2. Головна
  3. АРХІВ НОМЕРІВ
  4. 2022 рік
  5. Том 44, № 1 (2022)
  6. c. 107-117

Підходи до верифікації артефактів процесу забезпечення кібербезпеки об’єктів критичного призначення

А.В. Давидюк, аспірант
Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України
Україна, 03164, Київ, вул. Генерала Наумова, 15
тел. +38 (098) 0487954; e-mail: andrey19941904@gmail.сom

Èlektron. model. 2022, 44(1):107-117

https://doi.org/10.15407/emodel.44.01.107

АНОТАЦІЯ

З розвитком інформаційних технологій важливим аспектом стабільності функціонуван­ня систем критичного призначення стало забезпечення кібербезпеки об’єктів критичної інформаційної інфраструктури. Для захисту інформації законодавством України перед­бачено побудову комплексних систем захисту інформації та систем управління інфор­маційної безпеки. Проте щодо систем критичного призначення такі підходи мають за­гальний характер і можуть бути ефективно використані при забезпеченні кіберзахисту окремих сегментів таких систем. Під час проєктування систем критичного призначення значна увага приділяється виконанню вимог до надійності та якості на кожній стадії. Водночас вплив внутрішнього та зовнішнього факторів на функціонування таких систем та їх імовірнісні характеристики іноді залишаються без належної уваги. Враховуючи можливі наслідки порушення функціонування таких систем (значні матеріальні та не­матеріальні збитки) та можливість впливу невизначеності на результати їх роботи (ризику), запропоновано визначати модель управління ризиками як елемент про­цесу проєк­тування систем критичного призначення. Саме виявлення ризиків на етапі проєктування дає змогу уникнути більшості помилок та мінімізувати ризики порушення функціо­ну­вання таких систем.

КЛЮЧОВІ СЛОВА:

системи критичного призначення, автоматизовані системи уп­равління технологічними процесами, кібербезпека, кіберзахист, ризик, об’єкт критичної інформаційної інфраструктури.

