METHODOLOGY FOR CALCULATING THE LEVEL OF CYBERSECURITY OF CRITICAL INFORMATION INFRASTRUCTURE FACILITIES

Authors

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1083

Keywords:

cybersecurity, critical infrastructure, critical infrastructure facilities, critical information infrastructure facilities, method for calculation, methodology for calculation, weighting factors

Abstract

The article addresses a pressing scientific and practical challenge: the creation of a unified toolkit for the quantitative assessment of the security status of critical information infrastructure objects (CIIO). The relevance of the study is substantiated by an unprecedented increase in the number of cyberattacks (by 74% in 2025 compared to 2024) and a shift in their vector toward operational technologies. The research emphasizes the lack of transparent tools in Ukraine that would allow operators to objectively evaluate their posture and enable regulators to perform effective monitoring.

Existing methodologies are grouped according to three characteristics: procedural, verification, and analytical. It is determined that none of them are fully universal under the conditions of full-scale war, necessitating the development of a hybrid approach. The research results present a developed five-stage methodology that transforms a multi-criteria theoretical method into a detailed algorithm. The methodology integrates seven systems of criteria: Governance (GV), Cybersecurity Risk Identification (ID), Cyber Protection (PR), Cyber Incident Detection (DE), Cyber Incident Response (RS), Cybersecurity Recovery (RC), and a Sectoral Component (SE).

To incorporate a risk-oriented approach, the Analytic Hierarchy Process (AHP) is applied, allowing for the determination of weighting coefficients for each protection direction through pairwise comparisons. The data collection procedure is described through a three-component approach: documentation inspection, interviewing, and technical testing, which minimizes evaluation subjectivity. Furthermore, the results of the practical application of the methodology at fuel and energy sector facilities are provided. A comparative analysis of the developed proprietary software against two international analogs is conducted, proving the superior accuracy of the author's methodology due to its adaptation to national legislation and the possibility of individual weight adjustment.

The study identifies that the most critical gaps are systems with high weighting coefficients and low implementation levels. The practical value of the work lies in creating a roadmap for CIIF management regarding the prioritization of security investments. Prospects for further research are aimed at automating the determination of the target cyber protection level for conducting gap analysis.

Downloads

Download data is not yet available.

References

Апарат Ради національної безпеки і оборони України. (2025). Річний аналітичний огляд (жовтень 2023 – вересень 2024). https://www.rnbo.gov.ua/files/2024/NATIONAL_CYBER_SCC/20250109/Year%20in%20review_UKR_upd.pdf

State Service of Special Communications and Information Protection of Ukraine. (2025). WAR AND CYBER: Three years of struggle and lessons for global security. Analytical report. https://cip.gov.ua/services/cm/api/attachment/download?id=69131

Державна служба спеціального зв’язку та захисту інформації України. (2025). Російські кібероперації: H1 '2025. https://cip.gov.ua/services/cm/api/attachment/download?id=71278

Державна служба спеціального зв’язку та захисту інформації України. (2024). Російські кібероперації: H2 '2024. https://cip.gov.ua/services/cm/api/attachment/download?id=68769

Юдіна, Д. (2025). Метод розрахунку рівня кіберзахисту об’єктів критичної інформаційної інфраструктури. Кібербезпека: освіта, наука, техніка, 2(30), 473–487. https://doi.org/10.28925/2663-4023.2025.30.986

Юдіна, Д. (2025). Модель розрахунку рівня кіберзахисту об’єктів критичної інфраструктури. Кібербезпека: освіта, наука, техніка, 4(28), 586–598. https://doi.org/10.28925/2663-4023.2025.28.829

Юдіна, Д. (2025). Модифікація моделі розрахунку рівня кіберзахисту об’єктів критичної інформаційної інфраструктури. Кібербезпека: освіта, наука, техніка, 1(29), 818–836. https://doi.org/10.28925/2663-4023.2025.29.943

CMMI Institute. (2023). Capability Maturity Model Integration (CMMI) for Development, Version 3.0. https://cmmiinstitute.com/cmmi

U.S. Department of Energy. (2022). Cybersecurity Capability Maturity Model (C2M2), version 2.1. https://www.energy.gov/sites/default/files/2022-06/C2M2%20Version%202.1%20June%202022.pdf

Humphrey, W. S. (1989). Managing the software process. Addison-Wesley, МА.

