МЕТОД ІНТЕГРАЦІЇ ПОЛІТИК ІНФОРМАЦІЙНОЇ БЕЗПЕКИ, СТАНДАРТІВ ТА ПРОТОКОЛІВ У ПРОЦЕС ПОБУДОВИ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ В ОРГАНІЗАЦІЇ

Валерія Балацька; Андрій Івануса; Уляна Пановик

doi:10.28925/2663-4023.2025.31.1021

Автор(и)

Валерія Балацька Львівський державний університет безпеки життєдіяльності https://orcid.org/0000-0002-6262-6792
Андрій Івануса Львівський державний університет безпеки життєдіяльності https://orcid.org/0000-0001-9141-8039
Уляна Пановик Львівський державний університет безпеки життєдіяльності https://orcid.org/0000-0002-9663-4328

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1021

Ключові слова:

комплексна система захисту інформації, КСЗІ, політика інформаційної безпеки, управління інформаційною безпекою, моделювання КСЗІ, стандарти інформаційної безпеки, НД ТЗІ, ISO/IEC 27001, NIST SP 800-53, мережеві протоколи безпеки, TLS 1.3, SSHv2, DNSSEC, IPSec, оцінювання відповідності

Анотація

У статті розглянуто проблему розриву між задекларованими політиками інформаційної безпеки, вимогами стандартів та протоколів, а також фактичним функціонуванням інформаційної інфраструктури в організаціях. На практиці елементи КСЗІ часто створюються формально, без врахування реальних ризиків, характеристик мережевих протоколів та відповідності міжнародним і національним стандартам безпеки. У результаті політики інформаційної безпеки не узгоджуються з параметрами технічних засобів, що призводить до фрагментації системи захисту та зниження її загальної ефективності. Додатковою проблемою є використання застарілих або небезпечних протоколів, які продовжують функціонувати через відсутність системного контролю відповідності вимогам стандартів. Запропоновано метод інтеграції політик інформаційної безпеки, вимог стандартів (ISO/IEC 27001:2022, NIST SP 800-53, НД ТЗІ України) та наборів безпечних протоколів (TLS 1.3, SSHv2, DNSSEC, IPSec) у процес побудови комплексної системи захисту інформації. Метод складається з чотирьох етапів: аналіз активів і протоколів, формування та формалізація політик безпеки, встановлення відповідності стандартам та побудова інтегрованої архітектури КСЗІ на основі отриманих результатів. Для кількісної оцінки узгодженості елементів КСЗІ розроблено алгоритм оцінювання відповідності (compliance scoring), який дозволяє об’єктивно визначати рівень відповідності інформаційної інфраструктури вимогам нормативних документів і політик. Експериментальна перевірка методу у тестовому середовищі показала збільшення відповідності стандартам із 52 % до 92 %, усунення застарілих або небезпечних протоколів (FTP, SMB1, HTTP), а також підвищення ефективності формування параметрів КСЗІ завдяки автоматизованій прив’язці політик до технічних механізмів безпеки. Отримані результати підтверджують доцільність використання методу під час побудови та модернізації КСЗІ організацій різних типів. Метою роботи є розроблення методу інтеграції політик інформаційної безпеки, стандартів та протоколів у процес формування комплексної системи захисту інформації в організації.

Завантаження

Дані завантаження ще не доступні.

Посилання

ISO. (2022). ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection – Information security management systems – Requirements. Geneva: ISO.

National Institute of Standards and Technology. (2020). NIST Special Publication 800-53 Revision 5. Security and Privacy Controls for Information Systems and Organizations. Gaithersburg, MD: NIST.

Balatska, V. S., Tkachuk, R. L., & Maslova, N. V. (2025). Evolution of integrated information security systems and blockchain technologies in cybersecurity of state information systems of Ukraine. Cybersecurity: Education, Science, Technique, 2(30), 316–332. https://doi.org/10.28925/2663-4023.2025.30.975

Stallings, W. (2023). Network Security Essentials: Applications and Standards (7th ed.). Pearson.

