КІЛЬКІСНА МЕТОДОЛОГІЯ ОЦІНКИ РИЗИКІВ КІБЕРБЕЗПЕКИ ПРИ ВІДСУТНОСТІ ФІНАНСОВИХ ДАНИХ ПРО ВТРАТИ

Олексій Байдур

doi:10.28925/2663-4023.2024.26.659

Автор(и)

Олексій Байдур Національний університет біоресурсів і природокористування України https://orcid.org/0000-0001-7036-1264

DOI:

https://doi.org/10.28925/2663-4023.2024.26.659

Ключові слова:

інформаційні технології, кібербезпека, оцінка ризиків, гібридна війна, кількісна оцінка, ІКС військового призначення, війна у кіберпросторі

Анотація

Стаття присвячена актуальній проблемі оцінки ризиків кібербезпеки в інформаційно-комунікаційних системах військового призначення в умовах агресивної війни, коли неможливо оцінити потенційні збитки у грошовому еквіваленті та із враховуванням специфіки гібридних загроз. У вступі статті обговорюється актуальність проблеми та підкреслюється необхідність проактивної стратегії кібероборони, важливість своєчасної оцінки ризиків, особливо в умовах активного застосування противником кіберзброї. Особлива увага приділяється неможливості оцінити потенційні втрати від кібератак у грошовому еквіваленті, що зумовлює необхідність нових підходів до оцінки ризиків. Розділ «Особливості оцінки ризиків кібербезпеки ІКС ВП України» аналізує існуючі стандарти та методології, такі як стандарти групи ДСТУ ISO/IEC 27000, а також актуальні методології оцінки ризиків кібербезпеки та виявляє обмеження їх застосування в умовах ведення війни. В розділі підкреслюється важливість автоматизації процесу оцінки ризиків для забезпечення швидкої реакції на кіберзагрози. Розглядаються переваги кількісних моделей оцінки ризиків над якісними, особливо в контексті військових інформаційно-комунікаційних систем. У наступних розділах детально розглядаються ключові процеси оцінки ризиків згідно з ДСТУ ISO/IEC 27005:2023 та згідно актуальних методологій. Проводиться порівняльний аналіз методологій OCTAVE, NIST, COBIT, TARA та FAIR з точки зору їх придатності для потреб ЗСУ. Обговорюються переваги та недоліки кожної методології, та обґрунтовується необхідність розробки нової методології на основі OpenFAIR (відкритої версії методології FAIR), адаптованої до специфіки інформаційно-комунікаційних системах військового призначення та реалій гібридної війни. Результат досліджень представлений у вигляди діаграми діяльності алгоритму оцінки ризиків кібербезпеки в інформаційно-комунікаційних системах військового призначення та детальний опис цих кроків з акцентом на відмінності від методології OpenFAIR У розділі «Висновки» підводяться підсумки проведеної роботи і формуються пропозиції для подальших досліджень.

Завантаження

Дані завантаження ще не доступні.

Посилання

Levite, A. E. (б. д.) Integrating Cyber Into Warfighting: Some Early Takeaways From the Ukraine Conflict. Carnegie Endowment for International Peace. https://carnegieendowment.org/research/2023/04/integrating-cyber-into-warfighting-some-early-takeaways-from-the-ukraine-conflict?lang=en

Microsoft. (б. д.). An overview of Russia’s cyberattack activity in Ukraine. https://www.microsoft.com/en-us/security/security-insider/intelligence-reports/special-report-ukraine/?msockid=26f9b60dff436be1270b a25afe6b6a19#:~:text=Microsoft%20War%20in%20Ukraine

Baidur, O. (2022). Improvement of the cyber protection of the armed forces taking into account the experience of countering military cyber attacks of the russian federation in 2022. Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique» 1(17), 31–45. https://doi.org/10.28925/2663-4023.2022.17.3145

Baidur, O. (2023). Prerequisites for creating a cyber defence model for the Armed Forces of Ukraine. Applied systems and technologies in the information society: Collection of abstracts of the VII International scientific and practical conference, 19–22.

