Додаток

ЗАТВЕРДЖЕНО

Рішення виконавчого комітету Медвинської сільської ради

29 травня 2026 року № 123

 

Політика

 інформаційної безпеки Медвинської територіаотної громади

 

1. Загальні положення

Політика інформаційної безпеки (далі – Політика) визначає загальні вимоги до ТГ інформаційної безпеки у Медвинській сільській територіальній громаді (далі – ТГ), основні принципи, цілі та завдання управління інформаційною безпекою ТГ.

Дана Політика є обов’язковим документом для ознайомлення при прийомі на роботу та являється доступною для ознайомлення будь-якому співробітникові ТГ або третій стороні.

Ця Політика є офіційно прийнятою системою поглядів на проблеми забезпечення інформаційної безпеки, встановлює принципи побудови процесів управління інформаційною безпекою на основі систематизованої розробки та впровадження політик, положень, регламентів, стандартів, інструкцій та інших нормативних документів в області інформаційної безпеки.

Метою даної Політики є:

• Забезпечення захисту інформаційних ресурсів ТГ від зовнішніх і внутрішніх загроз;
• Безперервність роботи всіх служб і сервісів ТГ;
• Мінімізація ризиків операційної діяльності ТГ;
• Створення позитивної репутації ТГ при взаємодії з третіми сторонами;
• Відповідність законодавству України та вимогам контролюючих органів в області інформаційної безпеки та захисту персональних даних.

Дана Політика поширюється на всі процеси діяльності ТГ та є обов'язковою для виконання всіма співробітниками ТГ. Порушення вимог Політики тягне за собою дисциплінарну відповідальність та відповідальність згідно з чинним законодавством України.

2. Терміни та визначення

Власник ІА – співробітник ТГ, який несе відповідальність за: забезпечення належної класифікації інформації та активів, пов'язаних із засобами обробки інформації; визначення та періодичний перегляд обмежень доступу і класифікацій; управління конкретними ризиками, пов'язаними з активом, і визначення пов'язаних потреб в безпеці.

Внутрішній аудит – аудит ІБ, що проводиться співробітниками ТГ, відповідно навченими та незалежним від контролюючої особи.

Вплив – величина збитку, який можна очікувати в результаті наслідків несанкціонованого розкриття інформації, несанкціонованої зміни інформації, несанкціонованого знищення інформації або втрати інформації або порушення доступності інформаційної системи.

Доступність – властивість інформації, яка полягає в тому, щоб бути доступною та використовуватися на вимогу користувача і/або процесу.

Загроза – можлива небезпека, яка може використовувати уразливість в інформаційній системі для порушення цілісності, конфіденційності, доступності системи.

Інформаційна безпека (ІБ) – це практика забезпечення захисту інформаційних активів від загроз, які можуть на них вплинути. Вона включає в себе вичерпний набір засобів управління, які охоплюють різні фактори (людські, фізичні, екологічні та технічні) протягом життєвого циклу інформаційних і технологічних активів, включаючи розробку, створення і впровадження нових систем, підтримка даних і систем, моніторинг використання таких активів, виявлення та реагування на потенційні загрози, дотримання чинних законів і положень про кібербезпеку і конфіденційність, а також виведення з експлуатації ІТ-систем і знищення даних.

Інформаційна система – комп'ютерні системи, програмне забезпечення, телекомунікаційне і периферійне устаткування.

Інформаційний актив (ІА) – обладнання, програмне забезпечення, дані, а також співробітники, які беруть участь в процесах діяльності ТГ, які визначені і управляються як єдине ціле, щоб його можна було зрозуміти, спільно використовувати, захищати та ефективно керувати. Інформаційні активи мають керовану цінність, ризики, контент і життєві цикли.

Інцидент – це подія, яка не є частиною звичайних операцій і порушує робочі процеси. Інцидент може включати відмову функції або послуги, які повинні були бути надані, або будь-які інші типи збою операції.

Конфіденційність – властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем і/або процесом.

Користувач – особа або ТГ, які взаємодіють з інформаційними системами.

Оцінка ризиків – процес виявлення, визначення пріоритетів та аналіз ризиків. Процес включає визначення ступеня, в якому несприятливі обставини або події можуть вплинути на Організацію. Даний процес використовує результати оцінок загроз і вразливостей для виявлення ризиків для діяльності ТГ і оцінює ці ризики, з точки зору ймовірності виникнення і впливу. Результатом оцінки ризику є список передбачуваних потенційних впливів і явних вразливостей. Оцінка ризиків є частиною процесу управління ризиками.

Політика інформаційної безпеки – набір задокументованих управлінських рішень, створений для захисту інформації ТГ та пов'язаних з нею ресурсів.

Ризик – ймовірність впливу на діяльність ТГ (включаючи місію, функції, імідж, репутацію), її активи (ресурси) і співробітників в результаті експлуатації вразливостей інформаційної системи і залежно від потенційного впливу, реалізація загрози і ймовірність її реалізації.

Уразливість – недолік в інформаційній системі, який може бути використаний суб'єктом загрози (наприклад, зловмисником) для виконання несанкціонованих дій в системі і порушення цілісності, конфіденційності, доступності або спостережливості.

Цілісність – властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем і/або процесом.

Шифрування – процес перетворення відкритого тексту в зашифрований з метою безпеки або конфіденційності.

Шкідливе ПЗ – програмне забезпечення, яке вживлюється в систему, як правило, таємно, з метою порушення конфіденційності, цілісності та/або доступності даних, додатків або операційної системи користувача або іншим чином шкодити або заважати роботі користувача.

SMTPS – Simple Mail Transfer Protocol Secure.

 

3.Політика інформаційної безпеки

1. 1. Управління інформаційною безпекою

Для забезпечення ІБ, необхідно слідувати формальним загальним правилам та процедурам наведеним далі, що покривають відповідне використання ІА ТГ.

Співробітники ТГ та відповідні треті сторони (які мають доступ до інформації та/або ресурсів ТГ) повинні бути проінформовані про необхідність дотримання цієї Політики.

