# Про затвердження Вимог до організаційно-технічної спроможності національної команди реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UА), галузевих та регіональних команд реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) **Тип:** Адміністрація Держспецзв’язку **Видавник:** Адміністрація Державної служби спеціального зв'язку та захисту інформації України **Номер:** z0316-26 **Прийнято:** 2026-02-03 **Чинна редакція від:** 2026-02-03 **Стан:** in_force **Rada ID:** `z0316-26` --- > АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ > > НАКАЗ > > 03.02.2026  № 87 > > Зареєстровано в Міністерстві > > юстиції України > > 09 березня 2026 року > > за № 316/45710 > > Про затвердження Вимог до організаційно-технічної спроможності національної команди реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UА), галузевих та регіональних команд реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) > > Відповідно до [абзацу третього](rada:3475-15) пункту 112 частини першої статті 14 Закону України «Про Державну службу спеціального зв’язку та захисту інформації України», [пункту 1](rada:2163-19) частини другої статті 8, [пункту 2](rada:2163-19) частини третьої статті 9 Закону України «Про основні засади забезпечення кібербезпеки України», [підпункту 95](rada:411-2014-%D0%BF)[-41](rada:411-2014-%D0%BF) пункту 4, [пункту 10](rada:411-2014-%D0%BF) Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, [пункту 7](rada:1533-2025-%D0%BF) Національного плану реагування на кіберінциденти, кібератаки та кіберзагрози, затвердженого постановою Кабінету Міністрів України від 26 листопада 2025 року № 1533, > > НАКАЗУЮ: > > **1.** Затвердити Вимоги до організаційно-технічної спроможності національної команди реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UА), галузевих та регіональних команд реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT), що додаються. > > **2.** Департаменту кіберзахисту Адміністрації Державної служби спеціального зв’язку та захисту інформації України забезпечити в установленому порядку подання цього наказу на державну реєстрацію до Міністерства юстиції України. > > **3.** Цей наказ набирає чинності з дня його офіційного опублікування. > > Голова Служби > > Олександр ПОТІЙ > > ПОГОДЖЕНО: > > > Голова Національного банку України > > > Керівник Апарату > > Ради національної безпеки і оборони України > > > Т.в.о. Голови Служби безпеки України > > > Міністр оборони України > > > Голова Національної поліції України > > Андрій ПИШНИЙ > > > > Анатолій БАРГИЛЕВИЧ > > > Євгеній ХМАРА > > > Михайло ФЕДОРОВ > > > Іван ВИГІВСЬКИЙ > > ЗАТВЕРДЖЕНО > > Наказ Адміністрації Державної > > служби спеціального зв’язку > > та захисту інформації України > > 03 лютого 2026 року № 87 > > Зареєстровано в Міністерстві > > юстиції України > > 09 березня 2026 року > > за № 316/45710 > > Вимоги > > до організаційно-технічної спроможності національної команди реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UА), галузевих та регіональних команд реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) > > I. Загальні положення > > **1.** Ці Вимоги визначають рівні зрілості організаційно-технічної спроможності національної команди реагування на кіберінциденти, кібератаки, кіберзагрози (CERT-UА) (далі — національна команда реагування), галузевих та регіональних команд реагування на кіберінциденти, кібератаки, кіберзагрози (CSIRT) (далі — команда реагування). > > **2.** У цих Вимогах терміни вживаються в такому значенні: > > користувачі — суб’єкти забезпечення кібербезпеки, яким надають сервіси у зв’язку з реагуванням та рекомендації з реагування на кіберінциденти, кібератаки, кіберзагрози; > > параметри — характеристики, що стосуються організації та функціонування команд реагування; > > рівні зрілості організаційно-технічної спроможності команди реагування (рівні зрілості) — стандартизована оцінка організаційно-технічних спроможностей команди реагування. > > **3.** Інші терміни вживаються у значенні, наведеному в Законах України [«Про захист інформації в інформаційно-комунікаційних системах»](rada:80/94-%D0%B2%D1%80), [«Про електронні комунікації»](rada:1089-20), [«Про основні засади забезпечення кібербезпеки України»](rada:2163-19), [Національному плані реагування на кіберінциденти, кібератаки та кіберзагрози](rada:1533-2025-%D0%BF), затвердженому постановою Кабінету Міністрів України від 26 листопада 2025 року № 1533. > > **4.** Рівень зрілості організаційно-технічної спроможності команди реагування визначається за сорока п’ятьма параметрами, наведеними у розділі II цих Вимог. > > **5.** Параметри розділені на такі чотири категорії: > > Організаційні (O) параметри; > > Параметри персоналу (H); > > Параметри інструментів (T); > > Параметри процесів (P). > > **6.** Кожний параметр вимірюється за шкалою від «0» до «4» у повному обсязі або частково: > > - **1)** значення «0» (недоступно / невизначено / невідомо): персонал не дотримується вимог або виконує частину вимог; документів, які визначають процеси, процедури, вимоги до виконання завдання, немає; в окремих випадках команда реагування керується затвердженими нормативно-правовими актами; > > - **2)** значення «1» (неявно): персонал частково знає та розуміє вимоги до виконання завдань та виконує їх; документів, які визначають процеси, процедури, вимоги до виконання завдань, немає; в окремих випадках команда реагування керується затвердженими нормативно-правовими актами; > > - **3)** значення «2» (явно, внутрішньо): персонал знає та розуміє вимоги до виконання завдань та виконує їх; команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування; в окремих випадках команда реагування керується затвердженими нормативно-правовими актами; > > - **4)** значення «3» (явно, визначено органом державної влади або органом місцевого самоврядування, який створив команду реагування (далі — орган)): персонал знає та розуміє вимоги до виконання завдань та виконує їх; документи, які визначають процеси, процедури, вимоги до виконання завдань, визначені органом; > > - **5)** значення «4» (явно, на регулярній основі активно оцінюється за участі керівництва команди реагування та/або керівництва органу): персонал знає та розуміє вимоги до виконання завдань та виконує їх; документи, які визначають процеси, процедури, вимоги до виконання завдань, визначені органом; визначені процеси, процедури, вимоги до виконання завдань перевіряються та переглядаються. > > II. Опис параметрів організаційно-технічної спроможності та характеристика їх значень > > **1.** Категорія: Організаційні (O) параметри > > Організаційні (O) параметри стосуються характеристик, які описують повноваження, сферу відповідальності, структуру та інші характеристики організаційної діяльності та надання сервісів команди реагування, а саме: > > **1.** O-1 Повноваження. > > Опис: команда реагування повинна діяти на підставі затверджених повноважень. Сукупність таких повноважень визначає її правовий статус, мету, завдання та сферу відповідальності. Повноваження команди реагування визначаються органом відповідно до вимог законодавства. > > Чи визначено повноваження команди реагування? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «3» — повноваження команди реагування визначено органом відповідно до вимог законодавства; > > «4» — повноваження команди реагування визначено органом відповідно до вимог законодавства. Під час періодичного аудиту команди реагування відповідно до вимог пункту 8 глави 4 розділу ІІ цих Вимог (далі — періодичний аудит) перевіряється дотримання визначених повно-важень; > > **2.** O-2 Сфера відповідальності. > > Опис: сфера відповідальності команди реагування визначає цільову групу користувачів, для якої надаються сервіси. Сферою відповідальності команди реагування може бути галузь або сектор економіки, регіон, частина країни або вся країна. > > Чи визначено сферу відповідальності команди реагування? