Дослідження методів та моделей оцінювання кіберзахисту критичної інфраструктури держави
DOI: 10.31673/2409-7292.2024.030001
Анотація
Дослідження “Методи та моделі оцінювання кіберзахисту критичної інфраструктури держави” зосереджується на аналізі різних методів оцінки ризиків кібербезпеки з метою їх застосування до захисту національної критичної інфраструктури. Робота оцінює придатність існуючих методів на основі критеріїв, таких як ідентифікація ризиків, реагування на кіберінциденти, відновлення стану кібербезпеки, кіберахист та кіберстійкість. Розглядаються методики як FMEA, HAZOP, Checklist, SWIFT та інші, аналізуючи їх здатність ідентифікувати потенційні загрози, реагувати на актуальні кіберінциденти, забезпечувати швидке відновлення операцій та зміцнювати загальну стійкість системи до майбутніх атак. Крім теоретичного огляду, робота включає практичний аспект, де за допомогою кейс-стаді на реальних системах критичної інфраструктури аналізується ефективність різних методів і стратегій. Дослідження також пропонує нові підходи та моделі, що могли б покращити інтеграцію та виконання заходів кібербезпеки, враховуючи комплексний характер кіберзагроз. Завдяки багатогранному аналізу, робота висвітлює критичні аспекти в оцінці та управлінні ризиками, що дозволяє формулювати рекомендації для поліпшення заходів захисту критичної інфраструктури. Це дослідження має велике значення для розробників політик, експертів у галузі кібербезпеки та керівників критичних інфраструктур, оскільки надає глибокий аналіз та порівняльну оцінку методів оцінки ризиків, вказуючи на їхні сильні та слабкі сторони в контексті різних аспектів кібербезпеки.
Ключові слова: Кібербезпека, кіберстійкість, критична інфраструктура, захист інформації, кібератака, кіберризики, кіберзагроза, кіберінциденти, методи та моделі.
Перелік посилань
1. Barrett, M. (2018), Framework for Improving Critical Infrastructure Cybersecurity. Version 1.1, NIST Cybersecurity Framework, [online], https://doi.org/10.6028/NIST.CSWP.04162018, https://www.nist.gov/cyberframework (Accessed April 18, 2024)
2. European Union Agency for Cybersecurity (ENISA), “Threat Landscape Report 2020,” режим доступу https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2020
3. The Cybersecurity and Infrastructure Security Agency (CISA), “GuidelinesforSecuringtheCyberInfrastructure,” режим доступу: https://www.cisa.gov/resources-tools/programs/chemical-facility-anti-terrorism-standards-cfats/laws-and-regulations/cybersecurity-and-infrastructure-security-agency-guidance
4. Schneier, Bruce, “Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World” (W.W. Norton & Company, 2015).
5. IBM X-Force Threat Intelligence Index 2024. https://www.ibm.com/reports/threat-intelligence
6. Наказ Адміністрації Держспецзв’язку від 06.10.2021 № 601 “Про затвердження Методичних рекомендацій щодо підвищення рівня кіберзахисту критичної інформаційної інфраструктури” (зі змінами)
7. Гончар, С. Ф. Оцінювання ризиків кібербезпеки інформаційних систем об’єктів критичної інфраструктури: монографія / С.Ф. Гончар. – К.: Альфа Реклама, 2019. – 176 с. ISBN 978-966-288-263-6
8. ISO/IEC 27005:2022 URL https://www.iso.org/standard/80585.html
9. Patton, Michael Quinn. QualitativeResearchandEvaluationMethods. 3 ed, SagePublications, 2002.
10. Gene Rowe, George Wright, The Delphi technique as a forecasting tool: issues and analysis, International Journal of Forecasting, Volume 15, Issue 4, 1999, Pages 353-375, ISSN 0169-2070
11. Linstone, Harold & Turoff, Murray. (1975). The Delphi Method: Techniques and Applications. 10.2307/3150755.
12. NIST SP 800-53 Rev. 5 URL https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final
13. ISO/IEC 27001:2022 URL https://www.iso.org/standard/27001
14. Roland, Harold E., and Brian. Moriarty. System Safety Engineering and Management / Harold E. Roland, Brian Moriarty. 2nd edition. NewYork: Wiley, 1990. Web.
15. Fthenakis, Vasilis & Trammell, Steven. (2003). Reference Guide for Hazard Analysis in PV Facilities.
16. Pasman, Hans. (2015). Risk Analysis and Control for Industrial Processes – Gas, Oiland Chemicals; A System Perspective for Assessing and Avoiding Low-Probability, High-Consequence Events.
17. A. Alahmari and B. Duncan, “CybersecurityRiskManagementinSmallandMedium-SizedEnterprises: A SystematicReviewofRecentEvidence,” 2020 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (Cyber SA), Dublin, Ireland, 2020, pp. 1-5, doi: 10.1109/CyberSA49311.2020.9139638.
18. Guidelines for Hazard Evaluation Procedures (3rd ed.). Wiley. Retrievedfrom https://www.perlego.com/book/1008408/guidelines-for-hazard-evaluation-procedures-pdf (Рublished 2011)
19. Hassani, Bertrand K. Scenario Analysis in Risk Management: Theory and Practice in Finance, 2016. Internet resource.
20. Schneider, H. (1996). Failure Mode and Effect Analysis: FMEA From Theory to Execution. Technometrics, 38(1), 80. https://doi.org/10.1080/00401706.1996.10484424
21. Rausand, Marvin and Høyland, Arnljot. System Reliability Theory: Models, Statistical Methods and Applications. Hoboken, NJ: Wiley-Interscience, 2004.
