Закон 4336 для технічної команди: що це означає на рівні архітектури і процесів
Як виконати вимоги без переробки всієї інфраструктури — практичні рішення для CTO, SecOps і DevOps
Юристи вже розібрали Закон 4336-IX по статтях. Тепер черга інженерів, адже саме на технічну команду лягає більшість реальної роботи: моніторинг 24/7, журналювання, повідомлення про інциденти у встановлені строки, контроль знімних носіїв, тести відновлення та ведення документації. У SHERIFF КІБЕРБЕЗПЕКА ми часто бачимо одну й ту саму реакцію: коли клієнт відкриває закон і підзаконні акти, у CTO виникає закономірне запитання: «Нам що, тепер все переробляти?»
Коротка відповідь — ні.
Довша відповідь — нижче, у форматі: вимога → що це означає в інфраструктурі → що зробити мінімально.
На які рівні дивиться регулятор
Технічна готовність оцінюється не за назвами посад або кількістю придбаних ліцензій, а за наявністю робочих процесів на шести ключових рівнях:
-
1
Моніторинг
-
2
Журналювання
-
3
Реагування на інциденти
-
4
Інфраструктура та контроль доступу
-
5
Резервне копіювання
-
6
Документація
1. Безперервний моніторинг 24/7 — це не обов’язково власний SOC
Закон та підзаконні акти (зокрема постанова КМУ №1668 і постанова №1470) вимагають забезпечити безперервний моніторинг подій безпеки. Регулятор перевіряє не назву підрозділу, а здатність організації фіксувати події, аналізувати їх та реагувати у нічний час, вихідні та святкові дні.
Що це означає технічно
- SIEM або функціонально еквівалентна система.
- Збір логів із доменних контролерів, критичних серверів та привілейованих облікових записів.
- Правила кореляції та алерти.
- Чергування фахівців 24/7 або зовнішній MDR/SOCaaS.
- SLA на реагування.
- Документована процедура ескалації.
Мінімальний крок
Якщо власний SOC не входить у бюджет, підключіть зовнішній MDR для критичних активів і периметра. Це практичніше та дешевше, ніж придбати SIEM без команди аналітиків.
2. Журналювання: що збирати і скільки зберігати
Окремої норми щодо зберігання логів певну кількість місяців Закон 4336 не встановлює, однак регулятор очікує, що компанія зможе відтворити сценарій інциденту. Без логів це неможливо.
Мінімально необхідні джерела
Підписуйтеся на наші соцмережі
- AD, IAM, SSO
- NGFW, VPN, WAF
- Бази даних і привілейовані системи
- EDR/антивірус
- DNS і DHCP
- Хмарні сервіси (Microsoft 365, AWS, GCP)
Практичний орієнтир
- 12 місяців «гарячих» логів у SIEM
- 12–24 місяці архівного зберігання
3. SLA на повідомлення про інцидент — інженерна, а не юридична задача
Стаття 9¹ Закону вводить обов’язок повідомляти про кіберінциденти. Для технічної команди це означає, що процес повідомлення має бути вбудований у план реагування на кіберінциденти (Incident Response Plan), а не існувати лише як юридична вимога.
Що має бути підготовлено
- Класифікатор подій та інцидентів
- Власники процесів
- Шаблони повідомлень для CERT-UA або ДЦКЗ
- Автоматичне створення тикета з таймером SLA
Ключовий принцип
Відлік часу починається з моменту виявлення інциденту, а не після того, як інформація дійшла до керівництва.
4. Сегментація мережі та контроль USB — без масштабної перебудови
Постанова №1470 виходить із принципу мінімізації поверхні атаки. Це не означає повну перебудову мережі.
Реалістичний шлях
- Виділити критичні системи в окремі VLAN/security zones
- Обмежити доступ до серверних сегментів
- Впровадити політику контролю USB через EDR/DLP
- Увімкнути MFA для всіх привілейованих облікових записів
Що закриває більшість претензій регулятора
- Сегментація критичних активів
- MFA для адміністраторів
- Контроль знімних носіїв
5. Бекапи: важливі не копії, а відновлення
Регулятор перевіряє не сам факт наявності резервних копій, а здатність відновити систему у визначений час.
Інженерний мінімум
- Архітектура 3-2-1 або 3-2-1-1-0
- Immutable backups
- Тестове відновлення щонайменше раз на квартал
- Документування RPO та RTO
- Ізольований сегмент backup-інфраструктури
Запитання регулятора
Не «Чи використовуєте ви Veeam?», а «Коли ви востаннє відновлювали базу даних з нуля і скільки це зайняло часу?»
6. Документація: відсутність документа = відсутність факту
Навіть якщо процес працює технічно, без документального підтвердження він вважається таким, що не існує.
Мінімальний пакет документів
- Політика реагування на кіберінциденти (Incident Response Policy) та сценарії дій (playbooks)
- Політика резервного копіювання (Backup PolicyBackup Policy) з визначеними показниками RPO та RTO
- Політика контролю доступу (Access Control Policy)
- Журнал змін конфігурацій
- Перелік активів із категоризацією за критичністю
Практична порада
Пишіть документи як операційні інструкції для власної команди. Тоді вони будуть корисними під час інцидентів і одночасно відповідатимуть вимогам регулятора.
А що для бізнесу
Закон 4336 не вимагає переписувати інфраструктуру з нуля. Він вимагає, щоб у компанії були:
- Моніторинг
- Журналювання
- Реагування у встановлені строки
- Контроль доступу
- Перевірені резервні копії
- Документовані процеси
Більшість зрілих ІТ-команд вже мають 60–70% необхідних елементів. Завдання полягає не в тотальній трансформації, а в закритті прогалин та формалізації процесів.
Як допомагає SHERIFF КІБЕРБЕЗПЕКА
У SHERIFF КІБЕРБЕЗПЕКА ми допомагаємо компаніям пройти шлях від формального розуміння вимог до практичного виконання:
- аудит готовності;
- дорожня карта впровадження;
- налаштування процесів і технічних контролів;
- підключення зовнішнього моніторингу 24/7;
- підготовка документів та доказової бази.
Закон створює рамку. Інженери наповнюють її конкретними технічними рішеннями. І саме в цій конкретиці полягає різниця між ситуацією, коли компанія отримує припис, і ситуацією, коли перевірка проходить без зауважень.