НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

«КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ

імені ІГОРЯ СІКОРСЬКОГО»
ФІЗИКО-ТЕХНІЧНИЙ ІНСТИТУТ
Кафедра інформаційної безпеки

До захисту допущено
В.о. завідувача кафедри

_________ Микола ГРАЙВОРОНСЬКИЙ

(підпис)

«_____»_____________2021 р.

Дипломна робота
на здобуття ступеня бакалавра
за освітньо-професійною программою «Системи, технології та
математичні методи кібербезпеки»
спеціальності: 125 «Кібербезпека»

на тему: Розробка стратегії інформаційної безпеки для об’єктів критичної інфраструктури

_________________________________________________________________________
_________________________________________________________________________
Виконав (-ла): здобувач вищої освіти IV курсу, групи __ФБ-73__
(шифр групи)

Танчинець Антон Євгенович _________________ ___________

(прізвище, ім’я, по батькові) (підпис)

Керівник: к.т.н., доцент кафедри ІБ Стьопочкіна Ірина Валеріївна _ ___________

(посада, науковий ступінь, вчене звання, прізвище, ім’я, по батькові) (підпис)

Рецензент: старший аналітик комп’ютерних систем, магістр з ІБ Тоцький Роман

Олександрович _______________________________________________ ___________
(посада, науковий ступінь, вчене звання, науковий ступінь, прізвище, ім’я, по батькові) (підпис)

Засвідчую, що у цій дипломній роботі немає

запозичень з праць інших авторів без
відповідних посилань.
Здобувач вищої освіти _____________
(підпис)

Київ - 2021 року

 НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ
«КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ
імені ІГОРЯ СІКОРСЬКОГО»
ФІЗИКО-ТЕХНІЧНИЙ ІНСТИТУТ
Кафедра інформаційної безпеки

Рівень вищої освіти – перший (бакалаврський)

Спеціальність – 125 «Кібербезпека»
Освітньо-професійна програма «Системи, технології та математичні методи
кібербезпеки»

ЗАТВЕРДЖУЮ
В.о. завідувача кафедри
__________ Микола ГРАЙВОРОНСЬКИЙ
(підпис)

«___»_____________2021 р.

ЗАВДАННЯ
на дипломну роботу здобувачу вищої освіти

Танчинець Антон Євгенович

(прізвище, ім’я, по батькові)

1. Тема роботи: «Розробка стратегії інформаційної безпеки для об’єктів

критичної інфраструктури»,
керівник роботи: к.т.н., доцент кафедри ІБ Стьопочкіна Ірина Валеріївна___,
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)

затверджені наказом по університету від « » _______ 2021 р. №

2. Термін подання здобувачем вищої освіти роботи: 07 червня 2021 р.

3. Вихідні дані до роботи: Визначення об’єктів критичної інфраструктури,

розробка стратегії інформаційної безпеки, міжнародні стандарти
інформаційної безпеки ___________________________________________

4. Зміст роботи: Огляд актуальних державних стандартів з інформаційної

безпеки (ІБ), порівняння державних стандартів з сучасними міжнародними
стандартами ІБ, визначення об’єктів критичної інфраструктури у
відповідності до законодавства, опис методології розробки стратегії ІБ,
розробка операційної моделі для аналізу стану інформаційної безпеки
підприємства, розробка моделі технічної архітектури інформаційної безпеки
підприємства, створення «дорожньої карти» розробки стратегії ІБ

5. Перелік ілюстративного матеріалу (із зазначенням плакатів, презентацій

тощо): Презентація

6. Дата видачі завдання: 12 жовтня 2020 року

 Календарний план

№ Назва етапів виконання Термін виконання етапів

Примітка
з/п дипломної роботи дипломної роботи
1 Формулювання теми дипломної 02.09.2020 – 12.10.2020
роботи, визначення мети роботи та
постановка відповідних до неї задач
2 Огляд наукової літератури за темою та 13.10.2020 – 08.02.2021
написання оглядового розділу роботи
3 Вивчення методів аналізу стану 08.02.2021 – 19.03.2021
інформаційної безпеки підприємства
4 Порівняння державних та міжнародних 22.03.2021 – 02.04.2021
стандартів інформаційної безпеки
5 Написання другого розділу дипломної 05.04.2021 – 09.04.2021
роботи
6 Проходження переддипломної 12.04.2021 – 16.05.2021
практики (розробка «дорожньої карти»
впровадження стратегії ІБ на
підприємстві)
7 Розробка моделі цільового стану 17.05.2021 – 21.05.2021
технічної архітектури інформаційної
безпеки підприємства
8 Написання третього розділу дипломної 24.05.2021 – 28.05.2021
роботи
9 Створення презентації для захисту 29.05.2021 – 01.06.2021
дипломної роботи
10 Передзахист дипломної роботи 03.06.2021
11 Доопрацювання дипломної роботи та 04.06.2021 – 17.06.2021
презентації
12 Захист дипломної роботи 18.06.2021

Здобувач вищої освіти ____________ Антон ТАНЧИНЕЦЬ

(підпис) (Власне ім’я, ПРІЗВИЩЕ)

Керівник роботи ____________ Ірина СТЬОПОЧКІНА

(підпис) (Власне ім’я, ПРІЗВИЩЕ)
 4

РЕФЕРАТ
Дипломна робота має обсяг 61 сторінка, містить 4 рисунки, 2 таблиці та 17
посилань.
З кожним роком інформаційна безпека стає все більш вагомою частиною
будь-якого підприємства. Впровадження низки контролів та заходів для
забезпечення захищеності інформації потребує великих вкладень та глибокого
залучення співробітників зі сторони підприємства. Для ефективного
провадження СУІБ все частіше застосовують методологію, що базується на
поетапному впровадженні нормативної документації, технічних та
управлінських рішень з інформаційної безпеки у процеси підприємства. Також
цікавість до даної теми зумовлена тим, що велика кількість державних об’єктів
критичної інфраструктури є потенційними цілями кібератак та потребує
впровадження низки рішень з інформаційної безпеки.
Об’єктом дослідження є стратегія інформаційної безпеки
Предметом дослідження є державні та міжнародні стандарті з
інформаційної безпеки, а також методики розробки стратегії інформаційної
безпеки.
Метою роботи є визначення застосовних державних стандартів до об’єктів
критичної інфраструктури, порівняння державних та міжнародних стандартів ІБ,
розробка операційної моделі для аналізу стану інформаційної безпеки
підприємства, розробка «дорожньої карти» створення стратегії ІБ.
Дана робота містить огляд на актуальні державні стандарти, визначення
об’єктів критичної інфраструктури відповідно до чинного законодавства,
порівняльний аналіз міжнародних та державних стандартів ІБ, операційну
модель для оцінки стану ІБ підприємства, модель цільового стану технічної
архітектури ІБ підприємства, «дорожню карту» розробки стратегії ІБ.
Ключові слова: стратегія IБ, критична інфраструктура, кiбербезпека
 5

ABSTRACT
The thesis has a volume of 61 pages, contains 4 figures, 2 tables and 17
references.
Every year, information security is becoming an increasingly important part of
any business. The implementation of a number of controls and measures to ensure the
security of information requires large investments and deep involvement of
employees from the enterprise. For the effective implementation of ISMS increasingly
used methodology based on the gradual implementation of regulatory documentation,
technical and management solutions for information security in enterprise processes.
Also, the interest in this topic is due to the fact that a large number of government
critical infrastructure objects are potential targets of cyberattacks and require the
implementation of a number of information security solutions.
The object of research is information security strategy
The subject of the research is state and international standards on information
security, as well as methods of developing information security strategy.
The purpose of the work is to determine the applicable state standards for
critical infrastructure, compare national and international IS standards, develop an
operational model for analyzing the state of information security of the enterprise,
develop a "road map" to create an IS strategy.
This work contains an overview of current state standards, identification of
critical infrastructure in accordance with current legislation, comparative analysis of
international and state IS standards, operational model for assessing the state of IS
enterprise, model of target state of technical architecture of IS enterprise, "road map"
of strategy development IB.
Ну Key words: IS strategy, critical infrastructure, cybersecurity
 6

ЗМІСТ

ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І

ТЕРМІНІВ ..................................................................................................................... 8

ВСТУП .......................................................................................................................... 9

1 ІНФОРМАЦІЙНА БЕЗПЕКА ОБ’ЄКТІВ КРИТИЧНОЇ ІНФРАСТРУКТУРИ 12

1.1 Об’єкти критичної інфраструктури ................................................................ 12

1.2 Забезпечення інформаційної безпеки для об’єктів критичної

інфраструктури ........................................................................................................ 14

1.3 Стратегія кібербезпеки України ...................................................................... 16

Висновки до розділу 1 ............................................................................................ 17

2 АНАЛІЗ СТАНДАРТІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА РОЗРОБКА

ОПЕРАЦІЙНОЇ МОДЕЛІ.......................................................................................... 19

2.1 Державні стандарти що регламентують створення КСЗІ ............................. 19

2.2 Міжнародні стандарти інформаційної безпеки ............................................. 20

2.3 Операційна модель............................................................................................ 22

Висновки до розділу 2 ............................................................................................ 30

3 СТРАТЕГІЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЛЯ ОБ’ЄКТІВ КРИТИЧНОЇ

ІНФРАСТРУКТУРИ .................................................................................................. 32

3.1 Методика розробки стратегії інформаційної безпеки ................................... 32

3.2 Методика оцінки ризиків інформаційної безпеки ......................................... 34

3.3 Цільова модель технічних засобів забезпечення інформаційної безпеки... 43

3.4 Розробка дорожньої карти впровадження рішень ІБ .................................... 51

