постійній основі 
здійснюється підвищення 
кваліфікації та розуміє 
межі своїх повноважень. 
PR.DS Безпека даних 
42 PR.DS-1. Дані, що  Забезпечено  Провести криптографічну 2 квартал 
.        з  б  е  р  ігаються, захищено конфіденційність, перевірку збережених даних, 2024 року 
цілісність та доступність із подальшою 
даних організації. автоматизацією процесів 
проведення криптографічних 
перевірок. 
43 PR.DS-2. Дані, що Огранізація забезпечує Планується щорічний 1 квартал 
.        п  е  р  е  даються, захищено захист даних, що перегляд. 2024 року 
передаються.  
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 40 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 4. 
44 PR.DS-3. Управління Управління активами Для здійснення управління 2 квартал 
.        а  к  т  и  вами здійснюється з здійснюється з активами з дотриманням 2025 року 
дотриманням правил дотриманням правил правил цільовим є 
видалення, передачі та передачі та розміщення. впровадження електронного 
розміщення архіву для збереження та 
захисту інформації, яка не 
потребує постійного 
доступу. 
45 PR.DS-4. Необхідні Спроможність Задокументувати 4 квартал 
.        с  п  р  о  можності для телекомунікаційної спроможність для 2023 року 
забезпечення мережі та інформаційної забезпечення доступності 
доступності активів системи створено, активів. 
створено та контролюються, та 
підтримуються підтримуються, а також 
забезпечено доступність 
активів. 
46 PR.DS-5. Захист від Контроль безпеки на Періодична перевірка. 1 квартал 
.        в  и  т  о  ку даних периметрах 2024 року 
впроваджено телекомунікаційної 
мережі та інформаційних 
систем впроваджено.  
47 PR.DS-6. Механізми Механізми перевірки для  Планується щорічний 1 квартал 
.        п  е  р  е  вірки цілісності забезпечення верифікації перегляд. 2024 року   
використовуються для програмного 
верифікації програмного забезпечення та цілісності 
забезпечення, даних впроваджено. 
програмно-апаратних 
засобів та цілісності 
інформації 
48 PR.DS-7. Середовища Не враховується. Не враховується. Не 
.        р  о  з  р  обки та тестування враховуєть
відокремлені від ся. 
виробничого 
середовища 
49 PR.DS-8. Механізми Механізми перевірки Планується щорічний 1 квартал 
.        п  е  р  е  вірки цілісності цілісності обладнання перегляд. 2024 року   
використовуються для використовуються. 
перевірки цілісності 
обладнання 
PR.IP Процеси та процедури кіберзахисту 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 41 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 4. 
50 PR.IP-1. Базова Базова конфігурація Періодична перевірка 1 квартал 
.        к  о  н  ф  ігурація інформаційно- відповідності топології 2024 року  
інформаційно- телекомунікаційних електронної комунікаційної 
телекомунікаційних систем організації мережі. 
систем/систем встановлено. 
управління Базова конфігурація 
виробничими процесами передбачає: 
створена й - Програмне 
підтримується забезпечення, 
встановлене на 
робочих станціях 
-  Персональне 
обладнання, 
ноутбуки, 
принтери, та 
кінцеве 
обладнання 
- Сервери та 
елементи 
телекомунікаційн
ої мережі 
- Конфігурація та 
параметри у 
відповідності до 
встановлених 
політик. 
51 PR.IP-2. Життєвий цикл Організація застосовує Не потребується  Не 
.        р  о  з  р  обки, експлуатації обгрунтовані інженерні потребуєть
та управління принципи захисту ся 
системами (SDLC) інформації щодо 
впроваджено специфікації, 
проектування, розробки 
та впровадження 
електронних 
комунікаційних мереж та 
інформаційних систем.До 
застарілих систем ці 
принципи застосовуються 
по можливості, 
враховуючи стан 
обладнання, програмного 
забезпечення, тощо.  
52 PR.IP-3. Процеси Ні.  Планується до впровадження   4 квартал 
.        (  з а  х  о ди) управління 2024 року  
змінами конфігурації 
впроваджено 
Арк. 
ЧДТУ.23.22191.006.ПЗ 42 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 4. 
53 PR.IP-4. Резервне Організація має політику Періодичне тестування 4 квартал 
.        к  о  п  і ю вання інформації резервного копіювання та резервного копіювання 2024 року  
проводиться, забезпечує відновлення інформації. 
підтримується та резервних копій, якщо це 
періодично тестується необхідно.  
Копії регулярно перевіряються 
шляхом виконання тестів. 
54 PR.IP-5. Правила Організація дотримується Не потребується.  Не 
.        (  п  о  л  ітика) та норми національної політики та потребуєть
фізичної безпеки правил захисту ся. 
операційного телекомунікаційних мереж та 
середовища та інформаційних систем від 
обладнання організації природних катастроф, 
(ОКІ) виконуються відключення електроенергії, 
пожежі та повені. 
55 PR.IP-6. Дані Ні  Не потребується Не 
.        з  н  и  щ  уються відповідно потребуєть
до політики безпеки ся 
56 PR.IP-7. Процеси Процеси захисту оцінюються та Щорічне оновлення 1 квартал 
.        к  і б  е  р захисту постійно регулярно оновлюються. процесів кіберзахисту. 2024 року  
вдосконалюються 
57 PR.IP-8. Інформація про ДСТУ ISO/IEC 27001:2013 Планується здійснення 2 квартал 
.        е  ф   е к  тивність технологій А.16.1.6- частково виконується; вимог п. 8.2 НД ТЗІ 2024 року 
захисту розподіляється НД ТЗІ 1.4-001-2000 – не 1.4-001-2000 
виконується. 
58 PR.IP-9. Плани Плани реагування на Щорічне оновлення. 1 квартал 
.        р  е  а  г  ування (реагування кіберінциденти, забезпечення 2024 року  
на кіберінциденти та безперервності роботи та 
забезпечення обробки аварій та аварійних 
безперервності бізнесу) і ситуацій регулярно 
плани відновлення оновлюються і плани 
(відновлення після відновлення наявні та 
кіберінциденту та управляються. 
відновлення після 
аварії) наявні та 
управляються 
59 PR.IP-10. Плани Забезпечено на систематичній Планується щорічний 1 квартал 
.        р  е  а  г  ування та основі тестування та оцінку перегляд.  2024 року 
відновлення тестуються планів реагування на 
кіберінциденти, плани 
забезпечення безперервності 
діяльності та плани 
відновлення. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 43 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 4. 
60 PR.IP-11. Кібербезпека,  Проводяться інструктажі, та  Планується щорічний 4 квартал 
.        в  н  е  с  ена до практики перевірки персоналу, перегляд. 2024 року 
роботи з персоналом розроблені методики та правила 
(наприклад, безпечної роботи в середовищі 
деініціалізація, системи. 
перевірка персоналу) 
61 PR.IP-12. План План управління вразливостями Планується щорічний 1 квартал 
.        у  п  р  а  вління для телекомунікаційних мереж перегляд. 2024 року 
вразливостями та інформаційних систем 
розроблено й розроблено та впроваджено. 
впроваджено Ризики пов’язані з 
вразливостями враховані.  
PR.MA Технічне обслуговування 
62 PR.MA-1. Технічне Технічне обслуговування Періодична перевірка. 3 квартал 
.        о  б  с  л  уговування та критичних активів виконується 2023 року 
ремонт активів ОКІ регулярно та за розкладом. 
виконуються та Технічне обслуговування 
своєчасно реєструється та проводиться під 
документуються з наглядом уповноваженого 
використанням персоналу з належними 
визначених та технічними знаннями.  
контрольованих засобів 
63 PR.MA-2. Дистанційне Не потребується  Не потребується Не 
.        о  б  с  л  уговування активів потребуєть
ОКІ схвалено, ся 
задокументовано та 
виконується в спосіб, 
що унеможливлює 
несанкціонований 
доступ 
PR.PT Технології кіберзахисту 
64 PR.PT-1. Записи аудиту Записи аудиту проводяться для Задокументувати 1 квартал 
.        (  ж  у  р  налів подій) системних подій та дій записи аудиту, і 2024 року  
визначено, користувачів системи. проводити періодичну 
задокументовано, Записи аудиту визначаються, перевірку. 
впроваджено й впроваджуються й регулярно 
перевірено відповідно переглядаються відповідно до 
до політик, правил, політик, правил, процедур з 
процедур з безпеки безпеки, але не 
документуються. 
Забезпечено їх захист від 
несанкціонованого доступу та 
фальсифікацій. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 44 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 4. 
65 PR.PT-2. Змінні носії Політики що забезпечують Подальший контроль 4 квартал 
.        з  а  х  и  щено, а їх застосування правил впроваджених політик 2024 року. 
використання обмежено використання знімних носіїв та правил 
відповідно до правил, інформації впроваджені. використання знімних 
процедур з безпеки носіїв інформації. 
66 PR.PT-3. Контроль Принцип мінімальних привілеїв Не потребується. Не 
.        д  о  с  т  упу до систем і впроваджено. потребуєть
активів здійснюється із Системи налаштовано на ся 
застосуванням забезпечення лише важливих 
принципу мінімальних послуг та функцій. 
привілеїв 
67 PR.PT-4. Ні. Планується 4 квартал 
.        Т   е л  е  комунікаційні реалізувати заходів 2024 року  
мережі та мережі захисту щодо 
управління захищено електронних 
комунікаційних мереж 
та мережі управління. 
68 PR.PT-5. Упровадження Впроваджені необхідні Не потребується Не 
.        м   е  х  а нізмів на ОКІ для механізми для забезпечення потребуєть
досягнення вимог до базової стійкості у всіх ся 
стійкості у разі заздалегідь визначених 
надзвичайних ситуацій функціональних станах. 
та інцидентів у правила належного розподілу 
кіберпросторі додаткових ресурсів, які 
необхідні для досягнення 
стійкості визначено. 
 
