Критична інфраструктура та кіберзагрози: досягнення стратегічних цілей державного аудиту щодо кіберзахисту критичної інфраструктури

Размещено на http://www.allbest.ru/

Державний Податковий Університет

КРИТИЧНА ІНФРАСТРУКТУРА ТА КІБЕРЗАГРОЗИ: ДОСЯГНЕННЯ СТРАТЕГІЧНИХ ЦІЛЕЙ ДЕРЖАВНОГО АУДИТУ ЩОДО КІБЕРЗАХИСТУ КРИТИЧНОЇ ІНФРАСТРУКТУРИ

Кучма Ольга Миколаївна аспірант кафедри

соціальної філософії та управління,

Котух Євген Володимирович доктор наук з державного

управління, професор кафедри кримінальних розслідувань

м. Ірпінь

Анотація

аудит кібербезпека критичний інфраструктура

У цій статті розглядаються найкращі практики та заходи, які застосовуються на державному рівні для забезпечення кібербезпеки критичної інфраструктури. Сучасний ландшафт кіберзагроз підкреслює терміновість для держав забезпечити надійні захисні механізми для критичної інфраструктури. У дослідженні розглядаються конкретні критерії та показники, які застосовуються для оцінки досягнення цілей кібербезпеки. В епоху, коли цифровий прогрес супроводжується ескалацією кіберзагроз, країни повинні прагнути захистити основу своїх функцій - критичну інфраструктуру. Таким чином, вразливі місця інфраструктури можуть потенційно завдати шкоди операційному, економічному та безпековому апарату країни. Враховуючи серйозність таких сценаріїв, у статті пропонуються подальші кроки, щодо оцінки вразливості критичної інфраструктури та удосконалення ІТ-аудиту. Це поширюється на оцінку стійкості та потенційних слабких місць об'єктів критичної інформаційної інфраструктури та державних інформаційних ресурсів. В статті надається визначення критично важливих об'єктів інфраструктури, доводиться розподіл цих об'єктів за секторальним принципом, обґрунтовано класифікацію за рівнем негативного впливу. Проаналізовано стратегічні цілі державного аудиту, обґрунтовано шляхи посилення національної кіберготовності та кіберзахисту. Значна частина дослідження наголошує на вдосконаленні ІТ-аудиту, зокрема в контексті оцінки впровадження систем кібербезпеки. Тому вдосконалення методології ІТ-аудиту має вирішальне значення, щоб випереджати вектори кіберзагроз, що постійно змінюються. Стаття, по суті, представляє комплексний дискурс про зв'язок між критичною інфраструктурою, кіберзагрозами, кіберризиками,

ІТ-аудитом, моніторингом, стратегічним управлінням і державним управлінням. Метою статті є висвітлення шляху зміцнення державних підходів та механізмів досягнення стратегічних цілей щодо захисту практичної інфраструктури.

Ключові слова: критична інфраструктура, кіберзагрози, кіберризик, ІТ аудит, моніторинг, стратегічне управління, державне управління.

Abstract

Kuchma Olha Mykolaivna PhD candidate, State Tax University, Irpin,

Kotukh Yevgen Volodymyrovych Doctor of Public Administration, Professor of Crime Investigation department, Irpin,

CRITICAL INFRASTRUCTURE AND CYBER THREATS: ACHIEVING THE STRATEGIC GOALS OF THE STATE AUDIT ON CYBER PROTECTION OF CRITICAL INFRASTRUCTURE

