30 Apr 2026

Кібергігієна персоналу: як виконати вимоги Постанови КМУ №1281

ESKA ITeam

Коли «обізнаність» стала законом

Людський фактор залишається найбільш вразливою ланкою в будь-якій системі кіберзахисту. За даними звіту Verizon Data Breach Investigations Report, понад 68% підтверджених зломів у світі починаються з помилки або недбалості персоналу, фішингового листа, слабкого пароля, необережного кліку. В Україні картина ще гостріша: команда CERT-UA опрацювала 5 927 кіберінцидентів у 2025 році, що на 37% більше, ніж роком раніше. Переважна більшість із них стала можливою саме через недостатню обізнаність персоналу з питань кібербезпеки.

8 жовтня 2025 року Кабінет Міністрів України прийняв Постанову №1281 «Про затвердження Порядку проведення інструктажів та систематичних тренінгів щодо кібергігієни».

21 жовтня 2025 року Держспецзв'язку затвердила деталізуючий Наказ №661 із Методичними рекомендаціями щодо змісту таких навчань. Разом ці два документи перетворили кібергігієну персоналу з «доброго наміру» на юридично обов'язкову вимогу з чіткими строками, контролем і відповідальністю.

У цій статті розберемо: хто зобов'язаний виконувати вимоги Постанови, коли і як проводити навчання, що саме перевіряє регулятор і як ESKA допомагає організаціям виконати всі вимоги без зайвого організаційного навантаження.

Що таке кібергігієна і чому вона важлива

Кібергігієна це сукупність практик, звичок і процедур, які кожен працівник застосовує щодня для захисту інформаційних систем та даних від кіберзагроз. Це не технологія і не програмне забезпечення, це культура поведінки.

До кібергігієни належать:

безпечне поводження з паролями та застосування багатофакторної автентифікації (MFA);
розпізнавання фішингових листів, шахрайських посилань і підозрілих вкладень;
правила роботи з державними інформаційними ресурсами та службовою інформацією;
безпека мобільних пристроїв і дистанційна робота;
дії у разі підозри на кіберінцидент - кому і як повідомляти.

Наслідки ігнорування цих правил добре відомі: атака на «Київстар» у грудні 2023 року паралізувала зв'язок для мільйонів абонентів; злам держреєстрів у грудні 2024 року вивів із ладу близько 60 державних реєстрів. В обох випадках людський фактор відіграв ключову роль на різних етапах атаки.

Саме тому навчання персоналу це не додатковий захід, а першочергова лінія оборони.

Постанова КМУ №1281: ключові положення

Постанова №1281 охоплює широке коло суб'єктів державного управління. Обов'язкові інструктажі та тренінги з кібергігієни проводяться для:

членів Кабінету Міністрів України;
народних депутатів України;
працівників патронатних служб;
депутатів місцевих рад та посадових осіб органів місцевого самоврядування;
державних службовців;
військовослужбовців;
працівників органів державної влади та інших державних органів;
керівників та працівників державних підприємств, установ та організацій.

Останній пункт особливо важливий: Постанова поширюється не лише на класичні органи влади, але й на державні підприємства всіх галузей, від енергетики та транспорту до охорони здоров'я та освіти.

Коли і як часто проводити навчання

Постанова встановлює чотири обов'язкові підстави для проведення навчань:

Перші три підстави є безумовними, вони не потребують жодних додаткових рішень: наступив факт → навчання обов'язкове. Четверта підстава залежить від результатів аналізу ризиків, який повинна здійснювати кожна установа в рамках системи кіберзахисту.

Хто відповідає за організацію

Відповідно до Постанови №1281 та суміжного Порядку призначення керівника з кіберзахисту (КМУ №1516 від 26.11.2025), відповідальність за організацію навчань покладається на:

керівника з кіберзахисту (нова обов'язкова посада в органах держвлади);
підрозділи з кіберзахисту установи.

Проводити навчання можуть:

власні підрозділи з кіберзахисту органу влади чи держпідприємства;
основні суб'єкти національної системи кібербезпеки (CERT-UA, СБУ тощо);
приватні компанії - акредитовані провайдери навчальних послуг у сфері кібербезпеки.

Що має входити до програми навчань

Зміст навчань визначається на основі Методичних рекомендацій Держспецзв'язку №661 від 21 жовтня 2025 року. Документ встановлює системний підхід до навчання, орієнтований на реальні загрози, з якими стикаються держслужбовці щодня.