Для забезпечення постійної придатності, адекватності та ефективності ця Політика повинна переглядатися Відповідальною особою за інформаційну безпеку через заплановані проміжки часу – щонайменше раз в рік, якщо впроваджуються суттєві зміни або за рішенням Керівництва ТГ.

Суттєвими змінами можна вважати:

• Зміни в процесах діяльності ТГ;
• Зміни в організаційній структурі;
• Зміни в ІТ-інфраструктурі ТГ тощо.

Відповідно до сфери діяльності ТГ необхідно також враховувати наступні моменти:

• Законодавство, що регулює сферу діяльності ТГ та договірні зобов’язання;
• Відповідальність за порушення Політики;
• Обов’язки Керівництва ТГ та інших осіб щодо безпеки систем та інформації ТГ.
  2. Розподіл обов’язків з інформаційної безпеки

Загальна відповідальність за ІБТГ покладається керівників структурних підрозділів, виконавчих органів Медвинської сільської ради, комунальних підприємств, установ та організацій (далі – Керівник)

Конфліктні обов’язки та сфери відповідальності повинні бути розділені, щоб зменшити можливості для несанкціонованих або ненавмисних змін чи зловживання ІАТГ.

Формальне розподілення відповідальності Керівника забезпечує стратегічну прозорість та вплив на практику забезпечення ІБ.

Керівник відповідальний за:

• Визначення критичних операційних процесів для діяльності ТГ;
• Прийняття рішень щодо розвитку ІБТГ;
• Затвердження та поширення правил і вимог ІБ в ТГ;
• Затвердження відповідальності за порушення правил та вимог ІБ;
• Функцію перевірки та контролю виконання в ТГ правил та вимог ІБ.

Додатково відповідальні та їх обов'язки описані нижче в тілі цієї Політики.

1. 3. Безпека людських ресурсів

Перевірка кандидатів перед працевлаштуванням, співробітників чи третіх сторін повинна чітко враховувати чутливість інформації, до якої кандидати отримають доступ, та передбачувані ризики при визначенні характеру та строків цих перевірок.

Призначення на посади та звільнення з посад повинно виконуватися відповідно до державних нормативно-правових актів.

Кожен співробітник структурного підрозділу ради, виконавчих органів Медвинської сільської ради, комунальних підприємств, установ, організацій та третьої сторони, якому надано доступ до систем та/або даних ТГ, несе відповідальність за безпечне використання систем і даних для цілей діяльності ТГ та дотримання її політик.

Співробітники та треті сторони несуть відповідальність за повідомлення Керівнику про будь-які сумніви щодо ефективності процесів безпеки, про будь-яку подію чи інцидент щодо несанкціонованого або неправильного використання активів ТГ.

Обов’язок Керівника вимагати від всіх співробітників та третіх сторін дотримання вимог ІБТГ, відповідно до встановлених політик та процесів, а також контролювати процес їх дотримання.

Припинення трудової діяльності здійснюється згідно з чинним трудовим законодавством України.

1. 4. Навчання та обізнаність

Всі співробітники, які є користувачами внутрішньої мережі повинні бути ознайомлені з внутрішніми вимогами щодо роботи з інформаційними активами ТГ та нести персональну відповідальність за їх дотримання.

Усі співробітники та відповідні треті сторони повинні проходити відповідну підготовку з підвищення обізнаності та регулярно отримувати інформацію про оновлення організаційних політик та процедур відповідно до їх робочих функцій.

Програма обізнаності повинна забезпечувати, щоб усі співробітники досягали та підтримували принаймні базовий рівень розуміння питань ІБ, таких як загальні зобов’язання згідно з різними політиками, стандартами, процедурами, керівними принципами, законами, нормативними актами, контрактними умовами, а також загальноприйнятими стандартами етики та прийнятної поведінки.

Додаткове навчання підходить для співробітників, які мають конкретні зобов’язання щодо захисту інформації та кому не вистачає базової обізнаності щодо ІБ в рамках робочого процесу, наприклад, адміністраторам систем, відповідальним за ІБ, Керівником. Такі вимоги до навчання повинні бути визначені в особистих планах навчання співробітників.

1. 5. Фізична безпека

Засоби обробки інформації повинні розміщуватися в захищених зонах, фізично захищених від несанкціонованого доступу, пошкодження та втручання чи зміни певних периметрів безпеки. Для виявлення або запобігання несанкціонованого доступу та захисту ІА, особливо критичних і чутливих, повинні застосовуються багаторівневі внутрішні та зовнішні засоби контролю від примусових або прихованих атак.

Співробітники та треті сторони повинні використовувати фізичний ідентифікатор контролю доступу (картка або будь-яка інша альтернатива), щоб мати доступ до приміщень ТГ. Для входу в зони обмеженого доступу (серверні, фінансовий відділ тощо) співробітники/третя сторона повинні мати відповідний рівень доступу. Цей рівень затверджується Керівником.

Відвідувачі структурних підрозділів, виконавчих органів Медвинської сільської ради, комунальних підприємств, установ та організацій повинні завжди супроводжуватись відповідальними співробітниками задля уникнення доступу до ІА ТГ, що можуть містити чутливу інформацію.

Ідентифікатори доступу мають видаватися під час адаптації співробітників та знищуватися, коли співробітник звільняється.

1. 6. Класифікація та управління інформацією

Інформацію слід класифікувати, визначати та оцінювати ризики відповідно до її конфіденційності, цілісності, доступності та спостережливості, незалежно від носія, на якому вона зберігається і/або обробляється. Чутлива інформація повинна визначатися відповідно до її конфіденційності, цілісності, доступності та спостережливості. Вся інформація, окрім публічної, має визначатися як чутлива.

Незалежно від рівня конфіденційності, вся інформація ТГ повинна використовуватися належним чином та тільки для дозволених цілей.

Розкриття інформації з обмеженим доступом може здійснюватися лише у законний спосіб зацікавленим особам органів влади, а також фізичним та юридичним особам, з дотриманням вимог чинного законодавства України та вимог відповідних Договорів.

1. 7. Обробка, передача та зберігання даних

Чутливі дані повинні збиратися та зберігатися лише в системах, де є обґрунтована ділова чи технічна потреба. Чутливі виробничі дані повинні бути захищені при зберіганні і/або використанні у системах, і надійно видалятись, коли вони більше не потрібні.