This article examines best practices and measures that are being implemented at the government level to ensure the cybersecurity of critical infrastructure. The current cyber threat landscape underscores the urgency for states to provide robust defense mechanisms for critical infrastructure. The study examines the specific criteria and metrics used to assess the achievement of cybersecurity goals. In an era when digital progress is accompanied by escalating cyber threats, countries must strive to protect the basis of their functions - critical infrastructure. Thus, infrastructure vulnerabilities can potentially harm a country's operational, economic and security apparatus. Given the seriousness of such scenarios, the article suggests further steps to assess the vulnerability of critical infrastructure and improve IT auditing. This extends to the assessment of stability and potential weaknesses of critical information infrastructure facilities and state information resources. The article provides a definition of critically important infrastructure objects, proves the distribution of these objects according to the sectoral principle, substantiates the classification according to the level of negative impact. The strategic goals of the state audit were analyzed, and the ways of strengthening national cyber readiness and cyber defense were substantiated. A significant part of the study emphasizes the improvement of IT auditing, in the context of assessing the implementation of cyber security systems. Improving IT audit methodology is therefore critical to stay ahead of the ever-changing cyber threat vectors. The article essentially presents a comprehensive discourse on the relationship between critical infrastructure, cyber threats, cyber risks, IT audit, monitoring, strategic management and governance. The purpose of the article is to highlight the way to strengthen state approaches and mechanisms for achieving strategic goals regarding the protection of practical infrastructure.

Keywords: critical infrastructure, cyber threats, cyber risk, IT audit, monitoring, strategic management, public administration.

Постановка проблеми

Відповідно до Закону України «Про основні засади забезпечення кібербезпеки України» одним з об'єктів кібербезпеки є об'єкти критичної інфраструктури.

До критично важливих об'єктів інфраструктури (далі - об'єкти критичної інфраструктури, ОКІ) відносять підприємства, установи та організації незалежно від форми власності, діяльність яких безпосередньо пов'язана з технологічними процесами та/або наданням послуг, що мають стратегічне значення для економіки та промисловості, функціонування суспільства та безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров'я людей.

За секторальним (галузевим) принципом виділяються об'єкти критичної інфраструктури, які забезпечують:

послуги, що надаються підсекторами електроенергетики, ядерної енергетики, нафти та нафтопродуктів, постачання газу;

послуги постачання теплової енергії та гарячої води, централізованого водопостачання та централізованого водовідведення, поводження побутовими відходами;

послуги, що надаються підсекторами авіаційного, автомобільного, залізничного морського та річного транспорту;

послуги, що надаються фінансовим сектором, поштовим підсектором; послуги, що надаються сектором харчової промисловості та агропромислового комплексу, сектором охорони здоров'я, сектором промисловості, сектором цивільного захисту населення та територій.

За рівнем негативного впливу у разі знищення, пошкодження або порушення функціонування ОКІ (міжсекторальні критерії) поділяють за принципом значущості:

соціальна значущість об'єкта критичної інфраструктури; суспільна значущість об'єкта критичної інфраструктури; економічна значущість об'єкта критичної інфраструктури; значущість взаємозв'язків між об'єктами критичної інфраструктури; значущість об'єкта критичної інфраструктури для забезпечення національної безпеки та обороноздатності країни.

Сукупність організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем визначають як систему кіберзахисту [1].

Однією зі стратегічних цілей в Стратегії кібербезпеки України, яка затверджена Указом Президента України від 26 серпня 2021 р. №» 447/2021, визначено, потребу розбудови кіберготовності та системи кіберзахисту - Україна запровадить і реалізує чіткі та зрозумілі для всіх заінтересованих сторін заходи щодо національної кіберготовності в інтересах забезпечення економічного добробуту та захисту прав і свобод кожного громадянина України. Україна посилить кіберготовність, що полягатиме у здатності всіх заінтересованих сторін, насамперед суб'єктів сектору безпеки і оборони, своєчасно й ефективно реагувати на кібератаки, забезпечити режим постійної готовності до реальних та потенційних кіберзагроз, виявляти та усувати передумови їх виникнення, забезпечивши тим самим кіберстійкість, передусім об'єктів критичної інформаційної інфраструктури (далі - ОКІІ). Україна створить національну систему управління інцидентами.

