МЕТОД РОЗРАХУНКУ РІВНЯ КІБЕРЗАХИСТУ ОБ’ЄКТІВ КРИТИЧНОЇ ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ

Діана Юдіна

doi:10.28925/2663-4023.2025.30.986

Автор(и)

Діана Юдіна Державний університет "Київський авіаційний інститут" https://orcid.org/0000-0002-1277-8771

DOI:

https://doi.org/10.28925/2663-4023.2025.30.986

Ключові слова:

кіберзахист, критична інфраструктура, об’єкти критичної інфраструктури, обʼєкти критичної інформаційної інфраструктури, модель оцінювання, метод оцінювання, вагові коефіцієнти

Анотація

У сучасному світі, де динамічно зростає кількість та складність кіберзагроз, особливо спрямованих на стратегічні активи держави, виникає гостра необхідність у розробленні ефективних, гнучких та адаптивних механізмів оцінювання поточного рівня кіберзахисту. З огляду на цю потребу, було проведено аналіз існуючих підходів до оцінювання рівня кіберзахисту. Серед них виділяють моделі, засновані на зрілості, ризиках та відповідності. Результати аналізу встановили, що жоден з цих підходів не є повністю універсальним або достатнім для комплексної оцінки об'єктів критичної інформаційної інфраструктури в умовах національного законодавчого поля. Зокрема, підходи, що базуються лише на відповідності, можуть не враховувати реальні ризики, а підходи, що базуються на зрілості, часто є надто суб'єктивними. Для усунення цих системних недоліків було запропоновано гібридний підхід. Цей підхід забезпечує інтеграцію найкращих характеристик попередніх моделей, поєднуючи об'єктивність перевірки відповідності, гнучкість та орієнтованість на процес оцінки зрілості, пріоритезацію, що ґрунтується на оцінці ризиків. На основі гібридного підходу було розроблено метод розрахунку рівня кіберзахисту об'єктів критичної інформаційної інфраструктури. Компонентом цього методу є впровадження вагових коефіцієнтів для різних систем критеріїв.

Для визначення цих вагових коефіцієнтів, що мають забезпечити об'єктивне відображення експертного знання, було обрано метод аналізу ієрархій. Запропонований метод дозволяє трансформувати якісні характеристики (наприклад, бінарні відповіді «так/ні») у єдиний кількісний показник. Цей показник розраховується в стандартизованому діапазоні від 0 до 1, що полегшує порівняння та моніторинг. Отримане числове значення далі інтерпретується за п’ятирівневою шкалою зрілості (від "Початковий" до "Оптимізований"), що надає чітке уявлення про необхідні кроки для покращення.

Таким чином, розроблений метод є ієрархічним, багатокритеріальним та адаптивним до актуального українського законодавства у сфері кіберзахисту та кібербезпеки.

В подальших дослідженнях планується проведення експериментального дослідження та верифікація методу на трьох об’єктах критичної інфраструктури паливно-енергетичного сектору, а також порівняння отриманих результатів за допомогою авторського програмного забезпечення та двох інших інструментів.

Завантаження

Дані завантаження ще не доступні.

Посилання

State Cyber Protection Center of the State Service of Special Communications and Information Protection of Ukraine. (2025). Annual report of the vulnerability detection and cyber incident response system. https://scpc.gov.ua/api/files/72e13298-4d02-40bf-b436-46d927c88006

National Security and Defense Council of Ukraine. (2024). Annual analytical review (October 2023 – September 2024). https://www.rnbo.gov.ua/files/2024/

CMMI Institute. (2023). Capability Maturity Model Integration (CMMI) for Development, Version 3.0. https://cmmiinstitute.com/cmmi

U.S. Department of Energy. (2022). Cybersecurity Capability Maturity Model (C2M2), version 2.1. https://www.energy.gov/sites/default/files/2022-06/C2M2%20Version%202.1%20June%202022.pdf

W. S. Humphrey. (1989). Managing the software process. Reading, Addison-Wesley, MA, 1989

Klein, M., & Masi, M. (1993). The Capability Maturity Model, Version 1.1. IEEE Software.

Khudyntsev, M., & Palazhchenko, I. (2024). Cybersecurity Maturity Models for Cybersecurity assessment in critical infrastructure. ISSN: 2411-4049. Environmental safety and environmental management, vol. 4 (52), 2024.

National Institute of Standards and Technology. (2024) NIST Cybersecurity Framework, version 2.0. https://www.nist.gov/cyberframework

ISO/IEC. (2022). 27005:2022. Information security, cybersecurity and privacy protection — Guidance on managing information security risks

Stoneburner, G., Goguen A., Feringa A. (2002). Risk Management Guide for Information Technology Systems (NIST Special Publication 800-30).

Freund J, Jones J. (2014). Measuring and Managing Information Risk: A FAIR Approach. United States: Butterworth-Heinemann. ISBN-13:978-0124202313.

Patton, Michael Quinn (2002). Qualitative Research and Evaluation Methods. 3 ed. SagePublications.

Mansour Alali, Ahmad Almogren, Mohammad Mehedi Hassan etc. (2018). Improving risk assessment model of cyber security using fuzzy logicinference system. Computers & Security, № 74.

Honchar, S. F. (2019). Cybersecurity risk assessment model of information systems of critical infrastructure facilities. Monograph, Alpha Reklama. 176 p. ISBN 978-966-288-263-6

ISO/IEC. (2022). 27001:2022. Information technology — Security techniques — Information security management systems — Requirements.

Cybersecurity and Infrastructure Security Agency. (2023). CISA Cybersecurity Performance Goals. https://www.cisa.gov/sites/default/files/2023-03/CISA_CPG_REPORT_v1.0.1_FINAL.pdf

Cabinet of Ministers of Ukraine. (2019). Resolution No. 518 dated June 19, 2019 "On Approval of General Requirements for Cybersecurity of Critical Infrastructure Facilities".

Yudina, D. (2025). MODEL FOR CALCULATING THE LEVEL OF CYBER SECURITY OF CRITICAL INFRASTRUCTURE FACILITIES. Electronic professional scientific publication “Cybersecurity: Education, Science, Technology,” 4(28), 586–598. https://doi.org/10.28925/2663-4023.2025.28.829

Cabinet of Ministers of Ukraine. (2021). Resolution No. 1426 dated December 29, 2021 "On approval of the Regulations on the organizational and technical model of cybersecurity".

Administration of the State Service of Special Communications and Information Protection of Ukraine. (2025). Order No. 54 dated January 30, 2025, “On Approval of Basic Cyber Security Measures and Methodological Recommendations for Implementing Basic Cyber Security Measures”.

Yudina, D. (2025). MODIFICATION OF THE MODEL FOR CALCULATING THE LEVEL OF CYBER SECURITY OF CRITICAL INFRASTRUCTURE FACILITIES. Electronic professional scientific publication “Cybersecurity: Education, Science, Technology,” 1(29), 818–836. https://doi.org/10.28925/2663-4023.2025.29.943

Vargas, Luis L.; Saaty, Thomas L. (2001). Models, Methods, Concepts & Applications of the Analytic Hierarchy Process. Boston: Kluwer Academic. ISBN 0-7923-7267-0