Київське віллідення ISACA, разом з Microsoft переклали на українську мову брошуру «Настанови з кібербезпеки від експертів», які було спільно розроблено Бельгійським Відділенням Міжнародної Торгової Палати, Федерацією підприємств Бельгії, Ernst & Young, корпорацією Майкрософт, Бельгійським відділенням ISACA, асоціацією L-SEC, та Бельгійським центром боротьби проти кіберзлочинності. Ця брошура ознайомить вас із ключовими елементами інформаційної безпеки та забезпечить відповідними переліками контрольних питань, які допоможуть вам обрати правильний напрямок та сприятимуть впровадженню наданих у цій брошурі рекомендацій. Документ також містить контакти державних органів з якими можна зв'язатися в разі інциденту. Сподіваємося, що ця настанова стане корисною для всіх відповідальних працівників компаній в нашій країні.

1. НАСТАНОВИ З
КІБЕРБЕЗПЕКИ ВІД
ЕКСПЕРТІВ

2. 3

3. 3
ПЕРЕДМОВА
КIБЕРБЕЗПЕКА: КРИТИЧНО ВАЖЛИВЕ ЗАВДАННЯ ДЛЯ КОЖНОЇ ОРГАНIЗАЦIЇ
Шановний читачу!
Створюючи цю брошуру, ми прагнули, аби ви
відчули себе більш комфортно в тому, що
стосується вкрай важливого та актуального
аспекту: інформаційної безпеки.
Кожного дня у свiтi стається безлічвсіляких
кiберзлочинiв або
випадківнедобросовісноїповедінки в
кiберпросторi. Багато хто просто ігнорує або не
розголошує це, в той час як у iнших таке викликає
значну занепокоєність. Кілька серйозних
інцидентів кiбербезпеки нещодавно мали місце
також i в нашійкраїні.
Стає все бiльш очевидним, що уряди деяких країн
готовi iнвестувати значнi кошти в збирання цiнної
iнформацiї, адже мова заходить про таке явище
як кiберзлочиннiсть, панiка, невiгластво або
недбалiсть є геть недоречними.
Сподiваємося, що настанова принесе користь всiм
вiдповiдальним керiвникам компанiй в нашiй
країнi.
Надiя Васильєва
Директор
ТОВ «Майкрософт Україна»
До того ж, таке управління допоможе запобігти
нанесенню компанії значної шкоди через усе
види недбалої поведінки, що поширюються в
сьогоденному кiберсвiтi соціальних мереж та
персоналізованих пристроїв i додатків.
Ми бажаємо, щоб завдяки вашому прагненню до
більшого захисту було досягнуто нового рівня
корпоративної культури та ефективності
забезпечення інформаційної безпеки вашої
організації в сучасному цифровому середовищі,
що постійнозмінюється.
Ця брошура ознайомить вас із ключовими
аспектами інформаційної безпеки та
міститьперелік контрольних питань, які було
розроблено задля сприяння більш легкому
впровадженню наданих рекомендацій.
Олексiй Янковський
Президент
Київське відділення міжнародної професійної
асоціації ISACA

4. 9
ЗМIСТ
ПЕРЕДМОВА 3
ЯКА МЕТА СТВОРЕННЯ НАСТАНОВ З КIБЕРБЕЗПЕКИ? 5
ЯК КОРИСТУВАТИСЯ ЦIЄЮ НАСТАНОВОЮ? 10
9 ОСНОВНИХ ПРИНЦИПIВ БЕЗПЕКИ 13
А. БАЧЕННЯ 13
Принцип 1: Не обмежуйтесь лише технологiєю 13
Принцип 2: Звичайного забезпечення вiдповiдностiнедостатньо 14
Принцип 3: Сформулюйте ваше прагнення до безпеки як полiтику в галузi iнформацiйної
безпеки
14
А.ОРГАНIЗАЦIЯ ТА ПРОЦЕСИ 15
Принцип 4: Створіть роль відповідального за забезпечення безпеки і визначте
персональну відповідальність
15
Принцип 5: Підтримуйте належний рівень безпеки у разі використання послуг аутсорсингу
Принцип 6: Зробіть вимоги безпеки рушійною силою для інновацій
16
Принцип 7: Регулярно перевiряйте себе 17
А.КОНЦЕПЦIЯ МИСЛЕННЯ 17
Принцип 8: Вiрно розставляйте акценти 17
Принцип 9: Будьте пiдготовленi до реагування на iнциденти iнформацiйної безпеки 18
10 ОСНОВНИХ ДIЙ IЗ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ 19
Дiя 1: Обiзнанiсть та iнструктування користувачiв 19
Дiя 2: Оновлення систем 20
Дiя 3: Захист iнформацiї 20
Дiя 4: Система безпеки мобiльних пристроїв 21
Дiя 5: Надання доступу до даних виключно за принципом службової необхiдностi 22
Дiя 6: Запровадження правил безпечного користування мережею Iнтернет 22
Дiя 7: Використання надiйних паролiв та їхнє збереження 23
Дiя 7: Використання надiйних паролiв та їхнє збереження 24
Дiя 8: Створення та перевiрка резервних копiй корпоративних даних та iнформацiї 25
Дiя 9: Застосування багаторiвневого пiдходу до захисту вiд вiрусiв та iнших шкiдливих
програм
26
Дiя 10: Попереджуйте, виявляйте та дiйте 27
АНКЕТА САМООЦIНКИ РIВНЯ БЕЗПЕКИ 30
ПРИКЛАДИ З ПРАКТИКИ В ГАЛУЗIIНФОРМАЦIЙНОЇ БЕЗПЕКИ 46
Приклад 1: Велика нацiональна компанiя (промислова), задiяна в мiжнароднiй торгiвлi 47
Приклад 2: Компанiя роздрiбної торгiвлi з представництвом в мережiIнтернет 47
Приклад 3: Бухгалтерська контора 48
Приклад 4: Стартап 49
КОНТАКТИ ОРГАНIЗАЦIЙ З IНФОРМАЦIЙНОЇ БЕЗПЕКИ 50
НАЙБIЛЬШ ПОШИРЕНI КЕРIВНI ПРИНЦИПИ ТА СТАНДАРТИ З 58
КIБЕРБЕЗПЕКИ ТА IНФОРМАЦIЙНОЇ БЕЗПЕКИ 59
ПЕРЕЛIК ВИКОРИСТАНОЇ ЛIТЕРАТУРИ 59