Посилення національної кіберготовності та кіберзахисту забезпечуватиметься шляхом:

впровадження ризик-орієнтованого підходу в частині заходів забезпечення кібербезпеки ОКІ та державних органів, зокрема, розроблення методики ідентифікації та оцінки кіберризиків на національному рівні та для секторів критичної інфраструктури держави, врегулювання на законодавчому рівні обов'язковості здійснення періодичної оцінки ризиків на підставі розроблених методик;

впровадження системи сертифікації продукції, яка використовується для функціонування та кіберзахисту інформаційно-комунікаційних систем, насамперед ОКІІ;

забезпечення розвитку організаційно-технічної моделі кіберзахисту;

завершення процесів визначення ОКІ та ОКІІ, створення і забезпечення функціонування державного реєстру ОКІІ, постійного перегляду та оновлення вимог щодо їх кіберзахисту з урахуванням сучасних міжнародних стандартів з питань кібербезпеки;

запровадження на постійній основі оцінки стану захищеності ОКІІ та державних інформаційних ресурсів на вразливість, встановлення обов'язковості та періодичності проведення такої оцінки з урахуванням категорій критичності об'єктів, стимулювання участі у цих заходах фахівців з кібербезпеки приватного сектору;

впровадження системи аудиту інформаційної безпеки, насамперед на ОКІ, визначення механізмів та базових методик проведення аудитів, встановлення вимог до аудиторів інформаційної безпеки, їх сертифікації, атестації (переатестації), навчання та підвищення кваліфікації, а також щодо обов'язковості та періодичності проведення аудитів, надання узагальненої інформації про результати аудитів до Національного координаційного центру кібербезпеки;

забезпечення розвитку систем технічного і криптографічного захисту інформації, пріоритетності використання засобів технічного і криптографічного захисту інформації вітчизняного виробництва для кіберзахисту державних інформаційних ресурсів та ОКІІ;

посилення спроможностей у проведенні негласних перевірок стану готовності ОКІ до можливих кібератак та кіберінцидентів, поступово охопивши такими заходами всі такі об'єкти;

створення технологічних можливостей для автоматичного виявлення кібератак у режимі реального часу в потоках даних загальнодержавних інформаційно-комунікаційних систем та на окремих ОКІ, їх блокування та визначення пріоритетності [2].

Нагальну потребу запровадження зазначених заходів підтверджують численні випадки кібератак на об'єкти критичної інфраструктури та на об'єкти критичної інформаційної інфраструктури країн світу. Як свідчать результати аналізу стратегічних цілей національних стратегій кібербезпеки у багатьох країнах (США, Німеччина, Франція, Люксембург) захист ключових об'єктів інфраструктури визнається пріоритетною ціллю [3].

Відсутність законодавчого акта про критичну інфраструктуру України та її захист, відсутність реєстру (переліку) ОКІ значно ускладнюють формування системи кіберзахисту такої інфраструктури. З огляду на зазначене, з метою унормування понятійної бази щодо захисту критичної інфраструктури, напрацювання ефективних методів оцінки досягнення стратегічної цілі щодо кіберзахисту критичної інфраструктури, зокрема інформаційної, потребують дослідження міжнародні практики вирішення проблемних питань, з якими стикаються державні органи країн світу, під час кібератак на ОКІ/ ОКІІ/ ДІР.

Дослідження дозволить визначити ключові критерії (індикатори), які потребують досягнення з метою ефективного управління та оцінки стійкості ОКІ до кіберзагроз, загроз фізичного характеру та оцінки ефективності виконання своїх ролей (задач, функцій) суб'єктами забезпечення кібербезпеки, володільцями активів у забезпеченні безпеки критично важливої інфраструктури країни тощо.

Мета статті

Висвітлення проблемних питань під час побудови ефективної системи кіберзахисту критичної інфраструктури в Україні, представлення бачення міжнародних експертів щодо проблем з якими стикаються інші країни та визначення шляхів для оцінки досягнення стратегічних цілей щодо кіберзахисту ОКІ/ ОКІІ з метою удосконалення процесів стратегічного управління.

Об'єктом дослідження цієї статті є кращі практики та заходи, які використовуються для побудови кіберзахисту об'єктів критичної інфраструктури в країнах світу, та методи, які використовуються для оцінки досягнення цілей кіберзахисту.

