МЕТОДИКА РОЗРАХУНКУ РІВНЯ КІБЕРЗАХИСТУ ОБ’ЄКТІВ КРИТИЧНОЇ ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ
DOI:
https://doi.org/10.28925/2663-4023.2025.31.1083Ключові слова:
кіберзахист, критична інфраструктура, об’єкти критичної інфраструктури, об’єкти критичної інформаційної інфраструктури, метод розрахунку, методика розрахунку, вагові коефіцієнтиАнотація
У статті розв’язано актуальне науково-практичне завдання щодо створення уніфікованого інструменту для кількісного розрахунку рівня кіберзахисту об’єктів критичної інформаційної інфраструктури (ОКІІ). Було обґрунтовано актуальність дослідження, зумовлену безпрецедентним зростанням кількості кібератак (на 74% у 2025 році порівняно з 2024 роком) та зміною їхнього вектора у бік систем SCADA. Наголошено на відсутності в Україні інструменту, який би дозволив операторам об’єктивно оцінити свій рівень кіберзахисту, а регуляторам — здійснювати ефективний моніторинг та аудит стану кіберзахисту. Згруповано існуючі методики за трьома характеристиками: процедурні, перевірочні та аналітичні. Визначено, що жодна з них не є повністю універсальною для умов повномасштабної війни, що зумовило потребу в розробці гібридного підходу. Результати дослідження представляють деталізовану методику, яка використовує попередньо розроблений метод розрахунку рівня кіберзахисту ОКІІ. Методика інтегрує сім систем критеріїв: Управління (GV), Ідентифікація ризиків кібербезпеки (ID), Кіберзахист (PR), Виявлення кіберінцидентів (DE), Реагування на кіберінциденти (RS) та Відновлення стану кібербезпеки (RC) та Секторальна складова (SE). Для врахування ризик-орієнтованого підходу застосовано метод аналізу ієрархій (МАІ), що дозволяє через попарні порівняння визначити вагові коефіцієнти для кожного напряму захисту. Описано процедуру збору даних через трикомпонентний підхід: інспекцію документації, інтерв’ювання та технічне тестування, що мінімізує суб’єктивність оцінювання. Також наведено результати практичного застосування методики на об’єктах паливно-енергетичного сектору та проведено порівняльний аналіз розробленого авторського програмного забезпечення із двома міжнародними аналогами, який довів вищу точність авторської методики завдяки адаптації до національного законодавства та можливості індивідуального налаштування ваг. Ідентифіковано, що найбільш критичними прогалинами є системи з високою вагою та низьким рівнем реалізації. Практична цінність роботи полягає у створенні дорожньої карти для керівництва ОКІІ щодо пріоритезації інвестицій у безпеку. Перспективи подальших досліджень спрямовані на автоматизацію визначення цільового рівня кіберзахисту для проведення аналізу прогалин.
Завантаження
Посилання
Апарат Ради національної безпеки і оборони України. (2025). Річний аналітичний огляд (жовтень 2023 – вересень 2024). https://www.rnbo.gov.ua/files/2024/NATIONAL_CYBER_SCC/20250109/Year%20in%20review_UKR_upd.pdf
State Service of Special Communications and Information Protection of Ukraine. (2025). WAR AND CYBER: Three years of struggle and lessons for global security. Analytical report. https://cip.gov.ua/services/cm/api/attachment/download?id=69131
Державна служба спеціального зв’язку та захисту інформації України. (2025). Російські кібероперації: H1 '2025. https://cip.gov.ua/services/cm/api/attachment/download?id=71278
Державна служба спеціального зв’язку та захисту інформації України. (2024). Російські кібероперації: H2 '2024. https://cip.gov.ua/services/cm/api/attachment/download?id=68769
Юдіна, Д. (2025). Метод розрахунку рівня кіберзахисту об’єктів критичної інформаційної інфраструктури. Кібербезпека: освіта, наука, техніка, 2(30), 473–487. https://doi.org/10.28925/2663-4023.2025.30.986
Юдіна, Д. (2025). Модель розрахунку рівня кіберзахисту об’єктів критичної інфраструктури. Кібербезпека: освіта, наука, техніка, 4(28), 586–598. https://doi.org/10.28925/2663-4023.2025.28.829
Юдіна, Д. (2025). Модифікація моделі розрахунку рівня кіберзахисту об’єктів критичної інформаційної інфраструктури. Кібербезпека: освіта, наука, техніка, 1(29), 818–836. https://doi.org/10.28925/2663-4023.2025.29.943
CMMI Institute. (2023). Capability Maturity Model Integration (CMMI) for Development, Version 3.0. https://cmmiinstitute.com/cmmi
U.S. Department of Energy. (2022). Cybersecurity Capability Maturity Model (C2M2), version 2.1. https://www.energy.gov/sites/default/files/2022-06/C2M2%20Version%202.1%20June%202022.pdf
Humphrey, W. S. (1989). Managing the software process. Addison-Wesley, МА.
