Про Політику кібербезпеки Любашівської селищної ради
XХХVIІІ сесія VIIІ скликання
П Р О Е К Т Р І Ш Е Н Н Я
«___» _______ 2025 року №_____
Про Політику кібербезпеки Любашівської селищної ради
Керуючись п. 22 ст. 26 Закону України «Про місцеве самоврядування в Україні» та на виконання Закону України «Про основні засади забезпечення кібербезпеки України», наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 30 січня 2025 року №54 «Про затвердження Базових заходів з кіберзахисту та Методичних рекомендацій щодо здійснення базових заходів з кіберзахисту», Любашівська селищна рада
ВИРІШИЛА:
- Затвердити Політику кібербезпеки Любашівської селищної ради (додаток 1).
2. Затвердити Внутрішній план реагування на кібератаки/кіберінциденти (додаток 2).
3. Затвердити Основні правила кібергігієни (додаток 3).
4. Структурним підрозділам, комунальним установам, підприємствам та старостинським округам Любашівської селищної ради забезпечити виконання Політики кібербезпеки Любашівської селищної ради, Внутрішнього плану реагування на кібератаки/кіберінциденти та Основних правил кібергігієни.
5. Це рішення:
може бути зупинено селищним головою у п'ятиденний строк з моменту його прийняття і внесено на повторний розгляд ради із обґрунтуванням зауважень;
може бути оскаржено в адміністративному суді в шестимісячний строк, який, якщо не встановлено інше, обчислюється з дня, коли особа дізналася або повинна була дізнатися про порушення своїх прав, свобод чи інтересів, якщо інший порядок не передбачений чинним законодавством;
набирає чинності з дня його офіційного оприлюднення на веб-сайті Любашівської селищної ради: https://lubashivska-gromada.gov.ua/
6. Контроль за виконанням цього рішення покласти на постійну комісію селищної ради з питань законності, регламенту, депутатської діяльності, етики, гуманітарної та соціальної політики.
Селищний голова Геннадій ПАВЛОВ
Додаток 1
до рішення селищної ради
від «___»_________ 2025 року № ____
Політика кібербезпеки Любашівської селищної ради
Розвиток сучасних технологічних рішень, інтенсивна цифровізація не лише органів державного управління, але й усієї системи життєзабезпечення суспільства, виводять проблеми забезпечення кібербезпеки на якісно новий рівень, який є практично співставним з військовою безпекою держави.
Частковий контроль держави за злочинністю у кіберпросторі в сукупності із фінансовими кризами стає чинником швидкого зростання кількості злочинних угруповань, які діють винятково у всесвітній Мережі. Інтегрованість критично важливих для функціонування держави систем до всесвітньої Мережі стає передумовою для розвитку наступальних кібертехнологій та, відповідно, створення нового типу зброї – кіберзброї.
Кібербезпека - це постійні зусилля щодо захисту окремих осіб, організацій та урядів від цифрових атак шляхом захисту мережевих систем і даних від несанкціонованого використання або шкоди. Технічно забезпечити 100%-й захист інформаційно-комунікаційної системи організації неможливо, оскільки у загальному комплексі заходів із забезпечення її кібербезпеки присутня змінна, від якої залежить загальний успіх – це людський фактор.
Нинішня епоха стрімкого розвитку цифрових технологій вимагає від кожної людини постійного розвитку та самовдосконалення, вміння вирішувати питання в режимі реального часу як в особистому житті, так і на професійному рівні. Цифрова грамотність персоналу, його вміння безпечно та ефективно використовувати в службовій діяльності сучасні технологічні рішення - це запорука забезпечення високого рівня кібербезпеки організації.
Політика кібербезпеки Любашівської селищної ради розроблена для визначення чітких заходів і політик для посадових осіб, щоб вони, як кінцеві користувачі, знали та могли розпізнати потенційні загрози та дії, які вони можуть вжити для захисту інформаційних систем, в яких працюють. Головною метою політики кібербезпеки є упередження кібератак або мінімізації їх наслідків та ґрунтується на Кубі МакКамбера - моделі, створеній Джоном МакКамбером у 1991 році, щоб допомогти організаціям створити та оцінити ініціативи з інформаційної безпеки, враховуючи всі пов’язані фактори, які на них впливають. Ця модель безпеки має три виміри.
