МЕТОДИКА ПОБУДОВИ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ  БЕЗПЕКОЮ НА ОСНОВІ МЕТОДІВ АНАЛІЗУ ІЄРАРХІЙ,  МЕРЕЖЕВОГО АНАЛІЗУ ТА ТЕОРІЇ ІГОР В УМОВАХ ОБМЕЖЕНИХ РЕСУРСІВ

М. А. ФУКС; І. С. ДОБРИНІН; С. В. ПШЕНИЧНИХ; А. В. СНІГУРОВ; В. Х. ЧАКРЯН

doi:10.35546/kntu2078-4481.2025.3.2.62

Автор(и)

М. А. ФУКС Харківський національний університет радіоелектроніки https://orcid.org/0009-0001-0248-2109
І. С. ДОБРИНІН Харківський національний університет радіоелектроніки https://orcid.org/0000-0001-8910-2609
С. В. ПШЕНИЧНИХ Харківський національний університет радіоелектроніки https://orcid.org/0000-0003-0533-2306
А. В. СНІГУРОВ Харківський національний університет радіоелектроніки https://orcid.org/0000-0003-1355-7978
В. Х. ЧАКРЯН Харківський національний університет радіоелектроніки https://orcid.org/0000-0003-4827-9779

DOI:

https://doi.org/10.35546/kntu2078-4481.2025.3.2.62

Ключові слова:

система управління інформаційною безпекою, мережевий аналіз, критичний шлях, теорія ігор, оптимізація ресурсів, CISO, управлінські рішення

Анотація

В умовах цифровізації та швидкої еволюції кіберзагроз стає критично важливим побудова надiйної системи управління інформаційною безпекою (CУІБ). Наявні міжнародні та національні стандарти побудови СУІБ не враховують специфіки розподілу ресурсів, а лише вказують на важливість забезпечення ресурсами для створення, реалізації, підтримки та безперервного розвитку СУІБ, тобто прослідковується певний брак механізмів прийняття управлінських рішень та оптимізації виділених ресурсів. Тому актуальною залишається проблема ідентифікації, розподілу та раціонального використання ресурсів для досягнення достатнього рівня ефективності СУІБ. Крім того, при імплементації СУІБ на базі будь-якої з методик, одним із найскладніших кроків є визначення та інтеграція дієвих заходів і інструментів інформаційного захисту. У цьому контексті відчувається нестача практичних та методичних інструментів для оптимізації, адже навіть за умов істотних вкладень і широкомасштабного впровадження засобів захисту інформації (ЗЗІ) виникає сумнів щодо доцільності та ефективності таких рішень. У роботі запропоновано методику побудови СУІБ, що поєднує метод аналізу ієрархій (МАІ), методи аналізу мереж (МАМ) та математичний апарат теорії ігор для вибору оптимальної базової методики і засобів захисту в умовах обмежених ресурсів та наявних загроз. Запропонований підхід також передбачає використання мережевого аналізу для моделювання проєкту з урахуванням строків, витрат, ресурсів та можливих сценаріїв реалізації. Методика включає побудову мережевої моделі проєкту, розрахунок критичного шляху, виявлення критичних та некритичних робіт, аналіз часових резервів, варіантів прискорення проєкту і визначення впливу прискорення на загальну вартість. Запропоновано спосіб порівняльної оцінки кількох сценаріїв реалізації проєкту: при звичайних строках, при прискоренні лише критичних робіт, а також при прискоренні всіх або лише некритичних робіт. У результаті отримано графіки розподілу ресурсів у часі, фінансових витрат та залученості людського ресурсу, що дозволяють приймати більш зважені управлінські рішення. Методика є практичним інструментом для Chief Information Security Officer (CISO) та керівників, що дозволяє визначити оптимальний обсяг інвестицій на кожному етапі проєкту СУІБ та обґрунтовано аргументувати потребу в ресурсах, забезпечуючи баланс між ефективністю та витратами.