5. 10
ЯКА МЕТА СТВОРЕННЯ НАСТАНОВИ З КІБЕРБЕЗПЕКИ?
ЦЕЙ РОЗДIЛ НЕ ПРИЗНАЧЕНИЙ ДЛЯ ТОГО, ЩОБ НАЛЯКАТИ ВАС, ПРОТЕ ТАКЕ МОЖЕ СТАТИСЯ!
Ризики для безпеки на підйомі
Кожного дня всi ми як на особистому, так i на корпоративному рiвнi пiддаємося загрозам, що виходять з
кiберпростору. У бiльшостi випадкiв ми навiть не усвiдомлюємо наявнiсть таких загроз або не реагуємо на них
вiдповiдним чином. Засоби масової iнформацiї щодня звiтують про рiзнiiнциденти, пов’язанi з iнформацiйною
безпекою, та про їхнiй вплив на нас як на окремих людей або як на юридичнi особи. Такiiнциденти є лише
верхiвкою айсберга, i ми всi набагато бiльше пiдданi їхньому впливу, нiж ми власне вважаємо, i, на жаль, ризики
для безпеки в мережiIнтернет невпинно зростають. Ризик для iнформацiйної безпеки можна розглядати як
результат поєднання трьох чинникiв: наявнiсть активiв, їхня уразливiсть i загрози для них (при цьому ступiнь
уразливостi активiв обумовлює рiвень їхньої потенцiйної вiдкритостi до загроз).
На жаль, за останнi роки значення всiх трьох чинникiв iстотно зросло:
1. Iнформацiя1
та iнформацiйнi системи є активами. Ми маємо бiльше iнформацiї в електронному виглядi,
нiж будь-коли ранiше, та залежимо вiд коректного, тобто безпечного функцiонування систем, якi її зберiгають i
обробляють.
2. Ми винайшли та використовуємо "хмарнi" середовища зберiгання та обмiну даними, соцiальнi мережi,
мобiльний зв'язок та iншi новiiнструменти i новi технологiї.
Ця еволюцiя технологiй триватиме та надалi збiльшуватиме нашу залежнiсть вiд нормального функцiонування
рiзних систем. Тим не менше, цi технологiї також приносять з собою новiвразливостi, з якими компанiї не
завжди готовi мати справу.
3. Останнiм, але не менш важливим фактором є те, що кiлькiсть кiберзагроз зросла, так само як їхня
витонченiсть та ефективнiсть, що не може не викликати загального занепокоєння.
Отже, маємо тiльки поганi новини? Не зовсiм.
Доброю новиною є те, що протягом останнiх кiлькох рокiв було сформоване бiльше розумiння
проблеми кiберзагроз, що призвело до розробки та вжиття вiдповiдних контрзаходiв. Вже розпочато
безлiч ефективних iнiцiатив на урядовому iiнституцiональному рiвнях, але вони ще не в достатнiй мiрi
взятi на озброєння представниками корпоративного свiту. У корпоративному свiтi все ще панує
невизначенiсть стосовно того, "що" i "як робити", аби знизити ризики, що надходять вiд кiберзагроз.
Зазвичай, бiльшу iнiцiативу проявляють великi мiжнароднi компанiї, хоча тi самi загрози та ризики в
рiвнiй мiрi поширюються також на представникiв середнього i сiмейного бiзнесу. Однак, навiть у
великих компанiях iнiцiативи з iнформацiйної безпеки часто не отримують належної пiдтримки на
найвищому рiвнi керiвництва. Тим не менш, ми вважаємо, що питання iнформацiйної безпеки повинні
бути у порядка денному кожного пiдприємства незалежно вiд його масштабiв, рiвня складностi та
характеру комерцiйної дiяльностi, а також має бути усвiдомлене кожним спiвробiтником пiдприємства.
Багато компанiй забезпечують надiйний захист своїх реальних активiв – обладнання, устаткування,
персоналу. Найчастiше це є питанням здорового глузду i навiть звичаєм, що передбачає використання
пiдприємством служби фiзичної безпеки та охорони здоров'я персоналу в своїй дiяльностi. Тим не
менш, iнформацiя також є цiнним активом, та її крадiжка, втрата, неправильне використання,
несанкцiоноване змiнення i розкриття можуть мати серйозний вплив та наслідки. Ноу-хау організації та
дані є найбiльш важливими активами будь-якої компанiї.
Організації мають забезпечити конфіденційність, цілісність та доступність своїх даних. Цi три цiлi безпеки
спiввiдносяться з трьома основними питаннями: "Хто бачить данi?", "Чи було данi пошкоджено?" та "Чи
можу я отримати доступ до даних, коли менi це потрiбно?"

6. 11
Персонал має бути вiдповiдальним
Вiд керiвникiв пiдприємства не вимагається ставати експертами в галузi кiбербезпеки. Тим не менш, вони мають
за обов'язок захищати корпоративнi активи. Таким чином, директори мають делегувати вiдповiдальнiсть за
корпоративну кiбербезпеку керiвникам нижчих рiвнiв пiдприємства i зовнiшнiм експертам, якi повиннi
забезпечити, щоб корпоративна кiбербезпека залишалася постiйним питанням для контроля з боку вищого
керiвництва i постiйно вживалися необхiднi заходи для захисту корпоративної iнформацiї.
Зберiгання та обробка особистих даних в електронному форматi передбачає значнi зобов'язання для
пiдприємства, адже саме воно несе вiдповiдальнiсть за управлiння даними i, отже, має забезпечити вiдповiдний
рiвень безпеки. Тому пiдприємство має вжити вiдповiдних заходiв для захисту даних вiд випадкового або
незаконного знищення i задля запобiгання їхньому несанкцiонованому використанню або змiнi.
На додаток до iнших санкцiй законодавством передбаченi певнi мiри покарання. Проект Регламенту ЄС щодо
Захисту Даних встановлює бiльшу суворiсть санкцiй, i пiдприємству може бути наказано виплатити значну
компенсацiю збиткiв особам, чиї персональнi данi не було збережено належним чином. Вiдповiдно до
Проекту Регламенту ЄС щодо Захисту Даних у разi несанкцiонованого використання третiми особами
персональних даних, що зберiгаються пiдприємством або компанiєю, у разi втрати даних або будь-якого
iншого вiдповiдного порушення, компанiя повинна негайно iнформувати Уповноважений державний орган iз
захисту прав суб'єктiв персональних даних, а також вiдповiдну особу, якщо iснує вiрогiднiсть, що витiк даних
може негативно вплинути на недоторканнiсть приватного життя такої особи.
Час дiяти
Iнциденти, пов’язанi з iнформацiйною безпекою, можуть мати безлiч наслiдкiв, не обмежуючись втратою
даних або iнформацiї. Негативний вплив на репутацiю вашої компанiї може бути довготривалим i мати
серйознi фiнансовi наслiдки.
ЧОМУ?
Просто офiцiйно декларувати, що захист iнформацiї компанiї є обов'язком кожного спiвробiтника не
достатньо. Необхiдно забезпечити усвiдомлення цього обов’язку персоналом всiх рiвнiв вашої компанiї та
запровадити ефективнi принципи безпеки в повсякденнiй роботi. Такi принципи мають базуватися на
пiдходi здорового глузду i вiдповiдати специфiцi конкретної компанiї для забезпечення їхньої стабiльної
ефективностii можливостi впровадження як в межах великих, так i малих компанiй, уникаючи
"унiверсального" пiдходу.
Запровадження професiйного управлiння iнформацiйною безпекою передбачає здiйснення
наступних шагiв:
(A) розробка корпоративного бачення та принципiв управлiння iнформацiйною безпекою, якi
повиннi бути iнтегрованi в полiтицi iнформацiйної безпеки;
(B) запровадження зазначеної полiтики в межах органiзацiї та поширення на її структуру i процеси шляхом
визначення вiдповiдних повноважень та обов'язкiв персоналу;
(C) створення належної корпоративної культури, концепцiї мислення та принципiв поведiнки шляхом
впровадження принципiв належної iнформацiйної безпеки.
Комбiнацiя зазначених дiй дозволить вашiй компанiї досягнути стiйких результатiв в галузiiнформацiйної
безпеки. Iндивiдуальна вiдповiдальнiсть та звичайна дисциплiнованiсть, а не складнi технологiї захисту, є
найпершими i найпростiшими дiями, якi можуть значно полiпшити вашу iнформацiйну безпеку. Ми нiколи
не зможемо досягти стовiдсоткової безпеки, але це не повинно змусити нас припиняти спроби. Ця
настанова, написана представниками корпоративного свiту, має допомогти компанiям у їхньому прагненнi
до забезпечення бiльш ефективної та сталої iнформацiйної безпеки.
1
Конфiденцiйна iнформацiя про компанiю може включати в себе фiнансовi данi, данi спiвробiтникiв, клiєнтiв та постачальникiв, прайс-листи, протоколи засiдань Ради Директорiв.
ЯК КОРИСТУВАТИСЯ ЦIЄЮ НАСТАНОВОЮ?
ПОЧНІТЬ З ЦЬОГО

7. 12
1)ПРОЧИТАЙТЕ розділ про10 основних принципів безпеки та 10 найпростіших заходів безпеки
2)НАДАЙТЕ ВІДПОВІДІ на16 питань анкети самооцінки рівня безпеки
3)ПЕРЕГЛЯНЬТЕ питання із контрольного переліку із «червоними» чи помаранчевими» відповідями
4)ВПРОВАДЖУЙТЕ дії із підвищення рівня безпеки
5)РЕГУЛЯРНО здійснюйте оцінку стану інформаційної безпеки
(A) БАЧЕННЯ
(B) ОРГАНІЗАЦІЯ ТА ПРОЦЕСИ
(C) КОНЦЕПЦІЯ МИСЛЕННЯ