Аналіз останніх досліджень і публікацій

Захист ОКІ за допомогою фізичного захисту здійснюється десятиліттями. Останнім часом фізична безпека стала потенційної вразливістю для кіберзагроз інформаційній безпеці на цих об'єктах. Проблемам ризиків інформаційної безпеки присвячені роботи О.Є. Архипова, С.М. Куща, В.О. Шутовського, Д. М. Такія, О. А. Журана. Питаннями аналізу впливу ключових аспектів інформаційної безпеки на державні процеси опікуються О. Дзьобань, Н. Камінська, Дж. Карра, Д. Карпентар, О. Кирилюк, Бакалінский О. П. Проте, дослідження щодо побудови ефективної системи кіберзахисту ОКІ/ ОКІІ/ ДІР залишається поза увагою вітчизняних науковців.

Викладення основного матеріалу

Сучасні середовища складних технологічних процесів мають широкий простір для численних векторів кібератак. Кіберпростір разом з іншими фізичними просторами визнається в національних стратегіях кібербезпеки країн світу як найбільш вірогідний для розгортання активних воєнних дій, а виведення з ладу об'єктів критичної інфраструктури противника шляхом руйнування автоматизованих систем управління систем управління (Control Systems, SCADA тощо) такими об'єктами - одним з найперспективніших для швидкої перемоги [4].

Надзвичайно важливі для розвитку національної системи кібербезпеки завдання Стратегії кібербезпеки України, затвердженої Указом Президента України від 15 березня 2016 року № 96, не були виконані, зокрема: не сформовано перелік об'єктів критичної інформаційної інфраструктури. Проведеним аналізом визначено основні передумови та чинники, які не дозволяють наразі на національному та локальному рівнях побудувати ефективну систему захисту від кіберзагроз, зокрема:

відсутність законодавчого акта про критичну інфраструктуру України та її захист, що значно ускладнює формування системи кіберзахисту такої інфраструктури;

відсутність національних галузевих стандартів та стандартів вищого рівня щодо захисту ОКІ, ОКІІ, які носить обов'язковий, а не рекомендаційний характер;

відсутність єдиних критеріїв оцінки безпеки ОКІІ;

недостатня технічна захищеність від кібератак, зокрема через застарілість ОКІ/ ОКІІ / ДІР, та відсутність систем активного моніторингу периметру;

відсутність здатності швидко адаптуватися до внутрішніх і зовнішніх загроз у кіберпросторі, підтримувати та відновлювати стале об'єктів критичної інформаційної інфраструктури у разі цільових кібератак.

Стратегією кібербезпеки України визначені основні напрямки/ завдання для напрацювання низки заходів, які сприятимуть забезпеченню розвитку безпечного кіберпростору в країні.

Водночас проведений аналіз міжнародної практики побудови національних систем кіберзахисту дозволяє виділити наступні аспекти та ризики, які можуть бути враховані під час реалізації завдань, зокрема щодо:

1) впровадження ризик-орієнтованого підходу в частині заходів забезпечення кібербезпеки об'єктів критичної інфраструктури та державних органів

Оцінка ризиків кібербезпеки (кіберризиків) - це масштабна та постійна процедура, яка потребує відповідних ресурсів для її забезпечення, як на національному так і на локальному рівні, що здійснюється всіма суб'єктами забезпечення кібербезпеки.

Водночас створення методик ідентифікації та оцінки кіберризиків не забезпечить повною мірою релевантного реагування на такі ризики, навіть якщо вони будуть ідентифіковані, оцінені, пріоритезовані.

Оцінку кіберризиків необхідно повторювати в міру виникнення нових кіберзагроз і впровадження нових систем кіберзахисту або відповідних дій (реагування за встановленими процедурами) на кібератаки, кіберінциденти.

Процес оцінки ризиків також зобов'язує всіх суб'єктів забезпечення кібербезпеки враховувати, що ризики кібербезпеки можуть вплинути на забезпечення діяльності ОКІ/ ОКІІ/ ДІР та усвідомити потребу упередити надзвичайні (кризові) ситуації в кіберпросторі.