Посилання

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements. (б. д.). iso.org. https://www.iso.org/standard/27001

IT-Grundschutz. (б. д.). Federal Office for Information Security. https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html

Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, Постанова Національного банку України № 95 (2017) (Україна). https://zakon.rada.gov.ua/laws/show/v0095500-17#Text

Hoban, S. (2024, 19 листопада). What is A resource in project management? 7 key types to know. dpm. https://thedigitalprojectmanager.com/projects/managing-schedules/what-is-resource-project-management/

Gordon, L. A., & Loeb, M. P. (б. д.). The economics of information security investment. У Economics of information security. Kluwer Academic Publishers. https://doi.org/10.1007/1-4020-8090-5_9

Фукс, М. А. (2024). Моделювання багатокритеріальної задачі оптимізації вибору методики побудови СУІБ методами Томаса Сааті. У Радіоелектроніка та молодь у XXI столітті (с. 92–93). ХНУРЕ.

Жаринова, С., & Бабенко, А. (2014). Оптимізація інвестицій в інформаційну безпеку підприємства. Науково-технічний журнал, 3(83), 115.

Lemeshko, O., Yeremenko, O., Kurenko, V., & Fuks, M. (2024). Method of designing a cyber-resilient information and communication network. Problemi telekomunìkacìj, (2(35)), 14–25. https://doi.org/10.30837/pt.2024.2.02

Пшеничних, С. В., Добринін, І. С., & Клочкова, Д. Ю. (2023). Математична модель оптимального вибору засобів захисту інформації при проектуванні комплексної системи захисту на об’єкті інформатизації. Проблеми телекомунікацій, 1(32), 45–58. https://doi.org/10.30837/pt.2023.1.04

Saaty, T. L. (б. д.). The analytic network process. У Decision making with the analytic network process (с. 1–26). Springer US. https://doi.org/10.1007/0-387-33987-6_1

Saaty, T. L., & Vargas, L. G. (2012). Models, methods, concepts & applications of the analytic hierarchy process. Springer US. https://doi.org/10.1007/978-1-4614-3597-6

Фукс, М. А., & Добринін, І. С. (2023). Визначення стратегії захисту інформації на основі безкоаліційної гри двох гравців із ненульовою сумою. У Інформаційно-комунікаційні технології та кібербезпека (IКTK-2023) (с. 185–188). ХНУРЕ. https://openarchive.nure.ua/handle/document/25471

CAPEC – CAPEC list version 3.9. (2019, 30 вересня). CAPEC – Common Attack Pattern Enumeration and Classification (CAPEC™). https://capec.mitre.org/data/index.html

OWASP Top Ten | OWASP Foundation. (б. д.). OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. https://owasp.org/www-project-top-ten/

GitHub – CVEProject/cvelistV5: CVE cache of the official CVE List in CVE JSON 5 format. (б. д.). GitHub. https://github.com/CVEProject/cvelistV5

Common vulnerability scoring system CVSS SIG. (б. д.). FIRST – Forum of Incident Response and Security Teams. https://www.first.org/cvss/

Phillips, D. T. (1981). Fundamentals of network analysis. Prentice-Hall.

Aston, B. (2025, 29 липня). PERT vs CPM: 8 key differences for project managers to grasp. dpm. https://thedigitalprojectmanager.com/project-management/pert-vs-cpm

Publications | ENISA. (б. д.). ENISA. https://www.enisa.europa.eu/publications#c3=2014&c3=2024&c3=false&c5=publicationDate&reversed=on&b_start=0

Business and technology insights and trends. (б. д.). GARTNER. https://www.gartner.com/en/insights

Federal office for information security. (б. д.). BSI. https://www.bsi.bund.de/EN/Home/home_node.html

МЕТОДИКА ПОБУДОВИ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ НА ОСНОВІ МЕТОДІВ АНАЛІЗУ ІЄРАРХІЙ, МЕРЕЖЕВОГО АНАЛІЗУ ТА ТЕОРІЇ ІГОР В УМОВАХ ОБМЕЖЕНИХ РЕСУРСІВ

Автор(и)

DOI:

Ключові слова:

Анотація

Посилання

##submission.downloads##

Опубліковано

Номер

Розділ

Ліцензія

Мова

logo