Безпечна інтеграція в майбутнє


Безпечна інтеграція в майбутнє

Як підготуватися до перевірок ДССЗЗІ: детальний розбір Постанови КМУ №1668

Майстер-клас: секрети випікання найсмачніших млинців!

20.03.2026

Вимоги до кіберстійкості та захисту даних в Україні посилюються – і це цілком закономірно. Держава прагне контролювати, як обробляється та зберігається інформація, особливо коли йдеться про критичні інформаційні системи.
Важливим кроком у цьому напрямі стала нова Постанова Кабінету Міністрів України від 17.12.2025 №1668, яка оновлює та деталізує порядок проведення державного контролю у сфері захисту інформації.
Головна мета змін – не просто формальна перевірка наявності документів, а реальне оцінювання захищеності інфраструктури, правильності налаштування профілів безпеки та ефективності процесів авторизації користувачів. Для багатьох організацій це означає необхідність переглянути свої підходи до інформаційної безпеки та комплаєнсу. Розберемося, як підготуватися до перевірки Держспецзв'язку, разом з експертами компанії IT Specialist.

На кого поширюється дія Постанови?

Перше питання, яке виникає у керівництва: «Чи чекати перевірку саме нам?» Постанова №1668 визначає перелік субʼєктів, діяльність яких підлягає державному контролю у сфері захисту інформації. Насамперед це організації, які працюють із державними даними або забезпечують функціонування критично важливих сервісів.
До основних категорій суб'єктів, яких можуть перевіряти, належать:
● державні органи, органи місцевого самоврядування та військові формування;● власники та оператори об'єктів критичної інфраструктури (ОКІ);● підприємства, установи та організації (незалежно від форми власності), які обробляють державні електронні інформаційні ресурси або мають доступ до державних реєстрів.
Постанова також встановлює рамки періодичності: планові перевірки проводяться не частіше одного разу на два роки. Перелік організацій визначається річним планом, який Адміністрація Держспецзвʼязку публікує на офіційному сайті не пізніше 1 грудня року, що передує плановому.

Що саме є предметом перевірки?

Помилково вважати, що державний контроль зводиться лише до перегляду документації. Згідно з новими підходами, закріпленими в нормативній базі, посадові особи Держспецзв’язку застосовують комплексний підхід, який оцінює реальний стан кіберстійкості компанії.
Перевірка охоплює три основні напрями:
● дотримання вимог законодавства у сфері кіберзахисту (загальне формулювання);● достовірність даних у звітах про виконання заходів із кіберзахисту (у межах моніторингу);● фактичний стан виконання заходів із кіберзахисту.

Види перевірок та процедура їх проведення

Щоб захід державного контролю не став несподіванкою, важливо розуміти механізм його ініціювання. Законодавство чітко розмежовує планові та позапланові заходи.
Планові перевірки
Проводяться за річним планом, який публікується до 1 грудня. Періодичність – не частіше одного разу на два роки. Про початок і строки заходу субʼєкта повідомляють письмово (рекомендованим листом або електронною поштою) не пізніше ніж за 10 календарних днів до початку перевірки. Це дає час підготувати документи й забезпечити участь відповідальних осіб.
Позапланові перевірки
Не вносяться до річного плану і проводяться лише за наявності чітко визначених підстав, зокрема:
● письмова заява суб’єкта про здійснення заходу державного контролю за його власним бажанням;● перевірка виконання приписів та розпоряджень про усунення порушень, виданих за результатами попередніх перевірок;● неподання документів обов’язкової звітності (про стан кіберзахисту) або подача їх із порушенням строків;● отримання від правоохоронних органів інформації про ознаки порушення суб’єктом вимог законодавства у сфері кіберзахисту.
Повноваження тих, хто виконує перевірку
Під час проведення перевірки уповноважені посадові особи Адміністрації Держспецзв’язку діють у межах чітко визначених повноважень. Згідно з Постановою, вони мають право:
● заходити на територію та у виробничі приміщення суб’єкта, де розташовані інформаційні, електронні комунікаційні та інформаційно-комунікаційні системи;● отримувати доступ до самих систем, а також ознайомлюватися з документами (у паперовій та електронній формі), що стосуються предмета перевірки;● вимагати та одержувати від керівника та працівників суб’єкта письмові та усні пояснення, довідки і відомості з питань, що виникають під час проведення заходу контролю.
Права субʼєкта перевірки
Організація має інструменти для захисту своїх інтересів:
● перевірка повноважень: вимагати посвідчення та копію направлення на перевірку; якщо документи відсутні або оформлені з порушеннями, суб’єкт має право не допускати інспекторів;● участь у процесі: бути присутнім під час здійснення заходу державного контролю, залучати до участі своїх фахівців або уповноважених представників;● заперечення до акту: подавати письмові зауваження, які стають частиною акту перевірки.

