ЕВОЛЮЦІЯ УПРАВЛІННЯ КІБЕРРИЗИКАМИ КРІЗЬ ПРИЗМУ NIST CYBERSECURITY FRAMEWORK

Ярина Захарова; Андрій Партика

doi:10.28925/2663-4023.2025.30.980

Автор(и)

Ярина Захарова Національний університет «Львівська Політехніка» https://orcid.org/0009-0006-0129-7944
Андрій Партика Національний університет «Львівська Політехніка» https://orcid.org/0000-0003-3037-8373

DOI:

https://doi.org/10.28925/2663-4023.2025.30.980

Ключові слова:

NIST CSF 2.0, кібербезпека, управління ризиками, інформаційна безпека, політика кібербезпеки.

Анотація

У статті здійснено комплексний аналіз еволюції NIST Cybersecurity Framework від початкової редакції 1.0 до сучасної версії 2.0. Висвітлено передумови створення фреймворку, його місце у міжнародній практиці та ключову роль у підвищенні кіберстійкості організацій різного масштабу від невеликих компаній до глобальних корпорацій і державних установ. Детально розглянуто особливості попередніх редакцій, зокрема CSF 1.0, яка заклала основу у вигляді п’яти базових функцій (Identify, Protect, Detect, Respond, Recover), та CSF 1.1, що уточнила підходи до управління ризиками у ланцюгах постачання і зробила рамку більш прикладною. Показано, що перехід до CSF 2.0 у 2024 році став якісним етапом розвитку, оскільки нова версія орієнтована не лише на технічні аспекти, а й на стратегічне корпоративне управління. Серед ключових нововведень виділено функцію Govern, що формально закріплює відповідальність керівництва, а також розширення можливостей щодо інтеграції з міжнародними стандартами, удосконалення метрик ефективності та посилення уваги до управління ризиками ланцюгів постачання. Окремо проаналізовано особливості процесу переходу організацій до CSF 2.0. Він включає здійснення аналізу розривів між існуючим станом безпеки та новими вимогами, формування політик, побудову стратегії впровадження, застосування автоматизації та інструментів Zero Trust, а також навчання персоналу. Наголошено, що успіх адаптації залежить від підтримки вищого керівництва, формування культури безпеки й постійного вдосконалення процедур.

Завантаження

Дані завантаження ще не доступні.

Посилання

National Institute of Standards and Technology. (2014). Framework for improving critical infrastructure cybersecurity (Version 1.0). Gaithersburg, MD: NIST. https://doi.org/10.6028/nist.cswp.02122014

National Institute of Standards and Technology. (2018). Framework for improving critical infrastructure cybersecurity (Version 1.1). Gaithersburg, MD: NIST. https://doi.org/10.6028/nist.cswp.04162018

National Institute of Standards and Technology. (2023). The NIST cybersecurity framework 2.0. Gaithersburg, MD: NIST. https://doi.org/10.6028/nist.cswp.29

Teoh, C. S., Mahmood, A. K., & Dzazali, S. (2017). Is NIST CSF applicable for developing nations? A case study on government sector in Malaysia. Proceedings of the Pacific Asia Conference on Information Systems (PACIS 2017).

Ibrahim, A., Valli, C., McAteer, I., & Chaudhry, J. (2018). A security review of local government using NIST CSF: A case study. The Journal of Supercomputing, 74(10), 5171–5186. https://doi.org/10.1007/s11227-018-2479-2

Moskowitz, D., & Nichols, D. M. (2022). A practitioner’s guide to adapting the NIST cybersecurity framework. London: TSO.

White, G. B., & Sjelin, N. (2022). The NIST cybersecurity framework. In I. Management Association (Ed.), Research anthology on business aspects of cybersecurity (pp. 39–55). IGI Global. https://doi.org/10.4018/978-1-6684-3698-1.ch003

Pemmasani, P. K. (2023). National cybersecurity frameworks for critical infrastructure: Lessons from governmental cyber resilience initiatives. International Journal of Acta Informatica, 2(1), 209–218.

Hätinen, M. (2024). Evolution of cybersecurity risk management standardization: Comparison of the NIST cybersecurity framework version 1.1 and 2.0.

Parmar, M., & Miles, A. (2024). Cyber security frameworks (CSFs): An assessment between the NIST CSF v2.0 and EU standards. Proceedings of the IEEE Security Space Systems (3S) Conference, Noordwijk, Netherlands, 1–7. https://doi.org/10.23919/3s60530.2024.10592293

Edwards, J. (2024). A comprehensive guide to the NIST cybersecurity framework 2.0: Strategies, implementation, and best practice. Hoboken, NJ: John Wiley & Sons.

SecurityCompass. (2025). NIST CSF 1.1 vs. 2.0: Key differences explained. https://www.securitycompass.com/blog/nist-csf-1-1-vs-2-differences/

Zhylin, A., Belyavskyi, V., & Bakalynskyi, O. (2024). NIST CSF 2.0: Novyi freimvork z kiberbezpeky vid Natsionalnoho instytutu standartiv i tekhnolohii SShA [NIST CSF 2.0: The new cybersecurity framework from the U.S. National Institute of Standards and Technology]. Ukrainian Scientific Journal of Information Security, 30(1), 73–76. https://doi.org/10.18372/2225-5036.30.18606

Ferry, G., & Valadon, G. (2025). The Ghost Action Campaign: 3,325 secrets stolen through compromised GitHub workflows. GitGuardian Blog. https://blog.gitguardian.com/ghostaction-campaign-3-325-secrets-stolen/

Derzhavna sluzhba spetsialnoho zviazku ta zakhystu informatsii Ukrainy. (2025). Nakaz № 54 vid 30.01.2025 “Pro zatverdzhennia bazovykh zakhodiv z kiberzakhystu ta metodychnykh rekomendatsii shchodo zdiisnennia bazovykh zakhodiv z kiberzakhystu” [Order No. 54 of January 30, 2025 “On approval of basic cybersecurity measures and methodological recommendations for their implementation”]. https://cip.gov.ua/ua/docs/nakaz-administraciyi-derzhspeczv-yazku-vid-30-01-2025-54-pro-zatverdzhennya-bazovikh-zakhodiv-z-kiberzakhistu-ta-metodichnikh-rekomendacii-shodo-zdiisnennya-bazovikh-zakhodiv-z-kiberzakhistu

CSIRT of the State Research Institute of Cybersecurity Technologies and Information Protection. (2025). CSET cybersecurity assessment tool. https://csirt.csi.cip.gov.ua/uk/pages/cset

DevTools. (2025). ServiceNow GRC: Everything you need to know. https://devtools.in/blog/servicenow-grc/