Обов'язкові теми інструктажу при призначенні на посаду

Ввідний інструктаж для нового співробітника охоплює мінімально необхідний базовий рівень знань:

1. Основи безпеки паролів та автентифікації

Вимоги до складності паролів
Заборона використання особистих паролів для робочих акаунтів
Налаштування та використання MFA (багатофакторної автентифікації)
Безпека корпоративного застосунку в смартфоні

2. Фішинг і соціальна інженерія

Ознаки підозрілого листа: відправник, тема, посилання
Небезпека вкладень невідомого походження (ZIP, PDF, EXE, SVG, CHM)
Перевірка посилань перед кліком
Дії при отриманні підозрілого повідомлення

3. Безпечне використання інформаційних систем

Правила доступу до державних інформаційних ресурсів
Заборона використання несанкціонованого програмного забезпечення
Обмеження щодо хмарних сервісів та особистих пристроїв (BYOD)
Порядок роботи зі службовою інформацією

4. Безпека комунікацій

Правила використання месенджерів (Telegram, Signal, Viber) для робочих цілей
Ризики відеоконференцзв'язку
Безпека при дистанційній роботі та VPN

5. Фізична безпека

Захист робочого місця (блокування екрану)
Правила роботи з фізичними носіями (флешки, диски)
«Чистий стіл» — реальний захід безпеки

6. Дії при кіберінциденті

Куди повідомляти: підрозділ з кіберзахисту до CERT-UA
Що робити і чого не робити при підозрі на злам
Порядок документування інциденту

Щорічне навчання: поглиблений рівень

На відміну від ввідного інструктажу, щорічний тренінг має актуалізовану програму, що враховує:

нові типи атак, зафіксовані CERT-UA протягом року;
реальні кейси інцидентів в Україні (Sandworm, APT28, фішингові кампанії);
зміни в регуляторних вимогах (нові накази Держспецзв'язку, КМУ);
результати внутрішніх перевірок або симуляцій фішингу.

Щорічне навчання рекомендується доповнювати практичними елементами: симуляційними фішинговими кампаніями, тестами на перевірку засвоєних знань, розбором реальних сценаріїв атак.

Як задокументувати навчання: що перевіряє Держспецзв'язку

Це один із найважливіших практичних аспектів Постанови - недостатньо просто провести навчання, потрібно правильно задокументувати його результати.

Що зберігається в установі

Відповідно до Постанови №1281, звітна інформація про проведення інструктажів та тренінгів зберігається в самому органі держвлади або держпідприємстві. До такої документації належать:

Програма навчання з переліком тем і тривалістю;
Список учасників із підписами (або електронними підтвердженнями) про проходження;
Результати тестування або іншої форми перевірки знань;
Дати проведення (для підтвердження відповідності строкам Постанови);
Позначення підстави проведення (ввідний / щорічний / після інциденту / за ризиками).

Як і коли Держспецзв'язку перевіряє виконання

Держспецзв'язку перевіряє дотримання вимог щодо кібергігієни в рамках двох механізмів контролю, встановлених Постановою КМУ №1668 від 17 грудня 2025 року «Про державний контроль у сфері кіберзахисту»:

Механізм 1 - Оцінювання стану кіберзахисту ІКС та ОКІІ. Під час планових перевірок систем, що обробляють державні інформаційні ресурси або службову інформацію, інспектори запитують звітну документацію про навчання персоналу. Відповідь має надійти не пізніше 30 календарних днів.

Механізм 2 - Заходи державного контролю. Позапланові або планові перевірки, що охоплюють моніторинг стану кіберзахисту в цілому — включно з виконанням вимог Постанови №1281.

Представник Держспецзв'язку Дмитро Пахольченко прямо заявив: «Дотримання цих норм буде перевірятися в рамках процедур оцінювання стану кіберзахисту. Ми переходимо від рекомендацій до побудови системного, контрольованого процесу підвищення обізнаності». Тобто, відсутність документації означає невиконання вимог на рівні регулятора, незалежно від того, чи проводилися навчання фактично.

Внутрішній ресурс чи зовнішній провайдер: що обрати

Установи мають вибір, організувати навчання власними силами або залучити зовнішнього провайдера. Обидва варіанти законні, але мають суттєво різний рівень ефективності та ризиків.

Для більшості держустанов і держпідприємств залучення зовнішнього провайдера є більш ефективним рішенням, особливо зважаючи на дефіцит кваліфікованих спеціалістів з кіберзахисту в держсекторі та необхідність зберегти фокус власної команди на операційних завданнях.

Типові помилки при виконанні вимог Постанови

На практиці при впровадженні навчань організації найчастіше припускаються таких помилок:

Помилка 1: «Провели, але не задокументували». Тренінг відбувся, але журналу, підписів учасників або результатів тестування немає. Для Держспецзв'язку такого навчання не існує.