Висновки до розділу 3 ............................................................................................ 55

 7

ВИСНОВКИ ................................................................................................................ 57

ПЕРЕЛІК ДЖЕРЕЛ ПОСИЛАНЬ ............................................................................. 59

 8

ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ,

СКОРОЧЕНЬ І ТЕРМІНІВ
ІБ – інформаційна безпека
ОКІ – об’єкти критичної інфраструктури
СУІБ – система управління інформаційною безпекою
ДСТУ – державний стандарт України
КСЗІ – комплексна система захисту інформації
АСУ ТП - Автоматизована система управління технологічним процесом
КПЕ – ключові показники ефективності
ПЗ – програмне забезпечення
 9

ВСТУП
Питання інформаційної безпеки об’єктів критичної інфраструктури постає
у сучасному світі з кожним роком все частіше. Відомо, щонайменше, 2 успішно
атаки (Stuxnet [1] та Blackout [2]) на об’єкти критичної інфраструктури, що
завдали значної шкоди підприємствам, державі та суспільству та зупинили
роботу підприємств на значний термін. Причин успішної реалізації кібератак є
декілька: недостатньо захищена інфраструктура підприємства, відсутність
технічних або програмних рішень для виявлення потенційних загроз, недостатня
кількість проведених навчальних заходів для персоналу з питань інформаційної
безпеки, відсутність планів та процедур відновлення роботи після атаки. Для
запобігання
реалізації можливих ризиків необхідно впровадити низку стандартів та вимог,
яких необхідно дотримуватись для побудови системи управління інформаційною
безпекою або комплексної системи захисту інформації.
Актуальність роботи. Інформаційна безпека та її забезпечення є
актуальним завданням для будь-якого підприємства по всьому світу. Для
системного підходу та впровадження рішень та процесів інформаційної безпеки,
ще у 1998 році був розроблений стандарт BS 7799 [3], який описував механізми
контролю необхідні для побудови СУІБ у організаціях, засновуючись на
найкращих світових практиках в даній області. З роками цей стандарт
змінювався, розширявся та створювались додаткові стандарти, що покривали
нові сфери інформаційної безпеки. Сьогодні нащадками цього стандарту є
сімейство стандартів ISO/IEC 27000.
На державному рівні Україна також має свої стандарти, що регламентують
створення системи управління інформаційною безпекою для об’єктів критичної
інфраструктури. Нажаль, більшість систем інформаційної безпеки державних
підприємств є застарілими, а процес автоматизації та оновлення обладнання не
 10

завжди відбувається у відповідності до необхідних вимог та стандартів, через

неможливість довготривалої зупинки технологічного процесу або
нераціонального плану впровадження необхідних рішень та систем.
Для поступового та ефективного впровадження рішень інформаційної
безпеки, відповідальні за інформаційну безпеку співробітники, спільно з
керівництвом, та начальниками відділів, розробляють та затверджують плани
модернізації та впровадження нових систем в такому порядку та темпі, щоб це не
заважало виконанню основних процесів підприємства. Процес розробки стратегії
інформаційної безпеки саме і полягає в тому щоб задовольнити вимоги
державних або міжнародних стандартів, а також провести впровадження рішень
інформаційної безпеки найбільш ефективним способом.
Метою роботи є дослідження державних стандартів, що регламентують
захист об’єктів критичної інфраструктури від кіберзагроз з подальшим
порівнянням їх з міжнародними стандартами інформаційної безпеки, та
розробкою:
• операційної моделі для аналізу поточного стану інформаційної
безпеки підприємства;
• методики оцінки ризиків;
• методики оцінки зрілості стані процесів ІБ;
• загальної стратегії інформаційної безпеки для ОКІ;
• цільового стану технічної архітектури.

Об’єктом дослідження є стратегія інформаційної безпеки

Предметом дослідження є державні та міжнародні стандарті з
інформаційної безпеки, а також методики розробки стратегії інформаційної
безпеки.
 11

Методи дослідження: аналіз актуальних державних та міжнародних

стандартів інформаційної безпеки; проведення аналізу робіт з розробки стратегій
інформаційної безпеки на підприємствах; аналіз затвердженої стратегії
кібербезпеки України на 2016-2020 [4] та 2021-2025 [5] роки.
Наукова новизна роботи полягає в розробці стратегії інформаційної
безпеки для об’єктів критичної інфраструктури, що поєднує в собі найкращі
практики міжнародних стандартів та виконання вимог державних стандартів.
Практичне значення роботи полягає у розробці стратегії інформаційної
безпеки, методик оцінки стану підприємства та загальної цільової архітектури
технічних засобів забезпечення інформаційної безпеки підприємства. Розроблені
рішення покликані спростити процес розробки стратегії ІБ для об’єктів критичної
інфраструктури та підвищити рівень якості впровадження рішень інформаційної
безпеки.
 12

1 ІНФОРМАЦІЙНА БЕЗПЕКА ОБ’ЄКТІВ КРИТИЧНОЇ

ІНФРАСТРУКТУРИ

Кожен об’єкт критичної інфраструктури має відвідати вимогам

інформаційної безпеки, що висуваються до нього у відповідності з чинним
законодавством.

1.1 Об’єкти критичної інфраструктури

Об’єктами критичної інфраструктури [6] прийнято вважати підприємства

та установи, що виконують діяльність у таких галузях як: енергетика, хімічна
промисловість, транспорт, фінанси, інформаційні технології та телекомунікації,
охорона здоров’я, продовольча галузь, та є стратегічно важливими для
функціонування економіки і безпеки держави, суспільства та населення, а
виведення з ладу яких може призвести до негативного впливу на національну
безпеку, промисловість, навколишнє середовище або становити загрозу для
життя людей.
Відповідно до чинного законодавства, об’єкти критичної інфраструктури
визначаються у законопроекті №5219 від 09.03.2021 [7] року. Відповідно до цього
законопроекту, об’єктами критичної інфраструктури вважаються суб’єкти,
діяльність яких проводиться у секторах критичної інфраструктури.
До переліку секторів критичної інфраструктури відносяться ті, які
реалізують життєво важливі функції та/або послуги, порушення яких призводить
до негативних наслідків для національної безпеки України, та має значний вплив
на обслуговування населення, зокрема: урядування та надання найважливіших
публічних (адміністративних) послуг, енергозабезпечення, водопостачання,
 13

продовольче забезпечення, охорона здоров’я та iншi сектори, якi перераховано у

вищезгаданому документi. Також об’єкти критичної інфраструктури
поділяються на 4 категорії (1-4 у порядку спадання критичності) у відповідності
до рівня їх важливості для забезпечення окремих життєво важливих функцій, в
межах секторів критичної інфраструктури.
Також у відповідності з законом України «Про основні засади забезпечення
кібербезпеки України» [8] використовується термін «Критично важливі об’єкти
інфраструктури» визначаючи їх в першу чергу як юридичних осіб діяльність яких
пов’язана з технологічними процесами та/або наданням послуг, що мають велике
значення для промисловості, економіки та безпеки населення. Цей Закон також
надає визначення «об’єкт критичної інформаційної інфраструктури», що має на
увазі технологічну або комунікаційну систему об’єкта критичної
інфраструктури, кібератака на яку безпосередньо вплине на процес
функціонування ОКІ.
В роботі будуть розглядатись тільки об’єкти критичної інфраструктури III
та IV рівня критичності:
• ОКI III категорії критичності - важливі об’єкти, пріоритетом захисту
яких є забезпечення швидкого відновлення функцій за рахунок
диверсифікації та резервів;
• ОКI IV категорії критичності - об’єкти, безпосередній захист яких є
відповідальністю оператора, який повинен мати план реагування на
кризову ситуацію.
До об’єктів інфраструктури I та II категорії критичності встановлюються
обов’язковi вимоги щодо організації захисту критичної інфраструктури, тому
розробка політик i стратегій безпеки для таких об’єктів є виключно привілеєм
держави, i повинна орієнтуватись на створення КСЗI.
 14

До об’єктів інфраструктури III категорії критичності встановлюються

рекомендацiйнi вимоги щодо рівня організації захисту та стійкості
інфраструктури, а для ОКI IV категорії критичності захист покладається
безпосередньо на оператора, а отже, визначення відповідних стратегій IБ є
актуальною задачею. При цьому варто орієнтуватись на сучасні міжнародні
практики IБ, оскільки ОКI сучасного рівня рухатимуться в бік інтелектуальних
технологій, відкритості в мережі інтернет, що досить часто зустрічається в
іноземній практиці (наприклад, підсистеми смартмiста).

1.2 Забезпечення інформаційної безпеки для об’єктів критичної

інфраструктури

Забезпечення інформаційної безпеки для об’єктів критичної

інфраструктури
У сучасному світі об’єкти критичної інфраструктури дуже часто стають
цілями кібератак, адже це завжди підприємства роботу яких необхідно відновити
в першу чергу, тому злочинці розраховують на «легкі» гроші, що будуть сплачені
у відповідності до їх вимог. Також не можна забувати, що у сучасному світі,
кіберпростір є зоною бойових дій і ОКІ є однією з основних цілей під час воєнних
дій держави-агресора. В світі відомо щонайменше 3-4 випадки успішних атак на
об’єкти критичної інфраструктури, що призвело до значних фінансових та
репутаційних втрат зі сторони держави та підприємства.

1.2.1 Вірус «Stuxnet»

Одна з найперших відомих кібератак на об’єкти критичної інфраструктури,

що завдала фізичної шкоди підприємствам. Атака була здійснена в 2010 році, за
 15

допомогою комп’ютерного хробака Stuxnet, що був розповсюджений по

підприємствах через персональні комп’ютери працівників. Наслідками цієї атаки
було тимчасове призупинення нафтодобувного процесу, процесу постачання
електроенергії населенню та виведено з ладу центрифуги необхідних для
збагачення урану на АЕС у місті Бушері. Експерти вважають, що розробити
такий вірус та провести атаку такого високого рівня здатна лише державна
структура.

