ПРОЦЕСНО-РИЗИКОВИЙ ПІДХІД У ПЛАНУВАННІ ЗАХОДІВ КІБЕРБЕЗПЕКИ ОБ’ЄКТІВ КРИТИЧНОЇ ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ
DOI:
https://doi.org/10.17721/2519-481X/2021/71-07Ключові слова:
підхід, планування, заходи, кібербезпека, об’єкт критичної інформаційної інфраструктуриАнотація
Кібербезпека як стан захищеності критичних об’єктів національної інформаційної інфраструктури та окремих її складових, за якого забезпечується їх стале функціонування і розвиток, своєчасне виявлення, запобігання, нейтралізація кіберзагроз є актуальною задачею сучасного суспільства. Забезпечення кібербезпеки та управління нею в організації є безперервним циклічним процесом. Він ґрунтується на творчому підході, рекомендованому в NIST Special Publication 800-53 та в долученні процесного підходу, подано в стандарті ISO 9001:2000. Мета дослідження полягає в тому, щоб на основі аналізу світових рішень та підходів до планування заходів кібербезпеки організацій обґрунтувати підхід до планування заходів кібернетичної безпеки об’єктів критичної інформаційної інфраструктури.
У статті проаналізовано ключовий досвід з рішення та підхід до планування заходів кібербезпеки організацій. Встановлено, що забезпечення кібербезпеки та управління нею в організації є безперервним циклічним процесом. Тому надано перевагу застосуванню процесного підходу за схемою PDCA (Plan, Do, Chek, Akt). На підставі аналізу запропоновано обрати базовий підхід до планування заходів кібер безпеки організацій. Таким чином, одержано наукову новизну, яка полягає в тому, що вперше запропоновано до удосконаленої онтології кібербезпеки блок «заходи захисту» доповнити моделлю процесів за схемою PDCA. Практичне значення полягає в доповненні удосконаленої онтології кібербезпеки, а саме блок «заходи захисту моделлю процесів за схемою PDCA, що дає змогу отримати методику планування заходів забезпечення кібербезпеки об’єктів критичної інформаційної інфраструктури.
Перспективи подальших досліджень у даному напрямку доцільно зорієнтувати на обґрунтування постановки завдання щодо доцільності розробки:
1) методики планування заходів кібербезпеки об’єктів критичної інформаційної інфраструктури;
2) методики оцінювання ефективності виконання заходів, спрямованих на забезпечення кібербезпеки об’єктів критичної інформаційної інфраструктури.