8. 13

9. 14

10. 15
10 ОСНОВНИХ ПРИНЦИПIВ БЕЗПЕКИ
Iснує низка ключових принципiв, якi необхiдно розглядати в якостi основи для ефективного забезпечення
iнформацiйної безпеки. Пiдхiд до iнформацiйної безпеки у рiзних компанiй може вiдрiзнятися в залежностi вiд
характеру дiяльностi, рiвня ризику, факторiв навколишнього середовища, нормативних вимог та масштабу
компанiї. Отже, основнi принципи поширюються на всi компанiї незалежно вiд їхнього розміру або галузi, в якiй
вони здiйснюють дiяльнiсть. В цiй настановi представленi 10 основних принципiв, якi вiдносяться до трьох
напрямкiв управлiння iнформацiйною безпекою:
(A) бачення
(B) органiзацiя та процеси
(C) концепцiя мислення
доповнені переліком обов’язкових обов’язкових заходiв iз забезпечення безпеки. Дотримання
принципiв та здiйснення дiй, запропонованих в цiй настановi, значно пiдвищить стiйкiсть компанiї до
кiбератак i знизить негативнi наслiдки у разi останнiх.
1.– НЕ ОБМЕЖУЙТЕСЬ ЛИШЕ ТЕХНОЛОГIЄЮ –
Iнформацiйну безпеку слiд розглядати в найширшому сенсi, а не тiльки з точки зору iнформацiйних технологiй.
Виходячи з даних дослiджень1
, 35% iнцидентiв iнформацiйної безпеки є радше результатом людської помилки,
анiж навмисної кiбератаки. Бiльше половини з решти 65% iнцидентiв, якi власне є наслiдком навмисної
кiбератаки, можна було б уникнути, якби постраждалi особи працювали з iнформацiєю в бiльш безпечний
спосiб.
Це очевидно вказує на необхідність розгляду інформаційної безпеки як сукупність факторів, як люди,
процеси та технологiї. Важливо усвiдомлювати, що iнформацiйна безпека є не лише питанням, пов’язаним
iз iнформацiйними технологiями, а натомiсть є суттєвим аспектом, що поширюється на дiяльнiсть всiєї
компанiї в цiлому.
Реалiзацiя заходiв безпеки не повинна бути обмеженою лише IТ-вiддiлом, а
радше здiйснюватися в масштабi всiєї компанiї, охоплюючи всi процеси. Таким
чином, сфера застосування i власне концепцiя iнформацiйної безпеки
поширюються на людськi ресурси, продукти компанiї, обладнання, процеси,
корпоративнi полiтики, процедури, системи, технологiї, мережi та данi. Зрiлi
компанiї розглядають iнформацiйну безпеку як бiзнес-вимогу, безпосередньо
пов'язану зi стратегiчними цiлями, завданнями пiдприємства, корпоративними
полiтиками, управлiнням ризиками, вимогами щодо дотримання вiдповiдностi
тапоказникамипродуктивностi. Керiвний персонал компанiї на всiх рiвнях має
усвiдомлювати, яким чином iнформацiйна безпека сприяє подальшому
стимулюванню ефективної дiяльностi компанiї.
Серед переваг компанiї, яка розглядає iнформацiйну безпеку як
iнструмент пiдвищення ефективностi дiяльностi та не обмежується
виключно IТ-технологiями, можна визначити такi:
Стратегiчнi: вдосконалення процесу корпоративного прийняття рiшень завдяки бiльш чiткiй
"видимостi" ризикiв.
Фiнансовi: зменшення витрат, яке дає позитивний економічний ефект.
Оперативнi: ефективне планування забезпечення безперервної роботи i вiдновлення
функцiонування.
10 ОСНОВНИХ ПРИНЦИПIВ БЕЗПЕКИ
1
Згiдно iз результатами дослiдження "Глобальне дослiдження 1111iнформацiйної безпеки-2012 – Прагнення лiквiдувати недолiки",
.

11. 16
A. БАЧЕННЯ
2.– ЗВИЧАЙНОГО ЗАБЕЗПЕЧЕННЯ
ВIДПОВIДНОСТI НЕДОСТАТНЬО –
Компанiї мають забезпечувати вiдповiднiсть численним законам i
нормативним актам, багатьма з яких регламентоване запровадження
вiдповiдних заходiв безпеки. Відповідність цим законам, нормативним
актам і стандартам сприяє поліпшенню рівня інформаційної безпеки.
Однак, занадто часто єдиною метою залишається виключно забезпечення
відповідності нормативним вимогам. Оскільки забезпечення
відповідності нормативним вимогам завжди пов’язане з конкретними
аспектами, комплексний підхід на основі оцінки ризиків часто не
застосовується. Наприклад, в процесі забезпечення відповідності
вимогамщодо забезпечення конфіденційності даних, компанія зосереджує
зусилля лише на забезпеченні захисту персональних даних, а при
виконанні вимог щодо контролю за процесом складання фінансової звітності організація буде
зосереджена на забезпеченні цілісності фінансових даних.
У зв’язку з цим, необхiдно усвiдомлювати два важливих аспекта:
Перш за все, забезпечення вiдповiдностi нормативним вимогам не обов'язково означаєзабезпечення
інформаційної безпеки. Цiлi в галузi безпеки, зазначенi в законах, нормативних актах i стандартах, є завжди
частиною загальних цiлей в сферi корпоративної безпеки компанiї. Тому запровадження передових практик
безпеки комерцiйної дiяльностiнапевно буде сприяти забезпеченню або забезпечить вiдповiднiсть
нормативним вимогам, одночасно задовольняючи власні бізнес-потреби.
По-друге, дiї компанiї, спрямованi на забезпечення безпеки, повиннi бути гармонiзованi та, якщо можливо,
інтегровані з діями щодо забезпечення відповідності нормативним вимогам та з іншими подібними діями. Це
дозволить уникнути дублювання численних різноманітних корпоративних заходів та зобов’язань.
3. – СФОРМУЛЮЙТЕ ВАШЕ ПРАГНЕННЯ ДО БЕЗПЕКИ
ЯК ПОЛIТИКУ В ГАЛУЗIIНФОРМАЦIЙНОЇ БЕЗПЕКИ –
Забезпечення інформаційної безпеки є бізнес потребою, а не обмежується лише технологічними аспектами.
Необхідність захисту інформації та інформаційних систем викликана необхідністю забезпечувати підтримку
бізнес-цілей. Дотримання керівних принципів, викладених у політиці безпеки, забезпечує практичну реалізацію
концепції безпеки. Як правило, це забезпечується політиками верхнього рівня та відповідними настановами і
стандартами, положення яких з рештою впроваджуються в операційні процедури.
Розробка корпоративної полiтики в галузiiнформацiйної безпеки є вiдправним пунктом для застосування
пiдходу до забезпечення iнформацiйної безпеки та здiйснення супутнiх видiв дiяльностi.
Наявність корпоративних політик інформаційної безпеки забезпечуєнизку переваг:
• допомога компанії у демонструванні відповідального підходу до забезпечення захисту
найважливіших інформаційних активів;
• забезпечення базового рiвня iнформацiйної безпеки для всіх підрозділів та персоналу в межах
всієї компанії, а також;
• пiдвищення рiвня обiзнаностi щодо вимог iнформацiйної безпеки.