State Service for Special Communications and Information Protection of Ukraine. (2008). ND TZI 2.5-004-2008. Procedure for developing a comprehensive information protection system (KSZI). Kyiv.

Balatska, V., Poberezhnyk, V., Petriv, P., & Opirskyy, I. (2024). Blockchain application concept in SSO technology context. CEUR Workshop Proceedings, 3654, 38–49. https://ceur-ws.org/Vol-3654/

Kent, S., & Seo, K. (2005). Security Architecture for the Internet Protocol (IPSec) (RFC 4301). IETF. https://www.rfc-editor.org/rfc/rfc4301

Balatska, V. S., & Opirskyy, I. R. (2023). Ensuring personal data confidentiality and cybersecurity through blockchain. Cybersecurity: Education, Science, Technique, 4(20), 6–19. https://doi.org/10.28925/2663-4023.2023.20.619

Anderson, R. (2020). Security Engineering: A Guide to Building Dependable Distributed Systems (3rd ed.). Wiley.

State Service for Special Communications and Information Protection of Ukraine. (2009). ND TZI 2.7-010-09. Classification of threats and model of the violator. Kyiv.

Balatska, V., Slobodian, N., & Opirskyy, I. (2024). Blockchain for enhancing transparency and trust in government registries. CEUR Workshop Proceedings, 3826, 50–59. https://ceur-ws.org/Vol-3826/

Rescorla, E. (2018). The Transport Layer Security (TLS) Protocol Version 1.3 (RFC 8446). IETF. https://www.rfc-editor.org/rfc/rfc8446

Balatska, V., Poberezhnyk, V., & Opirskyy, I. (2024). Using Non-Fungible Tokens and blockchain for access control in state registries. Cybersecurity: Education, Science, Technique, 4(24), 99–114. https://doi.org/10.28925/2663-4023.2024.24.99114

ENISA. (2022). Cybersecurity Policy Implementation Guide. European Union Agency for Cybersecurity. https://www.enisa.europa.eu

Poberezhnyk, V., Balatska, V., & Opirskyy, I. (2023). Development of the learning management system concept based on blockchain technology. CEUR Workshop Proceedings, 3550, 138–146. https://ceur-ws.org/Vol-3550/

Gartner Group. (2023). Market Guide for Zero Trust Network Access. Gartner.

Balatska, V., & Poberezhnyk, V. (2024). Concept of applying blockchain technologies to enhance the protection of personal data in the Diia platform: compliance with GDPR and Ukrainian legislation. Cybersecurity: Education, Science, Technique, 2(26), 268–290.

Arends, R., Austein, R., Larson, M., Massey, D., & Rose, S. (2005). DNS Security Introduction and Requirements (RFC 4033). IETF. https://www.rfc-editor.org/rfc/rfc4033

Balatska, V., Poberezhnyk, V., & Opirskyy, I. (2024). Utilizing blockchain technologies for ensuring the confidentiality and security of personal data in compliance with GDPR. CEUR Workshop Proceedings, 3800, 70–80. https://ceur-ws.org/Vol-3800/

State Service for Special Communications and Information Protection of Ukraine. (2005). ND TZI 3.7-003-2005. Procedure for conformity assessment of technical information protection means. Kyiv.

Shirey, R. (2007). Internet Security Glossary (RFC 4949). IETF. https://www.rfc-editor.org/rfc/rfc4949

Ivanusa, A., Tkachuk, R., Brych, T., Balatska, V., & Tkachenko, A. (2024). Methods and models for designing a system for automated search of vulnerabilities in web applications. Visnyk Lviv State University of Life Safety, 30, 110–122. https://doi.org/10.32447/20784643.30.2024.11

Balatska, V., & Dmytriv, N. (2025). Inter-organizational exchange of confidential personal data based on permissioned blockchain. Cybersecurity: Education, Science, Technique, 2(29), 178–193. https://doi.org/10.28925/2663-4023.2025.29.875