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «3» — сфера відповідальності команди реагування визначена органом відповідно до вимог законодавства; > > «4» — сфера відповідальності команди реагування визначена органом відповідно до вимог законодавства. Під час періодичного аудиту команди реагування перевіряється дотримання визначеної сфери відповідальності; > > **3.** O-3 Компетенція. > > Опис: компетенція команди реагування визначає, що дозволено робити щодо сфери відповідальності, щоб команда реагування могла виконувати визначені повноваження. Компетенція — повноваження, які надані команді реагування для виконання завдань. Команда реагування повинна мати чітко визначений опис своїх компетенцій, який може слугувати підтримкою, особливо у кризових ситуаціях. Компетенцію національної команди реагування або інших команд реагування визначено відповідно до вимог законодавства, зокрема, нормативно-правових актів компетентних органів. > > Чи визначено компетенцію команди реагування? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «3» — компетенція команди реагування визначена органом відповідно до вимог законодавства; > > «4» — компетенція команди реагування визначена органом, відповідно до вимог законодавства. Під час періодичного аудиту команди реагування перевіряється дотримання компетенції та її достатність для виконання визначених обов’язків; > > **4.** O-4 Обов’язки. > > Опис: обов’язки команди реагування визначають сукупність функцій та завдань, покладених на неї для досягнення визначених цілей. Вони формують загальну концепцію діяльності, яка деталізується через конкретний перелік сервісів, що надаються командою реагування. > > Чи визначено обов’язки команди реагування? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «3» — обов’язки команди реагування визначені органом відповідно до вимог законодавства; > > «4» — обов’язки команди реагування визначені органом відповідно до вимог законодавства. Під час періодичного аудиту команди реагування перевіряється виконання її обов’язків; > > **5.** O-5 Опис сервісів. > > Опис: команда реагування визначає перелік сервісів та їх опис, які може надавати користувачам, та публікує на власному офіційному вебсайті або на сайті органу. > > Чи визначено чіткий опис сервісів команди реагування? > > Характеристика значень: > > «0» — команда реагування не визначила перелік сервісів та їх опис; > > «3» — опис сервісів команди реагування визначено органом та опубліковано; > > «4» — опис сервісів команди реагування визначено органом та опубліковано. Під час періодичного аудиту команди реагування перевіряється надання визначених сервісів; > > **6.** O-6 Політика взаємодії із медіа. > > Опис: команда реагування повинна вміти взаємодіяти із медіа. Така взаємодія може відбуватися самостійно або разом із пресслужбою. Політика взаємодії команди реагування із медіа має визначати різні медіа та особливості взаємодії з ними щодо різних кіберінцидентів. > > Чи визначено політику взаємодії із медіа? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами під час взаємодії з медіа; > > «2» — команда реагування взаємодіє із медіа відповідно до визначеної органом політики взаємодії із медіа, що є загальною для всіх підрозділів органу; > > «3» — політику взаємодії команди реагування із медіа визначено органом; > > «4» — політику взаємодії команди реагування із медіа визначено органом. Під час періодичного аудиту команди реагування перевіряється дотримання визначеної політики взаємодії команди реагування із медіа; > > **7.** O-7 Рівні надання сервісів. > > Опис: рівні надання сервісів забезпечують прозорість, передбачуваність та належну якість сервісів для користувачів у межах визначеної сфери відповідальності команди реагування. Орган визначає рівні надання для кожного сервісу зі свого переліку. > > Чи визначено рівні надання сервісів команди реагування? > > Характеристика значень: > > «0» — команда реагування не визначила рівнів надання сервісів; > > «3» — рівні надання сервісів визначено органом; > > «4» — рівні надання сервісів визначено органом. Під час періодичного аудиту команди реагування перевіряється дотримання визначених рівнів надання сервісів; > > **8.** O-8 Класифікація кіберінцидентів. > > Опис: класифікація кіберінцидентів має визначати категорії та/або типи кіберінцидентів, та може включати критичність кіберінцидентів. Класифікація кіберінцидентів застосовується до всіх зареєстрованих командою реагування кіберінцидентів. > > Чи визначено класифікацію кіберінцидентів? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами для класифікації кіберінцидентів; > > «2» — команда реагування керується чинними нормативно-правовими актами для класифікації кіберінцидентів та дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо класифікації кіберінцидентів; > > «3» — класифікація кіберінцидентів визначена органом; > > «4» — класифікація кіберінцидентів визначена органом. Під час періодичного аудиту команди реагування перевіряється дотримання визначеної класифікації кіберінцидентів при реагуванні на кіберінциденти; > > **9.** O-9 Взаємодія з іншими командами реагування. > > Опис: для ефективного виконання визначених завдань і належного надання сервісів команда реагування має взаємодіяти з іншими галузевими та регіональними командами реагування, національною командою реагування або іноземними та міжнародними організаціями з питань реагування на кіберінциденти, кібератаки, кіберзагрози. Така взаємодія може здійснюватися безпосередньо командою реагування або через національну команду реагування. > > Чи взаємодіє команда реагування з іншими командами реагування? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами для взаємодії з іншими командами реагування; > > «3» — взаємодія з іншими командами реагування визначена відповідно до [Порядку взаємодії суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози із суб’єктами забезпечення кібербезпеки, правоохоронними, контррозвідувальними, розвідувальними органами та суб’єктами оперативно-розшукової діяльності](rada:1471-2025-%D0%BF), затвердженого постановою Кабінету Міністрів України від 13 листопада 2025 року № 1471; > > «4» — взаємодія з іншими командами реагування визначена відповідно до [Порядку взаємодії суб’єктів національної системи реагування на кіберінциденти, кібератаки, кіберзагрози із суб’єктами забезпечення кібербезпеки, правоохоронними, контррозвідувальними, розвідувальними органами та суб’єктами оперативно-розшукової діяльності](rada:1471-2025-%D0%BF), затвердженого постановою Кабінету Міністрів України від 13 листопада 2025 року № 1471. Під час періодичного аудиту команди реагування перевіряється періодичність та ефективність взаємодії з іншими командами реагування; > > **10.** O-10 Організаційно-правові засади діяльності. > > Опис: організаційно-правові засади діяльності встановлюють фундаментальні основи функціонування та управління командою реагування. Організаційно-правові засади діяльності описуються в одному документі або як сукупність взаємопов’язаних документів, що охоплюють всі необхідні питання. Організаційно-правові засади діяльності включає параметри від O-1 до O-9 та інші у разі потреби. > > Чи визначено організаційно-правові засади діяльності команди реагування? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «3» — організаційно-правові засади діяльності визначені органом відповідно до вимог законодавства; > > «4» — організаційно-правові засади діяльності визначені органом відповідно до вимог законодавства. Під час періодичного аудиту команди реагування перевіряється актуальність та ефективність визначених організаційно-правових засад діяльності команди реагування; > > **11.** O-11 Політика безпеки. > > Опис: команда реагування має дотримуватися власної політики безпеки або політики безпеки, визначеної органом. Політика безпеки охоплює інформаційну та кібербезпеку, фізичну безпеку та заходи із забезпечення безперервності діяльності. > > Чи дотримується команда встановленої політики безпеки? > > Характеристика значень: > > «0» — команда реагування не має політики безпеки; > > «2» — команда реагування керується чинними нормативно-правовими актами, що визначають політики безпеки; > > «3» — політика безпеки визначена органом; > > «4» — політика безпеки визначена органом. Під час періодичного аудиту команди реагування перевіряється актуальність політики безпеки та її дотримання. > > **2.