Діаграма або схема потоків даних повинна бути впровадженою та регулярно переглядатись. Інвентаризація та класифікація даних повинна проводитися щонайменше раз на рік.

Чутливі дані ніколи не повинні збиратися або використовуватися для цілей, відмінних від тих, для яких дані були зібрані спочатку. Усі параметри збереження даних (періоди, цілі тощо) повинні бути законними та відповідати місцевому та міжнародному законодавству та нормам щодо захисту даних.

Інвентаризація чутливих даних повинна включати ідентифікацію конкретних захоплених елементів даних, де дозволено зберігання кожного елементу і необхідних заходів безпеки – наприклад, для захисту конфіденційності та/або цілісності – для кожного елемента даних під час зберігання і передачі.

У разі збору або зберігання чутливих виробничих даних, вони повинні бути належним чином захищені – наприклад, за допомогою надійних заходів контролю доступу та/або надійної криптографії з прийнятими в галузі ІБ процесами управління ключами. Як тільки вони більше не потрібні для цілей збору, дані повинні бути надійно видалені, щоб було неможливо відновити або переробити дані з будь-якої системи.

1. 8. Управління інформаційними активами

Усі інформаційні активи ТГ повинні бути визначені та задокументовані в Реєстрі ІА. ІА ТГ можуть включати:

• Інформацію про ТГ та зацікавлені треті сторони (підрядники, партнери, клієнти тощо),
• Системи, послуги чи обладнання, в яких обробляється, зберігається або передається інформація про ТГ та зацікавлених третіх сторін.

ТГ має регулярно переглядати та призначати відповідні обов’язки з обслуговування та перевірки Реєстру ІА. Реєстр повинен містити інформацію про:

• Власників ІА;
• Назви ІА;
• Рівень критичності ІА.

Власник ІА не несе фінансову відповідальність за актив, а відповідає за забезпечення конфіденційності, цілісності, доступності та спостережливості ІА. Власники ІА повинні нести основну відповідальність і відповідати за належний контроль доступу до своїх активів.

Критерії класифікації активів та виявлення критично важливих активів для діяльності ТГ – тих активів, порушення конфіденційності, цілісності, доступності або спостережливості яких може суттєво вплинути на діяльність ТГ, повинні бути визначені та встановлені. ІА можуть бути класифіковані за рівнем критичності для ТГ, відповідно до внутрішніх її вимог.

Ролі та обов’язки повинні бути визначені для Власників ІА та користувачів ІА.

1. 9. Використання особистих пристроїв

ТГ може дозволяти співробітникам та іншим авторизованим користувачам своїх систем, послуг та ресурсів використовувати власні пристрої для виконання посадових обов’язків та завдань, які необхідні для забезпечення її безперервної діяльності.

ТГ повинна розробити та встановити вимоги ІБ щодо використання власних робочих пристроїв та довести їх до відома усіх співробітників та відповідних третіх сторін. Особисту відповідальність має нести кожен співробітник та третя сторона, що використовує персональний пристрій для доступу до систем, послуг та ресурсів ТГ, щоб забезпечити відповідне використання всіх протоколів безпеки та усіх заходів безпеки.

Кожен пристрій, який використовується для виконання посадових обов’язків та завдань, які необхідні для забезпечення безперервної діяльності ТГ, тобто для доступу до внутрішньої інформації, повинен використовуватися відповідально та лише в робочих цілях. Невиконання даного правила несе за собою негайне припиненняоблікового запису користувача.

1. 10. Управління доступом

Права доступу повинні бути визначені відповідно до ролей, встановлених в ТГ, для того, щоб спростити адміністрування.

Доступ до ІА повинен забезпечуватись відповідно до принципу мінімальних привілеїв (доступ надається тільки до тих систем, які необхідні користувачу в межах роботи) та постійно контролюватися.

Відповідальність за розподіл ролей користувачам та періодичні перевірки повинна бути покладена на Відповідальнуособу за ІБ.

Матриця доступу повинна бути визначена для кожної інформаційної системи і надавати інформацію про всі права доступу, надані користувачам до інформації/систем/послуг ТГ, із зазначенням рівня доступу: перегляд, редагування, адміністрування.

Легенда Матриці доступу повинна бути встановлена та задокументована, тобто, визначений рівень повноважень, з якими користувач отримує доступ до ресурсу (наприклад, A – адміністратор, E – редактор, R – читання/коментування, V – перегляд).

Усі запити на доступ повинні бути схвалені безпосереднім Керівником співробітника та Відповідальною особою за ІБ перед наданням доступу.

Облікові записи користувачів повинні негайно блокуватися адміністратором систем, якщо до них отриманий несанкціонований доступ або виявлена підозріла активність.

Користування двофакторною аутентифікацією користувачами в тих системах та сервісах, де це можливо, є обов’язковим.

Перегляд користувацьких прав

Відповідальна особа за ІБ повинна регулярно переглядати права доступу користувачів.

Обов’язковим є створення та забезпечення виконання планів перегляду доступів для всіх систем та ІА, особливо критичних. Потрібно враховувати наступне:

• Права користувачів повинні переглядатися регулярно та після внесення змін, таких як зміна посади або звільнення;
• Права користувачів повинні переглядатися у разі зміни ролі користувача в ТГ;
• Привілейовані права повинні переглядатися частіше;
• Привілейовані права доступу повинні регулярно переглядатися, щоб гарантувати, що ніхто не отримував привілейований доступ несанкціонованим способом.

Доступ до мережі та мережевих сервісів

Користувачам повинен надаватися доступ до мережі та мережевих послуг, у разі необхідності такого доступу.

