Цільові профілі безпеки: значення, розробка та оновлення

Профіль безпеки системи це практичний інструмент управління захистом конкретної інформаційної, електронної комунікаційної, інформаційно-комунікаційної або технологічної системи. Він допомагає відповісти на базові, але критично важливі питання: що саме ми захищаємо, від яких загроз, якими заходами, у які строки та хто за це відповідає. У постанові КМУ №712 від 18 червня 2025 року цільовий профіль визначено як взаємопов’язану сукупність заходів захисту, сформованих з урахуванням базового профілю, вимог законодавства, стандартів, політик безпеки, призначення системи та результатів оцінки ризиків.

У 2025 році Кабінет Міністрів України затвердив Порядок розроблення та затвердження профілів безпеки систем, а Адміністрація Держспецзв’язку надалі затвердила рекомендації з розроблення цільового профілю безпеки системи наказом №811 від 8 грудня 2025 року. Саме ця нормативна зв’язка сформувала нову, більш ризик-орієнтовану модель побудови захисту державних і пов’язаних із ними систем.

Що таке профіль безпеки

Профіль безпеки це узгоджений набір вимог і заходів захисту для конкретної системи. Він відповідає на практичні питання: що саме ми захищаємо, від яких загроз, яким набором контролів і з яким пріоритетом.

У підході на основі профілів зазвичай розрізняють три рівні:

1) Базовий профіль безпеки (БПБ). Це затверджений набір основних, перевірених часом та обов’язкових заходів захисту, які формують фундамент кібербезпеки. Вони дають власникам/розпорядникам систем чіткі та уніфіковані вимоги до побудови безпеки. Тобто базовий профіль це фундамент, мінімально необхідний рівень захисту, від якого відштовхується будь-яка система.

2) Цільовий профіль безпеки (ЦПБ). Це індивідуальний, адаптований до специфічних ризиків і потреб конкретної системи набір захисних заходів. Він формується власником або розпорядником системи на основі базових (і, за наявності, галузевих) профілів, законодавства, стандартів, політик, функціонального призначення системи, її характеристик та результатів оцінки ризиків. та дозволяє гнучко й ефективно реагувати на актуальні кіберзагрози. 

3) Галузевий профіль (ГПБ). Це адаптація базових вимог до особливостей конкретної сфери або галузі. Він формується уповноваженим органом з урахуванням базового профілю, стандартів, політик безпеки та особливостей функціонування систем у відповідній сфері. Іншими словами, якщо базовий профіль дає фундамент, то галузевий уточнює його для певного сектору.

За допомогою моделі заснованої на профілях безпеки, формування ЦПБ стає прив’язаним до реальних ризиків, а не до «універсальних» чеклістів, а власники/розпорядники державних систем отримують зрозумілу базу, на основі якої будують свій захист. 

Для власника або розпорядника системи це означає три важливі переваги. По-перше, з’являється зрозумілий мінімум вимог, нижче якого опускатися не можна. По-друге, захист можна адаптувати до реальної моделі загроз, а не впроваджувати зайві або неактуальні заходи. По-третє, ЦПБ стає основою для оцінювання, підтвердження виконання вимог і проходження авторизації з безпеки.

В 2025 році Держспецзв’язку оприлюднила Методичні рекомендації з формування цільового профілю безпеки інформації, про які більш детально напишемо в наступних постах.

Одна з найпоширеніших помилок - сприймати ЦПБ як перелік формальних вимог, які потрібно просто закрити. Насправді це хибний підхід. Чекліст не враховує контекст системи, взаємозв’язки між компонентами, бізнес-критичні процеси, інтеграції, типи даних і реальні сценарії зловживань чи збоїв.

ЦПБ працює інакше. Він прив’язує заходи захисту до ризиків конкретної системи. Саме тому два схожі за класом об’єкти можуть мати різні цільові профілі: один - через підвищений ризик простою, другий - через підвищений ризик витоку або несанкціонованої зміни даних. У практичній площині це означає, що ЦПБ є планом управління безпекою системи.

Як розробити цільовий профіль безпеки (ЦПБ) системи

Найкраще сприймати розробку ЦПБ як структурований проєкт, а не як разове оформлення документа. На практиці доцільно будувати його з шести ключових блоків.

1. Визначити межі системи

Перший крок — чітко зафіксувати, для якої саме системи формується профіль. Потрібно описати межі, ключові компоненти, інтеграції, типи даних, канали обміну, користувачів і критичні точки залежності. Один ЦПБ має стосуватися однієї конкретної системи або чітко визначеного контуру. Без цього неможливо коректно адаптувати заходи захисту.

2. Визначити, від чого ви відштовхуєтесь

На цьому етапі обирають базовий профіль безпеки, а за наявності враховують і галузевий профіль. Це фундамент, нижче якого опускатися не можна. БПБ є мінімальним обов’язковим рівнем, а ЦПБ має його не ігнорувати, а деталізувати, уточнювати й у разі потреби посилювати.

3. Описати контекст і ризики

Далі потрібно перейти від загальних вимог до реальних сценаріїв. Які події для цієї системи є найнебезпечнішими? Що може зупинити процеси? Де найбільший ризик простою, витоку, спотворення або втрати даних? Саме результати оцінки ризиків мають прямо впливати на формування ЦПБ це прямо закладено в нормативне визначення цільового профілю.

4. Сформувати перелік заходів безпеки

Після цього створюється основна частина профілю: перелік вимог і заходів із поясненням, як саме вони реалізуються в системі. Найкращий формат це структурована таблиця: вимога або захід, спосіб реалізації, відповідальний, термін виконання, статус. Саме тут ЦПБ перетворюється на робочий інструмент, а не на декларацію намірів.