** Категорія: Параметри персоналу (H) > > Параметри персоналу (H) стосуються характеристик, які пов’язані з організацією роботи персоналу команди реагування та навичками, які повинен мати персонал, а саме: > > **1.** H-1 Правила професійної поведінки та етики. > > Опис: члени команди реагування дотримуються правил професійної поведінки та етики для забезпечення найвищого рівня довіри, конфіденційності та професіоналізму. Правила поширюються на професійну діяльність керівництва та персоналу команди реагування, а також на їхню поведінку поза робочим часом у випадках, що стосуються інформаційної та кібербезпеки, а також можуть вплинути на репутацію команди реагування або зацікавлених сторін. Правила мають ґрунтуватися на таких ключових принципах, як конфіденційність, доброчесність, об’єктивність, професійна компетентність та відповідальність. > > Чи дотримується команда реагування правил професійної поведінки та етики? > > Характеристика значень: > > «0» — команда реагування не дотримується правил професійної поведінки та етики; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо професійної поведінки та етики; > > «3» — команда реагування дотримується правил професійної поведінки та етики, визначених органом; > > «4» — команда реагування дотримується правил професійної поведінки та етики, визначених органом. Під час періодичного аудиту команди реагування перевіряється актуальність правил професійної поведінки та етики, а також їх дотримання; > > **2.** H-2 Операційна стійкість персоналу. > > Опис: операційна стійкість персоналу визначається як здатність команди реагування забезпечувати безперервне виконання своїх завдань за умов планової або непередбачуваної відсутності персоналу (наприклад, через хворобу, відпустку, звільнення). Керівництво команди реагування зобов’язане вживати організаційних та адміністративних заходів для підтримки операційної стійкості персоналу на рівні, достатньому для виконання покладених на команду реагування завдань, особливо в кризових ситуаціях. Мінімальна штатна чисельність команди реагування — три співробітники, що можуть бути залучені на умовах повної або часткової зайнятості. Штатна чисельність команди реагування повинна визначатися з урахуванням опису сервісів (О-5), що надаються, та встановлених рівнів їх надання (O-7). > > Чи дотримується команда реагування вимог до операційної стійкості персоналу? > > Характеристика значень: > > «0» — штатна чисельність команди реагування — три співробітники; > > «2» — штатна чисельність команди реагування — більше трьох співробітників, що дозволяє дотримуватися загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо операційної стійкості персоналу; > > «3» — вимоги до операційної стійкості персоналу визначені органом. Штатна чисельність команди реагування визначена з урахуванням опису сервісів (О-5), що надаються, та встановлених рівнів їх надання (O-7); > > «4» — штатна чисельність команди реагування дозволяє забезпечити цілодобове надання сервісів. Вимоги до операційної стійкості персоналу визначені органом. Під час періодичного аудиту команди реагування перевіряється актуальність визначених вимог до операційної стійкості персоналу та їх дотримання; > > **3.** H-3 Опис професійних компетенцій. > > Опис: опис професійних компетенцій визначає перелік професійних компетенцій, необхідних для виконання посадових обов’язків членів команди реагування. Усі посади повинні бути визначені та містити опис вимог до компетенцій членів команди реагування. Опис має включати: технічні навички, знання, уміння, відповідальність та навички комунікації. > > Чи визначено опис професійних компетенцій членів команди реагування? > > Характеристика значень: > > «0» — команда реагування не визначила опис професійних компетенцій; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо професійної компетенції; > > «3» — опис професійних компетенцій визначені органом; > > «4» — опис професійних компетенцій визначені органом. Під час періодичного аудиту команди реагування перевіряється актуальність визначених вимоги до професійних компетенцій для виконання визначених перед командою реагування завдань; > > **4.** H-4 Професійний розвиток персоналу. > > Опис: команда реагування сприяє професійному розвитку персоналу, навчанню нових членів команди реагування та підвищенню кваліфікації наявних. Професійний розвиток персоналу включає: план навчання для нових членів команди реагування, індивідуальні плани професійного розвитку, перелік навчальних програм для наявних членів команди реагування, заходи з формування командної взаємодії, освітні програми. Професійний розвиток повинен надавати можливість як новим, так і наявним членам команди реагування вдосконалювати свої навички та досягати цільових показників, визначених в описі професійних компетенцій (H-3) для відповідної посади. > > Чи визначено політику професійного розвиток персоналу? > > Характеристика значень: > > «0» — команда реагування не визначила політику професійного розвиток персоналу та не забезпечує професійний розвиток персоналу; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо професійного розвитку персоналу; > > «3» — політика професійного розвиток персоналу визначена органом; > > «4» — політика професійного розвиток персоналу визначена органом. Під час періодичного аудиту команди реагування перевіряється дотримання вимог затвердженої політики професійного розвиток персоналу та її актуальність для досягнення цільових показників, визначених в описі професійних компетенцій (H-3) для відповідної посади; > > **5.** H-5 Розвиток технічних навичок. > > Опис: команда реагування повинна визначити та забезпечити дотримання програми внутрішніх та/або зовнішніх навчальних заходів, спрямованих на вдосконалення технічних навичок членів команди реагування, з метою досягнення цільових показників, визначених в описі професійних компетенцій (H-3) для відповідної посади. Навчальні заходи мають охоплювати вивчення нових тем і технологій, майбутніх напрямів у сфері кібербезпеки та поглиблене вивчення існуючих технологій. > > Чи визначено політику розвитку технічних навичок? > > Характеристика значень: > > «0» — команда реагування не забезпечує розвиток технічних навичок персоналу; > > «1» — команда реагування не забезпечує розвиток технічних навичок персоналу. Члени команди реагування самостійно (за власної ініціативи) проходять навчання технічним навичкам; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо розвитку технічних навичок персоналу; > > «3» — політика розвитку технічних навичок визначена органом; > > «4» — політика розвитку технічних навичок визначена органом. Під час періодичного аудиту команди реагування перевіряється дотримання вимог затвердженої політики розвитку технічних навичок та її актуальність для досягнення цільових показників, визначених в описі професійних компетенцій (H-3) для відповідної посади; > > **6.** H-6 Розвиток навичок з комунікації та взаємодії. > > Опис: команда реагування повинна визначити та забезпечити дотримання програм внутрішніх та/або зовнішніх навчальних заходів, спрямованих на вдосконалення навичок з комунікації та взаємодії членів команди реагування, з метою досягнення цільових показників, визначених в описі професійних компетенцій (H-3) для відповідної посади. Навчальні заходи спрямовані на розвиток таких якостей, як здатність до командної роботи, управління часом, стійкість до стресу, комунікація та взаємодія в кризових ситуаціях. Навички з комунікації необхідні для ефективної взаємодії з користувачами, колегами, керівництвом, партнерами, органами державної влади України, іноземними державами, їх правоохоронними органами і спеціальними службами, а також міжнародними організаціями, а в окремих випадках — з медіа. > > Чи визначено політику розвитку навичок з комунікації та взаємодії? > > Характеристика значень: > > «0» — команда реагування не забезпечує розвиток навичок з комунікації та взаємодії; > > «1» — команда реагування не забезпечує розвиток навичок з комунікації та взаємодії. Члени команди реагування самостійно (за власної ініціативи) проходять навчання з розвитку навичок з комунікації та взаємодії; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо розвитку навичок з комунікації та взаємодії; > > «3» — політика розвитку навичок з комунікації та взаємодії визначена органом; > > «4» — політика розвитку навичок з комунікації та взаємодії визначена органом. Під час періодичного аудиту команди реагування перевіряється дотримання вимог затвердженої політики розвитку навичок з комунікації та взаємодії, її актуальність для досягнення цільових показників, визначених в описі професійних компетенцій (H-3) для відповідної посади; > > **7.