1.2.2 Атака «Blackout»

Перша в історії України успішна атака на АСУ ТП систему, проведена 23

грудня 2015 року. Зловмисникам вдалося зламати систему управління
телемеханікою компанії «Прикарпаттяобленерго», що відповідає за передачу та
постачання електроенергії споживачам в Івано-Франківській області. В
результаті атаки протягом декількох годин велика частина області та саме місто
залишилися без енергопостачання. Атака полягала в інфікуванні внутрішньої
мережі «Прикарпаттяобленерго» невідомим шкідливим ПЗ, в результаті дії якого
сталося непередбачене відключення електропідстанції. Працездатність системи
була відновлена у максимально короткий термін, але роботу системи управління
телемеханіки швидко відновити не вдалося.

1.2.3 Атака на трубопровід США [11]

Наймасштабніша кібератака на об’єкти критичної інфраструктури в історії.

Один із найбільших трубопроводів США, що постачає паливо для 45% східного
узбережжя США був атакований 6 травня 2021 року. Хакерська група «DarkSide»
здійснила успішну атаку, яка складалася з декількох етапів:
 16

1. Зловмисники отримали доступ до персонального комп’ютера

співробітника компанії
2. Скориставшись терміналом віддаленого доступу, зловмисники змогли
отримати доступ та вивантажити більше ніж 100 гігабайт
конфіденційної інформації компанії
3. На комп’ютери та сервери компанії була завантажена програма-
вимагач, яка зашифрувала інформацію на пристроях до яких мала
доступ та вивела на екран повідомлення з вимогою заплатити викуп,
задля збереження інформації.
Результатом цієї атаки став дефіцит палива в деяких регіонах країни, значні
фінансові та репутаційні втрати компанії.

Враховуючи вищесказану інформацію про ОКІ, стає зрозуміло, що для цих

підприємств необхідно впроваджувати низку заходів з інформаційної безпеки,
будувати СУІБ або КСЗІ та проводити регулярний моніторинг рівня безпеки
об’єктів критичної інфраструктури.

1.3 Стратегія кібербезпеки України

Стрімкий розвиток інформаційних технологій, розширення кіберпростору

та агресія Російської Федерації, що триває, призвели до розробки та подальшого
затвердження у 2016 році «Стратегії кібербезпеки України». Основним
завданням цієї стратегії є створення національної системи кібербезпеки,
забезпечення кіберзахисту державних електронних інформаційних ресурсів, а
також інформаційної інфраструктури. Також однією із основних цілей стратегії є
забезпечення стану захищеності інтересів людини і громадянина, суспільства та
держави у кіберпросторі. На сьогодні цей документ втратив свою чинність і у
 17

2020 році була сформульована та затверджена нова стратегія кібербезпеки

Украіни на 2021 – 2025 роки.
Проаналізувавши зміст документу «Стратегія кібербезпеки України» від 14
вересня 2020 року, можна зробити висновок, що 8 стратегічних цілей, які описані
у документі, першочергово спрямовані на підвищення рівня обізнаності
суспільства, очистку медіапростору від пропаганди та дезінформації,
забезпечення дотримання конституційних прав особи на свободу вираження та
захист приватного життя, створення іміджу України та громадян на міжнародній
арені для подальшого просування інтересів держави у світі.
В результаті аналізу цих двох стратегій, можна зробити висновок, що
вимоги до реалізації стратегій сформульовані достатньо загально та не
стосуються конкретно об’єктів критичної інфраструктури. Тому розробка
стратегії ІБ для об’єктів критичної інфраструктури є необхідним завданням,
виконання якого допоможе в подальшому державним підприємствам.

Висновки до розділу 1

У цьому розділі було розглянуто об’єкти критичної інфраструктури, їх

категоризацію, а також було обрано рівні критичності об’єктів для яких буде
розроблена стратегія.
Розглянуто успішно проведені атаки на об’єкти критичної інфраструктури,
проаналізовано збитки які було завдано та способи реалізації цих атак.
Проведено аналіз двох версій «Стратегії кібербезпеки України» за 2016 та
2020 роки. За результатами аналізу цих стратегій було виявлено, що проблема
захисту об’єктів критичної інфраструктури є актуальною та потребує детального
вивчення та розробки.
 18

Отже, стратегія інформаційної безпеки необхідна для об’єктів критичної

інфраструктури, щоб забезпечити неперервний процес удосконалення системи
інформаційної безпеки, оцінки вже впроваджених рішень та відповідности
вимогам державних стандартів.
 19

2 АНАЛІЗ СТАНДАРТІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА РОЗРОБКА

ОПЕРАЦІЙНОЇ МОДЕЛІ

Для впровадження комплексної системи захисту інформації та системи

управління інформаційною безпекою розроблена низка державних та
міжнародних стандартів.
Зазвичай, використовують такі стандарти для аналізу, впровадження та
постійного моніторингу за СУІБ:
• НД ТЗІ 3.7-003-2005
• Міжнародні стандарти серії ISO 27000
• Стандарти серії IEC 62443
• NIST 800-82

2.1 Державні стандарти що регламентують створення КСЗІ

Об'єкти критичної інфраструктури можуть зберігати в собі інформацію, що є

власністю держави або є конфіденційною, тому розробка стратегії ІБ повинна
відповідати вимогам КСЗІ.
Чинне законодавство містить перелік документів, які регламентують етапи
та вимоги до створення КСЗІ. Основним документом, що встановлює об’єкт,
мету та основні організаційно-технічні положення з забезпечення технічного
захисту інформації є ДСТУ 3396.0-96 [12], чинний від 01.01.1997 року. Його
вимоги є обов’язковими для підприємств та установ, що володіють,
користуються та розпоряджаються інформацією, що підлягає технічному
захисту. Виконання вимог стандарту 3396.0-96 визначає порядок проведення
робіт для створення КСЗI є – ДСТУ 3396.1-96 [13]. Вимоги цього стандарту є
обов’язковими для підприємств та установ, в залежності від рівня їх важливості
 20

для забезпечення окремих життєво важливих функцій, в межах секторів

критичної інфраструктури.
Проаналізувавши вимоги державних стандартів було з’ясовано що
відповідно до ДСТУ 3369.0-96 встановлено такий порядок проведення робіт для
створення КСЗI:
1. Проведення обстеження підприємства, установи організації, визначення
та аналіз загроз.
2. Розроблення системи захисту інформації.
3. Реалізація плану захисту інформації.
4. Контроль функціонування та керування системою захисту інформації.

2.2 Міжнародні стандарти інформаційної безпеки

Для регулювання та створення діючої системи інформаційної безпеки, а

також для створення системи управління інформаційною безпекою існує декілька
міжнародних стандартів. Найбільш використовуваним є міжнародний стандарт
ISO/IEC 27001, який має офіційну назву «Інформаційні технології. Методи
захисту. Системи управління інформаційною безпекою. Вимоги» [14]. Найбільш
актуальною версією стандарту є версія 2013 року. Цей стандарт також прийнятий
у 2015 році наказом №193 від 18.12.2015 «Про прийняття нормативних
документів України, гармонізованих з міжнародними та європейськими
нормативними документами, скасування національних стандартів України» [15].
Проаналізувавши стандарт ISO 27001 було визначено основні відмінності
від стандарту ДСТУ 3369.0-96, а саме:
• постійне оновлення стандарту та його відповідність останнім тенденціям
ІБ
 21

• наявність великого сімейства сучасних стандартів ISO 27000, що

забезпечують можливість пошуку більш результативного рішення для
різних сегментів ІБ
• взаємодія вимог стандарту з бізнес-процесами компанії
• активне залучення співробітників до процесу впровадження СУІБ

В результаті проведеного порівняння, впровадження СУІБ на базі ISO/IEC

27001 є більш доцільним у сучасних реаліях, тому при розробці стратегії ІБ цей
стандарт буде використовуватись, як основний при написанні контролів та
розробці рішень з інформаційної безпеки.
Також враховуючи специфіку роботи, а саме розробку стратегії ІБ для
об’єктів критичної інфраструктури було розглянуто стандарти серії IEC 62443,
саме IEC 62443-2-1 [16], який визначає елементи, необхідні для вбудовування
системи управління кiбербезпекою в системи управління i промислової
автоматики.
Для визначення загроз та вразливостей інформаційної безпеки
промислових систем управління, був проаналізований стандарт NIST SP 800-82
Rev.2 [17], який використовується для забезпечення захисту об’єктів критичної
інфраструктури США. Стандарт коротко описує такі теми:
• список загроз и вразливостей промислових систем управління
• управління ризиками в промислових системах
• рекомендовані практики та вказівки щодо технічної архітектури
промислових систем управління
• методи розробки програми (стратегії0 забезпечення ІБ промислових
систем управління
 22

В результаті аналізу вищенаведених стандартів було обрано рішення

розробити приклад операційної моделі підприємства, що складається з
ключових аспектів підприємства, які були обрані в результаті аналізу
міжнародних стандартів інформаційної безпеки.

2.3 Операційна модель

В результаті проведеного аналізу державних та міжнародних стандартів з

інформаційної безпеки, пропонуємо використати, розроблену на основі
вищезгаданих стандартів, операційну модель, яка складається з ключових
аспектів, ефективна робота яких допомагає забезпечити необхідний рівень ІБ в
поєднанні з бізнес-процесами.
Операційна модель включає в себе такі ключові аспекти: політики, процеси
ІБ, корпоративне управління, технічну архітектуру ІБ, організаційну структуру,
людей, ключові показники ефективності (КПЕ) та звітність.
У наступних розділах детально розглянуто складові операційної моделі та
описано етапи необхідні для виконання аналізу кожної складової моделі.

