EnglishОчистка Cookie - вибирає мову установки браузера

Напівавтоматизований інструмент багатостандартної оцінки кіберзрілості організації на основі NIST CSF 2.0, ISO/IEC 27001:2022, COBIT 2019 та CIS Controls V8

Шевченко, Світлана Миколаївна та Жданова, Юлія Дмитрівна та Кія, Олексій Сергійович (2025) Напівавтоматизований інструмент багатостандартної оцінки кіберзрілості організації на основі NIST CSF 2.0, ISO/IEC 27001:2022, COBIT 2019 та CIS Controls V8 Кібербезпека: освіта, наука, техніка, 31 (3). с. 43-60. ISSN 2663-4023

[thumbnail of S_Shevchenko_Yu_Zhdanovа_S_ Kiia CEST_3_31_2025.pdf] Текст
S_Shevchenko_Yu_Zhdanovа_S_ Kiia CEST_3_31_2025.pdf
Download (857kB)
Офіційне посилання: https://doi.org/10.28925/2663-4023.2025.31.1004

Анотація

У сучасному ландшафті кіберзагроз жоден програмний технічний засіб не може повністю компенсувати відсутність комплексного підходу до управління безпекою, що включає як технологічні, так і організаційні аспекти. Сучасні організації часто змушені відповідати вимогам декількох міжнародних стандартів одночасно (NIST CSF 2.0, ISO/IEC 27001:2022, COBIT 2019, CIS Controls v8) через регуляторні зобов'язання, вимоги клієнтів та внутрішні політики, що призводить до фрагментації зусиль, дублювання робіт та неефективного використання обмежених ресурсів. Дана стаття присвячена розробці напівавтоматизованого інструменту багатостандартної оцінки кіберзрілості, який дозволяє організаціям провести оцінку відповідності всім чотирьом фреймворкам через єдину точку входу — структуроване опитування за фреймворком NIST CSF 2.0 як базового вимірювального інструменту, COBIT 2019 як механізму визначення цільового стану через пріоритизацію бізнес-процесів, ISO/IEC 27001:2022 як референсу документованих контролів та CIS Controls v8 як додаткової практичної деталізації для малих та середніх організацій (МСО). На основі систематичного аналізу наукової літератури та практичних кейсів обґрунтовано необхідність використання матриці відповідностей (mapping matrix) між стандартами для автоматичного відображення результатів оцінки у термінах всіх чотирьох фреймворків одночасно. Описано архітектуру інструменту та деталізовано логіку його роботи: від формування експертної групи та збору організаційного контексту до автоматизованого оцінювання поточного стану та генерації рекомендацій для цільового. Науковою новизною роботи є розробка практичного інструменту, що поєднує методологічні підходи, а саме: багатостандартну оцінку кіберзрілості організації через матрицю відповідностей між NIST CSF 2.0, ISO/IEC 27001:2022, COBIT 2019 та CIS Controls v8, яка дозволяє уникнути дублювання зусиль при відповідності множинним стандартам; напівавтоматизацію оцінки з використанням об'єктивних структурованих опитувальників, що підвищує надійність та повторюваність результатів; валідацію результатів міждисциплінарною експертною групою за принципом «Human-in-the-Loop», що забезпечує врахування організаційного контексту. Охарактеризовано роль експертної групи як валідатора автоматично згенерованих даних та визначника організаційних пріоритетів, що дозволяє поєднати переваги автоматизації з гнучкістю експертного аналізу. Особливу увагу приділено економічній ефективності запропонованого рішення через використання загальнодоступних інструментів (Microsoft Excel) та можливості поетапного впровадження для МСО через систему груп впровадження CIS Controls (IG1→IG2→IG3). Результати дослідження можуть бути використані як практичний інструмент для організацій будь-якого розміру: малі організації можуть розпочати з базового рівня (CIS IG1) та поступово нарощувати зрілість, тоді як великі підприємства отримують комплексний огляд відповідності множинним стандартам через єдину модель оцінки без дублювання зусиль.

Тип елементу : Стаття
Ключові слова: cyber maturity; multi-standard assessment; NIST CSF 2.0; ISO/IEC 27001:2022; COBIT 2019; CIS Controls v8; semi-automated assessment; expert group; correspondence matrix; roadmap
Типологія: Статті у періодичних виданнях > Фахові (входять до переліку фахових, затверджений МОН)
Підрозділи: Факультет інформаційних технологій та математики > Кафедра інформаційної та кібернетичної безпеки ім. професора Володимира Бурячка
Користувач, що депонує: Ю. Д. Жданова
Дата внесення: 25 Груд 2025 12:55
Останні зміни: 25 Груд 2025 12:55
URI: https://elibrary.kubg.edu.ua/id/eprint/55410

Actions (login required)

Перегляд елементу Перегляд елементу