** H-7 Зовнішня взаємодія та професійні зв’язки. > > Опис: команда реагування організовує участь членів команди реагування у заходах і зустрічах з представниками інших команд реагування та сприяє розвитку взаємодії з іншими командами реагування за наявності можливостей. Зовнішня взаємодія та професійні зв’язки сприяють співпраці з іншими командами реагування або іноземними та міжнародними організаціями з питань реагування на кіберінциденти, кібератаки, кіберзагрози та є необхідною умовою успішного розвитку та загальної ефективності спільноти команд реагування. > > Чи визначено політику щодо зовнішньої взаємодії та професійних зв’язків? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування керується чинними нормативно-правовими актами. Команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо зовнішньої взаємодії та професійних зв’язків; > > «3» — політика зовнішньої взаємодії та професійних зв’язків визначена органом; > > «4» — політика зовнішньої взаємодії та професійних зв’язків визначена органом. Під час періодичного аудиту команди реагування перевіряється періодичність і ефективність зовнішньої взаємодії та професійних зв’язків. > > **3.** Категорія: Параметри інструментів (T) > > Параметри інструментів (T) стосуються інструментарію та технологій, які використовує команда реагування для виконання завдань та надання сервісів своїм користувачам, а саме: > > **1.** Т-1 ІТ-активи та їх конфігурації. > > Опис: команда реагування веде актуальний перелік ІТ-активів (зокрема апаратне та програмне забезпечення) та їх конфігурацій, що використовуються користувачами у сфері відповідальності (O-2) команди реагування, з метою надання командою реагування цільових рекомендацій. Деякі користувачів ведуть власний перелік ІТ-активів та їх конфігурацій, у таких випадках команда реагування повинна мати до нього доступ. Альтернативним рішенням є накопичення інформації лише щодо найбільш критичних ІТ-активів користувачів. Для національної команд реагування особливу увагу необхідно приділяти ІТ-активам критичної інфраструктури та критичної інформаційної інфраструктури. > > Чи веде команда реагування або має доступ до переліку ІТ-активів та їх конфігурацій, що використовуються користувачами в її сфері відповідальності? > > Характеристика значень: > > «0» — команда реагування не веде перелік ІТ-активів користувачів та не має доступу до переліків ІТ-активів користувачів; > > «1» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо ведення переліку ІТ-активів користувачів або має доступ до переліків ІТ-активів користувачів; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо ведення переліку ІТ-активів користувачів та їх конфігурацій, який регулярно оновлюється, або має доступ до переліків ІТ-активів користувачів та їх конфігурацій, які регулярно оновлюються; > > «3» — перелік ІТ-активів користувачів та їх конфігурацій, який регулярно оновлюється, визначений органом або користувачі визначили перелік ІТ-активів та їх конфігурацій, який регулярно оновлюється, до яких команда реагування має доступ; > > «4» — перелік ІТ-активів користувачів та їх конфігурацій, який регулярно оновлюється, визначений органом або користувачі визначили перелік ІТ-активів та їх конфігурацій, який регулярно оновлюється, до яких команда реагування має доступ. Під час періодичного аудиту команди реагування перевіряється актуальність переліку ІТ-активів та їх конфігурацій, та ефективність його використання; > > **2.** Т-2 Перелік джерел інформації. > > Опис: команда реагування визначає джерела, з яких отримує інформацію про кіберінциденти, кібератаки, кіберзагрози на національному, галузевому, регіональному рівнях, динамічний аналіз ризиків та ситуаційної обізнаності. Складовою діяльності команди реагування є щоденний моніторинг усіх релевантних джерел інформації, що необхідно для постійного коригування операційної діяльності команди реагування, а також своєчасного та ефективного реагування на поточні події. Перелік джерел інформації потребує регулярної актуалізації. > > Чи визначено перелік джерел інформації? > > Характеристика значень: > > «0» — команда реагування не має переліку джерел інформації та не проводить моніторинг джерел інформації; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо визначення переліку джерел інформації та їх моніторингу; > > «3» — перелік джерел інформації визначений органом. Команда реагування проводить моніторинг джерел інформації; > > «4» — перелік джерел інформації визначено органом. Команда реагування проводить моніторинг джерел інформації. Під час періодичного аудиту команди реагування перевіряється актуальність переліку джерел інформації та ефективність його використання; > > **3.** Т-3 Об’єднані системи обміну повідомленнями. > > Опис: для ефективної обробки кіберінцидентів команда реагування повинна організувати безперервний обмін інформацією між членами команди реагування, в тому числі у позаробочий час. Необхідно забезпечити належне отримання повідомлень про кіберінциденти та комунікацію з іншими командами реагування. Команда реагування повинна мати стійкі до відмов, високоякісні, об’єднані системи обміну повідомленнями, з належними засобами резервного копіювання або як захищені хмарні рішення, до яких мають доступ усі члени команди реагування. Необхідно враховувати рівень безпеки таких систем та використовувати надійне шифрування для захисту конфіденційних даних. > > Чи використовує команда реагування об’єднані системи обміну повідомленнями? > > Характеристика значень: > > «0» — команда реагування використовує системи обміну повідомленнями але вони не є об’єднаними; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо використання об’єднаних систем обміну повідомленнями; > > «3» — об’єднані системи обміну повідомленнями, які використовує команда реагування, визначені органом; > > «4» — об’єднані системи обміну повідомленнями, які використовує команда реагування, визначені органом. Під час періодичного аудиту команди реагування перевіряється ефективність використання визначених об’єднаних систем обміну повідомленнями; > > **4.** Т-4 Система обліку та відстеження кіберінцидентів. > > Опис: для реєстрації кіберінцидентів і відстеження етапів їх обробки команда реагування використовує систему реєстрації запитів («тікет-система») або програмне забезпечення для управління робочими процесами. Команда реагування може використовувати власні спеціалізовані системи обліку та відстеження кіберінцидентів, зокрема рішення з відкритим кодом. > > Чи використовує команда реагування систему обліку та відстеження кіберінцидентів? > > Характеристика значень: > > «0» — команда реагування не використовує систему обліку та відстеження кіберінцидентів; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо використання системи обліку та відстеження кіберінцидентів; > > «3» — система обліку та відстеження кіберінцидентів, яку використовує команда реагування, визначена органом; > > «4» — система обліку та відстеження кіберінцидентів, яку використовує команда реагування, визначена органом. Під час періодичного аудиту команди реагування перевіряється ефективність використання визначеної системи обліку та відстеження кіберінцидентів; > > **5.