12. 17
До захисту корпоративної iнформацiї має в достатнiй мiрi долучатися персонал на всiх рiвнях компанiї, з тим
щоб забезпечити адекватне реагування на поточнii потенцiальнi загрози безпецi в масштабi всiєї компанiї.
Отже, вищому керiвництву необхiдно наочно демонструвати свою участь в управлiннi процесом дотримання
полiтики iнформацiйної безпеки компанiї.Вище керiвництво має забезпечити наявнiсть достатнiх ресурсiв – як
фiнансових, так i людських, якi мають бути видiленi з метою iнформацiйного захисту компанiї. Офіційне
затвердження полiтики iнформацiйної безпеки компанiї є демонстрацiєю її активної підтримки з боку вищого
керiвництва. Вищому керівництву необхiдно усвiдомлювати i декларувати важливiсть зниження кiберризикiв в
якостi суттєвої умови успiшної дiяльностi компанiї i убезпечення iнтелектуальної власностi. Захищенiсть
корпоративної iнформацiї є ключовим фактором, що впливає на здатнiсть компанiї реалiзовувати продукцiю
або послуги своїм клiєнтам на конкурентнiй основi. Належно оформлені звіти щодо ефективності та
адекватності виконання заходів інформаційної безпеки мають надаватися:
 найвищому органу з питань безпеки у вашiй компанiї на регулярнiй основi;
 вищому керiвництву та радi директорiв принаймнi один раз на рiк.
Звіти повинні базуватися на декількох індикаторах інформаційної безпеки і метриках та мають показати
наскільки ефективно компанія захищає свої активи. Крiм того, оцінка успішності та ефективності заходiв має
важливе значення для прийняття зважених рiшень щодо полiтики надаються достатні повноваження, засоби та
необхідна підготовка. Вони повинні також виконувати функцію координації та сприяння впровадженню
ініціатив стосовно забезпечення інформаційної безпеки, в той час відповідальність за безпеку має залишатися
спільним завданням для всього персоналу компанії. Навiть у невеликих компанiях має бути призначена особа з
числа спiвробiтникiв або позаштатна, яка буде регулярно оцiнювати достатність заходів інформаційної безпеки
та яка формально прийме на себе зобов’язання із інформаційної безпеки. Незважаючи на те, що в невеликих
компанiях така особа може бути зайнята не повний робочий день, тим не менш, її функції можуть виявитися
критично важливими для існування компанії. У великих компанiях розподiл функцiй, ролей та обов'язкiв має
бути здiйснений помiж окремими посадовими особами i робочими групами та командами (можливо,
вiртуальними). Кожний член групи або команди повинен чiтко знати власнi обов'язки i усвiдомлювати рiвень
вiдповiдальностi. У випадку запровадження такої схеми важливе значення матимуть належне документування
та внутрiшня комунiкацiя.
4.– СТВОРІТЬ РОЛЬ ВІДПОВІДАЛЬНОГО ЗА
ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ І ВИЗНАЧТЕ ПЕРСОНАЛЬНУ
ВІДПОВІДАЛЬНІСТЬ –
Необхiдним є також проведення пiдготовки персоналу та iнформування членiв робочого колективу щодо їхнiх
обов'язкiв, а також кiберзагроз, з якими вони можуть зiткнутися.
Оберіть окремих співробітників та надайте їм повноваження обмінюватися певною інформацію з
представниками інших компаній вашої галузі та іншими зацікавленими сторонами з метою сприяння розробці
передових методик попередження та запобігання потенційним атакам.
Незважаючи на те, персонал компанiї часто характеризується, як найслабша ланка, коли мова йде про
забезпечення інформаційної безпеки, керiвникам рекомендується прикласти зусилля для перетворення
персоналу у найзначніший актив для забезпечення безпеки шляхом створення програми
підвищенняобізнаності з питань інформаційної безпеки, що в результаті має привести до набуття дієвих
навичок. Результатами аудитів, які організація проводить власними силами, чи шляхом запитів до
сервіспровайдера щодо наявності належно оформленого звіту незалежного аудитора, який включає в себе, в
тому числі, оцінку методів забезпечення інформаційної безпеки. Особливу увагу слід приділити аналізу угод
про рівні обслуговування, провести оцінку показників доступності систем та відновлення їх функціонування.
У нинiшню епоху використання "хмарних" сервiсiв вищезазначена практика має дуже важливезначення.
"Хмарнi" сервiси є технiчними рiшеннями, що дозволяють вам користуватися послугами зовнiшнього
постачальника для зберiгання, обробки або керування даними.

13. 18
10 ОСНОВНИХ ПРИНЦИПIВ БЕЗПЕКИ
B. ОРГАНIЗАЦIЯ ТА ПРОЦЕСИ
5. – ПІДТРИМУЙТЕ НАЛЕЖНИЙ РІВЕНЬ БЕЗПЕКИ У РАЗІ
ВИКОРИСТАННЯ ПОСЛУГ АУТСОРСИНГУ–
Завдяки засобам зв'язку та комунікації, які постійно
вдосконалюються, цінні зв`язки призводять до тісної інтеграції, що
приносить компаніям низку додаткових переваг. Аутсорсинг,
перенесення виробничих процесів за кордон, а також новi моделi
спiвпрацi з третiми сторонами стають стандартною частиною схем
здiйснення комерцiйної дiяльностi.
Тим не менш, третi сторони, якi не забезпечують адекватний захист
iнформацiї або iнформацiйних систем, можуть пiддати серйознiй
загрозi дiяльнiсть, репутацiю i цiннiсть бренду компанiї. Вважається
доцільною практикою заохочувати постачальників, а особливо
постачальників ІТ послуг, дотримуватись, принаймнi, принципiв
захисту iнформацiї та iнформацiйної безпеки, якi застосовуються
власне в компанiї, , яка замовляє послуги, та разом з цим вимагати
надання доказiв, інформація захищена належним чином.Такі докази
можуть бути отримані за мережу, подiбну мережi Iнтернет, з дуже високим ступенем гнучкостi та
можливостями монiторингу в реальному часi. Провайдери ІТ сервісів можуть так само надавати рішення із
забезпечення інформаційної безпеки. Ви можете дiзнатися про додатковi послуги послуги третіх сторін із
забезпечення інформаційної безпеки, які можуть запропонувати сервіс-провайдери та, особливо,
провайдери "хмарних"сервісів. Такi послуги можуть бути актуальними для невеликих компанiй та включати
в себе резервне копiювання, вiдновлення i шифрування даних. Крiм цього, необхiдно забезпечити
можливiсть доступу до журналiв операцiй (протоколiв) по послугах, які надаються зовнішніми
постачальниками. Такий доступ має важливе значення для проведення відповідного аналiзу та
ефективного оцiнювання загроз.
6.– ЗРОБІТЬ ВИМОГИ БЕЗПЕКИ РУШІЙНОЮ СИЛОЮ
ДЛЯ ІННОВАЦІЙ –
Належний пiдхiд до забезпечення безпеки не тiльки захищає
компанiю, але також надає можливiсть використання нових
технологiй. Прагнення уникнути ризику не повинне заважати
впровадженню нових технологій. Але необхідно адекватно
оцінити співвідношення потенційних загроз та переваг, які
можуть бути здобуті із використанням нових технологій.
У разі ухвалення рішення щодо впровадження інноваційних
рішень та обладнання, відповідні заходи безпеки мають бути
передбаченими якомога раніше. В ідеалі це має бути зроблено на
етапі визначення бізнес-вимог компанії. З метою забезпечення
достатнього рівня безпеки із найперших етапів розробки та придбання нових інструментів та додатків,
слід застосовувати принцип «безпека на етапі розробки».

14. 19
Персонал, вiдповiдальний за впровадження iнновацiйних рiшень в компанiї, має бути достатньо
обiзнаним в галузi безпеки або треба залучати стороннiх експертiв з безпеки задля забезпечення
найкращого рiвня захисту iнформацiї при впровадженнi кожного нового рiшення.
10 ОСНОВНИХ ПРИНЦИПIВ БЕЗПЕКИ
C. КОНЦЕПЦIЯ МИСЛЕННЯ
7.– РЕГУЛЯРНО ПЕРЕВIРЯЙТЕ СЕБЕ –
Загрози безпецi постiйно змiнюються, являючи собою "рухому мiшень".
Корпоративні полiтики та процедури можуть ставати застарiлими або
просто неефективними на практицi. Перiодичне оцiнювання стiйкостi
компанiї до кiберзагроз i виявлення вразливих мiсць дозволяють
вимiрювати прогрес в галузi корпоративної безпеки та адекватнiсть
вживаних заходiв. Таке оцiнювання може здiйснюватися шляхом
внутрiшнiх та/або незалежних аудитiв та перевiрок, таких як тестування на
проникнення i виявлення вторгнень. Крiм того, такi заходи сприятимуть
полiпшенню корпоративної культури. Компанії мають дозволяти
персоналу робити помилки і заохочувати відкрите обговорення інцидентів
інформаційної безпеки з тим, щоб співробітники не боялися повідомляти про них в разі виникнення. Разом
iз проведенням зазначених перевiрок сприяти полiпшенню обiзнаностi щодо поточних i виникаючих загроз
допоможе активна спiвпраця iз iншими компанiями галузi, представниками бiзнесспiльноти та
правоохоронними органами.
8.– ВIРНО РОЗСТАВЛЯЙТЕ АКЦЕНТИ –
В умовах сьогоденної економiки, заснованої на знаннях,
iнформацiя є особливо цiнним активом. Чiтке визначення
складу цього активу та прагнення захистити його вразливiсть i
запобiгти загрозам можуть виявитися титанiчним завданням.
Вам слiд зосередити свої зусилля щодо забезпечення безпеки
найбiльш цiнної iнформацiї, втрата конфiденцiйностi, цiлiсностi
або доступностi якої може серйозно нашкодити компанiї.
Це не означає, що iншiiнформацiйнi активи можуть бути
проiгнорованi з точки зору безпеки, а радше свiдчить про те,
що пiдхiд до iнформацiйної безпеки на основi аналiзу ризику з
акцентом на найцінніших активах компанії є найбільш ефективним і результативним для
використання у сфері інформаційної безпеки.
Одночасно визнається, що стовідсоткове усунення ризику є неможливим і, власне, непотрібним.

