МЕТОДИ ТА ЗАСОБИ ПОБУДОВИ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ ТИПОВОГО ОБ’ЄКТА ІНФОРМАЦІЙНОЇ ДІЯЛЬНОСТІ

Дмитро Задворний; Валерій Козачок; В'ячеслав Черевик; Дмитро Бодненко; Юрій Добришин

doi:10.28925/2663-4023.2025.31.1073

Автор(и)

Дмитро Задворний Київський столичний університет імені Бориса Грінченка https://orcid.org/0009-0005-5163-1472
Валерій Козачок Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0003-0072-2567
В'ячеслав Черевик Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0002-2735-5341
Дмитро Бодненко Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0001-9303-6587
Юрій Добришин Національна академія Служби безпеки України https://orcid.org/0000-0003-2473-9507

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1073

Ключові слова:

інформаційна безпека; кіберзагроза; об’єкт інформаційної діяльності; комплексна система захисту інформації; модель загроз; модель порушника; криптографічний захист; технічні засоби захисту.

Анотація

Ця робота висвітлює проблему розробки комплексної системи захисту інформації (КСЗІ) для типового об’єкта інформаційної діяльності в умовах зростання рівня кіберзагроз та посилення вимог до інформаційної безпеки. В ній представлено аналіз сучасних тенденцій кіберінцидентів в Україні та світі, досліджено нормативно-правову базу, що регламентує створення КСЗІ, а також розглянуто міжнародні стандарти ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005 і рекомендації NIST. Розкрито методологію побудови КСЗІ, зокрема класифікацію об’єктів інформаційної діяльності, етапи аналізу загроз, моделювання порушника та формування політики безпеки. Представлено результати розробки моделі КСЗІ для типового об’єкта інформаційної діяльності: аналіз інформаційних потоків, моделі загроз і порушників, оцінка рівня захищеності, формування профілю безпеки та вибір технічних, криптографічних і організаційних заходів. Оцінено ефективність впровадження, визначено очікувані вигоди, включно зі зниженням ризиків витоку, підвищенням стійкості бізнес-процесів та відповідністю міжнародним стандартам. Висновки містять рекомендації щодо підвищення рівня кіберстійкості та перспективи подальших досліджень.

Завантаження

Дані завантаження ще не доступні.

Посилання

Bishop, M. (2019). Computer security: Art and science. Addison-Wesley.

Chen, T. (2014). Advances in persistent threats. IEEE Security & Privacy, 12(3), 16–25. https://doi.org/10.1109/MSP.2014.51

CERT-UA. (2024). Operational report on cyberattacks in the first half of 2024. https://cert.gov.ua

Verkhovna Rada of Ukraine. (2010). Law of Ukraine “On Personal Data Protection” No. 2297-VI. https://zakon.rada.gov.ua

Verkhovna Rada of Ukraine. (2017). Law of Ukraine “On the Basic Principles of Cybersecurity of Ukraine” No. 2163-VIII. https://zakon.rada.gov.ua

International Organization for Standardization. (2022). ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements. ISO.

National Institute of Standards and Technology. (2024). Cybersecurity Framework 2.0. https://www.nist.gov/cyberframework

Whitman, M. E., & Mattord, H. J. (2021). Principles of information security (7th ed.). Cengage Learning.

Stallings, W. (2022). Network security essentials. Pearson.

Menezes, A. J., van Oorschot, P. C., & Vanstone, S. A. (2019). Handbook of applied cryptography. CRC Press.

Scarfone, K., & Mell, P. (2007). Guide to intrusion detection and prevention systems (IDPS) (NIST Special Publication 800-94). National Institute of Standards and Technology.

International Organization for Standardization. (2022). ISO/IEC 27005:2022 — Information security, cybersecurity and privacy protection — Guidance on information security risk management. ISO.

Rid, T., & Buchanan, B. (2015). Attributing cyber attacks. Journal of Strategic Studies, 38(1–2), 4–37. https://doi.org/10.1080/01402390.2014.977382

Derzhspetszviazok of Ukraine. (2022). Methodological recommendations on building comprehensive information security systems. DSSZZI.

ND TZI 3.7-003-2023. (2023). The procedure for carrying out work on creating a comprehensive information protection system in information and telecommunications systems.

Kozachok, V. A. (2014). Conceptual principles for creating comprehensive information protection systems in information and telecommunications systems. Zviazok: Collection of Scientific Works, 3(109), 8–13.

Kozachok, V. A., & Kovalenko, Y. B. (2015). Features of building complex information protection systems in distributed corporate networks. Modern Information Protection, 1, 41–47.

Kozachok, V. A., Kyrychok, R. V., Skladannyi, P. M., Buryachok, V. L., & Gulak, G. M. (2016). Problems of ensuring control of corporate network security and ways to solve them. Scientific Notes of the Ukrainian Research Institute of Communications, 3(43), 48–61.

Gulak, G. M., Kozachok, V. A., Skladannyi, P. M., Bondarenko, M. O., & Vovkotrub, B. V. (2017). Personal data protection systems in modern information and telecommunication systems. Modern Information Security, 2(30), 65–71.