** Т-5 Стійкість послуг голосової електронної комунікації. > > Опис: команда реагування використовує послуги голосової електронної комунікації, які відповідають або перевищують показники безвідмовної роботи (uptime) та часу на відновлення (time-to-fix), встановлені вимогами до рівнів надання сервісів (O-7). Послуги голосової електронної комунікації охоплюють телефонні дзвінки (мобільні та фіксовані), голосові дзвінки через месенджери, відеодзвінки та інше. Команда реагування використовує резервний механізм на випадок збоїв у роботі послуг голосової електронної комунікації. > > Чи використовує команда реагування послуги голосової електронної комунікації і чи є вони достатньо стійкими для цілей команди реагування? > > Характеристика значень: > > «0» — команда реагування не забезпечує стійкість послуг голосової електронної комунікації; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо використання резервного механізму на випадок збоїв у роботі послуг голосової електронної комунікації; > > «3» — резервний механізм на випадок збоїв у роботі послуг голосової електронної комунікації, який використовує команда реагування, визначений органом; > > «4» — резервний механізм на випадок збоїв у роботі послуг голосової електронної комунікації, який використовує команда реагування, визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність використання резервного механізму на випадок збоїв у роботі послуг голосової електронної комунікації; > > **6.** Т-6 Стійкість систем обміну повідомленнями. > > Опис: команда реагування використовує системи обміну повідомленнями, які відповідають або перевищують показники безвідмовної роботи (uptime) та часу на відновлення (time-to-fix), встановлені вимогами до рівнів надання сервісів (O-7). Системи обміну повідомленнями охоплюють електронну пошту, месенджери та інше. Команда реагування використовує резервний механізм на випадок збоїв у роботі систем обміну повідомленнями. > > Чи використовує команда реагування системи обміну повідомленнями і чи є вони достатньо стійкими для цілей команди реагування? > > Характеристика значень: > > «0» — команда реагування не забезпечує стійкість систем обміну повідомленнями; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо використання стійких систем обміну повідомленнями; > > «3» — стійкі системи обміну повідомленнями, які використовує команда реагування, визначені органом; > > «4» — стійкі системи обміну повідомленнями, які використовує команда реагування, визначені органом. Під час періодичного аудиту команди реагування перевіряється стійкість систем обміну повідомленнями; > > **7.** Т-7 Стійкість доступу до мережі Інтернет. > > Опис: команда реагування використовує канали доступу до мережі Інтернет, які відповідають або перевищують показники безвідмовної роботи (uptime) та часу на відновлення (time-to-fix), встановлені вимогами до рівнів надання сервісів (O-7). Команда реагування використовує резервний канал доступ до мережі Інтернет на випадок збоїв; > > Чи використовує команда реагування надійні канали доступ до мережі Інтернет і чи є вони достатньо стійкими для цілей команди реагування? > > Характеристика значень: > > «0» — команда реагування не забезпечує стійкість доступу до мережі Інтернет; > > «2» — команда реагування отримує доступ до мережі Інтернет через постачальників електронних комунікаційних мереж та/або послуг, які мають захищені вузли доступу до мережі Інтернет, або через систему захищеного доступу до мережі Інтернет органу; > > «3» — команда реагування отримує доступ до мережі Інтернет через два незалежних канали від постачальників електронних комунікаційних мереж та/або послуг, які мають захищені вузли доступу до мережі Інтернет, або через системи захищеного доступу до мережі Інтернет органу; > > «4» — команда реагування отримує доступ до мережі Інтернет через два незалежних канали від постачальників електронних комунікаційних мереж та/або послуг, які мають захищені вузли доступу до мережі Інтернет, або через системи захищеного доступу до мережі Інтернет органу. Під час періодичного аудиту команди реагування перевіряється стійкість доступу до мережі Інтернет; > > **8.** Т-8 Інструменти для запобігання кіберінцидентам. > > Опис: команда реагування використовує інструменти для запобігання кіберінцидентам або має доступ до їх даних у межах сфери відповідальності (O-2). Команда реагування визначає перелік інструментів для запобігання кіберінцидентам та свою роль щодо кожного з цих інструментів. Приклади інструментів для запобігання кіберінцидентам: системи запобігання вторгненням, антивірусне програмне забезпечення, спам-фільтри або сканери вразливостей. > > Чи визначено перелік інструментів для запобігання кіберінцидентам та роль команди реагування щодо їх використання? > > Характеристика значень: > > «0» — команда реагування не використовує інструменти для запобігання кіберінцидентам; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо використання інструментів для запобігання кіберінцидентам; > > «3» — перелік інструментів для запобігання кіберінцидентам, які використовує команда реагування, а також роль команди реагування щодо їх використання, визначені органом; > > «4» — перелік інструментів для запобігання кіберінцидентам, які використовує команда реагування, а також роль команди реагування щодо їх використання, визначені органом. Під час періодичного аудиту команди реагування перевіряється ефективність інструментів для запобігання кіберінцидентам, які використовує команда реагування; > > **9.** Т-9 Інструменти для виявлення кіберінцидентів. > > Опис: команда реагування використовує інструменти для виявлення кіберінцидентів або має доступ до їх даних у межах сфери відповідальності (O-2). Команда реагування визначає перелік інструментів для виявлення кіберінцидентів та свою роль щодо кожного з цих інструментів. Приклади інструментів для виявлення кіберінцидентів: системи виявлення вторгнень, карантинні мережі, аналіз мережевих потоків. > > Чи визначено перелік інструментів для виявлення кіберінцидентів та роль команди реагування щодо їх використання? > > Характеристика значень: > > «0» — команда реагування не використовує інструменти для виявлення кіберінцидентів; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо використання інструментів для виявлення кіберінцидентів; > > «3» — перелік інструментів для виявлення кіберінцидентів, які використовує команда реагування, а також роль команди реагування щодо їх використання, визначені органом; > > «4» — перелік інструментів для виявлення кіберінцидентів, які використовує команда реагування, а також роль команди реагування щодо їх використання, визначені органом. Під час періодичного аудиту команди реагування перевіряється ефективність інструментів для виявлення кіберінцидентів, які використовує команда реагування; > > **10.** Т-10 Інструменти для реагування на кіберінциденти та усунення наслідків. > > Опис: команда реагування використовує інструменти для реагування на кіберінциденти та усунення наслідків або має доступ до їх даних у межах сфери відповідальності (O-2). Команда реагування визначає перелік інструментів для реагування на кіберінциденти та усунення наслідків та свою роль щодо кожного з цих інструментів. Приклади інструментів для реагування на кіберінциденти та усунення наслідків: програмне забезпечення для аналізу шкідливого програмного забезпечення, здійснення зворотного інжинірингу, декомпіляції, дизасемблювання, відтворення в тестовому середовищі. > > Чи визначено перелік інструментів для реагування на кіберінциденти та усунення наслідків, а також роль команди реагування щодо їх використання? > > Характеристика значень: > > «0» — команда реагування не використовує інструменти для реагування на кіберінциденти та усунення наслідків; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо використання інструментів для реагування на кіберінциденти та усунення наслідків; > > «3» — перелік інструментів для реагування на кіберінциденти та усунення наслідків, які використовує команда реагування, а також роль команди реагування щодо їх використання, визначені органом; > > «4» — перелік інструментів для реагування на кіберінциденти та усунення наслідків, які використовує команда реагування, а також роль команди реагування щодо їх використання, визначені органом. Під час періодичного аудиту команди реагування перевіряється ефективність інструментів для реагування на кіберінциденти та усунення наслідків, які використовує команда реагування. > > **4.