НАПІВАВТОМАТИЗОВАНИЙ ІНСТРУМЕНТ БАГАТОСТАНДАРТНОЇ ОЦІНКИ КІБЕРЗРІЛОСТІ ОРГАНІЗАЦІЇ НА ОСНОВІ NIST CSF 2.0, ISO/IEC 27001:2022, COBIT 2019 ТА CIS CONTROLS V8

Автор(и)

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1004

Ключові слова:

кіберзрілість; багатостандартна оцінка; NIST CSF 2.0; ISO/IEC 27001:2022; COBIT 2019; CIS Controls v8; напівавтоматизована оцінка; експертна група; матриця відповідностей; дорожня карта

Анотація

У сучасному ландшафті кіберзагроз жоден програмний таф технічний засіб не може повністю компенсувати відсутність комплексного підходу до управління безпекою, що включає як технологічні, так і організаційні аспекти. Сучасні організації часто змушені відповідати вимогам декількох міжнародних стандартів одночасно (NIST CSF 2.0, ISO/IEC 27001:2022, COBIT 2019, CIS Controls v8) через регуляторні зобов'язання, вимоги клієнтів та внутрішні політики, що призводить до фрагментації зусиль, дублювання робіт та неефективного використання обмежених ресурсів.

Дана стаття присвячена розробці напівавтоматизованого інструменту багатостандартної оцінки кіберзрілості, який дозволяє організаціям провести оцінку відповідності всім чотирьом фреймворкам через єдину точку входу — структуроване опитування за  фреймворком NIST CSF 2.0 як базового вимірювального інструменту, COBIT 2019 як механізму визначення цільового стану через пріоритизацію бізнес-процесів, ISO/IEC 27001:2022 як референсу документованих контролів та CIS Controls v8 як додаткової практичної деталізації для малих та середніх організацій (МСО).

На основі систематичного аналізу наукової літератури та практичних кейсів обґрунтовано необхідність використання матриці відповідностей (mapping matrix) між стандартами для автоматичного відображення результатів оцінки у термінах всіх чотирьох фреймворків одночасно. Описано архітектуру інструменту та деталізовано логіку його роботи: від формування експертної групи та збору організаційного контексту до автоматизованого оцінювання поточного стану та генерації рекомендацій для цільового.

Науковою новизною роботи є розробка практичного інструменту, що поєднує методологічні підходи, а саме: багатостандартну оцінку кіберзрілості організації через матрицю відповідностей між NIST CSF 2.0, ISO/IEC 27001:2022, COBIT 2019 та CIS Controls v8, яка дозволяє уникнути дублювання зусиль при відповідності множинним стандартам;  напівавтоматизацію оцінки з використанням об'єктивних структурованих опитувальників, що підвищує надійність та повторюваність результатів; валідацію результатів міждисциплінарною експертною групою за принципом «Human-in-the-Loop», що забезпечує врахування організаційного контексту. Охарактеризовано роль експертної групи як валідатора автоматично згенерованих даних та визначника організаційних пріоритетів, що дозволяє поєднати переваги автоматизації з гнучкістю експертного аналізу. Особливу увагу приділено економічній ефективності запропонованого рішення через використання загальнодоступних інструментів (Microsoft Excel) та можливості поетапного впровадження для МСО через систему груп впровадження CIS Controls (IG1→IG2→IG3).

Результати дослідження можуть бути використані як практичний інструмент для організацій будь-якого розміру: малі організації можуть розпочати з базового рівня (CIS IG1) та поступово нарощувати зрілість, тоді як великі підприємства отримують комплексний огляд відповідності множинним стандартам через єдину модель оцінки без дублювання зусиль

Завантаження

Дані завантаження ще не доступні.

Посилання

IBM Security. (2025). Cost of a Data Breach Report 2025. IBM Corporation. https://www.ibm.com/reports/data-breach

Morgan, S. (2025). Cybercrime To Cost The World $12.2 Trillion Annually By 2031. Cybersecurity Ventures. https://cybersecurityventures.com/official-cybercrime-report-2025/

NinjaOne. (2025). 7 SMB Cybersecurity Statistics for 2025. https://www.ninjaone.com/blog/smb-cybersecurity-statistics/

UK Government. (2025). Cyber Security Breaches Survey 2025. https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2025/cyber-security-breaches-survey-2025

BD Emerson. (2024). Must-Know Small Business Cybersecurity Statistics for 2025. https://www.bdemerson.com/article/small-business-cybersecurity-statistics

Legit Security. (2025). Top IT Security Frameworks. https://www.legitsecurity.com/aspm-knowledge-base/top-it-security-frameworks

