![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bga68comp
Кодекс практики з кіберуправління (Cyber Governance Code of Practice) — це новий документ, опублікований урядом Великої Британії 8 квітня 2025 року. Він надає керівництву компаній та директорам рекомендації щодо ефективного управління кіберризиками та захисту своїх організацій від кібератак.
Де його завантажити?
Безкоштовно, офіційно:
gov.uk/cyber-governance
Кодекс кіберуправління — коротко
A: Управління ризиками
| Дія 1 | Отримайте впевненість, що технології, процеси, інформація та сервіси, критично важливі для досягнення цілей організації, ідентифіковані, пріоритетизовані та погоджені. |
|---|---|
| Дія 2 | Узгодьте відповідального за кіберризики на рівні керівництва та впевніться, що вони інтегровані в загальне управління ризиками та внутрішній контроль. |
| Дія 3 | Визначте та чітко донесіть рівень прийнятного кіберризику, а також переконайтесь, що існує план дій для дотримання цих меж. |
| Дія 4 | Отримайте впевненість, що інформація про постачальників регулярно оцінюється відповідно до рівня ризику, і що організація стійка до ризиків у ланцюгу постачання. |
| Дія 5 | Переконайтесь, що оцінки ризиків проводяться регулярно та враховують зміни в технологіях, регуляторних вимогах та загрозах. |
B: Стратегія
| Дія 1 | Переконайтесь, що в організації розроблено кіберстратегію, яка узгоджена з загальною стратегією компанії. |
|---|---|
| Дія 2 | Переконайтесь, що кіберстратегія відповідає визначеному рівню прийнятного ризику, регуляторним вимогам і змінам у середовищі (див. A3, A5). |
| Дія 3 | Переконайтесь, що ресурси розподілені ефективно для управління кіберризиками. |
| Дія 4 | Переконайтесь, що кіберстратегія впроваджується ефективно і досягає очікуваних результатів. |
C: Люди
| Дія 1 | Сприяйте формуванню культури кібербезпеки з позитивними поведінковими моделями та відповідальністю — на всіх рівнях. |
|---|---|
| Дія 2 | Переконайтесь, що існують чіткі політики, які підтримують цю культуру. |
| Дія 3 | Пройдіть навчання для підвищення власної обізнаності та візьміть відповідальність за безпеку своїх цифрових активів. |
| Дія 4 | Перевірте наявність ефективної програми навчання та обізнаності, заснованої на відповідних метриках. |
D: Планування інцидентів, реагування і відновлення
| Дія 1 | Переконайтесь, що організація має план реагування та відновлення у разі кіберінциденту, що зачіпає критичні сервіси. |
|---|---|
| Дія 2 | Щонайменше раз на рік проводьте тестування цього плану з залученням ключових внутрішніх і зовнішніх сторін. |
| Дія 3 | У разі інциденту — виконуйте власні обов’язки щодо звітності та беріть участь у прийнятті рішень. |
| Дія 4 | Переконайтесь, що існує процес аналізу інцидентів із врахуванням уроків для подальших оцінок ризиків та оновлення планів. |
E: Контроль і нагляд
| Дія 1 | Створіть структуру кіберуправління, інтегровану у загальну структуру управління компанії, з чітким розподілом ролей та відповідальності. |
|---|---|
| Дія 2 | Встановіть формальну звітність (не рідше ніж щоквартально), чіткі метрики та допустимі межі ризику. |
| Дія 3 | Підтримуйте постійний двосторонній діалог із ключовими керівниками, включно з CISO (або аналогічною особою). |
| Дія 4 | Переконайтесь, що кібербезпека інтегрована з внутрішнім/зовнішнім аудитом та системами контролю. |
| Дія 5 | Забезпечте обізнаність керівників щодо нормативних вимог та кращих практик. |
Де його завантажити?
Безкоштовно, офіційно:
gov.uk/cyber-governance