Конфіденційність запобігає розкриттю інформації неавторизованим особам, ресурсам або процесам.
Цілісність забезпечує захист системної інформації або процесів від навмисних або випадкових змін.
Доступність означає, що авторизовані користувачі можуть отримати доступ до систем і даних, коли і де це необхідно, а ті, які не відповідають встановленим умовам, ні.
2. Політика безпеки
Політика безпеки визначає цілі безпеки, правила поведінки та системні вимоги, яких слід дотримуватися.
Комплексна політика безпеки виконує кілька завдань:
- Демонструє серйозне ставлення організації до безпеки;
- Встановлює правила очікуваної поведінки;
- Забезпечує послідовність роботи системи та придбання, використання й обслуговування програмного та апаратного забезпечення;
- Визначає юридичні наслідки порушень;
- Надає фахівцям з безпеки підтримку керівництва.
- Політики безпеки інформують користувачів, працівників та керівників про вимоги організації щодо захисту технологій та інформаційних активів.
2.1 Політика ідентифікації та автентифікації
Політика ідентифікації та автентифікації - це набір правил, процедур і методів, що визначають, як система або організація впізнає та перевіряє особистість користувачів.
Правила та вимоги:
2.1.1 Не розголошувати дані щодо імені користувача та пароль входу до операційної системи, електронних сервісів, системи електронного документообігу, тощо на автоматизованому робочому місці;
2.1.2 Не зберігати логіни та паролі до реєстрів, електронних сервісів, тощо у письмовому вигляді у доступних місцях (наприклад, на робочому столі, під клавіатурою, тощо);
2.1.3 У випадку форс-мажорних обставин при надані доступу до службового персонального комп’ютера іншій посадовій особі у службових цілях - негайно повідомляти сектор цифрового розвитку Управління ЦНАП;
2.1.4 При створені паролів керуватись наступними настановами:
2.1.4.1 Не використовувати словникові слова чи імена будь-якими мовами;
2.1.4.2 Не використовувати поширені помилки в словникових словах;
2.1.4.3 За можливості використовувати спеціальні символи, такі як: !, @, #, $, %, ^, &, *, (, );
2.1.4.4 Не використовувати імена комп’ютерів чи облікових записів;
2.1.4.5 Використовувати пароль, що містить не менше десяти символів.
2.1.4.6 Не використовувати особисті або очевидні інформаційні елементи, такі як імена, дати народження, телефонні номери, РНОКПП, тощо;
2.1.4.7 Для доступу до електронних сервісів, хмарних рішень, тощо налаштовувати подвійну автентифікацію (2FA);
2.1.4.8 Не використовувати один і той же пароль для різних сервісів і регулярно їх оновлювати. Сильний пароль - це комбінація великих та малих літер, цифр і спеціальних символів, яка складається з принаймні 12 символів, наприклад: j*b#;@L{hy7.
2.2 Політика прийнятного використання
Політика прийнятного використання (Acceptable Use Policy, AUP) - компонента, яка визначає, що користувачі можуть і не можуть робити з різними системними компонентами.
Правила та вимоги
2.2.1 Заборонено на службовому автоматизованому робочому місці користуватися web-ресурсами російської федерації (сайти .ru, тощо);
2.2.2 Заборонено самовільно завантажувати та встановлювати неліцензійне програмне забезпечення з web-ресурсів;
2.2.3 Програмне забезпечення, яке категорично заборонено використовувати:
2.2.3.1 WinRar;
2.2.3.2 ABBYY FineReader;
2.2.3.3 CCleaner;
2.2.3.4 Driver Pack Solution;
2.2.3.5 Yandex;
2.2.3.6 Chrone (можна переплутати із Google Chrome);
2.2.3.7 Антивірус Касперського (Kaspersky Antivirus, KAV);
2.2.3.8 Операційні системи Windows збірки OVGorskiy.
