С чего начать приведение учреждения в соответствие с Законом № 4336
Заключительная публикация серии — это обобщенный чек-лист, который можно использовать как точку входа для любого учреждения. Каждый пункт напрямую привязан к норме закона или подзаконного акта, поэтому это не просто «общие советы», а структура конкретных действий. В компании SHERIFF КИБЕРБЕЗОПАСНОСТЬ этот чек-лист лежит в основе первой встречи с заказчиком: он задает язык проекта и формирует четкие ожидания относительно следующих 6–12 недель.
Шаг 1. Определить статус учреждения. Орган государственной власти? Орган местного самоуправления? Владелец или распорядитель объекта критической инфраструктуры (ОКИ) — и какой категории критичности? От этого зависит весь объем дальнейших обязанностей (статья 5¹).
Шаг 2. Провести гэп-анализ. Составить таблицу «требование — текущее состояние — разрыв» по статьям 5¹, 8, 9¹ и требованиям Порядка № 1516, постановлений № 1668, № 1740, приказа № 798. Без такой таблицы сложно говорить с регулятором на языке фактов.
Шаг 3. Кадровый блок. Создать подразделение (для госоргана — обязательно). Подобрать кандидата на должность руководителя по киберзащите или ответственного лица с учетом требований к образованию и стажу.
Шаг 4. Процедура назначения. Для госоргана — обращение в Администрацию Госспецсвязи, проверка СБУ, ожидание согласования (с учетом нормы о «молчаливом согласовании» по истечении месяца). Для частного ОКИ — внутреннее назначение в соответствии с методическими рекомендациями.
Шаг 5. Устранение конфликта интересов. Убедиться, что руководитель по киберзащите не совмещает свою должность с должностью CDTO. В системе подчиненности направление киберзащиты должно быть выделено в отдельную линию, а не входить в состав IT-блока.
Шаг 6. Управление рисками и мониторинг. Внедрить непрерывный мониторинг (24/7), политики безопасности и контроль съемных носителей. Это фундамент, без которого административные санкции за неуведомление о киберинцидентах рискуют превратиться в регулярную статью расходов.
Шаг 7. Процедура уведомления о киберинцидентах. Установить внутренний SLA для уведомлений в соответствии со статьей 9¹ и подзаконными актами. Это самый очевидный способ избежать административной ответственности.
Шаг 8. Аттестация специалистов. Запланировать сдачу экзаменов в аккредитованных квалификационных центрах для CISO и специалистов на ключевых должностях с последующей регистрацией в Государственном реестре Национального агентства квалификаций. SHERIFF Cybersecurity, будучи аккредитованным центром, проводит такие экзамены.
Шаг 9. Стресс-тесты и обучение. Регулярно отрабатывать сценарии: восстановление из резервных копий, изоляция устройств, время реагирования. Это одновременно и управленческая практика, и доказательная база на случай проверки.
Шаг 10. Документирование. Для каждого шага — внутренний приказ, журнал, протокол. В ходе регуляторного контроля (постановление № 1668) проверяются не намерения, а документы. В сфере киберзащиты отсутствие документа фактически равно отсутствию самого факта.
Этот чек-лист не выходит за рамки того, что уже требуется или однозначно вытекает из закона и подзаконных актов. В нем нет ничего лишнего — и именно поэтому он представляет собой реалистичный стартовый набор для внедрения. Команда SHERIFF Cybersecurity готова провести организацию через все десять этапов — от определения статуса до аттестации специалистов.
↳ Статьи 5¹, 8, 9¹ Закона «Об основных принципах обеспечения кибербезопасности Украины» в редакции 4336-IX; постановление КМУ № 1516 от 26.11.2025; постановление КМУ № 1668 от 17.12.2025; приказ Администрации Госспецсвязи № 798 от 03.12.2025.
⟵ Это публикация-дополнение к основной статье «Закон 4336-IX: что меняется для госучреждений и критической инфраструктуры и как к этому готовиться бизнесу».