** Категорія: Параметри процесів (P) > > Параметри процесів (P) стосуються процесів, які повинні бути організовані командою реагування для виконання завдань та надання сервісів своїм користувачам, а саме: > > **1.** Р-1 процес залучення керівництва користувачів та/або органу до реагування на значні кіберінциденти. > > Опис: для реагування на значні кіберінциденти команда реагування може залучати керівництво користувачів у межах сфери відповідальності (O-2) та/або органу. Процес залучення вищого керівництва користувачів та/або органу до реагування на значні кіберінциденти повинен бути визначений відповідно до класифікації кіберінцидентів (O-8), що дозволяє логічно обґрунтовувати такі дії, наприклад, на основі рівня критичності кіберінцидентів. Команда реагування повинна мати можливість в будь-який час у разі потреби залучати керівництво користувачів та/або органу до реагування на значні кіберінциденти. > > Чи визначено процес залучення керівництва користувачів та/або органу до реагування на значні кіберінциденти? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо залучення керівництва користувачів та/або органу до реагування на значні кіберінциденти; > > «3» — процес залучення керівництва користувачів та/або органу до реагування на значні кіберінциденти визначений органом; > > «4» — процес залучення керівництва користувачів та/або органу до реагування на значні кібер-інциденти визначений органом. Під час періодичного аудиту команди реагування перевіряється дотримання процесу залучення керівництва користувачів та/або органу до реагування на значні кіберінциденти та його ефективність; > > **2.** Р-2 Процес взаємодії з підрозділом, відповідальним за комунікації із медіа. > > Опис: команда реагування налагоджує постійну взаємодію з підрозділом, відповідальним за комунікації із медіа, для ефективної комунікації про кіберінциденти з медіа та громадськістю. Для надання детального роз’яснення про кіберінциденти команда реагування визначає обмежену кількість відповідно підготовленого персоналу, уповноваженого спілкуватися з медіа, самостійно або спільно з офіційним речником. > > Чи визначено процес взаємодії з підрозділом, відповідальним за комунікації із медів? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо взаємодії з підрозділом, відповідальним за комунікації із медіа; > > «3» — процес взаємодії з підрозділом, відповідальним за комунікації із медіа визначений органом; > > «4» — процес взаємодії з підрозділом, відповідальним за комунікації із медіа визначений органом. Під час періодичного аудиту команди реагування перевіряється дотримання процесу взаємодії з підрозділом, відповідальним за комунікації із медіа, та його ефективність; > > **3.** Р-3 Процес взаємодії з юридичним підрозділом. > > Опис: командна реагування налагоджує постійну взаємодію з юридичним підрозділом для ефективного вирішення юридичних питань та опрацювання відповідних запитів, включаючи запити від правоохоронних органів. > > Чи визначено процес взаємодії з юридичним підрозділом? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо взаємодії з юридичним підрозділом; > > «3» — процес взаємодії з юридичним підрозділом визначений органом; > > «4» — процес взаємодії з юридичним підрозділом визначений органом. Під час періодичного аудиту команди реагування перевіряється дотримання процесу взаємодії з юридичним підрозділом та його ефективність; > > **4.** Р-4 Процес запобігання кіберінцидентам. > > Опис: використання інструментів для запобігання кіберінцидентам (Т-8) здійснюється відповідно до визначених процедур. Команда реагування вживає заходів щодо надання попереджень про кіберзагрози, сповіщень, оголошень та інформування щодо кіберінцидентів, кібератак, кіберзагроз та вразливостей. > > Чи виконується процес запобігання кіберінцидентам? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо запобігання кіберінцидентам; > > «3» — процес запобігання кіберінцидентам визначений органом; > > «4» — процес запобігання кіберінцидентам визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу запобігання кіберінцидентам; > > **5.** Р-5 Процес виявлення кіберінцидентів. > > Опис: використання інструментів для виявлення кіберінцидентів (Т-9) та отримання повідомлень про кіберінциденти здійснюється відповідно до визначених процедур. Команда реагування здійснює сортування повідомлень про кіберінциденти та їх направлення для подальшої обробки, що є частиною процесу виявлення кіберінцидентів. > > Чи виконується процес виявлення кіберінцидентів? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо виявлення кіберінцидентів; > > «3» — процес виявлення кіберінцидентів визначений органом; > > «4» — процес виявлення кіберінцидентів визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу виявлення кіберінцидентів; > > **6.** Р-6 Процес реагування на кіберінциденти та усунення наслідків. > > Опис: використання інструментів для реагування на кіберінциденти та усунення наслідків (Т-10) здійснюється відповідно до визначених процедур. Основними етапами процесу реагування на кібер-інциденти та усунення наслідків є стримування кіберінциденту, усунення наслідків, відновлення та аналіз ефективності вжитих заходів. > > Чи виконується процес реагування на кіберінциденти та усунення наслідків? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо реагування на кіберінциденти та усунення наслідків; > > «3» — процес реагування на кіберінциденти та усунення наслідків визначений органом; > > «4» — процес реагування на кіберінциденти та усунення наслідків визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу реагування на кіберінциденти та усунення наслідків; > > **7.** Р-7 Процедури реагування на різні категорії та типи кіберінцидентів і усунення наслідків. > > Опис: для реагування на різні категорії та типи кіберінцидентів і усунення наслідків команда реагування розробляє та використовує окремі деталізовані процедури, з урахуванням вимог [Національного плану реагування на кіберінциденти, кібератаки та кіберзагрози](rada:1533-2025-%D0%BF), затвердженого постановою Кабінету Міністрів України від 26 листопада 2025 року № 1533. Окремі процедури реагування розробляються для найпоширеніших категорій та типів кіберінцидентів, для значних кіберінцидентів або для кіберінцидентів, реагування на які вимагає залучення сторонніх експертів або інших команд реагування. > > Чи виконуються окремі процедури реагування на різні категорії та типи кіберінцидентів і усунення наслідків? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами та реагує на кіберінциденти та усуває наслідки незалежно від категорій та типів кіберінцидентів; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо реагування на різні категорії та типи кіберінцидентів, та усунення наслідків; > > «3» — процедури реагування на різні категорії та типи кіберінцидентів і усунення наслідків визначені органом; > > «4» — процедури реагування на різні категорії та типи кіберінцидентів і усунення наслідків визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процедур реагування на різні категорії та типи кіберінцидентів, та усунення наслідків; > > **8.** Р-8 Процес аудиту. > > Опис: аудит проводиться для підтвердження відповідності діяльності команди реагування встановленим критеріям (законам, стандартам, політикам, цілям) та визначення шляхів для покращення. Процес аудиту, зокрема включає: проведення внутрішнього та зовнішнього аудиту для визначення відповідності стандарту SIM3v2 — Security Incident Management Maturity Model; проведення зовнішнього аудиту іноземними та міжнародними організаціями з питань реагування на кіберінциденти, кібератаки, кіберзагрози для участі в міжнародних спільнотах команд реагування. > > Чи виконується процес аудиту? > > Характеристика значень: > > «0» — команда реагування не проводила аудит; > > «3» — процес аудиту визначений органом; > > «4» — процес аудиту визначений органом. Керівництво команди реагування та/або керівництво органу бере провідну участь в проведені аудиту; > > **9.