2.2.4 Використовувати у діловому електронному листуванні офіційну e-mail адресу у домені .gov.ua, закріплену за структурним підрозділом/старостатом/посадовою особою або систему взаємодії між органами виконавчої влади (СЕВ ОВВВ) через відділ загальної та
організаційної роботи.
Використання в службовій діяльності електронних поштових сервісів, наприклад, ukr.net, gmail.com, i.ua, тощо - забороняється.
2.2.5 Заборонено підключати до персонального комп’ютера/ноутбука мобільні телефони з метою підзарядки чи обміну інформацією.
2.2.6 Заборонено залишати відкритим кабінет із увімкненими автоматизованими робочими місцями, на яких здійснений вхід у систему. Щоб уникнути несанкціонованого доступу до автоматизованого робочого місця на час відлучення посадової особи достатньо перевести комп’ютер у режим сну.
2.2.7 Уникайте використання Інтернет-банкінгу, електронних платіжних систем, введення автентифікаційних даних під час доступу до Інтернету через загальнодоступні (незахищені) безпроводові мережі (в кафе, барах, вокзалах, аеропортах та інших публічних місцях).
2.3 Політика відділеного доступу
Політика віддаленого доступу - це набір правил, процедур і технологій, які регулюють доступ до ресурсів, систем або інформації з використанням віддалених засобів зв'язку.
Правила та вимоги:
2.3.1 Дозволяється надавати віддалений доступ до автоматизованого робочого місяця виключно службам технічної підтримки відповідного електронного ресурсу, за у мови:
2.3.1.1 Постійного візуального контролю за перебігом сеансу віддаленого підключення;
2.3.1.2 Узгодження запиту на внесення змін до системи, що не стосуються електронного ресурсу, який обслуговується.
2.4. Політика обслуговування мережі
Політика обслуговування мережі - це набір правил, процедур і стандартів, які визначають, як буде управлятися, підтримуватися і захищатися комп'ютерна мережа в організації.
Правила та вимоги:
2.4.1 Постійно проводити роботу щодо вдосконалення локально-обчислювальної мережі;
2.4.2 На автоматизованих робочих місцях посадових осіб забезпечити доступ до операційної системи на основі розмежування ролей користувачів;
2.4.3 На маршрутизаторах, точках доступу забезпечити встановлення складних паролів доступу до режиму адміністратора;
2.4.4 Точки доступу вільного wi-fi налаштовувати за протоколом аутентифікації WPA2-PSK та розмежовувати доступ до інтернету на основі GuestNetwork без права доступу до головної мережі;
2.4.5 Унеможливити фізичний доступ до мережевого, комунікаційного обладнання;
2.5. Політика врегулювання інцидентів
Політика врегулювання інцидентів - це набір правил, процедур і стратегій, які призначені для ефективного виявлення, вирішення та управління подіями, що виникають у різних сферах діяльності.
Правила та вимоги:
2.5.1 Уважно перевіряти електронні листи, що надходять на офіційну поштову скриньку.
(Фішинг - вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційної інформації користувачів - логінів та паролей.)
Будь-який фішинговий електронний лист має ряд закономірних ознак, тому потрібно виконувати та враховувати наступне:
2.5.1.1 Адресу адресанта звіряти посимвольно. Повідомлення надсилається із загальнодоступного домену електронної пошти, наприклад @google.com або @gmail.com. Найкращий спосіб перевірити доменне ім’я організації - це ввести назву компанії в пошукову систему;
2.5.1.2 Фішинговий лист може містити в темі короткий зміст повідомлення, або назву державної установи від імені якої пише зловмисник. Також може містити навмисно зроблені помилки;
2.5.1.3 Зміст повідомлення часто має спонукаючий характер та вимагає дій зі сторони користувача у найкоротші строки. Електронне повідомлення є шахрайством, якщо воно містить поганий правопис та граматику системного характеру. Легальні компанії не запитують конфіденційну інформацію електронною поштою;
2.5.1.4 Фішингові листи містять корисне навантаження. Це буде або заражене вкладення, яке потрібно буде завантажити, або посилання на підроблений веб-сайт. Слід звертати увагу на розширення вкладення:
|
Операційна система |
Розширення вкладення |
|
Windows |
.exe |
|
.bat |
|
|
.msi |
|
|
.dll |
|
|
MacOS |
.app |
|
.dmg |
|
|
Linux |
.bin |
|
.sh |
Призначення цих корисних навантажень - збирати конфіденційну інформацію, таку як реєстраційні дані, дані кредитної картки, номери телефонів та номери рахунків;
2.5.1.5 Сторонній запит на розголошення конфіденційних даних про особу, фінанси або дані для входу свідчить про фішингову атаку.