15. 20
10 ОСНОВНИХ ПРИНЦИПIВ БЕЗПЕКИ
C. КОНЦЕПЦIЯ МИСЛЕННЯ
9. – БУДЬТЕ ПIДГОТОВЛЕНI ДО РЕАГУВАННЯ НА
іНЦИДЕНТИ IНФОРМАЦIЙНОЇ БЕЗПЕКИ –
Факт виявлення інциденту інформаційної безпеки не обов'язково буде оцінено погано. Все залежить від того, як
ви на нього відреагуєте. Все залежить від того, як ви на нього відреагуєте. У сьогоденному світі, де повно загроз
та вразливостей, ви маєте думати не за принципом "мою компанію це омине", а за принципом "якщо це
станеться, я знаю, що робити", тобто ви маєте бути добре підготовлені до інцидентів інформаційної безпеки.
Все залежить від того, як ви на нього відреагуєте. У сьогоденному
світі, де повно загроз та вразливостей, ви маєте думати не за
принципом "мою компанію це омине", а за принципом "якщо це
станеться, я знаю, що робити", тобто ви маєте бути добре
підготовлені до інцидентів інформаційної безпеки. Як з
організаційної точки зору, так і з технічної, ваша компанія
повинна бути добре підготовленою до реагування на інциденти
безпеки з метою мінімізації негативного впливу на власну
діяльність. В ідеалі, відповідні спеціалізовані треті сторони, які
зможуть допомогти в локалізації та усуненні інциденту(-ів)
безпеки, мають бути заздалегідь визначені до того, як щось
погане станеться.
Належне реагування на інциденти, в тому числі відповідна
стратегія комунікації, може призвести до різниці між
часом простою бізнес-процесу від менш ніж однієї доби
та декількома днями, між коротким повідомленням з 10
строчок на сторінці 7 та заголовком на сторінці 1 в
газетах. Дуже важливо здiйснювати внутрiшнє
iнформування щодо iнцидентiв, а також (залежно вiд
обставин) – зовнiшнє. Крiм того, необхiдно пам’ятати, що
iнформування вiдповiдних органiв є способом полiпшити
загальну ситуацiю в галузi кiбербезпеки, i до того ж в
деяких випадках таке iнформування є обов'язковим.

16. 20

17. 20
10 НЕОБХІДНИХ ЗАХОДІВ БЕЗПЕКИ
Описані надалі заходи в основному спрямовані на захисткомпанії відінцидентів інформаційної безпеки.
Звісно, виявлення, локалізація, реагування та ліквідаціяінцидентів також є важливі. Для отримання
практичних консультацій пропонуємо переглянути перелік контактів та посилань, наведений в цій
настанові
1. – ОБІЗНАНІСТЬ ТА ПИЛЬНІСТЬ
КОРИСТУВАЧІВ ТА ОБIЗНАНIСТЬ –
Інформаційна безпекає важливим питанням для всієї компанії. Ті ж самілюди, які створюють
іобробляють дані про компанію, відіграють важливуроль у забезпеченні захисту цієїінформації.
Працюючи з даними неналежним чином, вони не тільки провокують інциденти інформаційної
безпеки, але й значно полегшують атаки зловмисникам.
Забезпечення поінформованості персоналу компанії щодо найнебезпечнішихкіберзагроз та
найважливіших питань безпеки має здійснюватися на постійній основі, в тому числі за наступними
темами:
• Відповідальний підхід до спілкування з дотриманням вимог безпеки
• Зважене використання можливостей соціальних мереж
• Передачацифрових файлівбезпечнимспособом
• Належне використанняпаролів
• Запобігання втратіважливої інформації
• Гарантування того, що тільки відповідальні особи можуть читати вашу інформацію
• Запобіганняпроникненнювірусів таінших шкідливих програм в систему
• Кого сповіщувати в разіпідозри наінцидент інформаційної безпеки
• Методи запобігання розголошенню інформації в результаті шахрайських дій (обману)
Поiнформованiсть персоналу гарантуватиме, що всi спiвробiтники, якi мають доступ до iнформацiї та
iнформацiйних систем, усвiдомлюватимуть свої щоденнi обов'язки iз участi та пiдтримки
корпоративної дiяльностi щодо забезпечення iнформацiйної безпеки i захисту компанiї. Робота iз даними з
дотриманням вимог безпеки та вiдповiдна мотивацiя персоналу має розглядатися як належна
корпоративна культурна норма. Регулярне iнформування спiвробiтникiв щодо корпоративної кiбербезпеки
є найкращим способом розвинути у персонала потрiбнi навички та умiння iз забезпечення безпеки.
Оскiльки бiльшiсть спiвробiтникiв також використовує Iнтернет для приватних цiлей, їхнiй iнструктаж iз
кiбербезпеки не повинен обмежуватися лише питаннями, пов’язаними iз корпоративною iнформацiєю.
Важливо забезпечити їхнє розумiння того, як захистити своюприватнiсть при використаннi мережiIнтернет
в особистих цiлях. Загальну iнформацiю щодо кiбербезпеки та рекомендацiї для кiнцевих користувачiв
можна знайти на вебсайтi http://www.enisa.europa.eu/media/ multimedia/material, створеному
Європейським Агентством з Мережевої та Інформаційної Безпеки (ENISA). Ви можете використовувати всю
цю iнформацiю, вiдеоматерiали, iнфографiку та iнше для цiлей iнформування та iнструктування персоналу
вашої компанiї.
10 ОСНОВНИХ ДIЙ IЗ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ

18. 20
2. – ОНОВЛЕННЯ СИСТЕМ –
Багато успiшних спроб стороннього втручання i ураження вiрусами було зареєстровано по вiдношенню до
вразливих iнформацiйних систем, рiшення для оновлення та корекцiї яких часто були доступнi ранiше, нiж за
рiк до iнциденту. Системи та програмне забезпечення, у тому числi мережеве устаткування, повиннi
оновлюватися, як тiльки стають доступними так звані "патчі" та оновлення мiкропрограмного забезпечення.
Такi оновлення i патчi безпеки виправляють системнi вразливостi, якими можуть скористатися зловмисники.
Рекомендовано завжди, коли це є можливим i прийнятним
з точки зору витрат, використовувати автоматизованi
сервiси оновлення, особливо для систем безпеки, до
склада яких входять антивiруснi, веб-фiльтрацiйнi додатки
та iнструменти виявлення вторгнень.
Для забезпечення того, що всi необхiднi системи
матимуть найкращий захист, доцiльно скласти перелiк
всiх систем iз зазначенням мiнiмального базового рiвня
безпеки, який має бути до них застосований.
Користувачам слiд приймати тiльки актуальнi оновлення
для систем безпеки, надiсланi безпосередньо
оригiнальним виробником. Отже, вони нiколи не повиннi
здiйснювати будь-якi дiї з оновлення програмного
забезпечення, запропонованi, наприклад, в
електронному листi, надiсланому сторонньою фiрмою чи
особою.
3.– ЗАХИСТ IНФОРМАЦIЇ –
В умовах сьогодення бiльш нiж коли-небудь стратегiя
iнформацiйної безпеки повинна бути зосереджена на
захистi даних, а не власне на технологiї безпеки.
Традицiйнi методи захисту мережевого периметру та
контролю доступу вже не є достатнiми, особливо коли
iнформацiя зберiгається в менш надiйних середовищах,
таких як мережа Iнтернет або портативнi носiї даних.
Iснують рiзнi методи шифрування, ефективнiсть яких в
конкретних умовах було вже доведено (при зберiганнi,
передачi або переносi даних), наприклад:
• Листи електронної пошти, що вiдправляються через мережу Iнтернет дiловим партнерам,
клiєнтам та iншим особам, завжди написанi вiдкритим текстом. Тому компанiям слiд
використовувати методи шифрування електронної пошти, коли передається найбільш
важлива iнформацiя
• Портативнi пристрої, такi як ноутбуки, карти пам’ятiUSBi смартфони, можуть стати легкою
мiшенню для крадiя або можуть бути загубленi. Тому компанiям слiд забезпечити
ифрування даних на таких пристроях за замовчуванням (для ноутбукiв та смартфонiв), або
надати можливiсть шифрування даних користувачам (наприклад, для карт пам’ятi USB).