Повинен бути встановлений контроль за переглядом та управлінням доступу, включаючи контроль та впровадження наступних засобів та інструментів:

• Перелік мереж та мережевих послуг з дозволеним доступом;
• Процедури визначення необхідного доступу та відповідних користувачів;
• Інструменти для управління мережевими з'єднаннями та послугами;
• Засоби та інструменти моніторингу використання мережевих послуг.
  11. Парольна політика

Відповідно до Парольної політики, для забезпечення надійного захисту інформаційних систем паролем, мають бути встановлені наступні параметри:

• Мінімальна довжина: 8-12 символів;
• Пароль повинен відповідати вимогам складності: так;
• Повинен містити символи верхнього та нижнього регістру, числа, а також неалфавітні символи;
• Не використовувати будь-які персональні дані;
• Не містить у собі загальновживані слова;
• Мінімальний термін дії пароля: 1 день;
• Максимальний термін дії пароля: 30-90 днів;
• Зберігати паролі за допомогою оборотного шифрування: ні;
• Сповіщення про зміну: за 7 днів до закінчення терміну дії;
• Історія паролів: 10 останніх використаних паролів;
• Поріг блокування облікового запису: 5 послідовних невдалих спроб введення;
• Скинути лічильник блокування облікового запису через: 15 хвилин;
• Безпечне зберігання паролів: паролі не слід зберігати або передавати у відкритому тексті.
  12. Використання електронної пошти

Доступ до електронної пошти надається співробітникам ТГ для виконання своїх службових обов'язків. Використання електронної пошти співробітниками ТГ в особистих або інших цілях, не пов’язаних з діяльністю ТГ, заборонено.

В ТГ заборонено:

• Надсилати повідомлення, що містять чутливу інформацію, а також дані, що містять чутливу інформацію не для виконання своїх службових обов'язків. Забороняється надсилати по електронній пошті логіни, паролі та іншу чутливу інформацію;
• Використовувати електронну пошту для особистих цілей;
• Використовувати електронну адресу для підписки на маркетингові електронні листи без попереднього узгодження зВідповідальною особою за ІБ;
• Відкривати будь-яке вкладення, посилання чи додаток до електронної пошти, де співробітник не має ґрунтовних підстав вважати, що інформація, до якої очікується доступ, надійшла з надійного джерела;
• Надсилати масові розсилки (понад 10) на зовнішні адреси без згоди Керівника співробітника таВідповідальної особи за ІБ;
• Надсилати по електронній пошті матеріали, що містять шкідливе програмне забезпечення чи інші програми, призначені для порушення, знищення або обмеження функціональних можливостей будь-якого комп’ютерного чи телекомунікаційного обладнання чи інформаційних систем та послуг;
• Надсилати електронною поштою програми, які забезпечують несанкціонований доступ;
• Розповсюджувати за допомогою електронної пошти матеріали, які захищені авторським правом і зачіпають будь-який патент, торгову марку, комерційну таємницю, авторські права або будь-які інші права власності. та/або авторські права або пов’язані з ними права третіх сторін;
• Поширювати через електронну пошту інформацію, заборонену міжнародним та українським законодавством, включаючи матеріали, що є шкідливими, загрозливими, нецензурними, а також інформацію, що порушує честь та гідність інших. Також забороняється надсилати матеріали, що розпалюють національну ворожнечу, підбурюють до насильства, закликають до незаконних дій, включаючи матеріали, що містять інструкції щодо використання вибухових речовин, зброї тощо.

Доступ колишнього співробітника до облікових записів електронної пошти ТГ повинен бути негайно відключений та деактивований.

1. 13. Безпека мережі

Наступні вимоги обов’язкові до виконання:

• Вимоги до конфігурації безпеки повинні бути визначені для всього мережевого обладнання;
• Вимоги доконтролю аутентифікації та доступу повинні бути визначені та повинні бути впроваджені;
• Вимоги до систем та механізмів моніторингу безпеки мережі повинні бути визначені, впровадженні, необхідним чином управлятися;
• Усі оновлення повинні вчасно встановлюватись;
• Зміни можуть бути внесені лише адміністратором систем або відповідним авторизованим користувачем;
• Процес резервного копіювання мережевих пристроїв (наприклад, системного програмного забезпечення, даних конфігурацій, файлів баз даних) повинен відбуватися регулярно;
• Вимоги до конфігурування безпеки Wi-Fi мереж:
  • Зміна паролів за замовчуванням;
  • Вимкнення WPS;
  • Вимкнення SSID Broadcast;
  • Своєчасне оновлення прошивки;

• • Обмеження можливості під’єднання пристроїв до локальної мережі.

Протоколи безпечного зв’язку

Щоб захистити інформацію в системах та додатках ТГ, необхідно належним чином управляти та контролювати мережі.

Використання протоколів безпечного зв’язку гарантують конфіденційність, цілісність, доступність та спостережливості інформації, що передається. Наступні протоколи найбільш прийнятні для використання:

• SSH2;
• SFTP;
• TLS 1.2-1.3;
• HTTPS;
• WSS;
• SMTPS;
• DNS-over-HTTPS.
  14. Використання робочих пристроїв

ТГ повинна встановити вимоги щодо безпеки пристроїв, змінних носіїв під час їх використання.

Робочі пристрої користувачів в ТГ мають контролюватися централізованою системою управління.

Обов’язкове блокування екрану на пристроях після встановленого часу бездіяльності повинне бути налаштоване на всіх робочих пристроях.

Захист робочих пристроїв шляхом шифрування жорстких дисків та паролів для розблокування повинен бути реалізованим за необхідності.

Персонал несе відповідальність за забезпечення фізичної безпеки робочих пристроїв при їх використанні за межами приміщень ТГ (обмеження фізичного доступу третіх сторін, слідування вимогам блокування екрану).

Забезпечення виконання вимог щодо безпечного використання робочих пристроїв має бути автоматизовано за допомогою відповідних програмних інструментів. Політики налаштування таких інструментів повинні регулярно переглядатись на відповідність даній Політиці та іншим цільовим політикам ТГ.

1. 15. Встановлення безпечних оновлень

ТГ повинна встановити вимоги щодо встановлення оновлень на всіх ІА, з яких надається доступ до інформації/послуг/ресурсів ТГ.

Режим автоматичного оновлення виправлень або можливість зробити це вручну має бути забезпечена адміністратором систем. Антивірусне програмне забезпечення та інші компоненти безпеки повинні регулярно перевірятись та оновлюватись до останньої версії.

Перед встановленням оновлень на виробничі системи необхідно проводити тестування оновлень в окремому тестовому середовищі.