22. Bahr, N.J. (2015). System Safety Engineering and Risk Assessment: A Practical Approach, Second Edition (2nd ed.). CRC Press. https://doi.org/10.1201/b17854
23. Murphy, John & Chastain, Wayne & Bridges, William. (2009). CCPS Guidelines for Independent Protection Layers and Initiating Events. Process Safety Progress. 28. 374 - 378. 10.1002/prs.10356.
24. Han, Jiawei & Kamber, Micheline & Pei, Jian. (2012). Data Mining: Concepts and Techniques. 10.1016/C2009-0-61819-5.
25. Boyless, James. (1988). Human reliability: Analysis, prediction, and prevention of human errors. International Journal of Industrial Ergonomics - INT J IND ERGONOMIC. 2. 165-166. 10.1016/0169-8141(88)90048-0.
26. Clothier, Reece & Walker, Rodney. (2014). The Safety Risk Management of Unmanned Aircraft Systems. 10.1007/978-90-481-9707-1_39.
27. Nan Chenand L. Jeff Hong. 2007. Monte Carlo simulation in financial engineering. In Proceedings of the 39th conference on Wintersimulation: 40 years! The best is yet to come (WSC '07). IEEE Press, 919–931.
28. Pritchard, PMP, PMI-RMP, EVP, C.L. (2015). Risk Management: Concepts and Guidance, Fifth Edition (5th ed.). Auerbach Publications. https://doi.org/10.1201/9780429438967
29. Boardman, Anthony & Greenberg, David & Vining, Aidan & Weimer, David. (2018). Cost-Benefit Analysis: Concepts and Practice, 5th edition.
30. Glaser, Bodo. (2002). Multiple Objectives in Dynamic Decision Making. 10.1007/978-3-642-56100-9_7.
31. Steven Noel, Sushil Jajodia, Lingyu Wang, Anoop Singhal. Measuring security risk of networks using attack graphs. International Journal of Next-Generation Computing. 2010/7/14, P 135-147.
32. Survey of Attack Graph Analysis Methods from the Perspective of Data and Knowledge Processing Jianping Zeng, Shuang Wu, Chengrong Wu. Published in Secur. Commun. Networks 26 December 2019.
33. Yuri Diogenes Erdal Ozkaya Cybersecurity – Attack and Defense Strategies// Published by Packt Publishing Ltd. Livery Place 35 Livery Street Birmingham B3 2PB, UK, 2018, P 368.
34. Dawood Behbehani, Nikos Komninos, Khalid Al-Begain, Muttukrishnan Rajarajan Journalof Cloud Computing, volume12, Articlenumber: 79 (2023).
35. Helger Lipmaa, Aikaterini Mitrokotsa, Raimundas Matulevičius Cloud Enterprise Dynamic Risk Assessment (CEDRA): a dynamic risk assessment using dynamic Bayesian networks for cloud environment, Bayesian Network Models in Cyber Security: A Systematic Review, November 2017, DOI:10.1007/978-3-319-70290-2_7, Inbook: Secure IT Systems (pp.105-122), Chapter: 7, Publisher: Springer.
36. Optimal monitoring and attack detection of networks modeled by Bayesian attack graphs, Armita Kazeminajafabadi & Mahdi Imani, Cybersecurity volume 6, Articlenumber: 22 (2023).
37. Bayesian Network Models in Cyber Security: A Systematic Review, November 2017, DOI:10.1007/978-3-319-70290-2_7, Inbook: Secure IT Systems (pp.105-122), Chapter: 7, Publisher: Springer, Editors: Helger Lipmaa, Aikaterini Mitrokotsa, Raimundas Matulevičius.
38. Tuxcare URL https://tuxcare.com/blog/the-transition-to-cvss-v4-0-what-you-need-to-know/
39. Attack.mitre URL https://attack.mitre.org/
40. Ravdeep Kour, Ramin Karim, Pierre Dersin Game Theory and Cyber Kill Chain: A Strategic Approach to Cybersecurity January 2024, DOI:10.1007/978-3-031-39619-9_33, In book: International Congress and Workshop on Industrial AI and eMaintenance 2023 (pp.451-463).
41. Paul A Gagniuc, “Markov Chains: From Theory to Implementation and Experimentation”, 2017, p 235.
42. Information Technology LaboratoryNationalVulnerabilityDatabase URL https://nvd.nist.gov/
43. Іванченко, Є. В., Корченко, О. Г., Бакалинський, О. О., Мялковський, Д. В., Верба, Д. В., Зубков, Д. А., Юдіна, Д. О. Модель системи характеристик даних для оцінювання заходів кіберзахисту в Україні. Український науковий журнал інформаційної безпеки: том. 30 № 1, (2024), 95-99 с.
44. CIA triad (confidentiality, integrityandavailability) https://www.techtarget.com /whatis/definition/Confidentiality-integrity-and-availability-CIA.
45. Теорія мотивації захисту. URL https://open.ncl.ac.uk/theories/10/protection-motivation-theory (дата звернення 08.07.2024).
46. Critical Security Controls (CIS Controls). URL: www.cisecurity.org/
47. Nessus Professional. URL: www.tenable.com (дата звернення 08.07.2024)
48. OpenVAS. URL:www.openvas.org. (дата звернення 08.07.2024)
49. The Qualys Enterprise Tru Risk TM Platform. URL: www.qualys.com. (дата звернення 08.07.2024).
50. Іванченко, Є., Корченко, О., Заріцький, О., Зибін, С., Вишневська, Н. Аналіз поняття кіберстійкості критичної інфраструктури. Захист інформації. Том 25, №4, жовтень-грудень 2023, 221-233.
