АНАЛІЗ МЕТОДИК ТА СТАНДАРТІВ УПРАВЛІННЯ КІБЕРСТІЙКІСТЮ ІНФОРМАЦІЙНИХ РЕСУРСІВ
DOI: 10.31673/2409-7292.2026.010656
Анотація
Проведено комплексний аналіз сучасних міжнародних стандартів та прикладних методологій оцінювання
кіберстійкості інформаційних ресурсів (ІР). Визначено, що теоретичним підґрунтям для побудови систем
кіберстійкості виступають стандарти ISO/IEC 27001 (системи управління інформаційною безпекою), ISO/IEC
27031 (готовність ІКТ до забезпечення безперервності бізнесу) та спеціальні публікації NIST (Framework for
Improving Critical Infrastructure Cybersecurity, SP 800-160), які формують системний підхід, інтегруючи
превентивне управління безпекою, відновлення після інцидентів та принципи системної інженерії. Проведено
порівняльний аналіз п’яти провідних фреймворків оцінювання: Cyber Resilience Review (CRR), Cyber Assessment
Framework (CAF), Cyber Resilience Assessment Framework (C-RAF), Cyber Resilience Index (CRI) та IT Governance
Framework. Для порівняння застосовано п’ять критеріїв: наявність числового (індексного) вираження стійкості,
фокус оцінки (якісна зрілість чи кількісні показники), динаміка оцінювання (статичний аудит чи тестування),
джерела даних та врахування їх адекватності. Виявлено розбіжності між існуючими підходами. Встановлено, що
якісні моделі (CRR, CAF) зосереджені на оцінці зрілості процесів («паперова стійкість»), тоді як кількісні моделі
(CRI) базуються на метриках часу (MTTD, MTTR), проте часто ігнорують організаційний контекст. Окремо
відзначено досвід C-RAF щодо впровадження динамічного тестування (iCAST), який, однак, має вузькогалузеву
специфіку. Ключовим результатом дослідження є виявлення критичної наукової прогалини – відсутності в
існуючих моделях механізмів перевірки адекватності, повноти та достовірності вхідних даних. Обґрунтовано
необхідність розробки механізму, що поєднав би кількісні архітектурні метрики з оцінкою зрілості процесів та
коефіцієнтом адекватності вхідних даних.
Ключові слова: кібербезпека, кіберстійкість, кібератака, оцінювання кіберстійкості, NIST CSF, ISO 27001,
C-RAF, адекватність даних, модель, метод, методологія, стандарт, інформаційна безпека, механізм оцінювання
кіберстійкості.
Перелік посилань
1. ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection – Information security
management systems – Requirements. [Електронний ресурс]. Режим доступу: https://www.iso.org/standard/27001
2. ISO/IEC 27031:2025. Information technology – Security techniques – Guidelines for information and
communication technology readiness for business continuity. [Електронний ресурс]. Режим доступу:
https://www.iso.org/standard/27031.
3. The NIST Cybersecurity Framework (CSF) 2.0. [Електронний ресурс]. Режим доступу: https://nvlpubs.nist.
gov/nistpubs/CSWP/NIST.CSWP.29.pdf.
4. NIST Special Publication 800-160, Volume 2. [Електронний ресурс]. Режим доступу: https://nvlpubs.nist.
gov/nistpubs/SpecialPublications/NIST.SP.800-160v2r1.pdf.
5. MITRE ATT&CK Framework. [Електронний ресурс]. Режим доступу: https://attack.mitre.org/\.
6. Cyber Resilience Review. [Електронний ресурс]. Режим доступу: https://www.cisa.gov/resourcestools/services/cyber-resilience-review-crr.
7. Cyber Resilience Index. [Електронний ресурс]. Режим доступу: https://www3.weforum.org/docs/ WEF_
Cyber_Resilience_Index_2022.pdf.
8. Cyber Assessment Framework. [Електронний ресурс]. Режим доступу: https://www.ncsc.gov.uk/collection
/cyber-assessment-framework.
9. Cyber Resilience Assessment Framework. [Електронний ресурс]. Режим доступу: https://uploadsssl.webflow.com/59d28ad983887e000196f803/5fecc1fe13498132b4fa835b_HKMA CFI, Cyber Resilience Assessment
Framework, Dec 2016.pdf.
10. IT Governance Cyber Resilience Framework. [Електронний ресурс]. Режим доступу: https://www.
itgovernance.co.uk/cyber-resilience-framework.