Покроковий план підготовки до перевірки

Щоб пройти перевірку спокійно, підготовку варто починати завчасно. Базовий алгоритм виглядає так:
Крок 1. Внутрішній аудит
Це фундамент підготовки. Варто провести ретельний технічний огляд стану інформаційної безпеки серверного обладнання та автоматизованих робочих місць користувачів, незалежно від використовуваних операційних систем. Необхідно перевірити конфігурації служб каталогів та централізованого управління, коректність налаштування політик безпеки, актуальність баз сигнатур захисного програмного забезпечення та своєчасність встановлення критичних оновлень. Також важливо просканувати мережеве обладнання на наявність вразливостей і переконатися, що архітектура мережі відповідає заявленій моделі загроз.
Крок 2. Оновлення документації
Найпоширеніша проблема багатьох організацій – розбіжність між документами та реальністю. Усі внутрішні політики, інструкції адміністраторів, журнали реєстрації подій та плани реагування на інциденти мають бути актуалізовані. Особливу увагу слід приділити документальному оформленню прав доступу: кому, на яких підставах і до яких ресурсів надано повноваження.
Крок 3. Навчання персоналу
Перед заходом контролю варто провести інструктажі для працівників. Вони мають чітко розуміти базові перевірки ДССЗЗІ вимоги до безпеки, а також знати алгоритм дій під час перевірки: кого повідомляти про прибуття посадових осіб, яку інформацію надавати, а яку – узгоджувати з керівником або юристом.

Наслідки порушень 

За результатами заходу складається акт перевірки. Якщо виявлені порушення, можливі такі наслідки:
● припис на усунення недоліків із визначеними строками;● адміністративний протокол у разі невиконання законних вимог або створення перешкод (ст. 188-31 КУпАП, штрафи на посадових осіб);● повторний контроль: припис означає моніторинг виконання, а невиправлені порушення можуть стати підставою для позапланової перевірки.

Висновки

Прийняття Постанови КМУ №1668 є важливим кроком у впорядкуванні процедури державного контролю у сфері захисту інформації та кіберзахисту. Документ чітко регламентує права та обов’язки як і тих, хто перевіряє, так і суб’єктів перевірки, встановлюючи прозорі правила взаємодії.
Для керівників підприємств та установ ключовим є розуміння того, що державний контроль базується на перевірці дотримання вимог законодавства та достовірності наданої звітності. Своєчасне подання звітів про стан кіберзахисту, наявність чинних дозвільних документів та оперативне виконання приписів уповноважених осіб Адміністрації Держспецзв’язку – це ті необхідні умови, які дозволять пройти процедуру контролю без правових наслідків та адміністративних стягнень.
Якщо вас цікавлять питання відповідності вимогам законодавства України в сфері кіберзахисту, підвищення кіберстійкості, проведення оцінки ризиків ІБ – звертайтесь до команди IT Specialist. Ми знаходимо індивідуальний підхід до кожного замовника.

IT Specialist — безпечна інтеграція в майбутнє!

Автор: Дмитро Чуб (Директор напряму автоматизації, інтеграції та аудиту бізнес-процесів)

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124

Illustration


Зателефонувати

Офіс+38 (044) 390 81 90

Департамент продажів+38 (096) 390 81 90

Написати

moc.tsilaicepsti-ym%40olleh

Приїхати на каву

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3, Україна, Київ, 03124