ОЦІНКА РИЗИКІВ КІБЕРБЕЗПЕКИ ТА КОНТРОЛЮ КОНФІДЕНЦІЙНОСТІ В ІНФОРМАЦІЙНИХ СИСТЕМАХ ДЕРЖАВНОГО УПРАВЛІННЯ

Анотація

Актуальність данної роботи обумовлена затвердженням Адміністрацією Державної служби спеціального зв’язку та захисту інформації України “Методичних рекомендацій щодо підвищення рівня кіберзахисту критичної інформаційної інфрасируктури” у жовтні 2021 року. Рекомендації було розроблено на основі найкращих світових підходів – NIST CyberSecurity Framework. Наразі розроблені Рекомендації Держспецзв’язку частково втратили свою актуальність та потребують корегування з виходом NIST Special Publication 800-53A Revision 5 “Assessing Security and Privacy Controls in Information Systems and Organizations” та NISTIR 8286C (Draft) “Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight”, дата публікації: січень 2022 року. Ці документи завершують цикл інтеграції управління ризиками кібербезпеки (CSRM) та управління ризиками підприємства (ERM).
Зазначені проєкти описують методи поєднання інформації про ризики усих активів системи, мережі організації (підприємства) включаючи умовні приклади для агрегування та нормалізації результатів з реєстрів ризиків кібербезпеки (CSRR) з урахуванням параметрів ризику, критеріїв та впливу на стале функціонування комунікаційних систем. В результаті інтеграція та нормалізація інформації про ризики дають змогу приймати рішення та здійснити моніторинг ризиків на всих рівнях системи, що допомагає створити вичерпну картину загального кіберризику. У наведених документах описано створення профілю ризиків організації (ERP), який підтримує порівняння та управління кіберризиками разом з іншими типами ризиків в цілому. Доволі цікавими є погляди авторів розроблених документів, щодо контролю конфіденційності, пов’язаного із системами та їх середовищем розповсюдження, їх функціонуванням. Обгрунтовано, що якісна системна оцінка допомагає визначити наявну дійсність засобів контролю, що містяться в організації відповідно до плану безпеки та конфіденційності, які згодом використовуються в організаційно-штатних системах та середовищі експлуатації. За цих умов, контроль оцінки є вказівкою з виконання конкретних кроків у структурі управління ризиками який цілодобово сприяє ефективному підходу до процесів сталого управління ризиками шляхом виявлення слабких місць, або недоліків в системах, що дозволяє організації визначати порядок реагування на ті, чи інші кіберзагрози.
Отже, для вирішення завдань, з врегулювання та імплементації норм та правил міжнародних організацій сфери кібербезпеки та кібероборони пропонується провести аналіз викладених документів та висунити відповідні пропозиції, щодо корегування та доповнення раніше затверджених Держпецзв’язку “Методичних рекомендацій…”. В свою чергу це дозволить не лише забезпечити захист критичної інформаційної інфраструктури держави від кібератак, а й провести превентивні наступальні операції у кіберпросторі, що включає виведення з ладу критично важливих об’єктів інфраструктури противника шляхом руйнування комунікаційних систем, які управляють такими об’єктами.