2.3.1 Політики та процеси

Процес аналізу операційної моделі починається з нормативної бази

документів і процесів ІБ, а також з оцінки їх рівня зрілості. Виконання цього
етапу є необхідним для розуміння відправної точки впровадження системи
управління інформаційної безпеки на підприємстві.
Аналіз існуючої нормативної бази складається з наступних кроків:
1. Зібрати список документів, які розроблені на підприємстві та їх
номенклатуру
 23

2. Проаналізувати поточні політики і процедури, пов'язані з

інформаційною безпекою
3. Проаналізувати нормативні документи, основні норми та правила на
відповідність вимогам регулятора та кращим практикам (вимоги
НБУ, вимоги до підприємств критичної інфраструктури,
рекомендації провідних практик ISO, NIST)
4. Визначити відсутні документи і розробити перелік рекомендацій по
доповненню існуючої нормативної бази

Наступним етапом є оцінка рівня зрілості усталених процесів ІБ на

підприємстві. Для цього необхідно виконати певний перелік дій, а саме:
1. Проаналізувати ключові процеси ІБ
2. Оцінити поточний рівень зрілості процесів ІБ і провести
порівняльний аналіз ефективності процесів зі світовою і
українською практикою (бенчмаркінг)
3. Визначити напрями вдосконалення і розвитку процесів
інформаційної безпеки

Для оцінки зрілості процесів ІБ по різних сферах підприємства, пропоную

використати методологію для оцінки зрілості процесів, що розроблена на основі
провідних світових практик і стандартів інформаційної безпеки. Для цього було
створено референсну модель процесів ІБ по різних сферах підприємства (див.
рисунок 2.1).

Було виділено наступні процеси:

• УД – Управління доступом до інформаційних ресурсів
• УІА – Управління інформаційними активами
 24

• УПД - Управління персональними даними

• УНБІС – Управління налаштуваннями безпеки ІС та обладнання
• УІНЦ- Управління інцидентами ІБ
• МБЗКТ – Мережева безпека і захист кінцевих точок
• МПІБ- Моніторинг подій ІБ
• УВТС – Управління взаємодією з третіми сторонами
• ЗБК – Забезпечення безпеки коду
• УВ – Управління вразливостями

Управління ризиками ІБ

Процеси ІБ
Корпоративне управління й
організаційна структура

УД УПД УІНЦ МПІБ

УІА УНБІС МБЗКТ

УВТС ЗБК УВ

Підвищення обізнаності співробітників у питаннях ІБ

Вимірювання, аналіз і оцінка ІБ

Рисунок 2.1 – Модель процесів ІБ на підприємстві

Кожен процес наведеної моделі оцінюється по п’ятибальній шкалі у
відповідності до стану процесу на підприємстві, тлумачення оцінювання
процесів наведено у таблиці 2.1.
 25

Таблиця 2.1 – Оцінювання процесів ІБ у відповідності до їх стану

0 Початковий: процес відсутній або його елементи виконуються частково
1 Виконуваний: основні елементи виконуються безсистемно. Процес
формально не задокументовано або задокументовано поверхнево,
актуалізація документації не виконується. Ефективність функціонування
залежить від індивідуальних знань та зусиль виконавців
2 Встановлений процес: основні елементи процесу задокументовано і в
основному виконуються однаково для всієї організації. Виконується
актуалізація документації. Ролі й обов’язки визначені та застосовуються на
практиці. Процес автоматизовано за допомогою технічних рішень
3 Керований процес: встановлений процес досягає поставлених результатів і
генерує показники, на основі яких проводиться оцінка його ефективності та
вдосконалення
4 Оптимізований процес: вище керівництво приймає участь в аналізі
недоліків та підвищення ефективності процесу. Вдосконалення процесу і
технологій, що його підтримують, проводиться регулярно і вимірюється

2.3.2 Корпоративне управління

Система корпоративного управління – це набір принципів і механізмів, які

забезпечують прийняття рішень і контроль за їх виконанням. Аналіз системи
корпоративного управління складається з двох етапів:
1. Аналіз існуючої моделі корпоративного управління
2. Аналіз ролі функції ІБ і відповідності бізнес-цілям підприємства

Аналіз існуючої моделі корпоративного управління складається з

наступних кроків:
 26

1. Визначити поточну область дії функції ІБ, її повноту для

забезпечення захисту критичних систем і бізнес-процесів організації
2. Проаналізувати рівень залученості інших функцій і бізнесів в
забезпечення ІБ
3. Розгляд поточної структури керуючих комітетів, їх учасників,
порядку та переліку прийнятих рішень в області ІБ
Аналіз ролі функції ІБ і відповідності бізнес-цілям підприємства
необхідний для визначення рівня співпраці ІБ з підприємством та отримання
максимальної результативності від впровадження СУІБ.
Аналіз ролі функції ІБ і відповідності бізнес-цілям підприємства включає
наступні етапи:
• визначити роль, яку функція ІБ виконує в організації
• проаналізувати завдання і повноваження функції ІБ в рамках
поточної підпорядкованості
• проаналізувати портфель проектів і цілей функції ІБ на предмет
відповідності бізнес-цілям

2.3.3 Аналіз організаційної структури, ролей і відповідальності рамках

ІБ

Проведення аналізу організаційної структури, ролей та відповідальності в

рамках функцій інформаційної безпеки, надає розуміння, як забезпечити
коректне результативне виконання впроваджених процесів. Також необхідним
процесом є оцінка кількісних метрик, необхідних компетенцій та структури
ключових показників ефективності для забезпечення ефективного виконання
процесів. Для початку аналізу організаційної структури, необхідно провести:
оцінку поточної організаційної структури, порівняння з провідними практиками
 27

та аналіз розподілу відповідальності у компанії. Нижче наведено етапи необхідні

для виконання аналізу організаційної структури.

1) Оцінка поточної організаційної структури

• проаналізувати та задокументувати структуру управління та
організаційну модель функції ІБ «як є»
• визначити й проаналізувати рівні управління та розподіл
функціональної відповідальності
• зібрати інформацію з трудовитрат (еквівалент повної зайнятості,
ЕПЗ)
• зіставити й розподілити кількість ЕПЗ по функціях (benchmarking)
• з’ясувати порядок підпорядкування по ключових функціях і
відмінності у відповідальності між керівництвом і співробітниками
• проаналізувати чисельність персоналу, поточні драйвери
чисельності, обговорити ступінь взаємозамінності

2) Порівняльний аналіз з провідними практиками

• виконати порівняння з провідними практиками структур управління
• кількісний порівняльний аналіз
• ключові функції
• розділення ролей та повноважень
• підзвітність
• кваліфікація персоналу, вимоги до навичок і компетенцій

3) Аналіз розподілу відповідальності

 28

• встановити поточний розподіл ролей і обов’язків між

підрозділами
• визначити відповідність розподілу відповідальності в структурі
підприємства
• виявити «несумісні» ролі та функції
• визначити дублювання функцій, бізнес-процесів і ролей

Наступним етапом є визначення метрик для оцінки ключових показників

ефективності, аналіз та планування заходів з підвищення компетенції
співробітників, та аналіз наявної системи мотивації співробітників. Розглянемо
описані вище етапи більш детально:

1) Оцінка КПЕ та звітності

• аналіз управлінської звітності, планування і складання бюджету
• аналіз поточної системи КПЕ:
o визначення показників на різних рівнях (стратегічні, проектні,
процесні та операційні КПЕ)
o розподіл відповідальності за виконання КПЕ

2) Аналіз системи розвитку компетенцій співробітників функції ІБ

• аналіз наявних кваліфікаційних вимог для співробітників функції ІБ
• оцінка й аналіз поточної системи розвитку компетенцій
співробітників по трьох напрямках:
o базові компетенції
o професійні компетенції
o лідерські компетенції
 29

3) Аналіз наявної системи мотивації співробітників і корпоративної

культури
• аналіз наявної системи мотивації, включаючи типи мотивації:
o матеріальну
o нематеріальну
o командну
o індивідуальну
• аналіз наявної корпоративної культури та способів її
розповсюдження і підтримки належного рівня

2.3.4 Технічна архітектура ІБ

Технічна архітектура ІБ - це набір технічних засобів, необхідних для

зниження ризиків, викликаних кіберзагрозами. Для детального аналізу наявної
технічної архітектури процес буде розподілено на два етапи: дизайн і архітектура
та технічна реалізація.