Тому кращою практикою є створення реєстру кіберризиків, який для забезпечення ефективності повинен бути інтегрований в національну систему управління інцидентами та систему забезпечення моніторингу національних електронних комунікаційних мереж та інформаційних ресурсів в режимі реального часу.

В реєстрі кіберризиків повинні бути визначені та задокументовані всі виявлені сценарії ризиків, зокрема: група, код, назва, дата ідентифікації, сценарій ризику, існуючи заходи безпеки, поточний рівень ризику, процедура реагування на ризики (заплановані дії, терміни для приведення до прийнятного рівня толерантності до ризику), статус виконання процедур реагування на ризик, інформація про залишковий ризик після виконання процедур реагування на ризик, власник ризику (особа або група, що відповідальні за забезпечення того, щоб залишкові ризики залишалися в межах допустимого рівня) тощо.

Таким чином, кожен новий кіберризик проходить етапи визначення обсягу (масштаб, об'єкт), ідентифікацію, аналіз, оцінку за встановленою методикою та документується в реєстрі кіберризиків.

Визначений механізм дозволяє:

- оперативно вносити до реєстру новий ідентифікований кіберризик та забезпечує його оперативну оцінку всіма суб'єктами забезпечення кібербезпеки;

- оперативно розробити заходи для локалізації кіберзагроз та встановлення процедур реагування на новий ідентифікований кіберризик;

- запровадити систему оповіщення про новий кіберризик та про відповідні процедури реагування/ блокування;

- впровадити кращі практики Концепції готовності до інцидентів і безперервності діяльності (ISO/PAS 22399:2007) [6]. Індикатор досягнення: функціонує інтегрований реєстр кіберризиків (кібератак та кіберінцидентів), визначені автоматизовані індикатори кіберризиків, запроваджено на національному рівні збір інформації щодо оцінки суб'єктами забезпечення кібербезпеки ОКІ/ ОКІІ/ ДІР таких кіберризиків та звітування в національній системі управління інцидентами.

2) впровадження системи сертифікації продукції, яка використовується для функціонування та кіберзахисту інформаційно-комунікаційних систем ОКІ/ ОКІІ

Реалізація зазначеного напрямку/ завдання потребує:

- унормування на законодавчому рівні переліку продукції, яка потребуватиме сертифікації, визначення органу, який матиме ресурси (технічні, кадрові) для проведення підтвердження відповідності продукції визначеним стандартам;

- визначення на законодавчому рівні особливостей закупівель продукції/ товарів/ робіт та послуг для ОКІ/ ОКІІ та/або запровадження використання окремих визначених процедур закупівель;

- унормування для володільців ОКІ/ ОКІІ обов'язковості виконання вимог щодо встановлення під час закупівель товарів у тендерній документації якісних характеристик товарів, які виключають закупівлю несертифікованої продукції.

Індикатор досягнення: продукція, що використовується для функціонування та кіберзахисту інформаційно-комунікаційних систем ОКІ/ ОКІІ сертифікована, відповідає встановленим стандартам.

Додатковий аспект: потребує розгляду питання щодо обов'язковості встановлення замовником кваліфікаційних вимог до учасників процедур закупівель, які надають послуги та виконують роботи на ОКІ/ ОКІІ та/або під час їх розробки/ модернізації та впровадження інформаційно-комунікаційних систем ОКІ/ ОКІІ.

3) забезпечення розвитку організаційно-технічної моделі кіберзахисту

Реалізація завдання потребуватиме виконання заходів за двома напрямками:

- встановлення політик, процедур, механізмів взаємодії, обміну інформацією для всіх суб'єктів забезпечення кібербезпеки, приватного сектору;

- проведення ІТ аудиту під час якого будуть проведені відповідні тести щодо дотримання політик, процедур, механізмів взаємодії, обміну інформацією та підтверджено, що організаційно-технічна модель кіберзахисту в країні має високий рівень управління та керування процесами.