** Р-9 Взаємодія в кризових ситуаціях. > > Опис: команда реагування визначає порядок взаємодії з іншими командами реагування, партнерами та/або користувачами сфери відповідальності (О-2) в кризових ситуаціях. У разі кризових ситуацій, що виникають, команда реагування має залишатися на зв’язку, в тому числі у позаробочий час. Інші командами реагування, партнери або користувачі взаємодіяють з командою реагування за допомогою екстреного зв’язку, що описує номери телефонів, адреси електронної пошти та інші способи. > > Чи забезпечено взаємодію в кризових ситуаціях? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо взаємодії в кризових ситуаціях; > > «3» — порядок взаємодії в кризових ситуаціях визначений органом та команда реагування поінформувала інші команди реагування, партнерів та/або користувачів про це; > > «4» — порядок взаємодії в кризових ситуаціях визначений органом та команда реагування поінформувала інші команди реагування, партнерів та/або користувачів про це. Під час періодичного аудиту команди реагування перевіряється ефективність взаємодії в кризових ситуаціях; > > **10.** Р-10 Взаємодія через публічні вебресурси. > > Опис: для ефективної комунікації з іншими командами реагування, партнерами та/або користувачами сфери відповідальності (О-2) команда реагування використовує публічні вебресурси, зокрема вебсайт, електронну пошту, соціальні мережі. Команда реагування визначає політику щодо користування публічними вебресурсами та, дотримуючись її, виконує постійний моніторинг власних публічних вебресурсів та оновлення інформації на них. > > Чи забезпечено взаємодію через публічні вебресурси? > > Характеристика значень: > > «0» — команда реагування не здійснює взаємодію через публічні вебресурси; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо взаємодії через публічні вебресурси; > > «3» — політика взаємодії через публічні вебресурси визначена органом; > > «4» — політика взаємодії через публічні вебресурси визначена органом. Під час періодичного аудиту команди реагування перевіряється ефективність взаємодії через публічні вебресурси; > > **11.** Р-11 Процес безпечного поводження з інформацією. > > Опис: у процесі обміну інформацією про кіберінциденти та реагування на кіберінциденти команда реагування дотримується вимог закону щодо оброки інформації з обмеженим доступом, захисту персональних даних. > > У разі залучення команди реагування до виконання завдань, пов’язаних з реагуванням на кіберінциденти, кібератаки, кіберзагрози щодо інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються службова інформація та інформація, що становить державну таємницю, команда реагування має дотримуватися вимог Законів України [«Про інформацію»](rada:2657-12), [«Про державну таємницю»](rada:3855-12). > > Чи забезпечено процес безпечного поводження з інформацією? > > Характеристика значень: > > «0» — команда не дотримується безпечного поводження з інформацією; > > «2» — команда реагування керується чинними нормативно-правовими актами щодо безпечного поводження з інформацією; > > «3» — процес безпечного поводження з інформацією визначений органом; > > «4» — процес безпечного поводження з інформацією визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу безпечного поводження з інформацією; > > **12.** Р-12 Процес роботи з джерелами інформації. > > Опис: команда реагування проводить моніторинг та оцінювання відповідних джерел інформації (Т-2), зокрема загальнодоступних вебсторінок, соціальних мереж, вебресурсів постачальників рішень з кібербезпеки, баз даних вразливостей або експлойтів та сповіщення від постачальників послуг кібербезпеки. Незалежно від кількості та виду джерел інформації, що відстежуються, команда реагування розробляє процес для отримання достовірної та якісної інформації при роботі з визначеними джерелами інформації. Такий процес повинен описувати життєвий цикл джерел: від їх додавання до переліку джерел інформації (T-2) до вилучення з причин зниження якості (або втрати актуальності). > > Чи забезпечено процес роботи з джерелами інформації? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо роботи з джерелами інформації; > > «3» — процес роботи з джерелами інформації визначений органом; > > «4» — процес роботи з джерелами інформації визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу роботи з джерелами інформації; > > **13.** Р-13 Процес зовнішньої комунікації та інформування. > > Опис: команда реагування взаємодіє з користувачами сфери відповідальності (О-2) з питань, пов’язаних із комунікацією з громадськістю та підвищенням обізнаності про діяльність команди реагування. Такий процес включає можливість користувачам надавати пропозиції команді реагування. Необхідно забезпечити, щоб користувачі були поінформовані про діяльність команди реагування та сервіси, які вона пропонує. Процес зовнішньої комунікації охоплює всі види діяльності, що підвищують впізнаваність та репутацію команди реагування, зокрема ведення вебсторінок, розсилка інформаційних бюлетенів, проведення вебінарів, публікація офіційних документів, участь у конференціях. > > Чи забезпечено процес зовнішньої комунікації та інформування? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо зовнішньої комунікації та інформування; > > «3» — процес зовнішньої комунікації та інформування визначений органом; > > «4» — процес зовнішньої комунікації та інформування визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу зовнішньої комунікації та інформування; > > **14.** Р-14 Процес звітування перед керівництвом органу. > > Опис: команда реагування звітує з використанням статистичних даних та графічних матеріалів перед керівництвом органу. Процес звітування перед керівництвом має забезпечувати надання актуальних звітів та довідкових пояснень з метою покращення систем кіберзахисту та запобігання кіберінцидентам у майбутньому. Невід’ємною частиною процесу звітування перед керівництвом є статистичні дані та графічні матеріали, що базуються на категоріях та типах кіберінцидентів (O-8), кількості кіберінцидентів, витрачених ресурсах, рівнях фінансування. > > Чи забезпечено процес звітування перед керівництвом органу? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «3» — процес звітування перед керівництвом органу визначений органом; > > «4» — процес звітування перед керівництвом органу визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу звітування перед керівництвом органу; > > **15.** Р-15 Процес звітування перед користувачами. > > Опис: команда реагування звітує з використанням статистичних даних та графічних матеріалів перед користувачами сфери відповідальності (О-2) та перед громадськістю. Звітування може бути реалізовано в форматі періодичних звітів про тенденції або результати роботи. Невід’ємною частиною процесу звітування перед користувачами є статистичні дані та графічні матеріали, що базуються на категоріях та типах кіберінцидентів (O-8), кількості кіберінцидентів, витрачених ресурсах. > > Чи забезпечено процес звітування перед користувачами? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо звітування перед користувачами та громадськістю; > > «3» — процес звітування перед користувачами та громадськістю визначений органом ; > > «4» — процес звітування перед користувачами та громадськістю визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу звітування перед користувачами та громадськістю; > > **16.** Р-16 Процес проведення внутрішніх нарад. > > Опис: команда реагування проводить внутрішні наради, які можуть проводитися у форматах офлайн, онлайн або змішаному. Внутрішні наради проводяться за визначеним графіком або позачергово на визначені теми та визначеним форматом. Проведення нарад забезпечується фіксацією та поширенням серед усього залученого персоналу переліку завдань за результатами наради та узагальненого досвіду. > > Чи забезпечено процес проведення внутрішніх нарад? > > Характеристика значень: > > «0» — команда реагування не забезпечує процес проведення внутрішніх нарад; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо проведення внутрішніх нарад; > > «3» — процес проведення внутрішніх нарад визначений органом; > > «4» — процес проведення внутрішніх нарад визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу проведення внутрішніх нарад; > > **17.