Методика оцінювання ефективності виконання заходів забезпечення кібербезпеки об’єктів критичної інформаційної інфраструктури організацій

В науковій статті обґрунтовано методику оцінювання ефективності виконання заходів, спрямованих на забезпечення кібернетичної безпеки об’єктів критичної інформаційної інфраструктури організацій. Дана робота є продовженням дослідження з попереднього опису “Майбутнє безпекове середовище 2030”, розширюючи наукові межі щодо реалізації невідкладних заходів державної політики з нейтралізації загроз кібербезпеки організацій. Необхідність статті обумовлена раціональним вибором та застосуванням заходів, спрямованих на забезпечення кібернетичної безпеки об’єктів інформаційної інфраструктури організацій. Встановлено, що на практиці оцінити ефективність виконання заходів, спрямованих на забезпечення кібернетичної безпеки можна через наступні показники (ймовірності): ризик кібернетичної безпеки, кіберзахищеність, функціональна працездатність системи об’єкта критичної інформаційної інфраструктури, кіберстійкість. Для застосування принципу наступності в статті під удосконалену онтологію кібербезпеки обрано показник (ймовірність) ризику кібернетичної безпеки. Методика оцінки ризику кібербезпеки об’єктів критичної інформаційної інфраструктури організацій базується на визначенні ймовірності реалізації кібератак, а також рівнів їх збитку. Методика включає наступні етапи: етап розробки системи показників оцінювання ефективності виконання заходів; етап планування процедур збирання вихідних даних для оцінювання ефективності виконання заходів; етап обчислення значення показника ефективності виконання заходів; етап інтерпретації значення показника ефективності виконання заходів, спрямованих на забезпечення кібербезпеки об’єктів критичної інформаційної інфраструктури організацій. Вихідні значення для розрахунку кіберзахищеності отримують за результатами аудиту об’єктів критичної інформаційної інфраструктури організацій. При розрахунку значень ймовірності кібератак, а також рівня можливого збитку слід скористатися статистичними методами, експертними оцінками або елементами теорії прийняття рішень. Наукова новизна одержаного результату полягає в тому, що вперше запропоновано методику оцінювання ефективності заходів кібербезпеки за показником (ймовірності) ризику кібербезпеки, яка доповнюватиме методику планування заходів кібербезпеки об’єктів критичної інформаційної інфраструктури організацій.