Індикатор досягнення: позитивний висновок щодо функціонування організаційно-технічної моделі на національному та локальному рівнях за результатами ІТ аудиту щодо підтвердження кіберготовності.

4) перегляд та оновлення вимог щодо кіберзахисту ОКІ/ ОКІІ з урахуванням сучасних міжнародних стандартів з питань кібербезпеки

Реалізація завдання потребуватиме розробки та затвердження стандартів з питань кібербезпеки (або прийняття на законодавчому рівні рішення щодо використання міжнародних стандартів), забезпечення функціонування державного реєстру ОКІІ інтегрованого в національну систему управління інцидентами та систему забезпечення моніторингу національних електронних комунікаційних мереж та інформаційних ресурсів в режимі реального часу.

5) оцінка стану захищеності ОКІІ/ ДІР на вразливість

Ефективність періодичної оцінки стану захищеності ОКІІ/ ДІР на вразливість можливо значно підвищити шляхом запровадження імітаційного тестового середовища («пісочниця») - для відпрацювання сценаріїв кіберризиків у тестовому режимі та тренування виконання заходів реагування на притаманні (з урахуванням специфіки галузі) ОКІ/ ОКІІ/ ДІР кіберризики. Наприклад, для ОКІ, які використовують SCADA забезпечити моніторинг периметру мережі та опитування активного обладнання, в тому числі програмовані контролери, віддалені термінали тощо [5].

Водночас проведення запланованих негласних перевірок стану готовності ОКІ до можливих кібератак та кіберінцидентів, зокрема тестів на проникнення, повинно бути забезпечено виключно у контрольованому середовищі з дотриманням правил кібербезпеки і лише після проведення ІТ аудиту (обов'язкові вимоги за результатами якого виконані у повному обсязі) з метою недопущення надзвичайних ситуацій.

Індикатор досягнення: проводиться періодична оцінка стану захищеності ОКІІ/ ДІР на вразливість за результатами якої: визначається рівень готовності реагування на кіберзагрози, надаються відповідні рекомендації, виконуються заходи щодо підтримки належного рівня готовності.

6) впровадження системи аудиту інформаційної безпеки

Стратегією кібербезпеки України планується запровадити систему аудиту інформаційної безпеки, насамперед на ОКІ, визначення механізмів та базових методик проведення аудитів, встановлення вимог до аудиторів інформаційної безпеки, їх сертифікації, атестації (переатестації), навчання та підвищення кваліфікації, надання узагальненої інформації про результати аудитів до Національного координаційного центру кібербезпеки;

Слід зазначити, що об'єкти критичної інфраструктури, які є установами, організаціями та підприємствами державного та комунального сектору економіки, належать до мережі підконтрольних установ Державної аудиторської служби України у відповідних галузях. Більшість з них входять до Переліку об'єктів державної власності, що мають стратегічне значення для економіки і безпеки держави, який затверджено постановою Кабінету Міністрів України від 4 березня 2015 р. № 83.

Зокрема, у паливно-енергетичному комплексі: ДП «Національна атомна енергогенеруюча компанія «Енергоатом», ПАТ «Укргідроенерго», АТ «Національна енергетична компанія «Укренерго», АТ «Укргазвидобування», АТ «Укртрансгаз», ДП «Східний гірничо-збагачувальний комбінат», ДСП «Центральне підприємство з поводження з радіоактивними відходами» тощо.

У галузі транспорту, зокрема, які забезпечують будівництво, реконструкцію і технічне переоснащення у сфері транспортної інфраструктури - АТ «Українська залізниця», ДП «Міжнародний аеропорт «Бориспіль» тощо.

Державний фінансовий аудит використання інформаційних технологій (ІТ аудит), започаткований у 2019 року році. Порядок проведення Державною аудиторською службою, її міжрегіональними територіальними органами державного фінансового аудиту використання інформаційних технологій, затверджений постановою Кабінету Міністрів України від 22 травня 2019 р. № 517 [4].

Слід зазначити, що аудит інформаційної безпеки, є складовою ІТ аудиту, який за сутністю досліджуваних об'єктів значно ширший.