2.5.2 Шкідливе програмне забезпечення (ШПЗ) - це програмне забезпечення, яке за умови запуску може завдати шкоди різними способами, зокрема:
2.5.2.1 Призвести до блокування пристрою та його непридатності для використання;
2.5.2.2 Крадіжки, видалення або шифрування даних;
2.5.2.3 Використання вашого пристрою для атаки на інших;
2.5.2.4 Отримання облікових даних, які дозволяють отримати доступ до систем або служб якими ви користуєтесь;
2.5.2.5 Майнинг криптовалюти;
2.5.2.6 Використання платних послуг на основі ваших даних (наприклад, телефонні дзвінки преміум-класу).
2.5.3 Створювати резервні копії даних на зовнішніх носіях інформації, облікованих відповідно до чинного законодавства, хмарних ресурсах;
2.5.4 Заборонено запускати програми, які надходять електронною поштою як вкладення;
2.5.5 Заборонено розголошувати чи надавати паролі доступу до службової wi-fi мережі стороннім особам (за потреби відвідувачі можуть скористатися вільними гостьовими wi-fi мережами);
2.5.6 Посадовим особам в частині, що стосується заборонено копіювати/передавати кваліфіковані електронні цифрові підписи/токени, прив’язані до юридичної особи та паролі до них;
2.5.7 Заборонено на автоматизованому робочому місці після обробки зберігати персональні дані громадян.
Структурним підрозділам, яким за родом діяльності необхідно обробляти та зберігати персональні дані, ініціювати створення комплексної системи захисту інформації відповідної категорії;
2.5.8 В разі отримання фішингового листа, не виконувати жодних дій, які пропонуються в листі і негайно повідомити сектор цифрового розвитку Управління ЦНАП;
2.5.9 Якщо все ж таки дію було виконано шляхом переходу за посиланням чи запуску програми-вкладення, тощо - негайно вимкнути комп’ютер (знеструмити) та повідомити сектор цифрового розвитку Управління ЦНАП;
2.5.10 У випадку, коли представники Національної поліції, Держспецзв’язку, тощо в рамках слідчих дій чи перевірки вимагають доступ до автоматизованого робочого місця посадової особи:
2.5.10.1 Перевірити службові посвідчення;
2.5.10.2 Перевірити та зняти копію службового план-завдання, рішення суду, тощо;
2.5.10.3 Повідомити керівництво Любашівської селищної ради;
2.5.10.4 Повідомити сектор цифрового розвитку Управління ЦНАП.
2.5.11 У випадку, коли посадова особа переводиться до іншого структурного підрозділу чи звільняється із займаної посади, їй забороняється самовільно видаляти службову інформацію. Сектору цифрового розвитку Управління ЦНАП технічно унеможливити такі дії кінцевих користувачів.
3. Прикінцеві положення
3.1 Відповідальність за ігнорування або свідоме порушення/не виконання вимог та правил Політики кібербезпеки Любашівської селищної ради кінцевими користувачами є багатогранною і може мати серйозні наслідки як для посадової особи, так і для селищної ради в цілому.
3.2 Посадові особи сектору цифрового розвитку Управління ЦНАП мають право безперешкодного доступу до автоматизованих робочих місць посадових осіб Любашівської селищної ради, для виконання своїх штатних обов’язків відповідно до Положення про сектор цифрового розвитку Управління ЦНАП Любашівської селищної ради.