Дизайн і архітектура
• оцінка узгодженості поточного набору технічних рішень ІБ з ІТ
інфраструктурою організації
• оцінка достатності поточного набору рішень для захисту від
ландшафту загроз організації
• оцінка актуальності підходу до вибору технологій забезпечення ІБ
• вимірювання ефективності використовуваних рішень, аналіз з боку
керівництва і постійне покращення

Технічна реалізація
 30

• оцінка актуальності кожного рішення для запобігання виявлених

раніше загроз, базуючись на оцінці їх впливу
• оцінка повноти реалізації кожного технічного рішення ІБ і його
модулів
• оцінка адекватності налаштувань правил виявлення і реагування на
інцидент
• безпечна конфігурація кожного рішення
• права доступу, механізми аутентифікації і поділ обов'язків між
користувачами для кожного рішення

За результатами аналізу поточного стану операційної моделі буде

розроблений звіт, що містить в собі:
• опис поточного стану процесів ІБ, список виявлених ризиків і
можливостей для вдосконалення
• опис поточної організаційної структури направлення інформаційної
безпеки та перелік виявлених областей для вдосконалення
• опис поточного стану звітності функцій ІБ, компетенцій та системи
КПЕ, перелік виявлених областей для вдосконалення
• опис використовуваних технічних засобів забезпечення ІБ, їх
недоліків, пов’язаних ризиків та напрямків вдосконалення
• опис поточної системи корпоративного управління та напрямки
вдосконалення

Висновки до розділу 2

У цьому розділі розглянуто державні стандарти інформаційної безпеки, що

регламентують створення КСЗІ та міжнародні стандарти інформаційної безпеки,
 31

що регламентують побудову СУІБ та визначають підхід до побудови систему

управління кібербезпекою. Було порівняно державні та міжнародні стандарти на
їх відповідність сучасним тенденціям кібербезпеки.
Було розроблено операційну модель, яка дозволяє систематизовано
проаналізувати поточний стан організації у відповідності до вимог вищезгаданих
стандартів. Кожен розділ, що входить до операційної моделі було описано та
наведено етапи проведення аналізу для кожного з розділів. Наведено приклад
результатів аналізу поточного стану операційної моделі підприємства,
використовуючи вищезгадані етапи та рекомендації.
 32

3 СТРАТЕГІЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ДЛЯ ОБ’ЄКТІВ

КРИТИЧНОЇ ІНФРАСТРУКТУРИ

Метою цього розділу є розробка методики з побудови стратегії

інформаційної безпеки для об’єктів критичної інфраструктури, що може бути
застосована при розробці стратегії інформаційної безпеки. Також буде
запропонована, високорівнева методика оцінки ризиків, цільова модель технічної
архітектури інформаційної безпеки та модель для побудови структури
корпоративного управління в області ІБ.

3.1 Методика розробки стратегії інформаційної безпеки

З попередніх розділів було визначено етапи, які необхідно виконати для

впровадження на підприємстві СУІБ та КСЗІ. Стратегія інформаційної безпеки є
більш комплексним рішенням, але як і у будь-якого стандарту, вона має основні
етапи впровадження. За результатами аналізу стандартів інформаційної безпеки
та враховуючи розуміння бажаного цільового стану процесів, що представлені у
операційній моделі, було розроблено план побудови стратегії інформаційної
безпеки.
Процес розробки стратегії інформаційної безпеки буде складатись з
чотирьох основних етапів:
1. Визначення поточної організаційної структури і стану технічної
архітектури
2. Аналіз отриманих результатів та визначення напрямків для
опрацювання
3. Розробка цільового стану організаційної структури і моделі
компетенцій ІБ
 33

4. Затвердження розробленої стратегії та перевірка її виконання

Вищенаведені етапи були розроблені базуючись на основних вимогах

міжнародних стандартів інформаційної безпеки. Основні пункти які описані
вище можна поділити на інші, вісім більш детальних підпунктів, а саме:
• визначення поточної чисельності, організаційної структури та стану
технічної архітектури
• заповнення опитувальників серед персоналу для оцінки поточного
стану ІБ на ОКІ
• проведення високорівневого аналізу ризиків та визначення ризик
апетиту
• обговорення результатів аналізу з представниками функції ІБ і
визначення основних цілей ІБ об’єкта критичної інфраструктури
• розробка цільового стану технічних засобів забезпечення ІБ об’єкта
критичної інфраструктури
• розробка цільової організаційної структури та визначення ключових
напрямків для впровадження заходів ІБ
• проведення обговорення розроблених ініціатив з керівництвом,
розробка методик оцінювання ефективності ІБ
• презентація стратегії ІБ та початок впровадження

Як можна побачити, розробка стратегії інформаційної безпеки потребує не

лише роботи команди з впровадження та розробки інформаційної безпеки, а й її
тісної співпраці з персоналом те керівництвом підприємства. У наступних
розділах роботи буде запропоновано методику оцінки ризиків, модель цільової
архітектури технічних засобів забезпечення ІБ на підприємстві, а також приклад
дорожньої карти впровадження запропонованих рішень з інформаційної безпеки.
 34

В якості підприємства для якого будуть виконуватись вищезгадані етапи,

пропонуємо розглянути об’єкт критичної інфраструктури з енергетичного
сектору.

3.2 Методика оцінки ризиків інформаційної безпеки

Відповідно до вимог міжнародних та державних стандартів інформаційної

безпеки, одним із основних етапів впровадження системи управління
інформаційної безпекою є ідентифікація активів та виконання оцінки ризиків
інформаційної безпеки цих активів. Процес ідентифікації активів є доволі
популярним та обов’язково впроваджений на будь-яких державних або
промислових об’єктах.
Для оцінки ризиків ідентифікованих активів пропонуємо методику, що
буде базуватись на трьох основних моментах:
• сценарій реалізації загрози
• оцінка ймовірності реалізації загрози
• оцінка очікуваних наслідків від реалізації загрози

3.2.1 Категорії активів та типи збитку

Для нашого підприємства енергетичного сектору, пропонуємо розділити

всі критичні активи на 3 категорії: технологічна інфраструктура, корпоративна
інфраструктура і конфіденційні дані.
Технологічна інфраструктура - комплекс активів, сукупність яких
забезпечує функціонування технологічних процесів, або знаходиться в рамках
технологічної мережі.
 35

Корпоративна інфраструктура - комплекс активів, сукупність яких

забезпечує функціонування корпоративної інфраструктури, або знаходиться в
рамках корпоративної мережі.
Конфіденційні дані - інформація, доступ до якої обмежено у зв'язку з її
цінністю для підприємства.

3.2.2 Сценарій реалізації загрози

При аналізі можливих сценаріїв реалізації загрози, необхідно відповісти

на 3 основні запитання: «хто?», «що?», «як?».

3.2.2.1 Хто?
При аналізі моделі порушника інформаційної безпеки, необхідно
сфокусуватися на зловмисниках, які становлять найбільшу загрозу для
підприємства. В нашому випадку енергетичний сектор знаходиться в середовищі
з високим рівнем загроз, як об'єкт критичної інфраструктури. Енергетична галузь
схильна до великої кількості атак, спрямованих на промислові системи, що
управляють автоматизованими виробничими процесами.
Відповідно до історичного досвіду, нових тенденцій і аналізу загроз для
енергетичного сектору, основними дійовими особами, що реалізують загрози
(зловмисниками) є такі суб'єкти:
• Зловмисник, підтримуваний державою - спонсорований державою
хакер або злочинна організація, націлені на енергетичний сектор з
наміром завдати шкоди критичній інфраструктурі країни:
o мають великі внутрішні ресурси для підготовки та реалізації
атак
 36

o застосовують складні атаки, сценарії яких розроблялися

спеціально для атаки на певну організацію
• Кіберзлочинець - високо вмотивовані і добре фінансовані групи,
націлені на енергетичний сектор для отримання фінансової вигоди:
o застосовують атаки націлені на крадіжку конфіденційної
інформації та порушення діяльності з метою отримання викупу
• Співробітник зі злочинними намірами - співробітники або
підрядники, чиї зловмисні дії з метою помсти і отримання фінансової
вигоди призводять до порушення інформаційної безпеки:
o використовують знання про системи і інфраструктурі для
здійснення саботажу
o використовують свої повноваження для здійснення крадіжки
конфіденційної інформації
• Необачний співробітник - співробітник або підрядник, чиї
ненавмисні дії призводять до порушення інформаційної безпеки:
o в наслідок атак соціальної інженерії
o через недостатню поінформованість про правила дотримання
інформаційної безпеки
o через недостатньо ефективних контролів ІБ
• Хактивісти - високо вмотивовані радикальні групи, націлені на
підприємство з метою просування політичних ідей або групи хакерів
діючі заради отримання визнання:
o не володіють істотними ресурсами і часом
o застосовують атаки спрямовані на базові уразливості
інформаційної безпеки
 37

3.2.2.2 Що?

Зловмисники мають різну мотивацію, яка керує їх поведінкою. Розуміння

мети атаки забезпечує контекст погроз, з якими може мати справу підприємство
та можливість сфокусуватись на реалізації контролів інформаційної безпеки.
Основними цілями кібератак є:
• отримання фінансової вигоди в наслідок атаки
• спричинення серйозних репутаційних втрат підприємству
• вплив на стабільну роботу бізнес-процесів підприємства

3.2.2.3 Як?

Розуміння методу реалізації загрози для проведення атаки допомагає з

розміщенням елементів управління для виявлення і запобігання подібних типів
атак в майбутньому. Методів реалізації загроз існує велика кількість. В роботі ми
виділяємо ці види методів в 4 високорівневі категорії:
1. Злом – спроби отримати доступ до інформаційних активів або зашкодити
їх роботі, обходячи механізми забезпечення ІБ (наприклад, використання
вразливостей систем, DDoS, bruteforce)
2. Шкідливе ПЗ – будь-яке шкідливе програмне забезпечення, призначене
для зміни стану або функціонування пристрою без згоди власника
(наприклад, вірус, шпигунське ПЗ, кейлоггер, бекдор)
3. Соціальна інженерія - Соціальна маніпуляція, яка використовується для
експлуатації користувачів цільових інформаційних систем або активів
(наприклад, фішинг)
 38

4. Неправильне використання – навмисне або ненавмисне використання

ресурсів / привілеїв неналежним способом (наприклад, порушення
політики, адміністративне зловживання, відсутність обізнаності)

3.2.2 Оцінка ймовірності реалізації загрози

Оцінку ймовірності реалізації ризиків пропонуємо проводити

відштовхуючись від інформації про частоту інцидентів, що відбулися у
енергетичному секторі на інших підприємствах, а також аналізуючи інформацію
про наявні на підприємстві методи захисту від тих чи інших ризиків.
Для оцінки ймовірності будемо використовувати п’ятибальну шкалу
оцінювання, а саме:
• дуже висока ймовірність реалізації ризику
• висока ймовірність реалізації ризику
• середня ймовірність реалізації ризику
• низька ймовірність реалізації ризику
• дуже низька ймовірність реалізації ризику

3.2.3 Оцінка очікуваних наслідків від реалізації загрози

Було виділено 4 основних типи збитку для підприємства: фінансовий,

репутаційний, юридичний, процесний.
Фінансовий – збитком від реалізації загрози слугуватимуть фінансові
втрати.
Репутаційний - збитком від реалізації загрози слугуватиме втрата репутації
компанії серед партнерів або споживачів.
 39

Юридичний - реалізація загрози пов'язана з порушенням відповідності

вимогам регулятора, що може призвести до судових розглядів.
Процесний - збитком від реалізації загрози слугуватиме порушення
функціонування бізнес-процесу підприємства.