ІТ аудит дозволяє здійснити проведення перевірки (дослідження) та аналізу (оцінки), зокрема:

досягнення визначених цілей та завдань під час керівництва і управління середовищем інформаційних технологій об'єкта аудиту, зокрема дотримання вимог законодавства, актів і рішень органів управління, збереження активів;

результативності та ефективності використання (впровадження) інформаційних технологій (систем, процесів, ресурсів), організації керівництва і управління ними, стану виконання заходів контролю, спрямованих на забезпечення надійності інформаційних технологій (систем, процесів), зокрема щодо конфіденційності, цілісності, доступності (безперервності), ідентифікацію загроз, запобігання та управління ризиками;

законності та ефективності використання публічних коштів та інших активів для використання (впровадження) інформаційних технологій (систем, процесів, ресурсів);

стану внутрішнього контролю об'єкта аудиту та стану внутрішнього аудиту, якщо об'єктом аудиту є розпорядник бюджетних коштів.

Результатом ІТ аудиту є висновки та рекомендації / пропозиції щодо виявлених порушень та недоліків та запобігання їм у подальшому, які є обов'язкові до розгляду володільцями активів ОКІ/ ОКІІ.

Запровадження планування видатків на кібербезпеку за окремими бюджетними програмами, як передбачається Стратегією кібербезпеки України, дозволяє визначити та спрямувати розпорядників вищого рівня та головного розпорядника до проведення систематичних заходів спрямованих на підвищення кіберстійкості та захищеності ОКІ/ ОКІІ/ ДІР. Держаудитслужба відповідно до наданих повноважень забезпечує перевірку законності та ефективності використання публічних коштів та інших активів для використання (впровадження) інформаційних технологій (систем, процесів, ресурсів), досягнення показників затрат, продукту, ефективності, якості бюджетних програм.

Індикатор досягнення: виконання в повному обсязі рекомендацій / пропозицій за результатами ІТ аудиту/ аудиту інформаційної безпеки; інформування Національний координаційний центр кібербезпеки про невиконання рекомендацій / пропозицій за результатами ІТ аудиту/ аудиту інформаційної безпеки.

Додатковий аспект: державні аудитори Держаудитслужби мають доступ до відомостей, що становлять державну таємницю, які затверджені наказом Центрального управління Служби безпеки України від 23 грудня 2020 року № 383, зареєстрованого в Міністерстві юстиції України 14 січня 2021 р. за № 52/35674. Відсутність такого доступу у аудиторів, що проводять аудит інформаційної безпеки, навіть якщо їх кваліфікація у сфері кіберзахисту має високий рівень, призведе до загроз витоків секретної інформації (неконтрольоване поширення секретної інформації, яке призводить до її несанкціонованого одержання) на ОКІ/ ОКІІ/ ДІР, бо неможливості виконувати функцію аудиту інформаційної безпеки.

7) забезпечення розвитку систем технічного і криптографічного захисту інформації

- напрямок потребує координації та підтримки на національному рівні розробників систем технічного і криптографічного захисту інформації, зокрема шляхом запровадження відповідних бюджетних програм;

- пріоритетність використання засобів технічного і криптографічного захисту інформації для кіберзахисту ОКІІ/ ДІР потребуватиме встановлення обов'язковості виконання такої вимоги володільцями ОКІІ/ ДІР та унормування на законодавчому рівні фінансування розробки таких засобів виключно за рахунок державних коштів.

Індикатор виконання: результати ІТ аудитів підтверджують використання систем технічного і криптографічного захисту інформації вітчизняного виробництва для ОКІІ/ДІР.

Висновки та перспективи даного дослідження

Одна єдина вразливість кібербезпеки ОКІ може зробити вбудовані системи беззахисними від руйнування, витоку даних, кібератак та інших кіберінцідентов. Уразливості кібербезпеки є постійною загрозою. Водночас відповідно до засад трансформації кібербезпеки, яка застосовує рамки міжнародних стандартів для системного перетворення кібербезпеки на національному та локальному рівнях, ключовою метою кібербезпеки є те, що «кібератаки та кіберінциденти виявляються та усуваються своєчасно та належним чином».