ТГ повинна проводити періодичний огляд на веб-сайті постачальника, який надає інформаційні активи на наявність оновлень.

Якщо операційна система – Windows, інструмент управління виправленнями повинен бути налаштований таким чином, щоб він автоматично завантажував останні виправлення безпеки Microsoft. Перевірка та застосування виправлень повинна проводитись за необхідності.

Системи Linux повинні своєчасно оновлюватися відповідними патчами, протестованими та впровадженими належним чином.

Адміністратор систем відповідальний за затвердження всіх виправлень та відповідальний за всі технічні зміни конфігурацій та операційних систем, програмного забезпечення, антивірусних оновлень, своєчасного встановлення виправлень та драйверів для мережевих пристроїв, робочих станцій.

1. 16. Обмеження встановлення програмного забезпечення

Правила до встановлення програмного забезпечення користувачами повинні бути визначені та впроваджені ТГ.

ТГ повинна створити та застосовувати правила щодо дозволеного для встановлення програмного забезпечення та контролю, базуючись на принципі мінімальних привілеїв. Відповідальна особа за ІБ та адміністратор систем мають створити списки дозволеного та забороненого для встановлення програмне забезпечення.

Встановлення програмного забезпечення повинно бути обмежене для всіх користувачів, проте можливі винятки, які повинні бути схвалені адміністратором систем та Відповідальною особою за ІБ.

Функція контролю закріплена за Відповідальною особою за ІБ та Керівництвом, щоб забезпечити належний рівень контролю та розділення привілеїв.

1. 17. Захист від шкідливого ПЗ

Попереднє тестування програмного забезпечення та перевірка файлів до їх встановлення на пристроях, з яких існує доступ до корпоративної інформації/систем/ресурсів повинні забезпечуватись адміністратором систем.

Лише програмне забезпечення, затверджене адміністратором систем та Відповідальною особою за ІБ, дозволено встановлювати на системи ТГ.

Сканери проти шкідливого ПЗ необхідно налаштувати на автоматичне сканування відповідних компонентів відразу після випуску оновлень.

ТГ має налаштувати антивірусне програмне забезпечення на: сканування під час завантаження, сканування файлових та поштових серверів принаймні один раз на день та будь-яких інших серверів – принаймні раз на тиждень, сканування файлів при відкритті, сканування вкладень вхідної та вихідної електронної пошти, веб сканування вмісту при синхронізації із скануванням портативних пристроїв, де це можливо.

Управління та перегляд журналів антивірусного програмного забезпечення має здійснюватися адміністратором систем.

Для захисту програмного забезпечення від шкідливих програм ТГ повинно здійснюватися: ручне/автоматичне та планове сканування, видалення заражених файлів, розміщення заражених файлів на карантин, які неможливо видалити, можливість автоматичного та запланованого оновлення, реєстрація випадків шкідливого програмного забезпечення та забезпечення можливості аналізу логів, централізоване управління та ведення логів.

Комп’ютери, у яких виявлено шкідливе програмне забезпечення, та комп’ютери без антивірусного програмного забезпечення заборонено під’єднувати до внутрішньої мережі ТГ.

Адміністратор систем повинен періодично перевіряти на веб-сайті постачальника інформаційних активів на наявність відповідних оновлень. Адміністратор систем має налаштовувати режим автоматичного оновлення патчів або робити це вручну.

Відповідальність за контроль дотримання захисту від шкідливого ПЗ покладено на Відповідальну особу за ІБ.

1. 18. Управління потужностями

ТГ повинна відстежувати, налаштовувати використання ресурсів та складати прогнози щодо майбутніх вимог до потужності, щоб забезпечити необхідну продуктивність систем.

Відповідальними співробітниками ТГ має проводитись регулярно аудит потужностей. Вимоги до нього повинні бути визначені відповідно до пріоритету інформаційної системи для діяльності ТГ.

Особливу увагу слід приділити дороговартісним ресурсам, або таким, що потребують багато часу на отримання/відновлення. Адміністратор систем та Відповідальна особа за ІБ несуть відповідальність за моніторинг ключових показників ефективності систем.

1. 19. Логування та моніторинг

Інформація, яку слід збирати з власних систем має включати в себе:

• Дату та час події;
• Ідентифікатор користувача;
• Тип запиту/дії;
• Статус запиту (успішний чи невдалий);
• Події, що включають зміни, можуть вказувати на початок та кінцевий стан тощо.

ТГ повинна визначити необхідність проведення ручного збору логів в тих системах, де це неможливо автоматично або, якщо автоматичний аудит логів не містить необхідної інформації.

Для реалізації неможливості зміни/видалення журналів логів адміністратором систем, в ТГ мають бути впроваджені додаткові засоби контролю та рішення для реєстрації дій. Якщо критично важливі системи не мають функції реєстрації дій адміністратора систем, потрібно перейти на версії або нові платформи з наявною такою функцією або здійснити затвердження таких винятків Керівництвом ТГ. У разі неможливості зміни систем чи сервісів, такі винятки повинні бути погоджені з Керівництвом.

ТГ має вживати організаційних заходів та впроваджувати інструменти захисту для сховища з архівом логів.

1. 20. Віддалений доступ

Інтернет-ресурси ТГ мають використовуватися для дистанційного виконання робочих завдань, інформаційно-аналітичної роботи в інтересах ТГ, обміну поштою із третіми сторонами.

Інше використання Інтернет-ресурсів слід розглядати як порушення.

Підключення до мережі Інтернет в ТГ повинно здійснюватися адміністратором систем у порядку надання прав доступу. При переміщенні співробітника (звільненні, переведенні в інший підрозділ) його безпосередній Керівник повинен подати заяву на скасування прав доступу.

Віддалене підключення до інформаційних активів ТГ має здійснюватися за допомогою визначених адміністратором систем та Відповідальною особою за ІБ ресурсів.

З’єднання веб-зустрічей/віддаленого управління (наприклад, TeamViewer, AnyDesk) не повинні використовуватися в мережі ТГ для надання віддаленого доступу третім сторонам за замовчуванням. Цей тип підключень дозволений лише для технічного обслуговування та усунення несправностей систем після належної авторизації.

