SHERIFF КИБЕРБЕЗОПАСНОСТЬ

Может ли один человек совмещать должности CISO и руководителя IT

Часто звучит тезис, что Госспецсвязь «не согласовывает одновременное выполнение функций CISO и руководителя IT». В SHERIFF КИБЕРБЕЗОПАСНОСТЬ мы уточняем это с клиентами на самом старте проектов, потому что нормативно этот запрет расположен не там, где его часто ищут.

· NV | nv.ua | Радіо NV | Новини України | Аналітика | Відео | НВ | · Подписаться

Сам Закон 4336 не содержит прямого запрета совмещения должностей руководителя по киберзащите и руководителя IT-подразделения. Что он делает — закрепляет структурную логику: подразделение по киберзащите непосредственно подчиняется руководителю по киберзащите. То есть служба киберзащиты не может оказаться в подчинении IT-блока — она имеет автономный управленческий статус.

Реклама:

Конкретный запрет появился на уровне подзаконного акта — Порядка, утвержденного постановлением КМУ № 1516. Постановление прямо устанавливает: руководитель по киберзащите в органе государственной власти не может одновременно занимать должность ответственного за цифровое развитие и трансформацию (CDTO).

Это юридически точная формула. Логика ее проста: один блок внедряет сервисы и отвечает за скорость цифровизации, другой — независимо контролирует их с точки зрения безопасности. Если обе роли сходятся в одном человеке, возникает самоконтроль и киберзащита становится формальной.

Для частных ОКИ Закон 4336 такой прямой нормы не устанавливает. Однако методические рекомендации Госспецсвязи (приказ № 798) ориентируют на функциональное разделение ролей IT и киберзащиты и это обоснованно: речь идет об устранении конфликта интересов, а не о формальном требовании.

Мы в SHERIFF КИБЕРБЕЗОПАСНОСТЬ всегда советуем клиентам разводить эти функции организационно, даже тогда, когда законодательство этого прямо не требует. Потому что при первом же серьезном инциденте эта архитектура определяет, сможет ли команда объективно среагировать или вместо этого будет пытаться объяснить «свои же» решения.

Практический вывод: попытка «закрыть» функцию CISO начальником IT-отдела заблокирует согласование кандидатуры в госоргане. В частном ОКИ это не нарушение закона, но это создает реальный пробел в управлении безопасностью и именно этот аргумент, а не угроза наказания, должен быть главным для собственника бизнеса.

Часть 1 статьи 5¹ Закона «О кибербезопасности»; Порядок, утвержденный постановлением КМУ № 1516; приказ Администрации Госспецсвязи № 798 от 03.12.2025.

Реклама:

Это публикация-дополнение к основной статье «Закон 4336-IX: что меняется для госучреждений и критической инфраструктуры и как к этому готовиться бизнесу».