3.2.4 Обробка ризиків

Результатом використання вищенаведеної методики оцінки ризиків є

створення профілю ризиків підприємства та плану зниження ризиків
інформаційної безпеки під час реалізації стратегії ІБ.
Під час виконання роботи було розроблено профіль ризиків, які можуть
бути застосовні до підприємства. Профіль ризиків надано в таблиці 3.1.

Таблиця 3.1 – Профіль ризиків ІБ підприємства

Категорія Ризики Рівень Основні контролі
ризиків
1 2 3 4
Втрата Критичний
незашифрованих
Конфіденційна ноутбука,
інформація смартфона або будь-
якого іншого носія
даних
1. Регулярні тренінги та заходи щодо
Крадіжка Високий
підвищення обізнаності в області ІБ
конфіденційних
Конфіденційна 2. Контроль реєстру користувачів з
даних з
інформація доступом до конфіденційної інформації
корпоративної
3. Криптографічний захист мобільних
мережі
пристроїв і переносних носіїв
Фішингова атака Високий
через електронну
Конфіденційна пошту співробітника
інформація з метою крадіжки
його облікових
даних
 40

Продовження таблиці 3.1

1 2 3 4
Одержання доступу Критичний
до технологічної
Технологічна
мережі з
інфраструктура
корпоративної
мережі
Неправильна Високий 1.Контроль вимог ІБ при взаємодії з
конфігурація підрядниками
програмного або 2. Сегрегація і сегментація технологічної
Технологічна мережі
апаратного
інфраструктура 3. Система захисту технологічних систем
забезпечення
технологічних (Industrial Cybersecurity System)
систем 4. Впровадження стандартів безпечного
налаштування обладнання
Порушення Середній
5. Поведінковий аналіз користувачів
функціонування
(UEBA)
технологічних
Технологічна 6. Система управління правами
систем через
інфраструктура привілейованих користувачів (PAM)
установки
7. Моніторинг подій ІБ в технологічній
неперевірених
інфраструктурі (SOC)
оновлень
8. Регулярні тренінги та заходи щодо
Отримання доступу Критичний
підвищення обізнаності в області ІБ
до технологічної
9. Контроль використання знімних носіїв
мережі за
Технологічна інформації, включаючи попередню
допомогою атаки на
інфраструктура перевірку на наявність шкідливого ПЗ і
підрядників, які
заборона на використання носіїв для
обслуговують
особистих цілей
систему
10. Регулярне і своєчасне оновлення
Фішингова атака Високий технологічних систем
через електронну 11. Реалізація рольової моделі доступу
пошту 12. Система захисту від цілеспрямованих
Корпоративна співробітника з атак в корпоративній мережі (Breach
інфраструктура метою зараження detection system)
корпоративної 13. Контроль підключень до корпоративної
мережі шкідливим мережі (система NAC)
ПЗ 14. Система контролю доступу (IAM)
Неавторизоване Високий 15. Система захисту хмарних сервісів
підключення до (CASB)
хмарних сервісів 16. Система захисту бази даних (DBS)
Корпоративна підприємства з
інфраструктура використанням
облікових даних
співробітника
 41

Кінець таблиці 3.1

1 2 3 4
DDoS атака на Високий
портал
обслуговування 1. Система захисту від веб-атак (WAF)
Корпоративна
клієнтів 2. Перегляд договорів з постачальниками
інфраструктура
послуг на відповідність вимогам ІБ

Розміщення Високий
шкідливого коду в
виконавчих файли
Корпоративна при розробці ПЗ, що Впровадження стандарту безпечної
інфраструктура призводить до появи розробки ПО
критичних
вразливостей в
ньому

Для кожного з ризиків наведених у таблиці 3, необхідно розробити план

зменшення ризику. Ми пропонуємо розробити план зменшення ризику
базуючись на розробленій стратегії інформаційної безпеки, для поступової
мінімізації ризиків разом з впровадженням рішень інформаційної безпеки.
Схему оцінки та зменшення ризиків інформаційної безпеки наведено на
рисунку 3.1 та 3.2.
На рисунках видно, що ризик класифікується відповідно до
запропонованих раніше термінів, до ризику застосовуються контролі з
розробленого профілю ризиків. А також є наглядний приклад зменшення ризику
через виконання контролів, які входять до стратегії інформаційної безпеки
 42

Рисунок 3.1 – схема оцінки та обробки ризику інформаційної безпеки технічної

інфраструктури

Рисунок 3.2 – схема оцінки та обробки ризику інформаційної безпеки

корпоративної інфраструктури
 43

3.3 Цільова модель технічних засобів забезпечення інформаційної

безпеки

За результатами аналізу операційної моделі наведеної в попередніх

розділах визначається поточний стан технічної архітектури ІТ систем
підприємства, також визначається поточний стан технічних засобів
забезпечення інформаційної безпеки підприємства.
Покладаючись на результати аналізу операційної моделі, на розроблений
профіль ризику підприємства та на кращі практики побудови захищених мереж,
було розроблено цільову модель технічних засобів забезпечення інформаційної
безпеки для підприємства.
Цільова модель складається з п’яти технологічних секторів, на які було
поділено підприємство у відповідності з можливими процесами та системами
які використовуються, а саме:
• безпека веб-застосунків
• безпека корпоративної мережі
• безпека хмарних сервісів
• безпека виробничих систем (MES, SCADA, PLC, RTU)
• безпека озера даних

3.3.1 Безпека веб-застосунків

Для забезпечення безпеки веб-застосунків компанії пропонується використати

два рішення для підвищення безпеки сектору та зменшення можливих ризиків
пов’язаних з цими застосунками, а саме:
1. Web Application Firewall – захисний міжмережевий екран рівня додатків,
призначений для виявлення і блокування сучасних атак на веб-додатки, в
 44

тому числі з використанням вразливостей нульового дня. WAF дозволяє

забезпечити захист веб-додатків від несанкціонованого доступу
2. User & Entity Behavior Analytics (UEBA) - рішення, що дозволяє
відстежувати поведінку користувачів (систем, додатків, пристроїв) і,
порівнюючи його з встановленими в системі шаблонами «нормального
поведінки», виявляти потенційні атаки. Після проведення аналізу
можливої атаки система може прийняти рішення про застосування
контрзаходів на підставі налаштованих алгоритмів. Це рішення
впроваджується у всіх технологічних секторах окрім сектору безпеки
виробничих систем.

Переваги, які надає впровадження цих засобів захисту:

1. Web Application Firewall:
• Зменшення ризику неавторизованих підключень до веб-
додатків, розташованих всередині корпоративної мережі
• Постійний і повний контроль за вразливостями веб-додатків
дозволить забезпечити високий рівень захищеності внутрішніх
ресурсів
• Збільшення швидкості реагування на атаки з використанням
вразливостей веб-додатків і, як наслідок, зниження
потенційного збитку від атак
2. User & Entity Behavior Analytics:
• Можливість виявляти інциденти, пов'язані з прихованим
використанням облікових записів користувачів зловмисником
• Оперативне виявлення інсайдерів серед співробітників
компанії за рахунок постійного моніторингу їх поведінки в
корпоративній мережі
 45

• Прискорення реакції на неправомірні дії співробітників

шляхом використання єдиної бази знань про поведінку
співробітників
• Значне зниження кількості помилкових інцидентів за рахунок
використання даних про поведінку користувачів і систем

3.3.2 Безпека корпоративної мережі

Для забезпечення безпеки в корпоративній мережі та зменшення можливих

ризиків пов’язаних з нею було обрано наступні рішення:
1. Breach Detection System - система виявлення порушень в корпоративній
мережі. Рішення дозволить забезпечити повний контроль веб-трафіку,
поштового трафіку, а також комплексний захист кінцевих пристроїв.
Система забезпечить швидке реагування на спрямовані атаки і атаки
«нульового» дня
2. Identity Access Management – система управління обліковими записами
дозволяє забезпечити централізоване управління правами доступу до
різних систем та повний контроль за використанням прав доступу
3. Network Access Control - рішення для контролю фізичного підключення
ІТ-обладнання. Забезпечує видимість усіх пристроїв що підключаються
до мережі в режимі реального часу. Управління доступом
забезпечується за допомогою застосування політик ІБ на всіх пристроях,
дозволених до використання в корпоративній мережі
4. Privileged Access Management – це група рішень, що дозволяє
контролювати дії адміністраторів у системі та керувати привілейованим
доступом до критично важливих ресурсів
 46

Переваги, які надає впровадження цих засобів захисту:

1. Breach Detection System:
• Зниження ризику успішної атаки «нульового дня» за рахунок
постійного «навчання» системи
• Вже наявні порушення інформаційної безпеки корпоративної
мережі будуть зафіксовані і усунені
• Зниження ризику неконтрольованої передачі інформації від
заражених комп'ютерів (горизонтальне поширення шкідливого
коду)
2. Identity Access Management:
• Належна перевірка дозволів на доступ з боку підрозділу ІБ
дозволить гарантувати, що некомпетентні співробітники не
отримають доступ до критично важливих систем і не порушать
їх роботу
• За рахунок повного контролю доступу користувачів до
ресурсів Компанії знижується ризик внутрішніх порушень, в
результаті чого знижується не тільки ймовірність, але і збиток
від ймовірної атаки
3. Network Access Control:
• Перевірка кожного пристрою, що підключається до
корпоративної мережі, дозволить гарантувати коректність його
налаштування відповідно до вимог ІБ, що значно знизить ризик
появи критичних вразливостей в корпоративній мережі
• Фіксація будь-яких змін, що порушують корпоративну
політику безпеки, на пристрої користувача дозволить знизити
ризик зловмисного заподіяння шкоди мережі Компанії з боку
співробітників
 47

• Значне зниження ризику того, що кінцеві пристрої які не

відповідають запропонованим вимогам і некеровані не
вплинуть на доступність корпоративної мережі і її
продуктивність
4. Privileged Access Management:
• Зниження ризику неузгодженої видачі привілейованих прав
доступу
• Спрощення процесу перевірки дій привілейованих
користувачів на предмет порушення ними політики ІБ при
роботі з критичними системами
• Некоректні дії привілейованих користувачів можуть завдати
значної шкоди. Впровадження системи дозволить значно
збільшити швидкість реагування на подібні інциденти і
знизити можливі втрати
• Значне зниження ризику несанкціонованих підключень до
критичних систем завдяки контролю процесу аутентифікації і
авторизації привілейованих користувачів

3.3.3 Безпека хмарних сервісів

Враховуючи наростаючу популярність використання хмарних сервісів їх

було відокремлено до окремого технологічного сектору та обрано рішення для
зменшення ризиків ІБ пов’язаних з цими сервісами:
1. Cloud Access Security Broker - посередницька служба хмарної безпеки,
що дозволяє відстежувати дії користувачів при їх роботі з хмарними
сервісами, забезпечувати відповідність вимогам щодо захисту даних, а
також протидіяти специфічним «хмарним» загрозам
 48

Переваги, які надає використання Cloud Access Security Broker:

• ризик несанкціонованих дій користувачів хмарних сервісів зводиться
до мінімуму за рахунок розширеного моніторингу поведінки
користувача
• Співробітники ІБ отримують можливість контролювати рух даних,
що зберігаються в хмарі, що знижує ризик витоку конфіденційної
інформації
• Оперативний моніторинг дотримання технічних вимог політики
безпеки Компанії при використанні хмарних систем

3.3.4 Безпека виробничих систем (MES, SCADA, PLC, RTU)

Об’єкти критичної інфраструктури частіше всього є підприємствами з

впровадженими АСУ ТП та іншими індустріальними системами контролю за
виробництвом. Враховуючи ці фактори було запропоновано рішення які
збільшать рівень інформаційної безпеки вищезгаданих систем:
1. Сегрегація корпоративної та технологічної мереж - проект по сегрегації
дозволить забезпечити виконання вимог бізнесу з передачі аналітичної
інформації з технологічної в корпоративну мережу, забезпечуючи при
цьому достатній рівень безпеки
2. Сегментація технологічних мереж - проект по сегментації дозволить
захистити більшість об'єднаних між собою технологічних систем, навіть
в разі злому однієї з них
3. Industrial Cybersecurity System - це набір технологій для захисту окремих
рівнів технологічних систем, включаючи сервери SCADA, операторські
панелі, інженерні робочі станції, PLC. Комплексний підхід, заснований
на глибокій перевірці всіх інформаційних потоків в демілітаризованій
 49

зоні і всередині технологічної мережі, забезпечує надійний захист всіх

її компонентів

Впровадження цих засобів захисту надає наступні переваги системі:

1. Сегрегація корпоративної та технологічної мереж:
• Створення безпечних комунікаційних каналів між технологічною і
корпоративною мережами дозволить забезпечити цілісність
переданої інформації
• Технічна реалізація автоматизованого процесу установки оновлень
на технологічні системи дозволить мінімізувати ризик вдалих атак з
використанням загальновідомих вразливостей
• Створення безпечних комунікаційних каналів для підключення
технічних фахівців обслуговуючої фірми, який обслуговує
технологічні системи, дозволить убезпечити технологічні системи
підприємства від проникнення зловмисників, які отримали доступ до
ресурсів компанії підрядника
2. Сегментація технологічних мереж:
• Значне збільшення часу, потрібного зловмисникові для атаки на
ресурс, що має для нього інтерес. Це дозволяє виявити загрозу до
того, як буде завдано значної шкоди
• Значне зниження ризику спотворення і крадіжки важливої інформації
за рахунок фізичного і логічного поділу систем обробки даних з
різним рівнем критичності
• Реалізація правила «мінімальних привілеїв» для інженерів, які
експлуатують систему, знижує ризик порушення роботи суміжних
критичних систем через їх некоректне налаштування
некомпетентними співробітниками
 50

• Можливість створення безпечних для технологічної мережі «пасток»

для зловмисників (Honeypot)
3. Industrial Cybersecurity System:
• Централізоване управління безпекою технологічних систем
• Захист від націлених атак і атак нульового дня, спрямованих на
технологічні системи
• Високий рівень захищеності систем управління технологічними
процесами гарантує неперервність роботи
• Моніторинг стану виробничих процесів в режимі реального часу
дозволить оперативно виявляти атаки на технологічну мережу ще на
початковому етапі їх розвитку, чим знизить потенційний збиток

3.3.5 Безпека «озера» даних

У сучасних ІТ системах кількість даних настільки велика, що їх прийнято

виділяти до окремих систем та сегментів в яких всі дані зберігаються в одному
«озері» даних. Для систем такого формату було обрано наступні рішення з
інформаційної безпеки:
1. User & Entity Behavior Analytics – розглядалось у розділі 3.3.1
2. Cloud Access Security Broker – розглядалось у розділі 3.3.3
3. Database Security – рішення, що забезпечує постійний моніторинг всіх
подій в базах даних (видалення, переміщення, додавання і т.п.). Також
рішення дозволяє контролювати коректність звернень адміністраторів
до баз даних з метою розпізнання і реагування на приховані загрози

Впровадження рішення Database Security надає наступні переваги системі:

 51

• Централізований моніторинг актуальності налаштувань безпеки всіх

СУБД, що використовуються в Компанії, незалежно від їх розмірів,
виробника і архітектури, дозволить мінімізувати ризик вдалої атаки
через експлуатацію нових вразливостей
• Всі звернення до баз даних від користувачів (в тому числі
адміністраторів) суворо контролюються, що знижує ризик
несанкціонованих підключень
• Висока швидкість реагування на інциденти, пов'язані з порушеннями
безпеки баз даних, мінімізує потенційний збиток від спрямованих
атак і атак «нульового дня»

У цьому розділі було продемонстровано приклад архітектури технічних

засобів забезпечення інформаційної безпеки, з детальним описом обраних рішень
та перевагами їх використання на підприємстві. Впровадження цих рішень,
дозволить підвищити рівень інформаційної безпеки підприємства та
відповідності вимогам стандартів інформаційної безпеки.

3.4 Розробка дорожньої карти впровадження рішень ІБ

Вирішуючи завдання розробки стратегії інформаційної безпеки для

об’єктів критичної інфраструктури, ми вже говорили про етапи розробки
стратегії, а також були запропоновані основні методики за допомогою яких
можна провести аналіз поточного стану інформаційної безпеки підприємства,
було розроблено модель цільової архітектури технічних засобів забезпечення
інформаційної безпеки підприємства. Але основним завданням роботи є не
просто розробити методики оцінки поточного стану ІБ підприємства, ризиків та
цільовий стан технічної архітектури засобів забезпечення ІБ на підприємстві.
 52

Основним завданням є демонстрація рішення, що дозволяє поєднати

виконання вимог міжнародних стандартів інформаційної безпеки та процесу
впровадження рішень з інформаційної безпеки. Тож було розроблено макет
«дорожньої карти», що відображає процес поступового впровадження технічних
рішень інформаційної безпеки та їх вплив на вимоги міжнародних стандартів
інформаційної безпеки. Розроблений макет відображено на рисунку 3.3.
Дорожня карта - це візуальне уявлення стратегії реалізації проекту або дуже
високорівневого плану з основними віхами [18]. В цьому підході найголовнішою
частиною є саме візуальна реалізація плану, а не детальний опис всіх його етапів.
У візуалізацію можуть бути включені не тільки етапи проекту, а й основні ризики,
якісь важливі для реалізації моменти та інше. Дорожні карти розробляють для
крупних проектів, які мають значний вплив на бізнес компанії та використовують
велику кількість людей для їх реалізації.
Основні цілі дорожньої карти проекту:
1. демонстрація всіх критичних моментів проекту в форматі однієї сторінки,
при вивченні якої стає зрозуміло, що, навіщо та в якій послідовності буде
виконуватись
2. отримати інструмент для роботи з вищим керівництвом компанії та
комунікації всередині проекту, адже обговорити деякі етапи набагато
простіше користуючись однією загальною схемою
3. при подальшому використанні легко відслідковувати прогрес проекту та
демонструвати його вищому керівництву або іншим зацікавленим
сторонам
Дорожня карта була виконана у вигляді діаграми Ганта [19] - це інструмент
планування, управління завданнями, який придумав американський інженер
Генрі Гант. Виглядає це як горизонтальні смуги, розташовані між двома осями:
списком завдань по вертикалі і датами по горизонталі. Вибір діаграми Ганта для
 53