** Р-17 Процес взаємодії з іншими командами реагування. > > Опис: команда реагування взаємодіє з іншими командами реагування інших організацій, галузей або секторів економіки, регіонів, національною командою реагування або іноземними та міжнародними організаціями з питань реагування на кіберінциденти, кібератаки, кіберзагрози відповідно до вимог законодавства. Взаємодія з іншими командами реагування може відбуватися на основі спільного членства в певній спільноті чи певному об’єднанні або відповідно до меморандуму про взаєморозуміння (MoU). Процес взаємодії з іншими командами реагування визначає спільні процеси команд реагування, порядок обміну різноманітною інформацією, надання пропозиції та відгуків, а також порядок можливої підзвітності. > > Чи забезпечено процес взаємодії з іншими командами реагування? > > Характеристика значень: > > «0» — команда реагування керується чинними нормативно-правовими актами; > > «2» — команда реагування дотримується загальноприйнятих правил, що сформовані в команді реагування під час її функціонування, щодо взаємодії з іншими командами реагування; > > «3» — процес взаємодії з іншими командами реагування визначений органом; > > «4» — процес взаємодії з іншими командами реагування визначений органом. Під час періодичного аудиту команди реагування перевіряється ефективність процесу взаємодії з іншими командами реагування. > > III. Рівні зрілості організаційно-технічної спроможності > > **1.** Ці Вимоги встановлюють рівні зрілості організаційно-технічної спроможності команди реагування, а саме: > > початковий рівень; > > базовий рівень; > > проміжний рівень; > > розвинутий рівень. > > **2.** На початковому рівні команда реагування має розпочати виконання завдань, а керівництво та персонал команди реагування мають розуміти необхідність розвитку до базового рівня. Значення параметрів мають відповідати мінімальним значення початкового рівня, які наведено в додатку до цих Вимог. > > **3.** На базовому рівні, враховуючи досвід виконаних завдань, команда реагування має досягти прогресу за визначеними параметрами, значення яких мають відповідати мінімальним значенням базового рівня, які наведено в додатку до цих Вимог. > > **4.** На проміжному рівні, враховуючи досвід виконаних завдань, команда реагування має досягти прогресу за визначеними параметрами, значення яких відповідають мінімальним значення проміжного рівня, які наведено в додатку до цих Вимог, або отримати статус «акредитована» («ACCREDITED») в спільноті команд реагування TF-CSIRT. Більшість процесів та процедур врегульована керівництвом команди реагування або керівництво органу. > > **5.** На розвинутому рівні команда реагування отримала великий досвід виконання завдань та досягнула значного прогресу за більшістю параметрів. Процеси та процедури врегульовані керівництвом команди реагування або керівництво органу, а більшість параметрів постійно перевіряються та переглядаються. Значення параметрів відповідають мінімальним значення розвинутого рівня, які наведено в додатку до цих Вимог, які наведено в додатку до цих Вимог, або отримати статус «сертифікована» («CERTІFІCATED») в спільноті команд реагування TF-CSIRT. > > **6.** Регіональні та галузеві команди реагування для функціонування в складі національної системи реагування на кіберінциденти, кібератаки, кіберзагрози, зобов’язані відповідати щонайменше початковому рівню. > > **7.** Національна команда реагування зобов’язана відповідати щонайменше проміжному рівню. > > **8.** Мінімальні значення, необхідні для рівнів зрілості, наведено в додатку до цих Вимог. > > Т.в.о. директора Департаменту кіберзахисту > > Адміністрації Державної служби > > спеціального зв’язку > > та захисту інформації України > > Дмитро ПАХОЛЬЧЕНКО > > Додаток > > до Вимог до організаційно-технічної > > спроможності національної команди > > реагування на кіберінциденти, кібератаки, > > кіберзагрози (CERT-UА), > > галузевих та регіональних команд > > реагування на кіберінциденти, > > кібератаки, кіберзагрози (CSIRT) > > (пункт 8 розділу III) > > Мінімальні значення, > > необхідні для рівнів зрілості організаційно-технічної спроможності команд реагування на кіберінциденти, кібератаки, кіберзагрози > > Номер параметра > > Назва параметра > > Мінімальне значення параметра > > початковий рівень > > базовий рівень > > проміжний рівень > > розвинутий рівень > > O-1 > > Повноваження > > 3 > > 3 > > 4 > > 4 > > O-2 > > Сфера відповідальності > > 3 > > 3 > > 4 > > 4 > > O-3 > > Компетенція > > 3 > > 3 > > 4 > > 4 > > O-4 > > Обов’язки > > 3 > > 3 > > 4 > > 4 > > O-5 > > Опис сервісів > > 3 > > 3 > > 4 > > 4 > > O-6 > > Політика взаємодії із медіа > > 0 > > 2 > > 3 > > 4 > > O-7 > > Рівнів надання сервісів > > 0 > > 3 > > 4 > > 4 > > O-8 > > Класифікація кіберінцидентів > > 0 > > 2 > > 3 > > 3 > > O-9 > > Взаємодія з іншими командами реагування > > 0 > > 3 > > 4 > > 4 > > O-10 > > Організаційно-правові засади діяльності > > 3 > > 3 > > 3 > > 3 > > O-11 > > Політика безпеки > > 2 > > 2 > > 3 > > 4 > > H-1 > > Правила професійної поведінки та етики > > 2 > > 2 > > 3 > > 3 > > H-2 > > Операційна стійкість персоналу > > 0 > > 2 > > 3 > > 4 > > H-3 > > Опис професійних компетенцій > > 0 > > 2 > > 2 > > 3 > > H-4 > > Професійний розвиток персоналу > > 0 > > 2 > > 3 > > 4 > > H-5 > > Розвиток технічних навичок > > 0 > > 1 > > 2 > > 3 > > H-6 > > Розвиток навичок з комунікації та взаємодії > > 0 > > 1 > > 2 > > 3 > > H-7 > > Зовнішня взаємодія та професійні зв’язки > > 2 > > 2 > > 3 > > 3 > > T-1 > > ІТ-активи та їх конфігурації > > 0 > > 1 > > 2 > > 3 > > T-2 > > Перелік джерел інформації > > 0 > > 2 > > 3 > > 4 > > T-3 > > Об’єднані системи обміну повідомленнями > > 0 > > 2 > > 3 > > 3 > > T-4 > > Система обліку та відстеження кіберінцидентів > > 0 > > 2 > > 3 > > 3 > > T-5 > > Стійкість послуг голосової електронної комунікації голосового зв’язку > > 0 > > 2 > > 3 > > 3 > > T-6 > > Стійкість систем обміну повідомленнями > > 0 > > 2 > > 3 > > 3 > > T-7 > > Стійкість доступу до мережі Інтернет > > 0 > > 2 > > 3 > > 3 > > T-8 > > Інструменти для запобігання кіберінцидентам > > 0 > > 2 > > 2 > > 3 > > T-9 > > Інструменти для виявлення кіберінцидентів > > 0 > > 2 > > 3 > > 3 > > T-10 > > Інструменти для реагування на кіберінциденти та усунення наслідків > > 0 > > 2 > > 3 > > 3 > > P-1 > > Порядок залучення керівництва користувачів та/або органу до реагування на значні кіберінциденти > > 2 > > 3 > > 4 > > 4 > > P-2 > > Порядок взаємодії з підрозділом, відповідальним за комунікації із медіа > > 0 > > 2 > > 3 > > 3 > > P-3 > > Порядок взаємодії з юридичним підрозділом > > 0 > > 2 > > 3 > > 3 > > P-4 > > Процес запобігання кіберінцидентам > > 0 > > 2 > > 3 > > 4 > > P-5 > > Процес виявлення кіберінцидентів > > 0 > > 2 > > 3 > > 4 > > P-6 > > Процес реагування на кіберінциденти та усунення наслідків > > 0 > > 2 > > 3 > > 4 > > P-7 > > Процедури реагування на різні категорії та типи кіберінцидентів і усунення наслідків > > 0 > > 2 > > 3 > > 4 > > P-8 > > Процес аудиту > > 0 > > 3 > > 4 > > 4 > > P-9 > > Взаємодія в кризових ситуаціях > > 0 > > 2 > > 3 > > 3 > > P-10 > > Взаємодія через публічні вебресурси > > 0 > > 2 > > 3 > > 3 > > P-11 > > Процес безпечного поводження з інформацією > > 2 > > 2 > > 3 > > 3 > > P-12 > > Процес роботи з джерелами інформації > > 0 > > 2 > > 3 > > 4 > > P-13 > > Процес зовнішньої комунікації та інформування > > 0 > > 2 > > 3 > > 4 > > P-14 > > Процес звітування перед вищим керівництвом > > 0 > > 3 > > 4 > > 4 > > P-15 > > Процес звітування перед користувачами > > 0 > > 2 > > 3 > > 3 > > P-16 > > Процес проведення внутрішніх нарад > > 0 > > 2 > > 2 > > 3 > > P-17 > > Процес взаємодії з іншими командами реагування > > 0 > > 2 > > 3 > > 4