1. 21. Резервне копіювання

Резервне копіювання повинно здійснюватися регулярно.

Критично важлива інформація, програмне забезпечення та системи, що підлягають резервному копіюванню, повинні бути визначені.

Періодичність створення резервних копій та частота їх тестування повинні бути чітко визначені.

Тип резервного копіювання (повне, інкрементне, диференційоване) повинен бути визначений адміністратором систем для кожної системи.

Резервні копії повинні зберігатися окремо від основних копій та повинен бути забезпечений належний рівень безпеки, а доступ до резервних копій повинен бути обмежений на тому ж рівні, що і для основних копій.

Доступ до резервних копій повинні мати лише визначені співробітники ТГ.

Відповідальність за здійснення резервного копіювання покладається на Відповідальну особу за ІБ.

 

1. 22. Безпека комунікацій

ТГ повинна визначити дозволені методи для зв'язку (передачі корпоративної інформації) всередині ТГ та з третіми сторонами.

Обов'язковою є перевірка вкладень з поштових скриньок та інших месенджерів перед завантаженням.

Заборонений доступ до ресурсів ТГ за прямим посиланням.

Під час обміну інформацією повинні використовуватись лише захищені протоколи передачі даних.

В ТГ повинен бути впроваджений та підтримуватись процес електронного спілкування, включаючи питання безпеки, відповідно до рівня конфіденційності переданої інформації. Там, де це необхідно, повинні бути впроваджені додаткові засоби захисту (цифровий підпис, шифрування тощо).

1. 23. Управління змінами

ТГ повинна контролювати зміни в процесах діяльності, засобах обробки інформації та системах, що впливають на ІБ.

Процедури управління змінами повинні включати:

• Ідентифікацію та реєстрацію суттєвих змін;
• Планування та тестування змін;
• Аналіз потенційного впливу (включаючи ІБ);
• Відповідність вимогам ІБ;
• Процедури затвердження змін;
• Процедури відкату;
• Процедура реалізації термінових змін для швидкого та контрольованого виконання змін у разі реагування на аварії та дій відновлення.
  24. Управління вразливостями

Інформацію про технічні вразливості використовуваних інформаційних систем слід отримувати своєчасно, оцінювати їх вплив та вживати відповідних заходів для усунення пов'язаного з цим ризику.

Оцінка вразливостей повинна проводитись регулярно та бути частиною процесу управління вразливостями. Для критичних систем та зовнішньої/внутрішньої мережі, тестування на проникнення периметру повинно проводитися періодично. Відповідальність за контроль проведення оцінки вразливостей покладено на третю сторону, а усунення вразливостей покладено на адміністратора систем та/або Відповідального співробітника за інформаційну безпеку.

1. 25. Управління ризиками

Управління ризиками є невід'ємною частиною діяльності на всіх рівнях ТГ. Метою управління ризиками є надання Керівництву ТГ інформації, необхідної для прийняття обґрунтованих рішень щодо зміни пріоритетів діяльності для управління областями неприйнятно високого ризику.

ТГ має здійснювати оцінку ризиків, оскільки це процес ідентифікації, вимірювань та визначення пріоритетів ризиків ІБ.

ТГ має впровадити відповідні заходи безпеки для мінімізації ризиків після проведення оцінки та їх пріоритезації.

Процес оцінки та управління ризиками ІБ має бути інтегрований в процес управління ризиками діяльності.

1. 26. Управління інцидентами

ТГ повинна підтримувати План реагування на інциденти кібербезпеки (Додаток 2), який повинен спиратися на постійний оперативний моніторинг і процедури реагування на інциденти.

ТГ повинна регулярно проводити навчання та підвищення обізнаності персоналу в сфері управління інцидентами. Підтримувати та розвивати процес реагування на всі типи інцидентів ІБ, відповідно до Політики реагування на інциденти кібербезпеки (Додаток 1).

Кожен співробітник несе відповідальність за повідомлення Відповідальної особи за ІБ, коли він або вона дізнаються про те, що стався або міг статися інцидент ІБ, який міг поставити під загрозу безперервність діяльності ТГ.

Співробітники та треті сторони можуть намагатися вирішити інциденти ІБ лише за вказівками та з прямого дозволу Відповідальної особи за ІБ.

З міркувань безпеки та технічних міркувань ТГ залишає за собою право відстежувати, записувати та реєструвати все використання своїх інформаційних активів і діяльність у мережі ТГ.

1. 27. Безперервність діяльності

ТГ повинна забезпечити наявність необхідних ресурсів для безперервної діяльності та швидкого відновлення критичних систем у разі непередбачуваних ситуацій.

Керівники підрозділів несуть відповідальність за визначення вимог щодо захисту доступності систем/сервісів/даних і несуть остаточну відповідальність за їх виконання. Вимоги мають базуватися на аналізі ризиків, критичності активів і враховувати нормативні вимоги. Керівництво несе відповідальність за забезпечення необхідного фінансування для їх реалізації. Відповідальна особа за ІБ повинен забезпечувати та підтримувати безперервність систем на випадок непередбачених обставин.

Можливості аварійного відновлення особливо вразливі до збоїв і не повинні вважатися прийнятними, якщо вони не проходять регулярні задокументовані випробування.

 

4. Перегляд, оновлення та розповсюдження

Політика буде опублікована у формі, яку неможливо легко змінити, і у формі, яка є актуальною, доступною та зрозумілою для цільового читача. Політика зберігається та є легкодоступною для персоналу та третіх сторін (за необхідності) для подальшого використання.

Політика буде розповсюджена в електронному вигляді. Нова копія Політики буде поширена разом із новою версією будь-якого компонента Політики. Нова копія матиме збільшений номер версії.

Персонал, який отримує електронну копію, оновлює власну паперову версію Політики та зберігає її.

Відповідальність за керування та оновлення Політики покладено на Відповідальну особу за ІБ. Оновлена Політика подається до Керівництва ТГ для остаточного затвердження. Політика переглядається щорічно для забезпечення її адекватності та відповідності потребам і цілям ТГ або частіше, якщо це необхідно (під час внесення суттєвих змін).