Додаток 2
до рішення селищної ради
від «___»_________ 2025 року № ____
Внутрішній план реагування на кібератаки та кіберінциденти
При виявленні кібератаки/кіберінциденту необхідно:
1. Невідкладно повідомити завідувача сектору цифрового розвитку Управління «Центр надання адміністративних послуг» Любашівської селищної ради про виявлені кібератаки/кіберінциденти.
2. Завідувачу сектору цифрового розвитку Управління «Центр надання адміністративних послуг» Любашівської селищної ради про виявлену проблему:
1) Невідкладно повідомити Урядову команду реагування на кіберінциденти через форму https://cert.gov.ua/ (пріоритетно), або тел. 044-281-88-25, або на електронну пошту cert@cert.gov.ua;
2) Невідкладно (не пізніше 30 хвилин з моменту виявлення), інформувати Національний координаційний центр кібербезпеки на report@ncscc.gov.ua про виявлену кібератаку/кіберінцидент, що потенційно може мати критичні наслідки для кібербезпеки держави із зазначенням об’єкта кібератаки/кіберінциденту, часу її здійснення та іншої наявної інформації.
3) Повідомити ситуаційний центр забезпечення кібербезпеки Служби безпеки України на електронну адресу: incident@dis.gov.ua; або за телефоном: 093-348-23-34
4) Повідомити Генеральний штаб Збройних сил України на електронну адресу: Cub.doc@post.mil.gov.ua
5) Протягом 12 годин після виявлення такої кібератаки/кіберінциденту у встановленому порядку надавати Національному координаційному центру технічну інформацію (індикатори компрометації, тип атаки, особливості механізму реалізації тощо), а також інформацію щодо можливого джерела, потенційних наслідків, додаткових обставин, вжитих та запланованих заходів реагування.
У разі відсутності керівника сектору, або неможливості зв’язку з ними, самостійно виконати вищезазначені заходи.
Додаток 3
до рішення селищної ради
від «___»_________ 2025 року № ____
Основні правила кібергігієни
1. Використовуйте ліцензійні/легалізовані операційні системи, інші програмні продукти, своєчасно й систематично їх оновлюйте.
2. Користуйтеся антивірусним програмним забезпеченням з технологією евристичного аналізу.
3. Використовуйте програмний міжмережевий екран (брандмауер) та штатні засоби захисту від шкідливого програмного забезпечення.
4. Здійснюйте регулярне резервне копіювання даних, зберігайте резервні копії на зовнішніх носіях інформації (SSD, HDD тощо) та налаштуйте функцію «відновлення системи».
5. Не підключайте флешки та зовнішні диски, не вставляйте CD та DVD тощо у ваш комп'ютер, якщо ви не довіряєте повністю їх джерелу. Існують техніки зламування комп'ютера ще до того, як ви відкриєте файл на флешці і задовго до того, як ваш антивірус його просканує. Якщо ви знайшли пристрій всередині офісу або на вулиці, чи отримали його поштою або з доставкою, чи незнайомець дав вам його з проханням роздрукувати документ, або просто відкрити та перевірити його вміст – є велика ймовірність, що пристрій є небезпечним.
5.1 Довіряйте лише власним пристроям та будьте обережні з пристроями, які отримуєте від інших людей по роботі або в інших цілях.
5.2 При підключенні пристроїв забезпечте їх автоматичну перевірку на наявність шкідливого програмного забезпечення.
5.3 Відключайте автоматичний запуск змінних носіїв інформації (захист від autorun.inf).
6. Не зберігайте аутентифікаційні дані в легкодоступних місцях (наприклад, на робочому столі). Використовуйте для зберігання паролів спеціальні програмні засоби (наприклад, KeePass). Використовуйте стійкі паролі, зокрема такі що:
- містять не менше 8 символів;
- містять літери, цифри та спеціальні символи;
- не містять персоніфікованої інформації (дати народження, номерів телефонів, номерів та серій документів, автотранспорту, банківської картки, адреси реєстрації тощо);
- не використовуються в будь-яких інших акаунтах.