19. 21
4. – СИСТЕМА БЕЗПЕКИ МОБIЛЬНИХ
ПРИСТРОЇВ –
Використання мобiльних пристроїв може створювати значнi загрози безпецi та управлiнню справами
компанiї, особливо, якщо на них зберiгається конфiденцiйна чи важлива iнформацiя, або якщо за їхньою
допомогою можливо отримати доступ до корпоративної мережi.
Серед iншого, iснують такi ризики:
• Втрата даних
• Соціальна інженерія
• Вiруснi програми
• Загрози цiлiсностi даних
• Зловживання ресурсами
• Атаки через Iнтернет чи локальну мережу
Концепцiя використання власних пристроїв спiвробiтникiв (англ.: Bring Your Own Device, BYOD) є дуже
привабливою для багатьох органiзацiй i спiвробiтникiв, але має суттєвий недолiк, який полягає у
зростаннi ризику розкриття важливої iнформацiї компанiї. Тому рекомендовано чiтко регламентувати,
якi пристрої можуть отримати доступ до локальної
мережi компанiї та/або iнформацiї, а також запровадити
вiдповiдну полiтику i процедури в галузi iнформацiйної
безпеки. Користувачам слiд завжди захищати свої
мобiльнi пристрої, використовуючи складний пароль.
Компанії мають забезпечити та/або надати можливiсть
користувачам налаштовувати вiдповiднi параметри
захисту мобiльного пристрою з метою запобiгання
викрадення злочинцями iнформацiї за допомогою пристрою. Програмне забезпечення на
таких пристроях має пiдтримуватися в актуальному станi, особливо, що стосується програмного
забезпечення системи безпеки, з тим, щоб пристрiй завжди залишався захищеним вiд новiтнiх
версiй шкiдливих програм i вiрусiв. Крiм того, необхiдно запровадити процедури звiтування
щодо загубленого або вкраденого обладнання i за можливостi передбачити функцiю
дистанцiйного видалення всiєї корпоративної iнформацiї з пам’ятi загубленого або вкраденого
пристрою.
Користувачi мають розвинути в собi звичку аналiзувати своє оточення перед тим, як
використовувати або пiд час використання своїх мобiльних пристроїв, а також
дотримуватися наступних вимог:
• Встановити надiйний додаток для системи безпеки електронної пошти
• Не вiдкривати неочiкуванi текстовi повiдомлення вiд невiдомих вiдправникiв
• Не переходити за невiдомими посиланнями
• Не спiлкуватися за допомогою чат-служб незнайомими людьми

20. 22
5.– НАДАННЯ ДОСТУПУ ДО ІНФОРМАЦІЇ
ВИКЛЮЧНО ЗА ПРИНЦИПОМ СЛУЖБОВОЇ
НЕОБХIДНОСТI –
З метою забезпечення конфiденцiйностi, цiлiсностi та збереження інформації доступ до них повинен
надаватися виключно за принципом службової необхiдностi. Жодна особа ворганізації не
повиннамати доступдо всіх системобробки даних. Спiвробiтники повиннi мати доступ до специфічних
даних та інформаційних систем, якi їм потрiбнi для здiйснення своїх службових обов’язкiв.
Повноваження адмiнiстратора (права "суперкористувача") повиннi бути наданi лише кiльком
довiреним спiвробiтникам з числа IТ-персоналу. Наразi вже iснують схеми, за допомого яких системнi
адмiнiстратори мають можливiсть виконувати свої обов’язки без необхiдностiотримання доступу до
даних. Крiм того, всі керівникипідрозділів повинні (принаймніщорічно) отримувати, переглядати та
затверджувати перелiки всiх користувачiв (внутрiшнiх та зовнiшнiх), якi мають доступ до програмних
продуктiв та даних свого вiддiлу.
До того ж, спiвробiтники не повиннi мати можливiсть
встановлювати
будь-яке програмне забезпечення на корпоративнi
ноутбуки та стацiонарнi комп’ютери без попереднього дозволу.
Також вони не
повиннi мати можливiсть змiнювати попередньо
встановленi налаштування безпеки i параметри
програмного забезпечення
системи безпеки. Наявнiсть такої можливостi створює
дуже високий
ризик виникнення iнцидентiв iнформацiйної безпеки i, отже, вона
має розглядатися як привiлейоване право i надаватися виключно
коли це дiйсно необхiдно.
КОРИСТУВАННЯ МЕРЕЖЕЮ IНТЕРНЕТ–
Користувачi локальної мережi компанiї повиннi мати можливiсть отримання доступу тiльки до
таких сервiсiв та ресурсiв в мережiIнтернет, якi необхiднi для здiйснення дiяльностi компанiї та
виконання службових обов’язкiв спiвробiтниками. Хоча використання мережiIнтернет в
особистих цiлях не повинно обов'язково блокуватися повнiстю, такi можливостi мають бути
обмеженi сервiсами та веб-сайтами, що, як правило, не представляють загрози безпецi. Сервiси
та вебсайти, якi створюють пiдвищений ризик проникнення шкiдливих програм на комп'ютер
або до корпоративної мережi (наприклад, сервiси обмiну файлами мiж користувачами та
66. – ЗАПРОВАДЖЕННЯ ПРАВИЛ БЕЗПЕЧНОГО

21. 31
порнографiчнi сайти), повиннi бути заблокованi. Iснують простi у використаннiiнструменти
монiторингу веб-сайтiв в мережiIнтернет, якi застосовують функцiю автоматичної категоризацiї i
регламентують надання доступу в рiзних режимах (нiколи, завжди, в певний промiжок часу, до
моменту досягнення певного обсягу трафiку i т.п.). Важливо забезпечити, щоб такi правила
використання мережiIнтернет були доведенi до вiдома всiх користувачiв в органiзацiї, а також
необхiдно передбачити механiзм розблокування бізнес веб-сайтiв, потрiбних для здiйснення
дiяльностi органiзацiї, в доступi до яких могло бути вiдмовлено.
Ризики, пов'язанiiз вiдвiдуванням шкiдливих вебсайтiв, не обмежуються загрозами атаки вiрусу
або шпигунської програми. Така дiяльнiсть також зробить компанiю бiльш вразливою для
фiшингу через зростання ризику того, що буде викрадена персональнаiнформацiя
спiвробiтника. Ще один ризик полягає у можливому порушеннi авторських прав, пов'язаному
iз незаконним копiюванням або скачуванням програмного забезпечення, вiдеоматерiалiв,
музичних файлiв, фотографiй або документiв, захищених авторським правом. Деякi браузери
також мають можливiсть iдентифiкувати шахрайськi веб-сайти за замовчуванням.
На кожному пристрої, з якого здiйснюється вихiд в Iнтернет, повинна бути встановлена
остання версiя використовуваного браузера, та користувач має засвоїти основнi поради
з виявлення пiдозрiлих веб-сайтiв, такi як:
• Перевiрте наявнiсть у веб-сайта роздiлу з контактною iнформацiєю, що мiстить адресу, номер
телефону та/або адресу електронної пошти, справжнiсть яких може бути перевiрено, а також
полiтику конфiденцiйностi.
• Перевiрте адресу переходу за гiперпосиланням шляхом наведення курсору на текст
посилання i дивлячись в лiвий нижнiй куток вiкна браузера (в бiльшостi випадкiв), де буде
вiдображено реальну адресу веб-сайту за гiперпосиланням.
• Перевiрте наявнiсть скорочення ‘https://’ на початку веб-адреси перед введенням особистої
iнформацiї.
7. – ВИКОРИСТАННЯ НАДIЙНИХ ПАРОЛIВ ТА
ЇХ ЗБЕРЕЖЕННЯ –
Паролi є головним засобом, за допомогою яких ми захищаємо нашу
iнформацiю. Таким чином, дуже важливо, щоб паролi, якi
використовуються, були "сильними". Для забезпечення цього слiд
запровадити низку правил:
▪ Кожен користувач повинен мати свiй власний
унiкальний iдентифiкатор користувача та пароль
i нiкому їх не повiдомляти.
▪ Пароль має бути довгим та/або складним з тим,
щоб його було важко вгадати, але завжди було
легко пам'ятати.
▪ Користувачi повиннi перiодично змiнювати свої паролi рекомендована перiодичнiсть –
кожнi 3 мiсяцi).