Третім класом профілю Виявлення кіберінцидентів (DE) , даний клас 
містить в собі 18 підпунктів, він описує дії для виявлення підозрілих дій, аналізу 
виявлення подій, тестування механізмів виявлення кіберінцидентів, моніторинг 
активності персоналу, та визначення відповідальних осіб за даний напрямок.  
Даний клас містить такі категорії: 
 DE.AE – Аномалії та кіберінциденти 
 DE.CM – Безперервний моніторинг кібербезпеки 
 DE.DP – Процеси виявлення кіберінцидентів 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 45 
Змн. Арк. № докум. Підпис Дата 
 
 
Таблиця 5 Виявлення кіберінцидентів (DE). 
№ Заходи кіберзахисту Поточний профіль Цільовий профіль Заходи для 
з/п кіберзахисту кіберзахисту досягнення 
цільового профіля 
за роками 
1 2 3 4 5 
Виявлення кіберінцидентів (DE) 
DE.AE Аномалії та кіберінциденти 
69 DE.AE-1. Еталони Забезпечено здійснення  Планується визначити 4 квартал 2023 
.        м  е  р  е  ж евих операцій та мережевих операцій на та створити довідкову року 
очікуваних потоків даних структурованій основі модель очікуваної 
для користувачів і систем кваліфікованим комунікації. 
встановлені та персоналом. 
управляються Забезпечений захист 
цілісності, 
конфіденційності та 
доступності інформації. 
70 DE.AE-2. Існує практика На даний момент SIEM Планується 4 квартал 2024 
.        а  н  а  л  і зу виявлених подій не впроваджений. впровадження SIEM року 
системи. 
71 DE.AE-3. Дані про На даний момент SIEM Планується 4 квартал 2024 
.        к  і б  е  р  інциденти не впроваджений. впровадження SIEM року 
агрегуються та системи. 
корелюються з декількох 
джерел і датчиків 
72 DE.AE-4. Існує процес Ні. Планується реалізація 2 квартал 2024 
.        в  и  з н   а чення можливих Класифікація та постанові КМУ від 4 року 
впливів кіберінцидентів категоризація квітня 2023 р. № 299 
кіберінцидентів та 
оцінка їх можливого 
впливу на  мережеву 
інформаційну систему 
не проведена. 
73 DE.AE-5. Пороги Ні. Планується реалізація 2 квартал 2024 
.        о  п  о  в  і щення про Критерії для прийняття постанові КМУ від 4 року 
кіберінциденти рішення щодо квітня 2023 р. № 299 
встановлено оповіщення про 
інцидент не встановлені, 
тому виконуються 
оповіщення про будь-які 
кіберінциденти. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 46 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 5. 
DE.CM Безперервний моніторинг кібербезпеки 
74 DE.CM-1. Ні. Впровадити систему 2 квартал 2024 
.        Т  е  л  е  к омунікаційна постійного року 
мережа (ОКІІ) моніторингу стану 
відстежується для мережі для виявлення 
виявлення потенційних потенційних 
кіберінцидентів кіберінцидентів. 
75 DE.CM-2. Фізичне Так. Планується щорічний 2 квартал 2024 
.        с  е р  е  д  овище відстежується Збираються та постійно перегляд. року 
для виявлення відстежуються системні 
потенційних журнали та журнали 
кіберінцидентів безпеки. 
76 DE.CM-3. Активність Так. Впровадити 3 квартал 2024 
.        п  е  р  с  о налу відстежується За необхідністю автоматизовану року 
для виявлення здійснюється аналіз систему моніторингу 
потенційних журналу подій. та аналізу журналу 
кіберінцидентів подій. 
77 DE.CM-4. Шкідливий код Так. Не потребується Не потребується 
.        в  и  я  в  л яється Шкідливий код 
виявляється за 
допомогою AVAST Free. 
78 DE.CM-5. Ні. Дозвіл на 4 квартал 2023 
.        Н   е  с а  н кціонований встановлення року 
програмний продукт програмного 
виявлено забезпечення буде 
надано лише 
адміністратору. 
79 DE.CM-6. Активність Ні. Не потребується.  Не потребується. 
.        з о  в  н  і  шнього Не потребується. 
постачальника товарів і 
послуг відстежується з 
метою виявлення 
потенційних 
кіберінцидентів 
80 DE.CM-7. Моніторинг Ні. Впровадити 1 квартал 2024 
.        Н   е  а в  т оризованого FortiAnalyzer Lepide року 
персоналу, з’єднань, для здійснення 
пристроїв і програмного моніторингу спроб 
забезпечення неавторизованого 
здійснюється на постійній доступу до системи та 
основі мереж. 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 47 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 5. 
81 DE.CM-8. Сканування Так. Впровадити план 1 квартал 2025 
.        в  р  а  з л  ивостей виконується перевірок та року 
задокументувати його. 
DE.DP Процеси виявлення кіберінцидентів 
82 DE.DP-1. Обов’язки щодо В організації визначені Задокументувати 1  квартал 2025 
.        в  и  я  в  л ення кіберінцидентів обов’язки щодо визначені обов’язки року 
чітко визначено задля виявлення щодо визначення 
забезпечення звітності кіберінцидентів. кіберінцидентів. 
83 DE.DP-2. Заходи Частково реалізовано. Планується 4 квартал 2023 
.        в  и  я  в  л ення кіберінцидентів затвердження року 
відповідають всім методики проведення 
застосованим вимогам. моніторингу 
ефективності заходів 
виявлення 
кіберінцидентів. 
84 DE.DP-3. Процеси Ні. Провести перевірку 1 квартал 2024 
.        в  и  я  в  л ення кіберінцидентів ефективності процесів року 
протестовані виявлення 
кіберінцидентів та дій 
персоналу. 
85 DE.DP-4. Інформацію про Ні. Не потребується. Не потребується. 
.        в  и  я  в  л ені кіберінциденти Не потребується. 
повідомлено партнерів 
організації 
86 DE.DP-5. Процеси Так. Реагування на Не потребується. 
.        в  и  я  в  л ення кіберінцидентів кіберінциденти та 
постійно кібератаки 
вдосконалюються здійснюється у 
взаємодії та під 
методичним 
керівництвом фахівців 
CERT-UA, а в 
окремих випадках у 
взаємодії з 
кіберфахівцями СБУ. 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 48 
Змн. Арк. № докум. Підпис Дата 
 
