БЛОКЧЕЙН-ОРІЄНТОВАНИЙ ПІДХІД ДО ЗАБЕЗПЕЧЕННЯ ПРОСТЕЖУВАНОСТІ ТА ПЕРЕВІРЮВАНОСТІ ВИКОНАННЯ ПОЛІТИК КСЗІ

Валерія Балацька

doi:10.28925/2663-4023.2026.32.1136

Автор(и)

Валерія Балацька Львівський державний університет безпеки життєдіяльності https://orcid.org/0000-0002-6262-6792

DOI:

https://doi.org/10.28925/2663-4023.2026.32.1136

Ключові слова:

КСЗІ, політики інформаційної безпеки, аудит, простежуваність, перевірюваність, блокчейн, permissioned blockchain, смартконтракт, хеш-якір, журналювання подій, SIEM, ISO/IEC 27001

Анотація

У статті запропоновано блокчейн-орієнтований підхід до забезпечення простежуваності та перевірюваності виконання політик інформаційної безпеки в комплексних системах захисту інформації (КСЗІ). Актуальність зумовлена тим, що у практиці КСЗІ дотримання політик часто підтверджується журналами подій і звітами, які можуть бути змінені або вилучені, що знижує доказовість аудиту та ускладнює незалежну перевірку. Підхід ґрунтується на фіксації у permissioned-блокчейні лише криптографічних «якорів» (хеш-значень) подій виконання політик, без перенесення повних логів у розподілений реєстр, що мінімізує накладні витрати та ризики розкриття конфіденційних даних. Запропоновано архітектуру, яка включає модуль збору й нормалізації подій, хеш-агрегатор із пакетуванням записів, смартконтракт реєстрації якорів та модуль аудиторської верифікації. Практичний прототип реалізовано як сервіс прикладної логіки, що інтегрується з системою журналювання та взаємодіє зі смартконтрактом через API. Експериментальну перевірку проведено на модельних сценаріях (контроль доступу, зміна ролей, спроби несанкціонованих дій, обробка інцидентів) із подальшою імітацією підміни, видалення та перестановки подій у локальних журналах. Оцінювання виконано за показниками затримки фіксації якоря, пропускної здатності пакетування, частки успішних транзакцій, а також часу аудиторської перевірки для різних обсягів логів. Показано, що запропонований механізм забезпечує виявлення маніпуляцій шляхом невідповідності локально обчислених хешів ончейн-записам, підтримує відтворюваний ланцюг доказів для ключових політик КСЗІ та підвищує прозорість аудиту без довіреної третьої сторони. Обговорено обмеження підходу (вибір критичних подій, керування ключами, політика ретенції) і наведено рекомендації щодо інтеграції з SIEM та вимогами ISO/IEC 27001. Результати можуть бути використані під час проєктування та модернізації КСЗІ для державних інформаційних систем і об’єктів критичної інфраструктури. Запропонований підхід може слугувати основою для автоматизованого формування актів аудиту та незмінних доказів відповідності регламентам КСЗІ організації загалом.

Завантаження

Дані завантаження ще не доступні.

Посилання

International Organization for Standardization. (2022). ISO/IEC 27001: Information security, cybersecurity and privacy protection—Information security management systems—Requirements. ISO.

International Organization for Standardization. (2022). ISO/IEC 27002: Information security, cybersecurity and privacy protection—Information security controls. ISO.

Scarfone, K. A., & Souppaya, M. P. (2023). Cybersecurity log management planning guide (NIST Special Publication 800-92 Rev. 1, IPD). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-92r1.ipd

Koisser, D., & Sadeghi, A.-R. (2023). Accountability of things: Large-scale tamper-evident logging for smart devices. arXiv. https://doi.org/10.48550/arXiv.2308.05557

Joint Task Force. (2020). Security and privacy controls for information systems and organizations (NIST Special Publication 800-53 Rev. 5). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-53r5

Rose, S., Borchert, O., Mitchell, S., & Connelly, S. (2020). Zero trust architecture (NIST Special Publication 800-207). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-207

Putz, B., Menges, F., & Pernul, G. (2019). A secure and auditable logging infrastructure based on a permissioned blockchain. Computers & Security, 101602. https://doi.org/10.1016/j.cose.2019.101602

Ali, A., Khan, A., Ahmed, M., & Jeon, G. (2022). BCALS: Blockchain-based secure log management system for cloud computing. Transactions on Emerging Telecommunications Technologies. https://doi.org/10.1002/ett.4272

Rakib, M. H., Hossain, S., Jahan, M., & Kabir, U. (2022). A blockchain-enabled scalable network log management system. Journal of Computer Science, 18(6), 496–508. https://doi.org/10.3844/jcssp.2022.496.508

Faccia, A., & Petratos, P. (2022). Is permissioned blockchain the key to support external audit? Journal of Open Innovation: Technology, Market, and Complexity, 8(3), 156.

Balatska, V. S., Tkachuk, R., & Maslova, N. (2025). Evolution of complex information security systems and integration of blockchain technologies in cybersecurity of government information systems of Ukraine. Cybersecurity: Education, Science, Technique, 2(30), 316–332. https://doi.org/10.28925/2663-4023.2025.30.975

Balatska, V. S., Ivanusa, A. I., & Panovyk, U. M. (2025). Method of integration of information security policies, standards, and protocols in building information security systems in organizations. Cybersecurity: Education, Science, Technique, 3(31), 283–297. https://doi.org/10.28925/2663-4023.2025.31.1021

Balatska, V. S., & Dmytriv, N. (2025). Inter-organizational exchange of confidential personal data based on permissioned blockchain. Cybersecurity: Education, Science, Technique, 2(29), 178–193. https://doi.org/10.28925/2663-4023.2025.29.875

European Union Agency for Cybersecurity. (2025). Technical implementation guidance on cybersecurity risk management measures (Version 1.0). https://doi.org/10.2824/2702548

Liu, Z., et al. (2023). Dynamic data integrity auditing based on hierarchical Merkle hash tree in cloud storage. Electronics, 12(3), 717. https://doi.org/10.3390/electronics12030717

Du, R., et al. (2025). Certificateless data integrity auditing with sparse Merkle trees for the cloud-edge environment. Scientific Reports, 15, 14041. https://doi.org/10.1038/s41598-025-14041-9

Zhou, H., et al. (2025). Certificate-based multi-copy cloud storage auditing scheme supporting data dynamics. Computers & Security, 104096. https://doi.org/10.1016/j.cose.2024.104096

Balatska, V. S., Poberezhnyk, V. V., & Opirskyi, I. R. (2024). Use of non-fungible tokens and blockchain for access control to government registries. Cybersecurity: Education, Science, Technique, 4(24), 99–114. https://doi.org/10.28925/2663-4023.2024.24.99114

Balatska, V., & Opirskyy, I. (2024). Blockchain as a tool for transparency and protection of government registries. Ukrainian Scientific Journal of Information Security, 30(2), 221–230. https://doi.org/10.18372/2225-5036.30.19211

Punia, A., et al. (2024). A systematic review on blockchain-based access control systems in cloud environment. EURASIP Journal on Information Security, 18. https://doi.org/10.1186/s13677-024-00697-7

Yaqub, N., et al. (2025). Blockchain-enabled policy-based access control mechanism. PeerJ Computer Science, e2647. https://doi.org/10.7717/peerj-cs.2647