Klein, M., & Masi, M. (1993). The Capability Maturity Model, Version 1.1. IEEE Software.
Khudyntsev, M., & Palazhchenko, I. (2024). Cybersecurity maturity models for cybersecurity assessment in critical infrastructure. Екологічна безпека та природокористування, 4(52).
National Institute of Standards and Technology. (2024). NIST Cybersecurity Framework, version 2.0. https://www.nist.gov/cyberframework
ISO/IEC. (2022). ISO/IEC 27005:2022. Information security, cybersecurity and privacy protection — Guidance on managing information security risks.
Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk management guide for Information Technology systems (NIST Special Publication 800-30). National Institute of Standards and Technology.
Freund, J., & Jones, J. (2014). Measuring and managing information risk: A FAIR approach. Butterworth-Heinemann.
Patton, M. Q. (2002). Qualitative research and evaluation methods (3rd ed.). Sage Publications.
Alali, M., Almogren, A., Hassan, M. M., Razzak, I., & Alelaiwi, A. (2018). Improving risk assessment model of cyber security using fuzzy logic inference system. Computers & Security, 74, 323–339.
Гончар, С. Ф. (2019). Оцінювання ризиків кібербезпеки інформаційних систем об’єктів критичної інфраструктури: монографія. Альфа Реклама.
ISO/IEC. (2022). ISO/IEC 27001:2022. Information technology — Security techniques — Information security management systems — Requirements.
Шиповський, В. (2023). Система показників оцінювання кіберстійкості інформаційних систем об’єктів критичної інфраструктури. Захист інформації, 1(25), 37–45. https://doi.org/10.18372/2410-7840.25.17597
European Union Agency for Cybersecurity (ENISA). (2021). EU cybersecurity certification framework – Methodology for sectoral cybersecurity assessments. https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Report%20-%20SCSA%20Methodology.pdf
National Institute of Standards and Technology. (2014). Assessing security and privacy controls in federal information systems and organizations: Building effective assessment plans (NIST Special Publication 800-53A, Rev. 4).
National Institute of Standards and Technology. (2020). Security and privacy controls for information systems and organizations (NIST Special Publication 800-53, Rev. 5).
ДП «УкрНДНЦ». (2019). Настанови щодо проведення аудитів систем управління (ДСТУ ISO 19011:2019; ISO 19011:2018, IDT).
ДП «УкрНДНЦ». (2023). Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги (ДСТУ ISO/IEC 27001:2023; ISO/IEC 27001:2022, IDT).
The FAIR Institute. (n.d.). What is FAIR? Factor Analysis of Information Risk. https://www.fairinstitute.org/fair-risk-management
PCI Security Standards Council. (2022). Payment Card Industry Data Security Standard (PCI DSS) Requirement and Assessment Procedures, Version 4.0.
CMMI Institute. (n.d.). About CMMI Integration. https://cmmiinstitute.com/cmmi
Кабінет Міністрів України. (2021). Постанова від 29.12.2021 № 1426 «Про затвердження Положення про організаційно-технічну модель кіберзахисту». https://zakon.rada.gov.ua/laws/show/1426-2021-%D0%BF
Адміністрація Державної служби спеціального зв’язку та захисту інформації України. (2025). Наказ від 30.01.2025 № 54 «Про затвердження Базових заходів з кіберзахисту та Методичних рекомендацій щодо здійснення базових заходів з кіберзахисту».
Vargas, L. L., & Saaty, T. L. (2001). Models, methods, concepts & applications of the Analytic Hierarchy Process. Kluwer Academic.
Cybersecurity & Infrastructure Security Agency (CISA). (n.d.). The Cyber Security Evaluation Tool (CSET). https://csirt.csi.cip.gov.ua/uk/pages/cset
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2025 Діана Юдіна, Дмитро Юдін
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