 
 Четвертим класом профілю є Реагування на кіберінциденти (RS) , даний 
клас містить в собі 16 підпунктів, він описує плани реагування на кіберінциденти, 
обо’язки та порядок дій персоналу, дослідження впливу кіберінцидентів на 
систему, координація з партнерами, проведення експертиз та збір доказів, та 
оновлення політик враховуючи набутий досвід.  
Даний клас містить такі категорії: 
 RS.RP – Планування реагування 
 RS.CO – Комунікації 
 RS.AN – Аналіз 
 RS.MI – Мінімізація наслідків 
 RS.IM – Удосконалення 
Таблиця 6 Реагування на кіберінциденти (RS). 
№ Заходи кіберзахисту Поточний профіль Цільовий профіль Заходи для 
з/п кіберзахисту кіберзахисту досягнення 
цільового 
профіля за 
роками 
1 2 3 4 5 
Реагування на кіберінциденти (RS) 
RS.RP Планування реагування 
87.        R   S  . R   P-1. План реагування Так розроблено. Задокументувати 4 квартал 2024 
виконується під час або При аналізу розроблений план року 
після події кіберінцидентів реагування. 
забезпечується 
цілісність доказів. 
RS.CO Комунікації 
88.        R   S  . C   O-1. Персонал знає Частково реалізовано. Прописати обов’язки в 4 квартал 2024 
свої обов’язки та порядок інструкції щодо дій у року 
дій у ситуаціях, коли випадку 
необхідне реагування на кіберінцидентів. 
кіберінциденти Провести тестування. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 49 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 6. 
89.        R   S  . C   O-2. Факти про Ні. Не потребується. Не 
кіберінциденти Не потребується. потребується. 
задокументовано та 
повідомляються 
відповідно до 
встановлених критерій 
90.        R   S  . C   O-3. Здійснюється Частково. Планується 4 квартал 2024 
обмін інформацією про Здійснено підключення затвердження планів року 
кіберінциденти відповідно до платформи обміну реагування. 
до планів реагування інформацією про 
кіберінциденти MISP 
CERT-UA  
91.        R   S  . C   O-4. Координація з Ні. Планується 4 квартал 2024 
партнерами організації  затвердження планів року 
проводиться відповідно до реагування. 
планів реагування 
92.        R   S  . C   O-5. З метою При реагуванні на Не потребується Не 
досягнення ширшої кіберінциденти потребується 
ситуативної обізнаності організація визначає 
щодо стану кібербезпеки інформацію, якою вона 
здійснюється обмін буде ділитися із 
інформацією із основними зовнішніми партнерами 
суб’єктами національної організації та 
системи кібербезпеки та основними суб’єктами 
зовнішніми партнерами національної системи 
організації кібербезпеки. 
RS.AN Аналіз 
93.        R   S  . A   N-1. Повідомлення Організація забезпечує, Не потребується. Не 
від систем виявлення щоб кіберінциденти, які потребується. 
кіберінцидентів ідентифікуються 
досліджуються системами виявлення, 
розслідувалися та 
аналізувались у тісній 
взаємодії та під 
методичним 
керівництвом фахівців 
CERT-UA. 
94.        R   S  . A   N-2. Вплив Так. Не потребується. Не 
кіберінциденту Під час класифікації потребується. 
усвідомлено кіберінцидентів 
організація оцінює їх 
вплив. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 50 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 6. 
95.        R   S  . A   N-3. Експертиза ДСТУ ISO/IEC Не потребується. Не 
проводиться 27001:2013 – A 16.1.7. – потребується. 
не збираються; 
Постанова № 528:2019 
п.19 – не застосовується; 
П 20. – не збирається. 
96.        R   S  . A   N-4. Ні. Планується 4 квартал 2024 
Кіберінциденти затвердження планів року. 
класифіковано реагування. 
відповідно до планів 
реагування. Електронні 
докази збираються та 
фіксуються належним 
чином 
97.        R   S  . A   N-5. Процеси для Ні. Не потребується. Не 
отримання, аналізу та потребується. 
реагування на 
вразливості, що 
розкриваються для 
організації з внутрішніх 
та зовнішніх джерел 
(наприклад, внутрішні 
тести, бюлетені з 
безпеки або дослідники 
проблем безпеки) 
RS.MI Мінімізація наслідків 
98.        R   S  . M   I-1. Так. Задокументувати 1 квартал 2025 
Кіберінциденти визначені процеси та року 
стримано процедури 
забезпечення 
ефективного 
стримування 
кіберінцидентів. 
99.        R   S  . M   I-2. Наслідки Так. Задокументувати 1 квартал 2025 
кіберінцидентів визначені процеси та року 
мінімізовано процедури мінімізації 
наслідків 
кіберінцидентів. 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 51 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 6. 
100.      R   S  . M I-3. Вперше Виявлені нові уразливості Не потребується. Не 
виявлені вразливості оцінюються огранізацією потребується. 
усунене або з урахуванням масштабів 
задокументовано як можливих наслідків для 
прийняті ризики діяльності. 
Визначено, яких заходів 
слід вжити враховуючи 
політику управління 
ризиками. 
RS.IM Удосконалення 
101.      R   S  . I M-1. У планах Так, частково. Створити базу 1 квартал 2025 
реагування враховано Досвід враховується. кіберінцидентів та року 
отриманий досвід досвіду їх усунення. 
102.      R   S  . I M-2. Так. Регулярно оновлювати 1 квартал 2025 
Плани реагування план реагування на року 
оновлено кіберінциденти на 
основі аналізу 
попереднього досвіду. 
 