5. Перелік відповідальних осіб

Роль	ПІБ
Відповідальна особа за інформаційну безпеку	Василенко Микола Андрійович
Адміністратор систем	Сіроштан Сергій Олексійович
Треті сторони:
Керівництво	Сергієнко Ігнатій Петрович   Керівники виконавчих органів Медвинської сільської ради, комунальних підприємств, установ та організацій

 

Секретар виконавчого комітету                                          Людмила ОГНИСТА

 

Додаток 1

до політики ІБ

 

Політика управління інцидентами кібербезпеки

1. 1. 1. 1. Загальне

Політика управління інцидентами кібербезпеки (далі – Політика) визначає вимоги та послідовність дій щодо виявлення, аналізу та опрацювання інцидентів кібербезпеки (далі – КБ) у Калинівській селищній територіальній громаді (далі – ТГ).

Метою Політики є забезпечення:

• Організація оперативного виявлення, оцінки та реагування на інциденти КБ;
• Мінімізації наслідків інцидентів КБ;
• Запобігання інцидентам КБ в майбутньому, поліпшення впровадження та використання захисних заходів КБ;
• Відповідності рівня КБ ТГ вимогам законів України, нормативно-правових актів України та міжнародних стандартів в області КБ;
• Захисту інформаційних систем ТГ від порушень конфіденційності, цілісності, доступності та спостережності.

1. Класифікація інцидентів

За наслідками інциденти КБ повинні класифікуватись за відповідно до таблиці, яка наведена у пункті 2.2.3 даної Політики.

2. Види інцидентів

• В цій Політиці визначені наступні види інцидентів:
• Порушення цілісності інформації;
• Порушення конфіденційності;
• Порушення доступності;
• Порушення спостережності.

2. Реагування на інциденти КБ

Етап реагування на інциденти КБ в інформаційних системах ТГ повинен включати наступні кроки:

• Підготовка;
• Виявлення та аналіз;
• Стримування;
• Усунення;
• Відновлення;
• Аналіз ефективності.

1. Підготовка

Для забезпечення готовності ТГ до оперативного реагування на інциденти КБ повинні бути розроблені плани реагування на окремі види інцидентів КБ, що є найбільш ймовірними для певної прикладної системи з урахуванням умов та режиму її функціонування виходячи з прогнозованих даних та експертних оцінок.

Розробка планів реагування на інциденти КБ є основою для системного підходу до процесу управління інцидентами КБ в ТГ.

1. Етап «Створення плану реагування на інцидент КБ»

Відповідальна особа за ІБ повинна проводити пошук інформації про аналогічні інциденти КБ, які відбувалися в минулому та для яких розроблено типовий план реагування.

Якщо для поточного виду інциденту КБ у базі знань існує типовий план реагування, то Відповідальна особа за ІБ переходить до його реалізації.

Якщо подібних інцидентів КБ у базі знань немає, Відповідальна особа за ІБ повинна розробити комплекс заходів, який оформлюється у вигляді плану реагування на інцидент КБ та зберігається в базі знань.

2. Виявлення та аналіз

1. Етапи «Виявлення та інформування про інцидент. Збір та реєстрація інформації про інцидент КБ»

У разі виявлення інциденту або слабких місць КБ працівники ТГ або залучені треті сторони повинні повідомити про це Відповідальну особу за ІБ.

До основних ознак інциденту відносяться наступні (невичерпний перелік):

• Суттєве зниження продуктивності прикладних систем або недоступність прикладних систем;
• Повідомлення антивірусного ПЗ;
• Несанкціонована діяльність у мережі та прикладних системах ТГ;
• Стрімке збільшення мережевого трафіку;
• Численні повідомлення про помилки та збої;
• Зафіксовані спроби підбору паролів;
• Заздалегідь відома негативна подія безпеки;
• Подія безпеки, що зафіксована у неробочий час;
• Невідомі облікові записи;
• Відключені засоби забезпечення безпеки;
• Спроби застосування методів соціальної інженерії;
• Відсутність засобів захисту інформації;
• І т.д.

Працівник ТГ, який виявив можливі ознаки інциденту, повинен вказати у повідомленні наступну інформацію:

• Опис проблеми, що спостерігається;
• Час виникнення ознак інциденту;
• Інші суттєві дані щодо інциденту – у відповідь на запитання Відповідальної особи за ІБ

2. Етап «Аналіз інциденту»

Процедура повинна розпочинатись за фактом отримання Відповідальною особою за ІБ повідомлення про виникнення інциденту КБ.

Після отримання повідомлення про інцидент Відповідальна особа за ІБ повинна провести класифікацію інциденту, аналіз зібраної інформацію та прийняти рішення щодо підтвердження його статусу.

3. Етап «Оповіщення про інцидент»

В ТГ оповіщення зацікавлених сторін (голова ТГ, заступники голови, Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України, Служба безпеки України, Національний координаційний центр кібербезпеки при РНБО України, залучені треті сторони – відповідно до договірних вимог, тощо) повинно здійснюватися Відповідальною особою за ІБ визначеними засобами після маркування.

Маркування повинно проводитися відповідно до наступних значень:

