Єдині підходи до оцінювання кіберзахисту: Держспецзв’язку затвердила рекомендації

Держспецзв’язку затвердила комплекс документів, що регламентують процеси оцінювання стану кіберзахисту:

• методичні рекомендації щодо проведення самооцінювання поточного стану кіберзахисту;
• методичні рекомендації щодо проведення зовнішнього оцінювання поточного стану кіберзахисту;
• методичні рекомендації щодо складання звіту про результати оцінювання;
• форму звіту про результати оцінювання (наказ Держспецзв’язку від 16.04.2026 № 285 (далі — наказ № 285)).

Межі відповідальності уповноваженої особи і керівника

Наказ № 285 — ще один крок у впровадженні нових нормативно-правових механізмів. Фундамент змін заклав Закон України «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури» від 27.03.2025 № 4336-IX, який увів саме поняття «оцінювання стану кіберзахисту», а подальша постанова КМУ від 31.12.2025 № 1799 визначила загальний порядок та основні підходи до такого оцінювання. Наказ № 285 деталізує ці норми та надає фахівцям інструментарій для виконання вимог Уряду та закону.

Нова методологія перетворює оцінювання на прозору процедуру завдяки використанню математичного апарату.

Стан кіберзахисту розраховується за формулою середньозваженого значення за шістьма ключовими функціями:

• управління;
• ідентифікація;
• захист;
• виявлення;
• реагування;
• відновлення.

Кожна функція має свій ваговий коефіцієнт.

Найбільшу вагу отримали функції «захист» та «виявлення», що підкреслює їхню пріоритетність для стійкості систем. Окрім того, для комплексного аналізу застосовуються Критерії оцінки відповідності вимогам законодавства у сфері кіберзахисту, які дозволяють оцінити:

• стан кадрового забезпечення;
• обізнаність персоналу;
• якість планування захисту; та
• готовність до реагування на кіберінциденти, кібератаки, кіберзагрози.

Важливою інновацією є впровадження принципу критичної ланки: якщо хоча б за однією з базових функцій показник відповідності становить менше ніж 20%, загальний стан кіберзахисту об’єкта автоматично визнається «критичним». Це не дозволяє приховати серйозні вразливості за загальними високими балами.

Також запроваджується п’ятирівнева шкала зрілості (від 0 до 4). Оцінюється не лише фактична реалізація заходів, а й якість їх документування та інтеграція в робочі процеси.

Окрему увагу приділили звітності. Результатом будь-якого оцінювання є детальний звіт, що містить не лише підсумкові показники, а й рекомендації та всі матеріали, зібрані під час оцінювання. Затвердження єдиної форми звіту та інструкцій щодо її заповнення дозволяє уніфікувати подання інформації, значно спрощуючи процес для суб’єктів оцінювання.

Тепер органи державної влади та оператори критичної інфраструктури мають чіткий алгоритм:

• як оцінити свій стан кіберзахисту;
• як задокументувати результати; та
• які кроки вжити для підвищення рівня кіберзахисту.