І останній, п’ятий клас профілю є Відновлення стану кібербезпеки (RС) , 
даний клас містить в собі 6 підпунктів, він описує плани відновлення після 
кіберінцидентів, їх своєчасне оновлення, враховуючи набутий досвід, зв’язки з 
громадськістю, та оповіщення про відновлення.  
Даний клас містить такі категорії: 
 RC.RP – Планування відновлення 
 RC.IM – Удосконалення 
 RC.CO – Комунікації 
 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 52 
Змн. Арк. № докум. Підпис Дата 
 
 
Таблиця 7 Відновлення стану кібербезпеки (RC). 
№ Заходи кіберзахисту Поточний профіль Цільовий профіль Заходи для 
з/п кіберзахисту кіберзахисту досягнення 
цільового 
профіля за 
роками 
1 2 3 4 5 
Відновлення стану кібербезпеки (RC) 
RC.RP Планування відновлення 
103.  R   C  . R   P  -1. План План ліквідації Вивчення методів 2 квартал 2025 
відновлення виконується наслідків подолання наслідків року 
під час або після кіберінцидентів кіберінцидентів інших 
кіберінцидентів розроблено. організацій, з 
Згідно плану подальшим їх 
забезпечений належний врахуванням при 
розподіл ресурсів для роботі нід своїм 
врегулювання планом. 
інцидентів. 
RC.IM Удосконалення 
104.  R   C  . I  M   -1. Плани Так. Удосконалення планів 2 квартал 2025 
відновлення враховують Плани відновлення враховуючи досвід року 
отриманий досвід удосконалюються інших організацій. 
враховуючи отриманий Вивчення заходів 
досвід. відновлення після 
кіберінцидентів, в 
інших організаціях. 
105.  R   C  . I  M   -2. Плани Так. Не потребується. Не потребується. 
відновлення оновлено 
RC.CO Комунікації 
106.  R   C  . C   O  -1. Процес зв’язків Немає потреби. Не потребується. Не потребується. 
з громадськістю 
організовано та є 
керованим 
107.  R   C  . C   O  -2. Репутацію після Немає потреби. Не потребується. Не потребується. 
кіберінцидентів 
відновлюється 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 53 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 7. 
108.  R   C  . C   O  -3. Заходи з Забезпечено Не потребується. Не потребується. 
відновлення повідомлено інформування 
внутрішнім та зовнішнім внутрішніх 
партнерам організації, а співробітників та 
також керівництву керівництва організації 
про серйозні 
кіберінциденти. 
Зовнішніх партнерів з 
питань роботи системи 
організація немає. 
 
 
 
 
 
 
 