Dawgen Global. (2023). Beyond NIST: Integrating Multiple Frameworks for Robust Cybersecurity Audits. https://www.dawgen.global/beyond-nist-integrating-multiple-frameworks-for-robust-cybersecurity-audits/

Asokan, V. (2025). Comparative Analysis of Cybersecurity Frameworks: NIST, ISO 27001:2022, SOC 2, & COBIT. LinkedIn. https://www.linkedin.com/pulse/comparative-analysis-cybersecurity-frameworks-nist-iso-vikram-asokan-zeznf

National Institute of Standards and Technology. (2024). The NIST Cybersecurity Framework (CSF) 2.0. NIST CSWP 29. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

International Journal of Advanced Computer Science and Applications. (2025). Cybersecurity and the NIST Framework: A Systematic Review of its Implementation and Effectiveness Against Cyber Threats, vol. 16(6). http://thesai.org/Publications/ViewPaper?Volume=16&Issue=6&Code=ijacsa&SerialNo=72

Center for Internet Security. (2024). CIS Critical Security Controls Version 8.1. https://www.cisecurity.org/controls/v8-1

Center for Internet Security. (2021). CIS Controls Implementation Groups. https://www.cisecurity.org/controls/implementation-groups

Cloud Security Alliance. (2024). NIST CSF vs Other Cybersecurity Frameworks. https://cloudsecurityalliance.org/articles/nist-csf-vs-other-cybersecurity-frameworks

Orna. (2024). NIST, ISO, COBIT, ITIL: Which Cyber Framework Rules Them All? https://www.orna.app/post/nist-iso-cobit-itil-which-cyber-framework-rules-them-all

McIntosh, T. R., Susnjak, T., Liu, T., Watters, P., Nowrozy, R., & Halgamuge, M. N. (2024). From COBIT to ISO 42001: Evaluating Cybersecurity Frameworks for Opportunities, Risks, and Regulatory Compliance in Commercializing Large Language Models. Computers & Security, vol. 143, 103920. https://doi.org/10.1016/j.cose.2024.103920

Tetteh, A. K., & Asare, P. (2024). Cybersecurity Needs for SMEs. Issues in Information Systems, vol. 25(3), pages 235-246.

Armenia, S., & Centra, A. (2021). A Dynamic Simulation Approach to Support the Evaluation of Cyber Security Investments. Decision Support Systems, vol. 147, 113580. https://doi.org/10.1016/j.dss.2021.113580

PwC. (2025). Global Digital Trust Insights 2025. TechInformed. https://techinformed.com/cybersecurity-2025-key-stats/

Gjeta, L., & Bashota, A. (2024). Digital Transformation in SMEs: Identifying Cybersecurity Risks and Developing Effective Mitigation Strategies. Global Journal of Engineering and Technology Advances, vol. 19(2), pages 116-125.

ENISA (2024). Cybersecurity Maturity Assessment for Small and Medium Enterprises. https://www.enisa.europa.eu/tools/cybersecurity-maturity-assessment-for-small-and-medium-enterprises

Van Niekerk, J., & Von Solms, R. (2019). Conceptual Design of a Cybersecurity Resilience Maturity Measurement (CRMM) Framework. African Journal of Information and Communication, vol. 23, pages 21-39. https://www.scielo.org.za/pdf/ajic/v23/02.pdf

Ozkan, B. Y., & Spruit, M. (2020). Assessing and improving cybersecurity maturity for SMEs: Standardization aspects. arXiv preprint arXiv:2007.01751.

Ahmed, M., & Panda, S. (2024). SoK: Identifying Limitations and Bridging Gaps of Cybersecurity Capability Maturity Models (CCMMs). arXiv preprint arXiv:2408.16140. https://arxiv.org/pdf/2408.16140.pdf

Curtin, M., & Moran, B. (2024). Development of a Cyber Risk Assessment Tool for Irish Small Business Owners. arXiv preprint arXiv:2408.16124. https://arxiv.org/pdf/2408.16124.pdf

Shevchenko, S. , Zhdanovа Y. , & Kravchuk, K. (2021). Information protection model based on information security risk assessment for small and medium-sized business. Cybersecurity: Education, Science, Technique, 2(14), 158–175. https://doi.org/10.28925/2663-4023.2021.14.158175

Dziuba, L., & Chmyr, O. (2022). Assessment of information security risks using methodsof mathematical statistics. Bulletin of Lviv State University of Life Safety, 26, 47-54. https://doi.org/https://doi.org/10.32447/20784643.26.2022.06