7. Уникайте використання Інтернет-банкінгу, електронних платіжних систем, введення аутентифікаційних даних під час доступу до Інтернету через загальнодоступні (незахищені) безпроводові мережі (в кафе, барах, аеропортах та інших публічних місцях).
8. Будьте особливо обережними з відкриттям вкладень до електронної пошти від невідомих осіб. Сьогодні найактуальнішим засобом розсилання шкідливого програмного забезпечення є електронна пошта. Під час роботи з поштою потрібно перевіряти розширення вкладених файлів та не відкривати файли навіть з безпечними розширеннями. Не переходьте за невідомими посиланнями та не завантажуйте файли, що мають потенційно небезпечне розширення (наприклад: .exe, .bin, .ini, .dll, .com, .sys, .bat, .js тощо) та навіть безпечне (наприклад: .docx, .zip, .pdf), адже можуть використовуватися вразливості, макроси та інші небезпеки. Звертайте увагу на ім'я електронної пошти: навіть якщо воно здається легітимним, усе одно потрібно перевірити (у телефонному режимі або в будь-який інший спосіб), чи дійсно ця особа відправляла вам повідомлення з вкладенням.
9. Іноді, особливо під тиском часу, буває важко відрізнити шкідливі файли від легітимних. Користуйтеся сервісом VirusTotal для перевірки підозрілих файлів шляхом їх одночасного сканування більш ніж 50 антивірусами. Це набагато ефективніше, ніж сканування файлів антивірусом в автономному режимі, але враховуйте той факт, що завантажуючи файли на VirusTotal, ви надаєте доступ до нього третій стороні. Звертаємо вашу увагу на те, що, навіть якщо перевірка на VirusTotal не дала результату, це не виключає того, що файл може бути шкідливим.
10. Будьте уважні перед відкриттям вкладень.
10.1 Під час користування Інтернет-ресурсами (Інтернет-банкінгом, соціальними мережами, системами обміну повідомленнями, новинами, онлайн-іграми) не відкривайте підозрілі посилання (URL), особливо ті, що вказують на веб-сайти, які ви зазвичай не відвідуєте.
10.2 Будьте уважним до проявів Інтернет-шахрайства. Найпоширенішим засобом введення в оману в мережі Інтернет є фішинг. Особливу увагу варто звертати на доменне ім'я Інтернет ресурсу, що запитує аутентифікаційні дані, перш ніж натиснути на посилання: зловмисники можуть замаскувати доменне ім'я, щоб воно виглядало знайомим (facelook.com, gooogle.com тощо). В іншому разі є велика ймовірність перейти на фішингову сторінку, ззовні ідентичну справжній, та самостійно «віддати» власні аутентифікаційні дані.
10.3 У разі необхідності введення аутентифікаційних даних упевніться в тому, що використовується захищене з’єднання HTTPS, перевіряйте SSL-сертифікат веб-сайту, щоб переконатися, що він не клонований або не підроблений.
10.4 Шкідливі URL-адреси можуть бути закодовані у вигляді QR-кодів та/або роздруковані на папері, у тому числі у формі скорочених URL, згенерованих спеціальними сервісами на кшталт tinyurl.com, bit.ly, ow.ly тощо. Не вводьте ці посилання до браузера та не скануйте QR-коди вашим смартфоном якщо ви не впевнені у їх вмісті та походженні.
10.5 Використовуйте VirusTotal для перевірки підозрілих посилань так само, як для сканування файлів.
11. Будьте обережні щодо спливаючих вікон та повідомлень у вашому браузері, програмах, операційній системі та мобільному пристрої. Завжди читайте вміст цих вікон та не "схвалюйте" і не "приймайте" нічого похапцем.
12. Під час використання віддаленого доступу необхідно обмежити доступ за допомогою "білого списку" (IP whitelisting).
13. Установіть обмеження кількості введення помилкових логінів/паролів. Регулярно переглядайте журнали логування, планувальник завдань та автозавантаження на предмет несанкціонованих дій.