2.2 Оцінювання заходів кіберзахисту за статусом реалізації 
Оцінювання заходів кіберзахисту за статусом реалізації 
Таблиця 8 Статус заходів щодо Ідентифікації ризиків (ID) 
№ Заходи кіберзахисту Статус 
з/п 
Реалізов В Розгляда Не 
ано процесі ється потреб
реалізаці ується 
ї 
1 2 3 4 5 6 
Ідентифікація ризиків кібербезпеки (ID) 
ID.AM Управління активами 
1.       I D   . A   M    - 1. Фізичне обладнання та системи на ОКІ ☒ ☐ ☐ ☐ 
ідентифіковано та задокументовано. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 54 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 8. 
2.       I D   . A   M    - 2. Програмне забезпечення, що ☐ ☒ ☐ ☐ 
використовуються ОКІ для надання життєво 
важливих послуг та функцій, ідентифіковано та 
задокументовано. 
3.       I D   . A   M    - 3. Електронні комунікації та потоки даних ☐ ☒ ☐ ☐ 
ОКІ ідентифіковано та задокументовано. 
4.       I D   . A   M    - 4. Зовнішні інформаційні та інформаційно- ☐ ☐ ☒ ☐ 
комунікаційні системи, промислові системи, які 
взаємодіють з інформаційно-комунікаційними та 
іншими системами ОКІ обліковано. 
5.       I D   . A   M    - 5. Критичність активів (обладнання, ☒ ☐ ☐ ☐ 
устаткування, даних, програмного забезпечення) ОКІ 
визначено відповідно до оцінки їх впливу на надання 
життєво важливих послуг та функцій ОКІ. 
6.       I D   . A   M    - 6. Обов'язки штатного персоналу ОКІ та ☐ ☒ ☐ ☐ 
персоналу партнерів організації (наприклад – 
постачальників, клієнтів, тощо) щодо забезпечення 
кібербезпеки визначено та закріплено у відповідних 
документах. 
ID.BE Середовище надання життєво важливих послуг та функцій 
7.       I D   . B   E  -  1 . Роль ОКІ в ланцюгу постачання товарів і ☒ ☐ ☐ ☐ 
послуг визначено та повідомлено всім 
постачальникам організації. 
8.       I D   . B   E  -  2 . Місце та роль ОКІ в системі надання ☐ ☐ ☐ ☒ 
життєво важливих послуг та функцій сектору 
(підсектору) критичної інфраструктури визначено і 
повідомлено всім постачальникам організації. 
9.       I D   . B   E  -  3 . Пріоритетність цілей, завдань і заходів щодо ☒ ☐ ☐ ☐ 
забезпечення кібербезпеки, надання життєво 
важливих послуг та функцій встановлено та 
повідомлено. 
10.     I D   . B   E  - 4. Залежності та найважливіші процеси для ☒ ☐ ☐ ☐ 
забезпечення надання життєво важливих послуг та 
функцій встановлено. 
11.     I D   . B   E  - 5. Вимоги до стійкості ОКІ щодо забезпечення ☒ ☐ ☐ ☐ 
надання життєво важливих послуг та функцій 
встановлено. 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 55 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 8. 
ID.GV Управління безпекою 
12.     I D   . G   V   - 1. Правила (політики) кібербезпеки ОКІ ☒ ☐ ☐ ☐ 
встановлено та задокументовано 
13.     I D   . G   V   - 2. Обов’язки щодо забезпечення кібербезпеки ☒ ☐ ☐ ☐ 
ОКІ скоординовано та узгоджено з обов’язками 
персоналу ОКІ та із зовнішніми партнерами 
14.     I D   . G   V   - 3. Правові та нормативні вимоги щодо ☒ ☐ ☐ ☐ 
забезпечення кібербезпеки ОКІ, в тому числі 
зобов’язання щодо захисту недоторканості 
особистого життя (приватності), усвідомлено та 
управління ними здійснюється 
15.     I D   . G   V   - 4. Процеси управління безпекою та управління ☒ ☐ ☐ ☐ 
ризиками спрямовано на вирішення питання 
оброблення ризиків кібербезпеки 
ID.RA Оцінка ризиків 
16.     I D   . R   A   - 1. Вразливості активів ОКІ проаналізовано, ☒ ☐ ☐ ☐ 
ідентифіковано та задокументовано 
17.     I D   . R   A   - 2. Інформацію про загрози безпеки та ☒ ☐ ☐ ☐ 
вразливості отримано з форумів обміну інформацією 
та офіційних джерел 
18.     I D   . R   A   - 3. Загрози кібербезпеки (модель загроз) як ☒ ☐ ☐ ☐ 
внутрішні, так і зовнішні визначено й 
задокументовано 
19.     I D   . R   A   - 4. Потенційні наслідки (рівень шкоди),які ☒ ☐ ☐ ☐ 
можуть завдати загрози в наслідок їх реалізації на 
безперервне надання життєво важливих послуг та 
функцій та ймовірності їх реалізації визначено 
20.     I D   . R   A   - 5. Для визначення ризику застосовуються ☒ ☐ ☐ ☐ 
данні щодо загроз, вразливостей, їх ймовірностей та 
рівня шкоди використано для визначення ризику 
кібербезпеки 
21.     I D   . R   A   - 6. Заходи реагування на ризик кібербезпеки ☒ ☐ ☐ ☐ 
визначено та їх пріоритетність встановлено 
ID.RM Стратегія управління ризиками організації 
Арк. 
ЧДТУ.23.22191.006.ПЗ 56 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 8. 
22.     I D   . R   M    -1. Процеси управління ризиками визначено, ☒ ☐ ☐ ☐ 
узгоджено із партнерами організації та управляються 
23.     I D   . R   M    -2. Допустимий рівень ризику кібербезпеки ☒ ☐ ☐ ☐ 
визначено та чітко виражено 
24.     I D   . R   M    -3. Визначення допустимого рівня ризику ☒ ☐ ☐ ☐ 
ґрунтується на ролі ОКІ як складової частини сектору 
критичної інфраструктури та аналізі ризиків, 
притаманних відповідному сектору критичної 
інфраструктури 
ID.SC Управління ризиками системи постачання 
25.     I D   . S  C   - 1 . Процеси управління ризиками кібербезпеки ☐ ☐ ☐ ☒ 
системи постачання визначено, узгоджено з 
партнерами організації та управляються 
26.     I D   . S  C   - 2 . Постачальники (розпорядники) ☐ ☐ ☐ ☒ 
інформаційних систем, товарів і послуг для ОКІ 
ідентифіковано, рівень їх критичності оцінено у 
відповідності до політики управління ризиками 
кібербезпеки з урахуванням ризиків, притаманних 
системі постачання 
27.     I D   . S  C   - 3 . Постачальники товарів і послуг та партнери, ☐ ☐ ☐ ☒ 
у відповідності до договору, можуть впроваджувати 
заходи, спрямовані на досягнення мети політики 
інформаційної безпеки/кібербезпеки ОКІ та плану 
управління ризиками постачання 
28.     I D   . S  C   - 4 . Постачальники товарів і послуг та партнери ☐ ☐ ☐ ☒ 
регулярно оцінюються за допомогою аудитів, 
результатів тестів або інших форм оцінки, щоб 
підтвердити, що вони виконують свої договірні 
зобов’язання. 
29.     I D   . S  C   - 5 . З Постачальниками здійснюється ☐ ☐ ☐ ☒ 
планування та тестування реагування за відповідними 
політиками реагування на кіберінциденти та 
відновлення стану кібербезпеки 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 57 
Змн. Арк. № докум. Підпис Дата 
 
 
 
Таблиця 9 Статус заходів щодо Кіберзахисту (PR) 
№ Заходи кіберзахисту Статус 
з/п 
Реалізов В процесі Розгля Не 
ано реалізації дається потреб
ується 
1 2 3 4 5 6 
Кіберзахист (PR) 
PR.AC Управління ідентифікацією, автентифікацією та контроль доступу 
30.     P  R   . A   C   -1. Ідентифікатори та дані автентифікації для ☒ ☐ ☐ ☐ 
авторизованих користувачів, адміністраторів та 
процесів призначаються, верифікуються, 
адмініструються, відкликаються (скасовуються) та 
перевіряються 
31.     P  R   . A   C   -2. Фізичний доступ до ОКІІ захищений та ☒ ☐ ☐ ☐ 
управляється 
32.     P  R   . A   C   -3. Здійснюється контроль та управління ☒ ☐ ☐ ☐ 
віддаленого доступу 
33.     P  R   . A   C   -4. Права доступу встановлено із ☒ ☐ ☐ ☐ 
застосуванням принципів мінімальних привілеїв та 
розподілу обов’язків 
34.     P  R   . A   C   -5. Цілісність електронної комунікаційної ☒ ☐ ☐ ☐ 
мережі захищено (наприклад, сегментація мережі) 
35.     P  R   . A   C   -6. Ідентичність особи підтверджується і ☒ ☐ ☐ ☐ 
прив’язується до облікових даних та затверджується 
під час взаємодії 
36.     P  R   . A   C   -7. Автентифікація користувачів, ☒ ☐ ☐ ☐ 
адміністраторів, пристроїв та інших активів 
здійснюється (наприклад методами однофакторної, 
багатофакторної автентифікації) відповідно до 
встановленого ризику порушення безпеки 
PR.AT Обізнаність та навчання 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 58 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 9. 
37.     P  R   . A   T  - 1. Усі співробітники ОКІ обізнані та пройшли ☒ ☐ ☐ ☐ 
підготовку з питань кібербезпеки 
38.     P  R   . A   T  - 2. Користувачі (адміністратори) з превагами ☒ ☐ ☐ ☐ 
доступу розуміють свої обов’язки з питань 
кібербезпеки 
39.     P  R   . A   T  - 3. Партнери організації розуміють свої ☐ ☐ ☐ ☒ 
обов’язки з питань кібербезпеки 
40.     P  R   . A   T  - 4. Керівництво ОКІ розуміє свої обов’язки з ☒ ☐ ☐ ☐ 
питань кібербезпеки 
41.     P  R   . A   T  - 5. Персонал із забезпечення фізичної та ☒ ☐ ☐ ☐ 
інформаційної безпеки розуміє свої обов’язки 
PR.DS Безпека даних 
42.     P  R   . D   S  - 1. Дані, що зберігаються, захищено ☐ ☒ ☐ ☐ 
43.     P  R   . D   S  - 2. Дані, що передаються, захищено ☒ ☐ ☐ ☐ 
44.     P  R   . D   S  - 3. Управління активами здійснюється з ☐ ☒ ☐ ☐ 
дотриманням правил видалення, передачі та 
розміщення 
45.     P  R   . D   S  - 4. Необхідні спроможності для забезпечення ☐ ☒ ☐ ☐ 
доступності активів створено та підтримуються 
46.     P  R   . D   S  - 5. Захист від витоку даних впроваджено ☐ ☒ ☐ ☐ 
47.     P  R   . D   S  - 6. Механізми перевірки цілісності ☒ ☐ ☐ ☐ 
використовуються для верифікації програмного 
забезпечення, програмно-апаратних засобів та 
цілісності інформації 
48.     P  R   . D   S  - 7. Середовища розробки та тестування ☐ ☐ ☐ ☒ 
відокремлені від виробничого середовища 
49.     P  R   . D   S  - 8. Механізми перевірки цілісності ☒ ☐ ☐ ☐ 
  