Слід враховувати, що більшість міжнародних експертів, які забезпечують кіберзахист ОКІ, зазначають про неможливість захистити або у повному обсязі усунути уразливість всієї критичної інфраструктури у постійно змінюваному кіберсередовищі, тому стратегічні поліпшення у області безпеки повинні ускладнювати успішне виконання кібератак та знижувати вплив та можливі наслідки кібератак, які можуть статися. Водночас тактичні поліпшення кібербезпеки повинні реалізуватися більш оперативно для запобігання та нейтралізації потенційних атак.

Успішна реалізація завдань Стратегії кібербезпеки України, з урахуванням наданих пропозицій, досягнення визначених цілей щодо кіберзахисту ОКІ/ ОКІІ/ ДІР дозволять підвищити місце країни у світовому рейтингу за системою оцінки NCSI (національний індекс кібербезпеки - це глобальний індекс, який вимірює готовність країн до запобігання кіберзагрозам та управління кіберінцидентами) та утворять умови для безпечного функціонування кіберпростору, його використання в інтересах особи, суспільства і держави.

Література

1. Про основні засади забезпечення кібербезпеки України. [Електронний ресурс]. - Режим доступу. https://zakon.rada.gov.Ua/laws/show/2163-19#Text

2. Стратегія кібербезпеки України. [Електронний ресурс]. - Режим доступу. https://zakon.rada.gov.ua/laws/show/447/2021?find=1&text=%D0%BF%D0%BE%D1%81%D0%BB %D1%83#w1_1

3. Котух Є.В. Кібербезпека у публічному секторі: монографія. Харків: Колегіум, 2021. 271 с.

4. Пліс Г.В Аудит інформаційної безпеки як необхідна складова управління в державних установах / Пліс Г.В., Котух Є.В., Нехороших Д.М., Халімов Г.З., Кучма О.М. // Державне Будівництво, том 1 № 30. 2021.

5. Whitepaper-Critical_Infrastmcture_Cyber_Security. [Електронний ресурс]. - Режим доступу. https://www.tenable.com/whitepapers/critical-infrastructure-cyber-security

6. Міжнародний стандарт ISO/IEC 27008:2019 Інформаційні технології. Методи захисту. Настанова щодо оцінювання захисту інформаційної безпеки.

References

1. Pro osnovni zasady zabezpechennya kiberbezpeky Ukrainy [About the main principles of ensuring cyber security of Ukraine]. (n.d.). zakon.rada.gov.ua. Retrieved from https://zakon.rada.gov.ua/l aws/ show/ 2163-19#Text [in Ukrainian].

2. Strategiya kiberbezpeky Ukrainy [Cyber security strategy of Ukraine] (n.d.). zakon.rada.gov.ua. Retrieved from https://zakon.rada.gov.ua/laws/show/447/2021?find=1& text=%D0%BF%D0%BE%D1%81%D0%BB%D1%83#w1_1 [in Ukrainian].

3. Kotukh, Yevgen. (2021) Kiberbezpeka v publcihnomu sectori [Cybersecurity in public sector] Kharkiv, Collegium [in Ukrainian].

4. Plis G..V. & Kotukh Y.V., Nehoroshih D. M. & Khalimov G.Z., & Kuchma O.M. (2021) Audit informatsionoi bezpeky yak neobhidna skladova Audit of information security as a necessary component of management in state institutions]. State construction, book 1, № 30. [in Ukrainian].

5. Whitepaper-Critical_Infrastructure_Cyber_Security. Retrieved from https://www.tenable.com/ whitepapers/critical-infrastructure-cyber-security

6. Mizhnarodniy standard ISO/IEC 27008:2019 [Міжнародний стандарт ISO/IEC 27008:2019]. (2019) Information technology -- Security techniques -- Guidelines for the assessment of information security controls.

Размещено на Allbest.ru