Мітка (колір)	Значення
рівень 0, некритичний (білий)	Кіберінцидент/кібератака не загрожує сталому, надійному та штатному режиму функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем.
рівень 1, низький (зелений)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, але не загрожує захищеності (конфіденційності, цілісності і доступності) інформації та даних, що ними обробляються.
рівень 2, середній (жовтий)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, внаслідок чого створюються передумови для порушення захищеності (конфіденційності, цілісності і доступності) інформації та даних, що ними обробляються, виникають передумови для припинення виконання функцій та/або надання послуг критичною інфраструктурою.
рівень 3, високий (помаранчевий)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, порушується захищеність (конфіденційність, цілісність і доступність) інформації та даних, що ними обробляються, внаслідок чого виникають потенційні загрози для національної безпеки і оборони, стану навколишнього природнього середовища, соціальної сфери, національної економіки та її окремих галузей, припинення виконання функцій та/або надання послуг критичною інфраструктурою. Реагування на цьому рівні може потребувати залучення сил та засобів більше ніж одного основного суб’єкта національної системи кібербезпеки.
рівень 4, критичний (червоний)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування кількох інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, порушується захищеність (конфіденційність, цілісність і доступність) інформації та даних, що ними обробляються, внаслідок чого виникають реальні загрози для національної безпеки і оборони, стану навколишнього природного середовища, соціальної сфери, національної економіки та її окремих галузей, припинення виконання функцій та/або надання послуг критичною інфраструктурою. Кіберінцидент/кібератака може мати транскордонний вплив. Реагування на цьому рівні потребує залучення сил та засобів основних суб’єктів національної системи кібербезпеки.
рівень 5, надзвичайний (чорний)	Кіберінцидент/кібератака безпосередньо загрожує сталому, надійному та штатному режиму функціонування значної кількості інформаційних, електронних комунікаційних, інформаційно-комунікаційних систем, технологічних систем, порушується захищеність (конфіденційність, цілісність і доступність) інформації та даних, що ними обробляються, внаслідок чого виникають невідворотні загрози для повноцінного функціонування держави або загроза життю громадян України. Кіберінцидент/кібератака може мати транскордонний вплив. Реагування на цьому рівні потребує максимального залучення сил та засобів основних суб’єктів національної системи кібербезпеки та інших суб’єктів забезпечення кібербезпеки.

3. Стримування

1. Етап «Збір інформації для розслідування інциденту»

Відповідальна особа за ІБ відповідно до плану реагування повинна зібрати інформацію про інцидент для проведення подальшого розслідування.

У випадку, коли при реалізації збору інформації про інцидент КБ планується переривання роботи інформаційно-комунікаційної системи (далі ІКС), Відповідальна особа за ІБ, повинна погодити таке переривання з Керівництвом ТГ.

2. Етап «Зменшення впливу інциденту»

Відповідальна особа за ІБ повинна обрати методи та заходи, спрямовані на зменшення впливу інциденту на процеси діяльності ТГ, окремо для кожного конкретного інциденту, залежно від його виду, та у відповідності з розробленим, планом реагування.

Будь-які методи, дії та порядок їхнього використання або виконання повинні погоджуватися Керівництвом ТГ.

Відповідальна особа за ІБ повинна виконати оцінку можливого впливу запланованих дій на безперервність діяльності ураженої системи та проінформувати Керівництво ТГ. За необхідності допускається ізолювання системи або роз’єднання компонентів цієї системи на період проведення повного розслідування інциденту.

4. Усунення інциденту та відновлення функціонування інформаційно-комунікаційної системи

З метою відновлення нормального функціонування ІКС Відповідальна особа за ІБ повинна проводити заходи з усунення причин та наслідків інциденту.

Процедура усунення інциденту та відновлення функціонування залежить від виду інциденту та повинна визначатись для кожного інциденту окремо.

Після відновлення функціонування ІКС Відповідальна особа за ІБ має перевірити відсутність ознак повторення інциденту та повідомити про завершення робіт Керівництво ТГ.

5. Аналіз ефективності заходів з реагування на кіберінциденти/кібератаки

1. Етап «Розслідування інциденту»

Під час виконання робіт з розслідування інцидентів повинні використовуватись методи та засоби, що запобігають випадковому або навмисному внесенню змін в дані, що вивчаються та аналізуються.

Відповідальна особа за ІБ повинна з’ясувати причини інциденту та провести аналіз усіх виявлених у процесі розслідування небезпечних факторів, що призвели до відхилень:

• у діях працівників ТГ;
• у роботі інформаційних ресурсів та систем;
• відхилень від норм експлуатації програмного забезпечення і обладнання;
• відхилень від вимог політик ІБ із визначенням ступеня впливу цих відхилень на розвиток інциденту.
• Відповідальна особа за ІБ повинна визначити:
• які нормативні вимоги були порушені або не виконані (з посиланням на відповідні статті, розділи, пункти нормативних актів);
• причетність до інциденту, якщо це мало місце, інших підприємств, організацій і установ із визначенням, наскільки це можливо;
• ступеня їх впливу на виникнення і перебіг інциденту.

2. Етап «Аналіз ефективності»

Після завершення розслідування Відповідальна особа за ІБ повинна підготувати звіт з описом всіх проведених процедур щодо управління інцидентами КБ та закриттям інциденту КБ та надати Керівництву ТГ, а також, за необхідності, зацікавленим сторонам.

Відповідальна особа за ІБ повинна внести інформацію про закриття інциденту в журнал реєстрації інцидентів.

3. Система внутрішнього контролю

Всі співробітники ТГ несуть відповідальність за своєчасність інформування Відповідальну особу за ІБ у разі виявлення ознак інцидентів КБ або можливості настання інциденту КБ.

4. Підтримка, оновлення та розповсюдження

Політика буде опублікована у формі, яку неможливо легко змінити, і у формі, яка є актуальною, доступною та зрозумілою для цільового читача. Політика зберігається та є легкодоступною для персоналу та третіх сторін (за необхідності) для подальшого використання.

Політика буде розповсюджена в електронному вигляді. Нова копія Політики буде поширена разом із новою версією будь-якого компонента Політики. Нова копія матиме збільшений номер версії.

Персонал, який отримує електронну копію, оновлює власну паперову версію Політики та зберігає її.

Відповідальність за керування та оновлення Політики покладено на Відповідальну особу за ІБ. Оновлена Політика подається до Керівництва ТГ для остаточного затвердження. Політика переглядається щорічно для забезпечення її адекватності та відповідності потребам і цілям ТГ або частіше, якщо це необхідно (під час внесення суттєвих змін).

 

 

 

______________________________________________________

Додаток 2

до Політики ІБ

 

План реагування на інциденти кібербезпеки

                                                                                                  

Опис інциденту кібербезпеки

№	Назва інциденту	План дій щодо реагування на інцидент	Дата/час виконання дій з реагування	Очікувана дата завершення всіх дій з реагування	Технічні, програмні та фінансові ресурси	Місце збереження інформаційних підтверджень та	Відповідальна за реагування особа (ПІБ,Посада)	Статус			Коментарі
								Не розпочато	У процесі	Завершено