використовуються для перевірки цілісності 
обладнання 
PR.IP Процеси та процедури кіберзахисту 
Арк. 
ЧДТУ.23.22191.006.ПЗ 59 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 9. 
50.     P  R   . I P  -  1 . Базова конфігурація інформаційно- ☐ ☐ ☒ ☐ 
телекомунікаційних систем/систем управління 
виробничими процесами створена й підтримується 
51.     P  R   . I P  -  2 . Життєвий цикл розробки, експлуатації та ☐ ☐ ☐ ☒ 
управління системами (SDLC) впроваджено 
52.     P  R   . I P  -  3 . Процеси (заходи) управління змінами ☐ ☐ ☐ ☒ 
конфігурації впроваджено 
53.     P  R   . I P  -  4 . Резервне копіювання інформації ☒ ☐ ☐ ☐ 
проводиться, підтримується та періодично тестується 
54.     P  R   . I P  -  5 . Правила (політика) та норми фізичної ☒ ☐ ☐ ☐ 
безпеки операційного середовища та обладнання 
організації (ОКІ) виконуються 
55.     P  R   . I P  -  6 . Дані знищуються відповідно до політики ☒ ☐ ☐ ☐ 
безпеки 
56.     P  R   . I P  -  7 . Процеси кіберзахисту постійно ☒ ☐ ☐ ☐ 
вдосконалюються 
57.     P  R   . I P  -  8 . Інформація про ефективність технологій ☒ ☐ ☐ ☐ 
захисту розподіляється 
58.     P  R   . I P  -  9 . Плани реагування (реагування на ☒ ☐ ☐ ☐ 
кіберінциденти та забезпечення безперервності 
бізнесу) і плани відновлення (відновлення після 
кіберінциденту та відновлення після аварії) наявні та 
управляються 
59.     P  R   . I P  -  1 0. Плани реагування та відновлення ☒ ☐ ☐ ☐ 
тестуються 
60.     P  R   . I P  -  1 1. Кібербезпека, внесена до практики роботи з ☒ ☐ ☐ ☐ 
персоналом (наприклад, деініціалізація, перевірка 
персоналу) 
61.     P  R   . I P  -  1 2. План управління вразливостями розроблено ☒ ☐ ☐ ☐ 
і впроваджено 
PR.MA Технічне обслуговування 
62.     P  R   . M   A   -1. Технічне обслуговування та ремонт активів ☒ ☐ ☐ ☐ 
ОКІ виконуються та своєчасно документуються з 
використанням визначених та контрольованих засобів 
Арк. 
ЧДТУ.23.22191.006.ПЗ 60 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 9. 
63.     P  R   . M   A   -2. Дистанційне обслуговування активів ОКІ ☐ ☐ ☐ ☒ 
схвалено, задокументовано та виконується в спосіб, 
що унеможливлює несанкціонований доступ 
PR.PT Технології кіберзахисту 
64.     P  R   . P  T   - 1. Записи аудиту (журналів подій) визначено, ☐ ☒ ☐ ☐ 
задокументовано, впроваджено й перевірено 
відповідно до політик, правил, процедур з безпеки 
65.     P  R   . P  T   - 2. Змінні носії захищено, а їх використання ☒ ☐ ☐ ☐ 
обмежено відповідно до правил, процедур з безпеки 
66.     P  R   . P  T   - 3. Контроль доступу до систем і активів ☒ ☐ ☐ ☐ 
здійснюється із застосуванням принципу мінімальних 
привілеїв 
67.     P  R   . P  T   - 4. Електронні комунікаційні мережі та мережі ☐ ☒ ☐ ☐ 
управління захищено 
68.     P  R   . P  T   - 5. Упровадження механізмів на ОКІ для ☐ ☒ ☐ ☐ 
досягнення вимог до стійкості у разі надзвичайних  
ситуацій та інцидентів у кіберпросторі 
  