Klein, M., & Masi, M. (1993). The Capability Maturity Model, Version 1.1. IEEE Software.

Khudyntsev, M., & Palazhchenko, I. (2024). Cybersecurity maturity models for cybersecurity assessment in critical infrastructure. Екологічна безпека та природокористування, 4(52).

National Institute of Standards and Technology. (2024). NIST Cybersecurity Framework, version 2.0. https://www.nist.gov/cyberframework

ISO/IEC. (2022). ISO/IEC 27005:2022. Information security, cybersecurity and privacy protection — Guidance on managing information security risks.

Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk management guide for Information Technology systems (NIST Special Publication 800-30). National Institute of Standards and Technology.

Freund, J., & Jones, J. (2014). Measuring and managing information risk: A FAIR approach. Butterworth-Heinemann.

Patton, M. Q. (2002). Qualitative research and evaluation methods (3rd ed.). Sage Publications.

Alali, M., Almogren, A., Hassan, M. M., Razzak, I., & Alelaiwi, A. (2018). Improving risk assessment model of cyber security using fuzzy logic inference system. Computers & Security, 74, 323–339.

Гончар, С. Ф. (2019). Оцінювання ризиків кібербезпеки інформаційних систем об’єктів критичної інфраструктури: монографія. Альфа Реклама.

ISO/IEC. (2022). ISO/IEC 27001:2022. Information technology — Security techniques — Information security management systems — Requirements.

Шиповський, В. (2023). Система показників оцінювання кіберстійкості інформаційних систем об’єктів критичної інфраструктури. Захист інформації, 1(25), 37–45. https://doi.org/10.18372/2410-7840.25.17597

European Union Agency for Cybersecurity (ENISA). (2021). EU cybersecurity certification framework – Methodology for sectoral cybersecurity assessments. https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Report%20-%20SCSA%20Methodology.pdf

National Institute of Standards and Technology. (2014). Assessing security and privacy controls in federal information systems and organizations: Building effective assessment plans (NIST Special Publication 800-53A, Rev. 4).

National Institute of Standards and Technology. (2020). Security and privacy controls for information systems and organizations (NIST Special Publication 800-53, Rev. 5).

ДП «УкрНДНЦ». (2019). Настанови щодо проведення аудитів систем управління (ДСТУ ISO 19011:2019; ISO 19011:2018, IDT).

ДП «УкрНДНЦ». (2023). Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги (ДСТУ ISO/IEC 27001:2023; ISO/IEC 27001:2022, IDT).

The FAIR Institute. (n.d.). What is FAIR? Factor Analysis of Information Risk. https://www.fairinstitute.org/fair-risk-management

PCI Security Standards Council. (2022). Payment Card Industry Data Security Standard (PCI DSS) Requirement and Assessment Procedures, Version 4.0.

CMMI Institute. (n.d.). About CMMI Integration. https://cmmiinstitute.com/cmmi

Кабінет Міністрів України. (2021). Постанова від 29.12.2021 № 1426 «Про затвердження Положення про організаційно-технічну модель кіберзахисту». https://zakon.rada.gov.ua/laws/show/1426-2021-%D0%BF

Адміністрація Державної служби спеціального зв’язку та захисту інформації України. (2025). Наказ від 30.01.2025 № 54 «Про затвердження Базових заходів з кіберзахисту та Методичних рекомендацій щодо здійснення базових заходів з кіберзахисту».

Vargas, L. L., & Saaty, T. L. (2001). Models, methods, concepts & applications of the Analytic Hierarchy Process. Kluwer Academic.

Cybersecurity & Infrastructure Security Agency (CISA). (n.d.). The Cyber Security Evaluation Tool (CSET). https://csirt.csi.cip.gov.ua/uk/pages/cset

Downloads


Abstract views: 15

Published

2025-12-16

How to Cite

Yudina, D., & Yudin, D. (2025). METHODOLOGY FOR CALCULATING THE LEVEL OF CYBERSECURITY OF CRITICAL INFORMATION INFRASTRUCTURE FACILITIES . Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique», 3(31), 833–859. https://doi.org/10.28925/2663-4023.2025.31.1083

Issue

Vol. 3 No. 31 (2025): Cybersecurity: Education, Science, Technique

Section

Articles

License

Copyright (c) 2025 Діана Юдіна, Дмитро Юдін

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.