22. 31
▪ Користувачi повиннi мати рiзнi паролi для використання рiзних додаткiв.
▪ Користувачi не повиннi використовувати особистi паролi в якостiробочих i навпаки.
Доцiльно також розглянути запровадження багатофакторноїавтентифікації, якавимагаєнадання
додаткової iнформацiї, окрiм пароля, для отримання доступу, особливо коли такий доступ пов'язаний
iз пiдвищеним рiвнем ризику (наприклад, привiддаленому доступi до системи).При багатофакторнiй
автентифiкацiї компанiї можуть використовувати комбiнацiю iдентифiкуючих елементiв за таким
принципом: "те, що користувач знає" (пароль або PIN-код), "те, чим користувач користується"
(наприклад, смарт-карта або смартфон), та "те, ким користувач є" (наприклад, вiдбитки пальцiв
або результат сканування райдужної оболонки). При вирiшеннi, яку комбiнацiю слiд застосовувати,
керiвництво компанiї має враховувати нормативнi обмеження та фактор прийнятностi автентифiкацiї
за такою схемою для персонала.
8. – СТВОРЕННЯ ТА ПЕРЕВIРКА РЕЗЕРВНИХ
КОПIЙ КОРПОРАТИВНИХ ДАНИХ ТА
IНФОРМАЦIЇ –
Створення резервних копiй iнформацiї є так само критично
важливим, як i захист конфiденцiйностi та цiлiсностi даних. У випадку,
якщо iнформацiя буде вкрадена, змiнена, стерта або загублена,
наявнiсть резервної копiї буде мати вирiшальне значення.
Рекомендовано запровадити корпоративну полiтику, якою буде
визначено наступне:
▪ резервнi копiї яких саме даних будуть створюватися i яким
чином;
▪ як часто будуть створюватися резервнi копiї даних;
▪ хто буде вiдповiдальною особою за створення резервних копiй даних;
▪ де та в який спосiб будуть зберiгатися резервнi копiї даних; та
▪ хто матиме доступ до резервних копiй даних.
Ухвалюючи цi рiшення, необхiдно переконатися, що буде належним чином дотримано
правових та нормативних вимог до зберiгання iнформацiї. Разом з цим слiд мати на увазi,
що фiзичнi носiї, такi як компакт-диск, магнiтна стрiчка або жорсткий диск, якi
використовуються для зберiгання резервних копiй даних, є також вразливими. Отже,
стосовно резервних копiй має бути забезпечений такий саме рiвень захисту, як i для
оригiнальних даних, особливо в планi фiзичної безпеки, оскiльки зазначенi носiї легко

23. 31
перемiщуються. Одним з головних аспектiв управлiння резервними копiями даних є
перевiрка змiсту корпоративних даних та iнформацiї, що мiстяться в резервних файлах.
Рекомендовано запровадити практику регулярного відновлення резервних файлів з
метою встановлення ефективності, повноти та швидкості відновлення даних. У разi
користування послугами третiх сторiн для зберiгання iнформацiї (наприклад, при
використаннi "хмарних" сервiсiв), необхiдно пересвiдчитися, що такий постачальник
послуг застосовує вiдповiдне резервне копiювання згiдно iз вимогами.
9. – БАГАТОРIВНЕВИЙ ПIДХІД ДО
ЗАХИСТУ ВIД ВIРУСIВ ТА IНШИХ
ШКIДЛИВИХ ПРОГРАМ –
Беручи до уваги використання рiзних типiв обладнання i
наявнiсть користувачiв з рiзними потребами, забезпечення
ефективного захисту вiд вiрусiв, шпигунських програм та iншого
шкiдливого програмного забезпечення в межах компанiї
потребує застосування багаторiвневого пiдходу. Використання
антивiрусного програмного забезпечення є, безумовно,
обов'язковим, однак це не повинно бути єдиною лiнiєю
корпоративного захисту. Для забезпечення належного рiвня
безпеки необхiдно поєднання декiлькох методик захисту проти
комп'ютерних вiрусiв. Сумiсне застосування засобiв веб-
фiльтрацiї, антивiрусного захисту, iнструментiв попереджувального захисту вiд
шкiдливих програм i брандмауерiв, а також дотримання корпоративної полiтики в галузi
iнформацiйної безпеки та навчання користувачiв значно знижує ризик ураження
шкiдливими програмами або вiрусами. Доцiльно розглянути можливiсть використання
рiзних технологiй для здiйснення однакових функцiй (наприклад, використання рiшень
антивiрусного захисту вiд рiзних виробникiв). Крiм того, пiдтримання програмного
забезпечення захисту, компонентiв операцiйної системи i програмних додаткiв в
актуальному станi сприяє бiльш ефективному захисту систем.
10. – ПОПЕРЕДЖУЙТЕ, ВИЯВЛЯЙТЕ ТА ДIЙТЕ –
Нерiдко компанiї навiть не усвiдомлюють, що трапився iнцидент iнформацiйної безпеки. Iнколи
системи компанiї залишаються зламаними та зараженими вiрусами впродовж мiсяцiв або рокiв, перш
нiж факт зовнiшнього втручання буде виявлено4
, якщо це взагалi вiдбудеться. Компанії
слідінвестуватив запровадження комбінації системвиявлення і запобігання зовнішнім вторгненням.
При цьому ефективнiсть застосовних iнструментiв залежатиме вiд якостi їх впровадження та рiвня
пiдготовки користувачiв. У разi, коли ваша компанiя не має в своєму розпорядженнi вiдповiдних
експертiв, слiд звернутися за консультацiєю та технiчною пiдтримкою до зовнiшнiх спецiалiстiв. Разом
iз використанням ефективних сучасних технологiй, пiдтримка з боку досвiдчених фахiвцiв в галузi
кiбербезпеки є значною перевагою, оскiльки такi експерти пiдтримують партнерськi вiдносини на

24. 31
рiзних рiвнях – з представниками промислових секторiв економiки, урядовими органiзацiями та на
глобальному рiвнi: зокрема, спiвпрацюючи iз партнерами в межах таких iнiцiатив, як Всесвiтнiй
економiчний форум "Партнерство заради протистояння кiберзагрозам". Компанії мають завжди
розглядати доцiльнiсть iнформування про iнциденти iнформацiйної безпеки CERT-UA (Команда
Реагування накомп’ютерні надзвичайні події в Україні Держспецзв’язкуадреса електронної пошти:
cert@cert.gov.ua), а також Департаменту Кіберполіції Національної Поліції України
(https://www.cybercrime.gov.ua). Таке звiтування є критично важливим для встановлення того, є такий
iнцидент поодиноким чи нi. Кiбератака може бути "горизонтальною" (жертвами стають компанiй тiєї
ж галузi) або "вертикальною" (атака спрямована також на субпiдрядникiв компанiї). або атака може
являти собою загрозу безпеці, пов’язану із конкретним програмним забезпеченнямабо апаратними
засобами. Група реагування на надзвичайнi ситуацiї CERT в змозi надати певну пiдтримку та
консультацiю у зв'язку з iнцидентом, що може допомогти жертвi атаки вжити ефективних
контрзаходiв.
Органiзацiям, якi стають жертвами (кібер)злочинців, слiд також звертатися до правоохоронних
органів. Мiж тим, місцева поліція часто не спеціалізується на розслiдуваннi подiбних злочинiв i в
цiлому є органом, що протидiє "традицiйнiй" злочинностi. У випадку кiберзлочину (злом системи,
саботаж, шпигунство) рекомендовано звернутися безпосередньо до Департаменту Кіберполіції
Національної Поліції України. В разі атаки на організацію, яку віднесено до критичної інфраструктури
України, необхідно звернутися до гарячої лінії Служби Безпеки України, та CERT-UA (Команда
Реагування на комп’ютерні надзвичайні події в Україні Держспецзв’язку). Щодо випадків шпигунства,
необхідно звертатися до гарячої лінії Служби Безпеки України. Крiм того, доцiльно також звернутися
до прокуратури, оскiльки такi звернення допомагають правоохоронним органам сформулювати
краще уявлення щодо кiберзагроз для бiзнесу в Україні. У разi виникнення iнциденту безпеки i,
зокрема, якщо мова йде про кiберзлочин, вiдповiдальний IТ-персонал повинен з самого початку
забезпечити належне збереження доказiв iнциденту. Керiвнi принципи щодо збору даних
IТперсоналом у разi iнцидентiв iнформацiйної безпеки5 або в разi ураження шкiдливим ПЗ6 для цiлей
розслiдування доступнi в мережi Iнтернетi на веб-сайтi групи комп'ютерного реагування CERTEU
Євросоюзу.
4 http://www.verizonenterprise.com/DBIR/2013/ - звіт компанії Verizon щодо розслідувань інцидентів витоку даних "Verizon
2013 Data Breach Investigations Report"
5 http://cert.europa.eu/static/WhitePapers/CERT-EUSWP_12_004_v1_3.pdf
6 http://cert.europa.eu/static/WhitePapers/CERT-EU-SWP_11_003_v2.pdf