СПИСОК ЛІТЕРАТУРИ

  1. Закон України «Про основні засади забезпечення кібербезпеки України». 2017. [Електронний ресурс]. Режим доступу: https://zakon.rada.gov.ua/laws/show/2163-19# Text.
  2. Проєкт Закону України «Про критичну інфраструктуру». [Електронний ре­сурс]. Режим доступу: http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=71355.
  3. ГОСТ 34.003-90 «Інформаційна технологія Комплекс стандартів на автоматизовані системи. Автоматизовані системи. Терміни та визначення». 1992. [Електронний ре­сурс]. Режим доступу: https://docs.cntd.ru/document/1200006979.
  4. ГОСТ 34.201-89. Види, комплектність та позначення документів при створенні авто­матизованих систем 1990. [Електронний ресурс]. Режим доступу: https://www.swrit. ru/doc/gost34/34.201-89.pdf.
  5. ГОСТ 34.320-96. Концепції та термінологія для концептуальної схеми та інформа­ційної бази. 1996. [Електронний ресурс]. Режим доступу: https://www.swrit.ru/doc/ gost34/34.320-96.pdf.
  6. ГОСТ 34.321-96. Інформаційні технології. Система стандартів з баз даних. Еталонна модель керування. 2001. [Електронний ресурс]. Режим доступу: https://www.swrit.ru/ doc/gost34/34.321-96.pdf.
  7. ГОСТ 34.601-90. Автоматизовані системи. Стадії створення. 1992. [Електронний ре­сурс]. Режим доступу: https://www.swrit.ru/doc/gost34/34.601-90.pdf.
  8. ГОСТ 34.602-89. Технічне завдання на створення автоматизованої системи (замість ГОСТ 24.201-85). 1990. [Електронний ресурс]. Режим доступу: https://www.swrit.ru/ doc/gost34/34.602-89.pdf.
  9. ГОСТ 34.603-92. Інформаційна технологія. Види випробувань автоматизованих сис­тем. 1993. [Електронний ресурс]. Режим доступу: https://www.swrit.ru/doc/gost34/ 603-92.pdf.
  10. РД 50-34.698-90. Автоматизовані системи. Вимоги щодо змісту документів. 1992. [Електронний ресурс]. Режим доступу: https://www.swrit.ru/doc/gost34/50_34_698_ 90.pdf.
  11. Перелік документів системи технічного захисту інформації (НД ТЗІ). 2021. [Електронний ресурс]. Режим доступу: https://cip.gov.ua/ua/news/perelik-dokumentiv-sistemi-tekhnichnogo-zakhistu-informaciyi-nd-tzi.
  12. НД ТЗІ 3.7-003-2005. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі. Наказ ДСТСЗІ СБ України від 08.11.2005 № 125 (Зміна № 1 наказу Адміністрації Держспецзв’язку від 28.12.2012 № 806). 2005. [Електронний ресурс]. Режим доступу: https://tzi.com.ua/ downloads/3.7-003-2005.pdf.
  13. НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автома­тизованих системах. Наказ ДСТСЗІ СБУ від 04.12.2000 № 53 (Зміна № 1 наказу Адміністрації Держспецзв’язку від 28.12.2012 № 806). 2000. [Електронний ресурс]. Режим доступу: https://tzi.com.ua/downloads/1.4-001-2000.pdf.
  14. ДСТУ ISO/IEC 27005:2015. Інформаційні технології. Методи захисту. Управління ри­зиками інформаційної безпеки (ISO/IEC 27005:2011, IDT). [Електронний ресурс] // ДП «УкрНДНЦ». Режим доступу: http://online.budstandart.com/ua/catalog/doc-page. html?id_doc=66912.
  15. ДСТУ ISO 31000:2018. Менеджмент ризиків. Принципи та настанови (ISO 31000:2018, IDT). 2018. [Електронний ресурс]. Режим доступу: http://online.budstandart. com/ua/catalog/doc-page.html?id_doc=80322.
  16. ДСТУ ISO/IEC 27000:2019. Інформаційні технології. Методи захисту. Системи керу­вання інформаційною безпекою. Огляд і словник термінів (ISO/IEC 27000:2018, IDT). 2018. [Електронний ресурс]. Режим доступу: http://online.budstandart.com/ua/catalog/ doc-page.html?id_doc=85795.
  17. Постанова Кабінету Міністрів України від 19 червня 2019 року № 518 «Про зат­вердження Загальних вимог до кіберзахисту об’єктів критичної інфраструктури». [Електронний ресурс]. Режим доступу: https://zakon.rada.gov.ua/laws/show/518-2019-%D0%BF#Text.
  18. Закон України Про захист інформації в інформаційно-телекомунікаційних системах. 1994. [Електронний ресурс]. Режим доступу: https://zakon.rada.gov.ua/laws/show/80/94-%D0%B2%D1%80#Text.
  19. Постанова Кабінету Міністрів України від 29 березня 2006 р. N 373 Київ Про затверд­ження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. [Електронний ресурс]. Режим доступу: https://zakon.rada.gov.ua/laws/show/373-2006-%D0%BF#Text.
  20.  Наказ Адміністрації Держспецзв’язку від 06 жовтня 2021 року № 601 Про за­твердження Методичних рекомендацій щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури. 2021. [Електронний ресурс]. Режим доступу: https://cip.gov.ua/ ua/docs/nakaz-administraciyi-derzhspeczv-yazku-vid-06-zhovtnya-2021-roku-601-pro-zatverdzhennya-metodichnikh-rekomendacii-shodo-pidvishennya-rivnya-kiberzakhistu-kritichnoyi-informaciinoyi-infrastrukturi.
  21. Stouffer K., Pillitteri V., Abrams M., Hahn A. NIST Special Publication 800-82 Guide to Industrial Control Systems (ICS) Security. // NIST, 2015, № 2, 247 с.
  22. Understanding IEC 62443. 2021. [Електронний ресурс]. Режим доступу: https://www. iec.ch/blog/understanding-iec-62443.
  23. ДСТУ ISO/IEC 27001:2015. Інформаційні технології. Методи захисту cистеми управ­ління інформаційною безпекою. (ISO/IEC 27001:2013; Cor 1:2014, IDT) Вимоги. 2015. [Електронний ресурс]. Режим доступу: http://online.budstandart.com/ua/catalog/doc-page?id_doc=66910.
  24. Наказ Адміністрації Державної служби спеціального зв'язку та захисту інформації України Про затвердження Положення про державну експертизу в сфері технічного захисту інформації від 16.05.2007 № 93. [Електронний ресурс]. Режим доступу: https://zakon.rada.gov.ua/laws/show/z0820-07#Text.
  25. The Syntax of Predicate Logic. // LX 502 – Semantics, 2008. – [Електронний ресурс] Ре­жим доступу: https://www.bu.edu/linguistics/UG/course/lx502/_docs/lx502-predicate%20logic%201.pdf.

ДАВИДЮК Андрій Вікторович, аспірант Інституту проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України. У 2018 р. закінчив Інститут спеціального зв’язку та за­хисту інформації Національного технічного університету України «Київський політех­нічний інститут ім. Ігоря Сікорського». Область наукових досліджень – інформаційна безпека, кібербезпека, управління ризиками інформаційної безпеки, візуальна аналітика, безпека автоматизованих систем управління технологічними процесами.

Повний текст: PDF