Помилка 2: «Пройшли один раз і забули». Одноразове навчання не виконує вимог Постанови — необхідний щорічний цикл плюс позачергові навчання після інцидентів.

Помилка 3: «Нові співробітники навчаються коли встигнуть». Постанова встановлює чіткий строк — 1 місяць після призначення на посаду. Порушення строку — це вже невиконання нормативної вимоги.

Помилка 4: «Програма не оновлюється». Контент трирічної давнини не відповідає актуальному ландшафту загроз. Методичні рекомендації №661 передбачають урахування поточних кіберзагроз, зафіксованих в Україні.

Помилка 5: «Відповідальний не призначений». Без офіційно призначеного відповідального за організацію навчань (керівника з кіберзахисту або уповноваженого підрозділу) вся система розсипається.

Чек-лист готовності до виконання Постанови №1281

Використайте цей перелік для самооцінки готовності вашої установи:Організаційна основа:

Призначено керівника з кіберзахисту або відповідального за навчання
Сформовано реєстр персоналу, що підпадає під дію Постанови
Визначено провайдера навчань (власний ресурс або зовнішня компанія)

Ввідний інструктаж (для нових співробітників):

Затверджено програму ввідного інструктажу відповідно до рекомендацій №661
Встановлено процес автоматичного включення нових співробітників у навчання в перший місяць
Налаштовано журнал обліку з підписами та датами

Щорічне навчання:

Затверджено графік щорічних тренінгів для всього персоналу
Програма актуалізована (враховує загрози поточного року за даними CERT-UA)
Передбачено тестування або інша форма перевірки засвоєного матеріалу

Позачергове навчання після інцидентів:

Є внутрішня процедура призначення позачергового навчання після кіберінциденту
Строк 1 місяць після інциденту закріплений у внутрішніх документах

Документування та звітність:

Форми звітних документів відповідають вимогам для перевірки Держспецзв'язку
Документи зберігаються у структурованому архіві (паперовий або електронний)
Є відповідальна особа за актуальність архіву

Практичні заходи (рекомендовано):

Заплановані симуляції фішингових атак
Передбачена система сповіщення про підозрілі листи / інциденти

Кібергігієна як частина системи кіберзахисту

Важливо розуміти: Постанова №1281 не ізольований документ. Вона є частиною широкого пакету нормативних актів, що разом будують системний кіберзахист в Україні:

КМУ №1470 (листопад 2025) — оновлені загальні вимоги до кіберзахисту об'єктів критичної інфраструктури;
Наказ Держспецзв'язку №75 (30 січня 2026) — Каталог заходів з кіберзахисту та форма Плану кіберзахисту;
КМУ №1516 (листопад 2025) — призначення керівника з кіберзахисту в органах держвлади;
КМУ №1668 (грудень 2025) — Порядок державного контролю за дотриманням вимог кіберзахисту.

Навчання персоналу є обов'язковим заходом в Каталозі Наказу №75, а його виконання перевіряється під час загального оцінювання стану кіберзахисту. Це означає: якщо ваша установа проходить перевірку на відповідність Наказу №75, відсутність задокументованих навчань з кібергігієни буде виявлена як окремий розрив.

Як ESKA допомагає виконати вимоги Постанови №1281

ESKA - компанія повного циклу кіберзахисту з підтвердженою експертизою (CISSP, CISM, ISO 27001 Lead Auditor). Ми розробляємо та проводимо програми навчання з кібергігієни, що повністю відповідають вимогам Постанови №1281 та Методичних рекомендацій №661 Держспецзв'язку. Що ми пропонуємо:

Відеокурс з кібергігєни: 19 уроків, реальні кейси, тести, інфографіка - все в одному курсі
Проведення ввідних інструктажів та щорічних тренінгів (онлайн / офлайн / гібрид)
Симуляції фішингових атак для практичного закріплення матеріалу
Готову звітну документацію, що відповідає вимогам перевірки Держспецзв'язку
Консультації щодо побудови повного циклу навчань відповідно до регуляторних вимог

Залишити заявку на розробку програми навчання.

Нормативна база:

Постанова КМУ від 08.10.2025 №1281 — zakon.rada.gov.ua
Наказ Держспецзв'язку від 21.10.2025 №661 — Методичні рекомендації з кібергігієни — cip.gov.ua
КМУ №1668 від 17.12.2025 — Порядок державного контролю у сфері кіберзахисту
КМУ №1516 від 26.11.2025 — Порядок призначення керівника з кіберзахисту
Наказ Держспецзв'язку №75 від 30.01.2026 — Каталог заходів з кіберзахисту
CERT-UA — cert.gov.ua — статистика кіберінцидентів 2024–2025
Verizon DBIR 2024 — статистика людського фактора у зломах