Baidur, O. (2022). Features of legal regulation of cybersecurity issues in the Armed Forces of Ukraine and the Ministry of Defence of Ukraine. Information technologies: economy, technology, education ‘2022: Collection of abstracts of the XIII International scientific and practical conference of young scientists, 104–106.

Leszczyna, R. (2021). Review of cybersecurity assessment methods: Applicability perspective. Computers & Security, 108. https://doi.org/10.1016/j.cose.2021.102376

Cheimonidis, P., & Rantos, K. (2023). Dynamic risk assessment in cybersecurity: a systematic literature review. Future internet, 15(10). https://doi.org/10.3390/fi15100324

Devi, R. K., Sensuse, D. I., Kautsarina, & Suryono, R. R. (2022). Information security risk assessment (ISRA): a systematic literature review. Journal of information systems engineering and business intelligence, 8(2), 207–217. https://doi.org/10.20473/jisebi.8.2.207-217

Govinfo. (2015). DoD Program Manager’s Guidebook for Integrating the Cybersecurity Risk Management Framework (Rmf) into the System Acquisition Lifecycle: Executive Agency Publications. https://www.govinfo.gov/app/details/GOVPUB-D-PURL-gpo62894

NIST SP 800-37 Rev. 2. Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. (2018). https://doi.org/10.6028/NIST.SP.800-37r2

Ukrainian Research and Training Centre for Standardisation, Certification and Quality (2023). Information security, cybersecurity and privacy protection. Information security management systems. Requirements. (ISO/IEC 27001:2022, IDT) (ISO/IEC 27001:2023).

Sánchez-García, I. D., Mejía, J., & San Feliu Gilabert, T. (2022). Cybersecurity Risk Assessment: A Systematic Mapping Review, Proposal, and Validation. Applied Sciences. 13(1). https://doi.org/10.3390/app13010395

Kalinin, M., Krundyshev, V., & Zegzhda, P. (2021). Cybersecurity Risk Assessment in Smart City Infrastructures. Machines, 9(4). https://doi.org/10.3390/machines9040078

Ferreira, D. J., Mateus-Coelho, N., & Mamede, H. S. (2023). Methodology for Predictive Cyber Security Risk Assessment (PCSRA). Procedia Computer Science, 219, 1555–1563. https://doi.org/10.1016/j.procs.2023.01.447

Cherdantseva, Y., Burnap, P., Blyth, A., Eden, P., Jones, K., Soulsby, H., & Stoddart, K. (2016). A review of cyber security risk assessment methods for SCADA systems. Computers & Security, 56, 1–27. https://doi.org/10.1016/j.cose.2015.09.009

Honchar, S. F. (2019). Methodology for risk assessment of cyber security of information systems of objects of critical infrastructure. Scientific notes of Taurida National V.I. Vernadsky University. Series: Technical Sciences, 4(1), 40–43. https://doi.org/10.32838/2663-5941/2019.4-1/08

Asieieva, L. A., & Shushura O. M. (2021). Assessment of confidentiality risks of information security of projects based on fuzzy logic. Telecommunication and information technologies, 70(1). https://doi.org/10.31673/2412-4338.2021.0108895

Alberts, C., & Dorofee, A. (2002). Managing information security risks: The OCTAVE approach. Addison-Wesley.

COBIT 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution. (2018). Isaca.

Wynn, J., Whitmore, J., Upton, G., Spriggs, L., McKinnon, D., McInnes, R., Graubart, R., Clausen, L. (2011). Threat Assessment & Remediation Analysis (TARA). Methodology Description Version 1.0.

Freund, J., & Jones, J. (2014). Measuring and Managing Information Risk: A FAIR Approach. Butterworth-Heinemann.

Caralli, R., Stevens, J., Young, L., & Wilson, W. (2007). Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process. Carnegie Mellon University.

Alberts, C., Dorofee, A., Stevens, J., & Woody, C. (2005). OCTAVE-S Implementation Guide, Version 1. Pittsburgh, PA: Carnegie Mellon Software Engineering Institute.

The Open Group Risk Analysis (O-RA) Standard, Version 2.0.1. (2021). Berkshire, United Kingdom: The Open Group.