МЕТРИКИ ОЦІНКИ КІБЕРВІДМОВОСТІЙКОСТІ (АНАЛІТИЧНЕ ОГЛЯДОВЕ ДОСЛІДЖЕННЯ)
DOI:
https://doi.org/10.32689/maup.it.2023.2.3Ключові слова:
кібервідмовостійкість, NIST, MITRE, матриця стійкості, CERT-RMMАнотація
Останні події в Україні та світі поставили гостре питання здатності об'єктів та організацій витримувати належний рівень функціонування, незважаючи на зовнішні кібервпливи та обмеженість ресурсів. Саме тому в сучасних реаліях забезпечення кібервідмовостійкості відіграє надзвичайно важливу роль для цілих секторів промисловості, ІТ-систем та, як показала сучасна гібридна війна – для життєдіяльності цілих держав. Зокрема, кібератаки в енергетичному секторі чи на іншу критичну інфраструктуру можуть впливати не лише на сам сектор, але й на економіку в цілому та всю структуру держави, як на соціальну, так і на організаційну. Мета статті полягає у формуванні понятійного апарату кібервідмовостійкості та аналізу метрик для оцінки кібервідмовостійкості. Предметом аналізу та огляду матеріалу для написання статті використовувались провідні методології для оцінки кібервідмостійкості, а саме: методологія групи Лінкова, методологія управління стійкістю CERT (CERTRMM) та інженерна структура кібервідмовостійкості MITRE. Наукова новизна даної статті полягає у введенні до наукового поля в Україні понятійного апарату та комплексного аналізу метрик кібервідмовостійкості. Виконано співставлення та порівняння провідних метрик для оцінки кібервідмовостійкості. Висновки. У статті інтерпретовано понятійний апарат терміну кібервідмостійкості, досліджено різницю між кібербезпекою та кібервідмовостійкістю. У ході дослідження виявлено, що основні системи та метрики для оцінки кібервідмовостійкості мають досить схожу загальну будову (цілі та домени), однак не є похідними одна від одної. Була проаналізована інженерна структура кібервідмовостійкості та інтерпретована на український варіант загальна матриця стійкості. Пропонується проводити дослідження в напрямі порівняння систем оцінювання кібервідмовостійкості та розробки фреймворків для реальних ІТ-об’єктів в Україні.
Посилання
Про затвердження Загальних вимог до кіберзахисту об'єктів критичної інфраструктури. URL: https://zakon.rada.gov.ua/laws/show/518-2019-%D0%BF.
Hausken, K. (2020). Cyber resilience in firms, organizations and societies. Internet Things, 11, 100204.
Park, J., T.P. Seager, P.S.C. Rao, M. Convertino, and I. Linkov. 2013. Integrating risk and resilience approaches to catastrophe management in engineering systems. Risk Analysis 33(3): 356–367.
Bodeau, D.J., Graubart, R.D., McQuaid, R., & Woodill, J. (2019). Cyber Resiliency Metrics and Scoring in Practice-Use Case Methodology and Examples.
Scottish Public Sector Action Plan On Cyber Resilience. Cyber Resilience Framework: self-assessment tool user guide. URL: https://www.gov.scot/binaries/content/documents/govscot/publications/adviceand guidance/2019/10/cyber-resilience-framework/documents/cyber-resilience-framework.
Харламова, К., & Гальчинський, Л. (2022). ОЦІНЮВАННЯ КІБЕРСТІЙКОСТІ ОБ’ЄКТІВ КРИТИЧНОЇ ІНФРАСТРУКТУРИ УКРАЇНИ. Collection of scientific papers «SCIENTIA», (November 11, 2022; Vilnius, Lithuania), 118-120.
Linkov, I.; Eisenberg, D.A.; Bates, M.E.; Chang, D.; Convertino, M.; Allen, J.H.; Flynn, S.E.; Seager, T.P. Measurable Resilience forActionable Policy. Environ. Sci. Technol. 2013, 47, 10108–10110.
National Academy of Sciences (2012) Disaster resilience: a national imperative. Washington DC, United States. URL: http://www.nap.edu/catalog.php?record_id=13457.
Alberts D (2002) Information age transformation, getting to a 21st century military. DOD Command and Control Research Program. URL: http://www.dtic.mil/get-tr-doc/pdf?AD=ADA457904.
Resilience metrics for cyber systems / I. Linkov, D. A. Eisenberg, K. Plourde, T.P. Seager, J. Allen, A. Kott 2013. URL: https://link.springer.com/article/10.1007/s10669-013-9485-y.
Caralli R, Allen J, White D, et al. CERT Resilience Management Model,Version 1.2. Pittsburgh: Carnegie Mellon University, 2016.
DHS. Cyber Resilience Review (CRR): Self-Assessment Package.Washington DC: Department of Homeland Security, 2016.