Journal of Strategic Defense and Policy Studies. (2025). A Meta-Analysis of Cybersecurity Framework Integration in GRC Platforms: Evidence from U.S. Enterprise Audits. https://jsdp-journal.org/index.php/jsdp/article/view/10

Sulistyowati, D., Handayani, F., & Suryanto, Y. (2020). Comparative Analysis and Design of Cybersecurity Maturity Assessment Methodology Using NIST CSF, COBIT, ISO/IEC 27002 and PCI DSS. JOIV: International Journal on Informatics Visualization, vol. 4(4), pages 225-232. https://doi.org/10.30630/joiv.4.4.482

Center for Internet Security. (2024). CIS Controls v8.1 Mapping to NIST CSF 2.0. https://www.cisecurity.org/insights/white-papers/cis-controls-v8-1-mapping-to-nist-csf-2-0

Yousaf, A., & Khan, M. (2025). STPA-Cyber: A Semi-Automated Cyber Risk Assessment Framework. Computers & Security, vol. 151, 104024

Ontario Cyber Security Expert Panel. (2022). Report to the Minister of Public and Business Service Delivery. https://files.ontario.ca/mpbsd-cyber-security-expert-panel-report-en-2022-09-22.pdf

ISACA. (2024). The Three Lines Model in Cybersecurity Governance and Risk Management. https://www.isaca.org/resources/isaca-journal/issues/2024/volume-1/the-three-lines-model-in-cybersecurity-governance-and-risk-management

ISO/IEC. (2022). ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection. International Organization for Standardization.

Scrut Automation. (2025). ISO 27001:2022 Annex A Controls List. https://www.scrut.io/hub/iso-27001/iso-27001-controls

ISACA. (2019). COBIT 2019 Framework: Introduction and Methodology. https://www.isaca.org/resources/cobit

ISACA. (2020). Using COBIT 2019 to Plan and Execute an Organization's Transformation Strategy. https://www.isaca.org/resources/news-and-trends/industry-news/2020/using-cobit-2019

Center for Internet Security. (2024). CIS Controls v8 Guide. https://www.cisecurity.org/controls

Center for Internet Security. (2022). CIS Controls v8 Implementation Groups Handout. Arkansas Department of Education. https://dese.ade.arkansas.gov/Files/CIS_Controls_v8_Implementation_Groups_handout

Center for Internet Security. (2023). Implementation Guide for Small- and Medium-Sized Enterprises CIS Controls IG1. https://www.cisecurity.org/insights/white-papers/implementation-guide-for-small-and-medium-sized-enterprises

Cyrisma. (2024). What's New in the CIS Critical Controls Version 8.1? https://www.cyrisma.com/whats-new-in-the-cis-critical-controls-v-8-1/

CMMI Institute. (2018). Capability Maturity Model Integration (CMMI) for Development, Version 2.0. https://cmmiinstitute.com/cmmi

NIST. (2024). NIST Cybersecurity Framework 2.0 Reference Tool. https://csrc.nist.gov/projects/cybersecurity-framework/filters

World Economic Forum. (2021). Cyber Risk Governance. https://www.weforum.org/publications/cyber-risk-governance/

Kostiuk, Yu. V., Skladannyi, P. M., Bebeshko, B. T., Khorolska, K. V., Rzaieva, S. L., & Vorokhob, M. V. (2025). Information and communication systems security. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Kostiuk, Yu. V., Skladannyi, P. M., Hulak, H. M., Bebeshko, B. T., Khorolska, K. V., & Rzaieva, S. L. (2025). Information security systems. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Hulak, H. M., Zhyltsov, O. B., Kyrychok, R. V., Korshun, N. V., & Skladannyi, P. M. (2023). Enterprise information and cyber security. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Downloads


Переглядів анотації: 1

Опубліковано

2025-12-16

Як цитувати

Шевченко, С., Жданова, Ю., & Кія , О. (2025). НАПІВАВТОМАТИЗОВАНИЙ ІНСТРУМЕНТ БАГАТОСТАНДАРТНОЇ ОЦІНКИ КІБЕРЗРІЛОСТІ ОРГАНІЗАЦІЇ НА ОСНОВІ NIST CSF 2.0, ISO/IEC 27001:2022, COBIT 2019 ТА CIS CONTROLS V8 . Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка», 3(31), 43–60. https://doi.org/10.28925/2663-4023.2025.31.1004

Номер

Том 3 № 31 (2025): Кібербезпека: освіта, наука, техніка

Розділ

Статті

Ліцензія

Авторське право (c) 2025 Юлія Жданова, Світлана Шевченко, Олексій Кія

Creative Commons License

Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Статті цього автора (авторів), які найбільше читають