розробки дорожньої карти не випадковий, адже це де-факто є стандартом в теорії

та практиці управління проектами та відображенні структури переліку робіт за
проектом.
На рисунку зображено послідовність впровадження технічних рішень з
забезпечення ІБ та їх вплив на вимоги міжнародних стандартів з ІБ.
Тлумачення скорочень технологічних рішень, що наведено на рисунку:
• WAF – впровадження Web Application Firewall
• BDS – впровадження Breach Detection System
• IAM – впровадження Identity & Access Management System
• PAM – впровадження Privileged Access Management System
• CASB – впровадження Cloud Access Security Broker
• NAC – впровадження Network Access Control
• ICS – впровадження Industrial Cybersecurity System
• UEBA – впровадження User & Entity Behavior Analytics System
• DBS – впровадження Database Security Solution
• INV – інвентаризація активів технологічної мережі
• STCN – сегрегація технологічної і корпоративної мереж
• STNE – сегментація технологічних мереж підприємства

Тлумачення умовних позначень контролів, що наведені на рисунку:

• 1.1 - систематизація і актуалізація нормативних документів ІБ
• 2.1 - розробка та впровадження методології оцінки ризиків ІБ
• 3.1 - розробка і впровадження програми підвищення обізнаності
персоналу в області ІБ
• 4.1 - розробка і впровадження рольової моделі доступу для
інформаційних систем
 54

• 4.2 - впровадження періодичного перегляду прав доступу в

інформаційні системи
• 5.1 - формалізація вимог ІБ в проектному управлінні
• 6.1 - розробка і впровадження процедури управління
криптографічного захисту інформації
• 7.1 - впровадження процесу управління мобільними пристроями
• 7.2 - впровадження процесу управління переносними носіями
• 8.1 - впровадження процесу безпечної розробки ПЗ
• 9.1 - розробка процесу управління інцидентами ІБ
• 10.1 - розробка процесу управління вразливостями ІБ
• 11.1 - впровадження процесу управління постачальниками послуг
• 12.1 - розробка стандартів безпечного налаштування обладнання
• 13.1 - впровадження програми оцінки ефективності функції ІБ
 55

Рисунок 3.3 – дорожня карта впровадження технічних та методологічних рішень

інформаційної безпеки

Висновки до розділу 3

У цьому розділі було описано етапи побудови стратегії ІБ для об’єктів

критичної інфраструктури. Розроблено методику оцінки ризиків та наведено
приклади її використання. У відповідності з контролями та кращими практиками,
розроблено модель архітектури технічних засобів забезпечення ІБ на
підприємстві. Кожен елемент моделі було розглянуто та сформульовано його
цінність в даній архітектурі.
В результаті всіх розроблених методик та моделей було розроблено
дорожню карту впровадження технічних рішень забезпечення ІБ. Дорожня карта
 56

була розроблена у вигляді діаграми Ганта, адже це є найбільш популярним та

наглядним варіантом демонстрації планів та етапів виконання проектів.
 57

ВИСНОВКИ

Дана робота присвячена вивченню та аналізу вимог державних та

міжнародних стандартів інформаційної безпеки та їх застосовності до об’єктів
критичної інфраструктури.
У роботі розглянуто актуальне визначення об’єктів критичної
інфраструктури на рівні законодавства, проаналізовано вимоги, що висуваються
до даних об’єктів. Розглянуто закон про «Стратегії інформаційної безпеки
України» та проаналізовано його застосовність для розробки стратегії
інформаційної безпеки підприємств.
Проведено порівняльний аналіз державних та міжнародних стандартів
інформаційної безпеки. Запропоновано операційну модель підприємства та етапи
аналізу кожної складової операційної моделі.
Взявши за основу уявний об’єкт критичної інфраструктури з енергетичного
сектору з загальним набором технологій, що використовуються в об’єктах такого
типу. Розроблено методику оцінки ризиків та на її основі продемонстровано
реалізацію профілю ризиків та приклад оцінки та обробки ризиків.
На основі визначених ризиків та контролів, було розроблено модель
цільового стану технічної архітектури засобів інформаційної безпеки з детальним
обґрунтуванням кожного с технічних рішень використаних у цій моделі.
В результаті розроблені методики та моделі було об’єднано в дорожню
карту впровадження технічних рішень інформаційної безпеки на підприємстві,
що є однією з основних складових стратегії інформаційної безпеки.
Розроблене рішення є унікальне тим, що надає практичні для застосування
методики з оцінки актуального стану ІТ та ІБ архітектури та процесів
підприємства, демонструє приклади класифікації ризиків, збитків та активів.
Надає приклади архітектури технічних засобів забезпечення ІБ та демонструє
 58

варіант оформлення проекту з впровадження технічних рішень з інформаційної

безпеки у дорожню карту для зручного та наглядного використання.
 59

ПЕРЕЛІК ДЖЕРЕЛ ПОСИЛАНЬ

1. Another cyber-attack on Iran with the Stuxnet virus [Електронний ресурс] //
BBC – Режим доступу до ресурсу: https://www.bbc.
com/russian/international/2012/12/121225 _iran_stuxnet_attack.
2. Hackers attacked regional power plants in western Ukraine [Електронний
ресурс] // Securitylab – Режим доступу до ресурсу: https://www.
securitylab.ru/news/477942.php.
3. BS_7799-1 [Електронний ресурс] // Wikipedia – Режим доступу до
ресурсу: https://ru.wikipedia.org/wiki/BS_7799-1.
4. Стратегія кібербезпеки України [Електронний ресурс] // Рада
національної безпеки і оборони України – Режим доступу до ресурсу:
https://zakon.rada.gov.ua/laws/show/96/2016#Text.
5. Стратегія кібербезпеки України (2021 – 2025 роки) [Електронний ресурс]
// Рада національної безпеки і оборони України – Режим доступу до ресурсу:
https://www.rnbo.gov.ua/files/2021/STRATEGIYA%20KYBERBEZPEKI/proekt%2
0strategii_kyberbezpeki_Ukr.pdf.
6. Об'єкти критичної інфраструткури [Електронний ресурс] // Wikipedia –
Режим доступу до ресурсу:
https://uk.wikipedia.org/wiki/%D0%9E%D0%B1%27%D1%94%D0%BA%D1%82
%D0%B8_%D0%BA%D1%80%D0%B8%D1%82%D0%B8%D1%87%D0%BD%D
0%BE%D1%97_%D1%96%D0%BD%D1%84%D1%80%D0%B0%D1%81%D1%8
2%D1%80%D1%83%D0%BA%D1%82%D1%83%D1%80%D0%B8
7. Проект Закону про критичну iнфраструктуру [Електронний ресурс] //
Народний депутат України Федiєнко О.П. – 2021. – Режим доступу до ресурсу:
http://w1.c1.rada.gov .ua/pls/zweb2/webproc4_1?pf3511=71355.
 60

8. Закон України "Про основні засади забезпечення кібербезпеки України"

[Електронний ресурс] // Верховна Рада – Режим доступу до ресурсу:
https://zakon.rada.gov.ua/laws/show/2163-19#Text.
9. Эксперты раскрыли схему хакерской атаки на систему трубопроводов
США [Електронний ресурс] // Golosameriki.com. – 2021. – Режим доступу до
ресурсу: https://www.golosameriki.com/a/colonial-pippeline/5886730.html.
10. ДСТУ 3396.0-96 [Електронний ресурс] // Кабiнет Мiнiстрiв України. –
1996. – Режим доступу до ресурсу: https://tzi.com.ua/d ownloads/DSTU%203396.0-
96.pdf.
11. ДСТУ 3396.1-96 [Електронний ресурс] // Кабiнет Мiнiстрiв України. –
1996. – Режим доступу до ресурсу: https://tzi.com.ua/d ownloads/DSTU%203396.1-
96.pdf.
12. ISO/IEC 27001:2013 [Електронний ресурс] // ISO/IEC. – 2013. – Режим
доступу до ресурсу: https://pqm-online.com/asset s/files/pubs/translations/std/iso-
mek-27 001-2013(rus).pdf.
13. ДСТУ ISO/IEC 27001:2015 [Електронний ресурс] // Технічний комітет
зі стандартизації «Інформаційні технології». – 2015. – Режим доступу до ресурсу:
http://online.budstandart.com/ua/catalog/doc-page?id_doc=66910.
14. Промисловi комунiкацiйнi мережi. Захищенiсть (кiбербезпека) мережi i
системи. частина 2-1. [Електронний ресурс] // ISO/IEC. – 2015. – Режим доступу
до ресурсу: https: //pdf.standartgost.ru/catalog/Data2/1/42 93762/4293762664.pdf.
15. Обзор стандарта безопасности промышленных систем управления NIST
SP 800-82 Rev.2 [Електронний ресурс] // УЦСБ – Режим доступу до ресурсу:
https://www.ussc.ru/news/novosti/obzor_standarta_bezopasnosti_promyshlennykh_si
stem_upravleniya_nist_sp_800_82_rev_2/.
 61

16. Дорожная карта проекта или Roadmap проекта [Електронний ресурс] //

Управление проектами.РУ – Режим доступу до ресурсу: https://upravlenie-
proektami.ru/dorozhnaya-karta-proekta-ili-roadmap-proekta.
17. Діаграма Ганта [Електронний ресурс] // Lifehacker.ru – Режим доступу
до ресурсу: https://lifehacker.ru/diagramma-ganta/.