5. Зафіксувати докази виконання

Один із найважливіших елементів зрілого ЦПБ - докази. Для кожного критичного заходу потрібно заздалегідь визначити, чим підтверджується його виконання: політикою, процедурою, конфігурацією, журналом подій, технічним налаштуванням, скриншотом, актом, протоколом тестування чи звітом. Це критично важливо, тому що для авторизації значення має не лише наявність вимоги в документі, а й підтвердження її фактичної реалізації.

6. Передбачити життєвий цикл ЦПБ

Постанова №712 прямо передбачає, що власник або розпорядник системи переглядає та вносить зміни до ЦПБ на основі щорічного аналізу ризиків, а планова авторизація проводиться не пізніше ніж через один календарний рік після попередньої первинної, планової або позапланової авторизації.

Три практичні правила для якісного ЦПБ

Перше правило: один профіль — одна система або один чітко визначений контур.

Друге правило: кожен захід у ЦПБ має містити не лише формулювання вимоги, а й спосіб реалізації та доказ виконання.

Третє правило: ЦПБ має працювати як план управління безпекою конкретної системи, а не як формальний додаток до пакета документів.

Саме ці три принципи найчастіше відрізняють профіль, який дійсний тільки на папері від профілю, який реально допомагає керувати захистом, бюджетом, відповідальністю та строками впровадження.

Що робити, якщо оновили базовий або галузевий профіль безпеки

Це одне з найпоширеніших практичних запитань. Якщо підприємство вже затвердило ЦПБ і рухається за своїм планом, а пізніше держава оновлює базовий або галузевий профіль, переробляти все з нуля не потрібно. Але реагувати обов’язково потрібно — і тут важлива правильна послідовність дій.

Постанова №712 прямо передбачає, що позапланова авторизація проводиться у разі внесення змін до базового або галузевого профілю, з урахуванням якого був сформований ЦПБ. Водночас власник або розпорядник системи має внести зміни до свого цільового профілю протягом трьох місяців із дати внесення змін до БПБ або ГПБ, якщо інше не передбачено відповідними актами. Позапланова авторизація проводиться протягом шести місяців із дати внесення змін до базового, галузевого або цільового профілю.

Практичний алгоритм дій

Спочатку потрібно зафіксувати, що саме змінилося: додалися нові заходи, змінилися критерії, посилився обов’язковий мінімум або були переглянуті окремі вимоги.

Далі варто провести короткий gap-аналіз: зіставити новий БПБ або ГПБ із чинним ЦПБ і розкласти вимоги на три групи — уже виконуємо, виконуємо частково, не виконуємо.

Після цього оновлюється сам ЦПБ: перелік заходів, терміни, відповідальні, параметри реалізації, пов’язані політики, процедури й докази виконання.

Окремо важливо пам’ятати, що для планової та позапланової авторизації не потрібно кожного разу переоцінювати абсолютно все. Постанова №712 прямо визначає, що в таких випадках достатні позитивні результати оцінювання дотримання вимог ЦПБ у частині заходів, які зазнали змін. Це суттєво знижує навантаження на команду та дає можливість діяти точково.

З чого почати, якщо ЦПБ раніше не розробляли

Найкращий старт - ідентифікація конкретної системи. Це може бути реєстр, система електронного документообігу, офіційний вебпортал, внутрішня мережа установи, окрема ІКС або інша система, що обробляє службову чи іншу захищену інформацію.

Після цього потрібно зібрати базовий набір вхідних даних: опис системи, перелік компонентів та інтеграцій, вимоги законодавства, політики безпеки, наявний базовий або галузевий профіль, а також результати аналізу ризиків. Саме з цього формується профіль, який відповідає не абстрактним вимогам, а реальним умовам функціонування системи.

Які вимоги обов’язково включати до цільового профілю

Обов’язковий мінімум це всі заходи, передбачені обраним базовим профілем, а якщо застосовується галузевий профіль — і його вимоги також. Регуляторна логіка тут однозначна: базовий профіль задає мінімальні вимоги, а цільовий профіль формується з їх урахуванням. Послаблювати мінімум не можна; натомість його можна посилювати або доповнювати додатковими заходами на підставі оцінки ризиків, архітектури системи та її призначення.

На що звернути увагу державним органам і підприємствам критичної інфраструктури

Найбільше помилок виникає не на етапі затвердження документа, а значно раніше — коли неправильно визначено межі системи, не враховано тип інформації, пропущено галузеві вимоги або не прив’язано захист до реальних ризиків.

Тому перед розробленням ЦПБ варто перевірити чотири речі: яка інформація обробляється в системі; чи існує для вашої сфери галузевий профіль; які саме нормативні вимоги застосовуються; і чи готові ви підтверджувати реалізацію кожного критичного заходу доказами. Якщо хоча б один із цих пунктів не пропрацьований, профіль зазвичай виходить формальним і слабким з точки зору подальшого оцінювання.

Цільовий профіль безпеки системи це практичний документ, який поєднує мінімальні обов’язкові вимоги, галузевий контекст, архітектуру системи, ризики, заходи безпеки, докази виконання та логіку подальшого перегляду. Саме тому якісний ЦПБ допомагає не лише пройти авторизацію з безпеки, а й реально керувати станом захищеності системи.

У нормативній моделі, закріпленій постановою КМУ №712, ЦПБ прив’язаний до щорічного перегляду ризиків, оновлення базових і галузевих профілів, а також до процедур планової та позапланової авторизації. Тому для державних органів, установ, організацій і підприємств, які будують безпеку системно, розроблення цільового профілю це частина зрілого управління кіберзахистом.

Якщо вашій організації потрібна розробка цільового профілю безпеки системи, команда ESKA може допомогти сформувати ЦПБ під конкретну систему, підготувати перелік заходів, докази виконання та план впровадження відповідно до чинних вимог регулятора.