Таблиця 10 Статус заходів щодо Виявлення кіберінцидентів (DE) 
№ Заходи кіберзахисту Статус 
з/п 
Реалізов В процесі Розгля Не 
ано реалізації дається потреб
ується 
1 2 3 4 5 6 
Виявлення кіберінцидентів (DE) 
69.     D   E  . A   E   -1. Еталони мережевих операцій та очікуваних ☐ ☒ ☐ ☐ 
потоків даних для користувачів і систем встановлені 
та управляються 
70.     D   E  . A   E   -2. Існує практика аналізу виявлених подій ☐ ☐ ☒ ☐ 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 61 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 10. 
71.     D   E  . A   E   -3. Дані про кіберінциденти агрегуються та ☐ ☐ ☒ ☐ 
корелюються з декількох джерел і датчиків 
72.     D   E  . A   E   -4. Існує процес визначення можливих впливів ☐ ☐ ☒ ☐ 
кіберінцидентів 
73.     D   E  . A   E   -5. Пороги оповіщення про кіберінциденти ☐ ☐ ☒ ☐ 
встановлено 
DE.CM Безперервний моніторинг кібербезпеки 
74.     D   E  . C   M   -1. Телекомунікаційна мережа (ОКІІ) ☐ ☐ ☒ ☐ 
відстежується для виявлення потенційних 
кіберінцидентів 
75.     D   E  . C   M   -2. Фізичне середовище відстежується для ☒ ☐ ☐ ☐ 
виявлення потенційних кіберінцидентів 
76.     D   E  . C   M   -3. Активність персоналу відстежується для ☒ ☐ ☐ ☐ 
виявлення потенційних кіберінцидентів 
77.     D   E  . C   M   -4. Шкідливий код виявляється ☒ ☐ ☐ ☐ 
78.     D   E  . C   M   -5. Несанкціонований програмний продукт ☒ ☐ ☐ ☐ 
виявлено 
79.     D   E  . C   M   -6. Активність зовнішнього постачальника ☐ ☐ ☐ ☒ 
товарів і послуг відстежується з метою виявлення 
потенційних кіберінцидентів 
80.     D   E  . C   M   -7. Моніторинг Неавторизованого персоналу, ☐ ☐ ☒ ☐ 
з’єднань, пристроїв і програмного забезпечення 
здійснюється на постійній основі 
81.     D   E  . C   M   -8. Сканування вразливостей виконується ☐ ☒ ☐ ☐ 
DE.DP Процеси виявлення кіберінцидентів 
82.     D   E  . D   P   -1. Обов’язки щодо виявлення кіберінцидентів ☒ ☐ ☐ ☐ 
чітко визначено задля забезпечення звітності 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 62 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 10. 
83.     D   E  . D   P   -2. Заходи виявлення кіберінцидентів ☐ ☒ ☐ ☐ 
відповідають всім застосованим вимогам. 
84.     D   E  . D   P   -3. Процеси виявлення кіберінцидентів ☐ ☐ ☒ ☐ 
протестовані 
85.     D   E  . D   P   -4. Інформацію про виявлені кіберінциденти ☐ ☐ ☐ ☒ 
повідомлено партнерів організації 
86.     D   E  . D   P   -5. Процеси виявлення кіберінцидентів ☒ ☐ ☐ ☐ 
постійно вдосконалюються 
 
Таблиця 11 Статус заходів щодо Реагування на кіберінциденти (RS) 
№ Заходи кіберзахисту Статус 
з/п 
Реалізов В Розгляда Не 
ано процесі ється потребу
реалізаці ється 
ї 
  
1 2 3 4 5 6 
Реагування на кіберінциденти (RS) 
RS.RP Планування реагування 
87.        R  S  .  R  P -1. План реагування виконується під час або ☐ ☒ ☐ ☐ 
після події 
RS.CO Комунікації 
88.        R  S  .  C  O -1. Персонал знає свої обов’язки та порядок ☐ ☒ ☐ ☐ 
дій у ситуаціях, коли необхідне реагування на 
кіберінциденти 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 623 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 11. 
89.        R  S  .  C  O -2. Факти про кіберінциденти ☐ ☐ ☐ ☒ 
задокументовано та повідомляються відповідно до 
встановлених критерій 
90.        R  S  .  C  O -3. Здійснюється обмін інформацією про ☐ ☐ ☐ ☒ 
кіберінциденти відповідно до планів реагування 
91.        R  S  .  C  O -4. Координація з партнерами організації ☐ ☐ ☐ ☒ 
проводиться відповідно до планів реагування 
92.        R  S  .  C  O -5. З метою досягнення ширшої ситуативної ☒ ☐ ☐ ☐ 
обізнаності щодо стану кібербезпеки здійснюється 
обмін інформацією із основними суб’єктами 
національної системи кібербезпеки та зовнішніми 
партнерами організації 
RS.AN Аналіз 
93.        R  S  .  A  N -1. Повідомлення від систем виявлення ☒ ☐ ☐ ☐ 
кіберінцидентів досліджуються 
94.        R  S  .  A  N -2. Вплив кіберінциденту усвідомлено ☒ ☐ ☐ ☐ 
95.        R  S  .  A  N -3. Експертиза проводиться ☐ ☐ ☐ ☒ 
96.        R  S  .  A  N -4. Кіберінциденти класифіковано відповідно ☐ ☐ ☒ ☐ 
до планів реагування. Електронні докази 
збираються та фіксуються належним чином 
97.        R  S  .  A  N -5. Процеси для отримання, аналізу та ☒ ☐ ☐ ☐ 
реагування на вразливості, що розкриваються для 
організації з внутрішніх та зовнішніх джерел  
(наприклад, внутрішні тести, бюлетені з безпеки 
або дослідники проблем безпеки) 
RS.MI Мінімізація наслідків 
98.        R  S  .  M   I-1. Кіберінциденти стримано ☐ ☒ ☐ ☐ 
99.        R  S  .  M   I-2. Наслідки кіберінцидентів мінімізовано ☐ ☒ ☐ ☐ 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 64 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 11. 
100.      R  S  .  M I-3. Вперше виявлені вразливості усунене або ☐ ☒ ☐ ☐ 
задокументовано як прийняті ризики 
RS.IM Удосконалення 
101.      R  S  .  I M-1. У планах реагування враховано ☐ ☒ ☐ ☐ 
отриманий досвід 
102.      R  S  .  I M-2. Плани реагування оновлено ☒ ☐ ☐ ☐ 
 
Таблиця 12 Статус заходів щодо Відновлення стану кібербезпеки (RC) 
№ Заходи кіберзахисту Статус 
з/п 
Реалізо В Розгляда Не 
вано процесі ється потребу
реалізаці ється 
ї 
1 2 3 4 5 6 
Відновлення стану кібербезпеки (RC) 
RC.RP Планування відновлення 
103.      R  C   . R P-1. План відновлення виконується під час або ☒ ☐ ☐ ☐ 
після кіберінцидентів 
RC.IM Удосконалення 
104.      R  C   . I M-1. Плани відновлення враховують отриманий ☐ ☒ ☐ ☐ 
досвід 
105.      R  C   . I M-2. Плани відновлення оновлено ☐ ☒ ☐ ☐ 
RC.CO Комунікації 
Арк. 
ЧДТУ.23.22191.006.ПЗ 625 
Змн. Арк. № докум. Підпис Дата 
 
 
 Продовження таблиці 12. 
106.      R  C   . C O-1. Процес зв’язків з громадськістю ☐ ☐ ☐ ☒ 
організовано та є керованим 
107.      R  C   . C O-2. Репутацію після кіберінцидентів ☒ ☐ ☐ ☐ 
відновлюється 
108.      R  C   . C O-3. Заходи з відновлення повідомлено ☒ ☐ ☐ ☐ 
внутрішнім та зовнішнім партнерам організації, а 
також керівництву 
 