25. 31

26. 31
АНКЕТА САМООЦIНКИ РIВНЯ БЕЗПЕКИ
Наступний роздiл надає перелiк контрольних питань, надання вiдповiдей на якi допоможе керiвництву
компанiй здiйснити внутрiшнiй аналiз можливостей кiберзахисту своєї компанiї i сприятиме визначенню
актуальних завдань, що постають перед персоналом, вiдповiдальним за реалiзацiю iнiцiатив з кiберзахисту.
Вiдповiдi на питання дозволяють визначити сильнii слабкi сторони системи захисту, а також шляхи її
вдосконалення в масштабi всiєї компанiї.
Також цю анкету самооцiнки може бути використано в якостi перелiку контрольних питань компанiями, якi
тiльки розпочинають реалiзацiю iнiцiатив з iнформацiйної безпеки i бажають використати отриману
iнформацiю як основу для планування своєї системи кiберзахисту.
При наданнi вiдповiдi на кожне з питань, наведених нижче, слiд вибрати один з варiантiв, що найкраще
вiдображає iснуючу практику в компанiї. Кожен з варiантiв вiдповiдi позначений окремим кольором, де:
Найменш бажаний варiант вiдповiдi – вкрай
✘Важливо розглянути шляхи полiпшення
✔Можливе запровадження додаткових полiпшень з метою бiльш ефективного захисту компанiї
Найкращий варiант вiдповiдi, що вiдображає стiйкий захист вiд кiберзагроз. Крiм того, пiд кожним
контрольним пунктом наведенi бiльш детальнi питання, якi допоможуть визначити i задокументувати
статус базових компонентiв управлiння iнформацiйною безпекою вашої компанiї. Компанiї також можуть
застосовувати принципи та дiї, викладенi у двох попереднiх роздiлах настанови, на якi наданi посилання в
кожному контрольному пунктi, для вдосконалення своєї системи захисту.

27. АНКЕТА САМООЦIНКИ
32
ШВИДКО I ЛЕГКО
1. ВИ ЗДIЙСНЮЄТЕ ОЦIНКУ РIВНЯ
КОНФIДЕНЦIЙНОСТIIНФОРМАЦIЇ У ВАШIЙ КОМПАНIЇ?
✘ Нi, але ми використовуємо брандмауер для захисту iнформацiї вiд викрадення.
Так, ми розумiємо важливiсть нашої iнформацiї та вживаємо загальнi заходи безпеки.
✔Так, ми використовуємо модель класифiкацiї iнформацiї i знаємо, де зберiгаються та опрацьовуються
нашi конфiденцiйнi данi. Ми вживаємо заходи безпеки вiдповiдно до рiвня конфiденцiйностi iнформацiї.
2.ВИ ЗДIЙСНЮЄТЕ ОЦIНКУ РИЗИКIВ, ПОВ'ЯЗАНИХ З
IНФОРМАЦIЙНОЇ БЕЗПЕКОЮ?
✘ Ми не здiйснюємо оцiнку ризикiв.
Ми здiйснюємо оцiнку ризикiв, але не стосовно питань, пов'язаних з iнформацiйної безпекою
✔ Ми здiйснюємо оцiнку ризикiв стосовно питань, пов'язаних з iнформацiйної безпекою
Наступнi 5 питань призначенi для здiйснення певної базової перевiрки рiвня iнформацiйної безпеки для вашої компанiї.
Так Нi
Чи iдентифiкованi та класифiкованi вашi конфiденцiйнi данi?
Чи визначена вiдповiдальнiсть щодо певних важливих даних?
Чи забезпечено надiйний захист i шифрування найбiльш важливих даних?
Чи регламентоване управлiння персональними даними та найбільш цінною iнформацiєю
відповідними процедурами
Чи всi спiвробiтники в змозi iдентифiкувати i забезпечити належний захист конфiденцiйних
та не конфiденцiйних даних?
ПОСИЛАННЯ НА ВIДПОВIДНИЙ
ПРИНЦИП
МОЖЛИВI ЗАХОДИ ДЛЯ
ВДОСКОНАЛЕННЯ

28. 45
Наступнi 5 питань призначенi для здiйснення певної базової перевiрки рiвня iнформацiйної безпеки для вашої компанiї.
Чи ви усуваєте вразливості за результатами сканування, послідовно в порядку від
високого рівня ризикудо низького?
Чи iдентифiкуються подiї, якi можуть призвести до збоїв у бiзнес-процесах, та чи
здiйснюється оцiнка наслiдкiв потенцiйних збоїв?
Чи є у вашої компанiї актуальний план забезпечення безперервної роботи i
вiдновлення функцiонування, який регулярно перевiряється i оновлюється?
Чи здiйснюється регулярна оцiнка ризикiв з метою актуалiзацiї рiвня захисту, якого
потребують данi та iнформацiя?
Чи iдентифiкованi областi ризику стосовно всiх бiзнес-процесiв вашої
компанiї з метою запобiгання пошкодженню iнформацiї при обробцi або її
навмисному неналежному використанню?
3.НА ЯКОМУ РIВНI РЕАЛIЗОВАНО УПРАВЛIННЯ
IНФОРМАЦIЙНОЮ БЕЗПЕКОЮ?
✘ Управлiння iнформацiйною безпекою не здiйснюється.
Управлiння iнформацiйною безпекою здiйснюється на рiвнiIТ-вiддiлу, оскiльки саме цей пiдроздiл вiдповiдає за
безпеку даних.
✔ Управлiння iнформацiйною безпекою реалiзовано на корпоративному рiвнi з метою забезпечення
iнформацiйної безпеки в межах всiєї компанiї.
Наступнi 5 питань призначенi для здiйснення певної базової перевiрки рiвня iнформацiйної безпеки для вашої компанiї.
Так Ні
Так Нi
ПОСИЛАННЯ НА ВIДПОВIДНИЙ
ПРИНЦИП
МОЖЛИВI ЗАХОДИ ДЛЯ
ВДОСКОНАЛЕННЯ

29. 45
Чи виділяєправління компанії у бюджеті кошти на забезпечення інформаційної безпеки?
Чи є інформаційнабезпека одним з елементів поточного процесу управління ризиками з
боку керівництва?
Чизатверджена вищим керівництвом політика інформаційної безпеки компанії та чи
було її належним чином доведено до відома працівників?
Чи інформуються члениправлінняівище керівництво компанії на регулярній основі щодо
останніх змін розробокв області стандартів, процедурта керівних принципів
інформаційної безпеки?
Чи призначено принаймні одну особу зі складу керівного персоналу яквідповідальнуза
захистінформації таконфіденційність персональних даних?
4.ЧИ Є У ВАШОЇ КОМПАНIЇ РОБОЧА ГРУПА З ІНФОРМАЦIЙНОЇ БЕЗПЕКИ АБО
ПРИЗНАЧЕНА ОСОБА, ВIДПОВIДАЛЬНА ЗА IНФОРМАЦIЙНУ БЕЗПЕКУ?
✘ У нас немає робочої групи з iнформацiйної безпеки або спецiально призначених осiб, вiдповiдальних за
iнформацiйну безпеку.
У нас немає робочої групи з iнформацiйної безпеки, але призначенi особи, вiдповiдальнi за корпоративну
iнформацiйну безпеку.
✔ У нас немає робочої групи з iнформацiйної безпеки чи спецiально призначена особа, вiдповiдальна за
iнформацiйну безпеку.
Наступнi 5 питань призначенi для здiйснення певної базової перевiрки рiвня iнформацiйної безпеки для вашої компанiї.
Так Ні
Чи здійснює спеціально призначена особа, відповідальна за інформаційну безпеку,
або робоча група з інформаційної безпеки аналіз та координацію обізнаності
персоналу та чинадає допомогу керівництву впроцесі прийняттярішень?
Чи є спеціально призначена особа, відповідальна за інформаційну безпеку, або
робоча групи з інформаційної безпеки відповідальноюза аналіз та систематичне
оновлення політики інформаційноїбезпекинаосновісуттєвих змінабоінцидентів?
Чи достатньо інформована та чи має достатні повноваження спеціально призначена
особа, відповідальна за інформаційну безпеку, або робоча групи з інформаційної
безпеки щоб втручатисяв процес реалізації будь-якої ініціативи, пов'язаною з
інформацієюкомпанії?
Чи призначені різніадміністратори, які відповідають заокремі видиданих?
Чи здійснюється незалежниморганом регулярний аналіз ефективності та
дотриманняполітикиінформаційної безпеки, а також аналіз ефективності діяльності
робочої групи з інформаційної безпеки?