2.3 Заповнення відомостей щодо узагальнення заходів кіберзахисту 
Таблиця 13 Узагальнення заходів кіберзахисту 
Клас заходів Всього Статус 
кіберзахисту підкатего
(кількість та відсоток заходів за кожною 
рій 
категорією) 
заходів 
кіберзахи Реалізовано В процесі Розглядає Не 
сту реалізації ться потребуєть
ся 
Ідентифікація 29 19 3 1 6 
ризиків 
кібербезпеки 65% 10.5% 3.75% 20.75% 
(ID) 
Кіберзахист 39 26 7 1 5 
(PR) 
65.6% 18.2% 3.1% 13.1% 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 66 
Змн. Арк. № докум. Підпис Дата 
 
 
Продовження таблиці 13. 
Виявлення 18 6 3 7 2 
кіберінцидентів 
33% 17% 39% 11% 
(DE) 
Реагування на 16 5 6 1 4 
кіберінциденти 
31.5% 37.5% 6% 25% 
(RS) 
Відновлення 6 3 2 0 1 
стану 
кібербезпеки 50% 33.3% 0% 16.7% 
(RC) 
Всього: 108 59 21 10 18 
54.8% 19.4% 9.2% 16.6% 
 
 
За результатами узагальнення з’являється повне розуміння поточного стану 
кіберзахисту, а також є можливість подати звіт керівництву, яке в більшості 
випадків має не глибокі знання у сфері кіберзахисту, і тому технічні нюанси для 
них зазвичай є мало зрозумілими, а така форма дозволяє зрозумілою мовою 
донести проблемні питання із обгрунтуваннями та планами по їх мінімізації. 
 
 
  
Арк. 
ЧДТУ.23.22191.006.ПЗ 67 
Змн. Арк. № докум. Підпис Дата 
 
 
ВИСНОВКИ 
В процесі виконання дипломної роботи, мною були проведені дослідження 
NIST Sybersecurity Framework, Наказ Адміністрації Державної служби 
спеціального зв’язку від 06.10.2021 № 601 та Методичні Рекомендації. 
Також були детально досліджено: 
 Система заходів кіберзахисту; 
 Класифікація заходів кіберзахисту; 
 Нормативні та довідкові посилання. 
Також в результаті виконання дипломної роботи мною були розроблені та 
практично застосовані: 
 Опис поточного стану кіберзахисту 
 Опис цільового стану кіберзахисту 
 Порівняння поточного та цільового профілів кіберзахисту 
 Планування заходів для досягнення цільового профілю кіберзахисту за 
роками 
 Оцінювання заходів кіберзахисту за статусом реалізації  
 Узагальнення результатів описів поточного та цільового станів, та 
оцінювання заходів кіберзахисту. 
 
Всі ці пункти були виконані на базі інформаційно-комунікаційної системи 
апарату обласної державної адміністрації, яка є об’єктом критичної інформаційної 
інфраструктури. Також за результатами виконаної роботи, я провів дослідження, 
виявив вразливості і подав звіт керівнику, після чого виявлені вразливості були 
усунуті. 
Було частково проведено виконання заходів по досягненню цільового 
профілю кіберзахисту, враховуючи план проведення таких заходів за роками. 
Також даний звіт було направлено Адміністрації державного спеціального зв’язку 
та захисту інформації, як партнеру організації щодо захисту інформації.  
Арк. 
ЧДТУ.23.22191.006.ПЗ 68 
Змн. Арк. № докум. Підпис Дата 
 
 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 
 
1. Наказ Адміністрації Державної служби спеціального зв’язку та захисту 
інформації України 06 жовтня 2021 року № 601.  
2. Framework for Improving Critical Infrastructure Cybersecurity Version 1.0 
National Institute of Standards and Technology February 12, 2014. 
3. Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 
National Institute of Standards and Technology April 16, 2018. 
4. Методика з підвищення рівня інформаційної безпеки критично 
важливих об'єктів інфраструктури Редакція 1.0 Національний інститут стандартів 
і технологій США 12.02.2014 р.  
5. ДСТУ ISO/IEC 27001:2013  Information technology — Security techniques 
— Information security management systems — Requirements (Інформаційні 
технології. Методи захисту. Системи управління інформаційною безпекою. 
Вимоги). 
6. НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в 
комп’ютерних системах від несанкціонованого доступу, наказ ДСТСЗІ СБУ від 
28.04.99. 
7. НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в 
автоматизованих системах, наказ ДСТСЗІ СБУ від 04.12.2000 № 53. 
8. НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в 
комп’ютерних системах від несанкціонованого доступу, наказ ДСТСЗІ СБУ від 
28.04.99 № 22. 
9. НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного 
завдання на створення комплексної системи захисту інформації в автоматизованій 
системі, наказ ДСТСЗІ СБУ від 28.04.99 № 22. 
10. НД ТЗІ 3.6-006-21 Порядок вибору заходів захисту інформації, вимога 
щодо захисту якої встановлена законом та не становить державної таємниці, для 
інформаційних систем. 
Арк. 
ЧДТУ.23.22191.006.ПЗ 69 
Змн. Арк. № докум. Підпис Дата 
 
 
11. COBIT 5 A Business Framework for the governance and management of 
enterprice IT (Бізнес-структура для управління та адміністрування ІТ на 
підприємстві) ISACA 2012. 
12. IEC 62443-2-1:2015 discusses policies and procedures used to generate 
efficient security programs for Industrial Control Systems (описує політики та 
процедури, що використовуються для створення ефективних програм 
безпеки для ІКС). 
13. IEC 62443-3-3:2016  contains information regarding security technologies, 
security requirements and security levels in Industrial Control Systems (містить 
інформацію про технології безпеки, вимоги до безпеки та рівні безпеки в ІКС) 
14. NIST SP 800-53 Rev. 5 Security and Privacy Controls dor Information 
Systems and organizations September 2020 (Контроль безпеки та конфіденційності 
інформаційних систем та організацій вересень 2020 року (включає оновлення 
станом на 10 грудня 2020 року)) 
15. CIS Critical Security Control 16: Application Software Security (Безпека 
прикладного програмного забезпечення). 
16. ISA 62443-2-1:2009 Security for Industrial Automation and Control Systems: 
Establishing an Industrial Automation and Control Systems Security Program (Безпека 
систем промислової автоматизації та управління: Створення програми безпеки 
промислової автоматизації та систем управління) 2009 
17. Загальні вимоги до кіберзахисту об’єктів критичної інфраструктури 
Затверджені постановою Кабінету Міністрів України від 19.06.2019 року № 518 
  
Арк. 
ЧДТУ.23.22191.006.ПЗ 70 
Змн. Арк. № докум. Підпис Дата 
 
 
Додаток А 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 71 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 72 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 73 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 74 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 75 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 76 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 77 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 78 
Змн. Арк. № докум. Підпис Дата 
 
 
 
 
 
Арк. 
ЧДТУ.23.22191.006.ПЗ 79 
Змн. Арк. № докум. Підпис Дата