Живило, Є.О.Є.О.ЖивилоШевченко, Д.Г.Д.Г.Шевченко2026-06-162026-06-162022Живило, Є., Шевченко, Д. (2022). RISK ASSESSMENT OF CYBER SECURITY AND CONTROL OF PRIVACY IN PUBLIC ADMINISTRATION INFORMATION SYSTEMS. Збірник наукових праць Військового інституту Київського національного університету імені Тараса Шевченка(75), 66–77. https://doi.org/10.17721/2519-481X/2022/75-0710.17721/2519-481X/2022/75-07https://ir.library.knu.ua/handle/15071834/23506The relevance of this work is due to the approval by the Administration of the State Service for Special Communications and Information Protection of Ukraine “Methodological recommendations for increasing the level of cyber protection of critical information infrastructure” in October 2021. The recommendations were developed based on the world's best approaches - the NIST CyberSecurity Framework. At the moment, the developed Recommendations of the State Special Communications Service have partially lost their relevance and require adjustment with the release of NIST Special Publication 800-53A Revision 5 “Assessing Security and Privacy Controls in Information Systems and Organizations” Governance Oversight”, publication date: January 2022. These documents complete the cycle of integrating cybersecurity risk management (CSRM) and enterprise risk management (ERM).These projects describe methods for combining risk information of all system assets, an organization (enterprise) network, including conditional examples for aggregating and normalizing results from cybersecurity risk registers (CSRR) taking into account risk parameters, criteria and impact on the continuous functioning of communication systems. As a result, the integration and normalization of risk information enables decision-making and monitoring of risks at all levels of the system, which allows you to create a comprehensive picture of the overall cyber risk. These documents describe the creation of an Organizational Risk Profile (ERP) that supports the comparison and management of cyber risks along with other risk types in general.Quite interesting are the views of the authors of the developed documents regarding the control of confidentiality associated with systems and their distribution environment, their functioning. It is substantiated that a qualitative system assessment helps to determine the existing controls contained in the organization in accordance with the security and confidentiality plan, which are subsequently used in organizational systems and the operating environment. In this environment, the assessment control is an indication of the implementation of specific steps in the risk management structure, which contributes around the clock to an effective approach to sustainable risk management processes by identifying weaknesses or deficiencies in systems, which allows the organization to determine how to respond to certain cyber threats.Therefore, in order to solve the problems of settling and implementing the norms and rules of international organizations in the field of cybersecurity and cyberdefence, it is proposed to analyze the above documents and put forward appropriate proposals for correcting and supplementing the previously approved State Communications “Methodological recommendations ...”. In turn, this will allow not only to ensure the protection of the state's critical information infrastructure from cyber attacks, but also to conduct preventive offensive operations in cyberspace, which includes disabling critical enemy infrastructure facilities by destroying communication systems that control such facilities.Актуальність данної роботи обумовлена затвердженням Адміністрацією Державної служби спеціального зв’язку та захисту інформації України “Методичних рекомендацій щодо підвищення рівня кіберзахисту критичної інформаційної інфрасируктури” у жовтні 2021 року. Рекомендації було розроблено на основі найкращих світових підходів – NIST CyberSecurity Framework. Наразі розроблені Рекомендації Держспецзв’язку частково втратили свою актуальність та потребують корегування з виходом NIST Special Publication 800-53A Revision 5 “Assessing Security and Privacy Controls in Information Systems and Organizations” та NISTIR 8286C (Draft) “Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight”, дата публікації: січень 2022 року. Ці документи завершують цикл інтеграції управління ризиками кібербезпеки (CSRM) та управління ризиками підприємства (ERM).Зазначені проєкти описують методи поєднання інформації про ризики усих активів системи, мережі організації (підприємства) включаючи умовні приклади для агрегування та нормалізації результатів з реєстрів ризиків кібербезпеки (CSRR) з урахуванням параметрів ризику, критеріїв та впливу на стале функціонування комунікаційних систем. В результаті інтеграція та нормалізація інформації про ризики дають змогу приймати рішення та здійснити моніторинг ризиків на всих рівнях системи, що допомагає створити вичерпну картину загального кіберризику. У наведених документах описано створення профілю ризиків організації (ERP), який підтримує порівняння та управління кіберризиками разом з іншими типами ризиків в цілому. Доволі цікавими є погляди авторів розроблених документів, щодо контролю конфіденційності, пов’язаного із системами та їх середовищем розповсюдження, їх функціонуванням. Обгрунтовано, що якісна системна оцінка допомагає визначити наявну дійсність засобів контролю, що містяться в організації відповідно до плану безпеки та конфіденційності, які згодом використовуються в організаційно-штатних системах та середовищі експлуатації. За цих умов, контроль оцінки є вказівкою з виконання конкретних кроків у структурі управління ризиками який цілодобово сприяє ефективному підходу до процесів сталого управління ризиками шляхом виявлення слабких місць, або недоліків в системах, що дозволяє організації визначати порядок реагування на ті, чи інші кіберзагрози.Отже, для вирішення завдань, з врегулювання та імплементації норм та правил міжнародних організацій сфери кібербезпеки та кібероборони пропонується провести аналіз викладених документів та висунити відповідні пропозиції, щодо корегування та доповнення раніше затверджених Держпецзв’язку “Методичних рекомендацій…”. В свою чергу це дозволить не лише забезпечити захист критичної інформаційної інфраструктури держави від кібератак, а й провести превентивні наступальні операції у кіберпросторі, що включає виведення з ладу критично важливих об’єктів інфраструктури противника шляхом руйнування комунікаційних систем, які управляють такими об’єктами.ukcyberspacecybersecuritycyberthreatscybersecurity risk managementcybersecurity risk assessmentcybersecurity risk registercommunication systemslegal actcritical information infrastructure objectкіберпростіркібербезпекакіберзагрозиуправління ризиками кібербезпекиоцінка ризиків кібербезпекиреєстр ризиків кібербезпекикомунікаційні системинормативно-правовий актоб’єкт критичної інформаційної інфраструктуриRISK ASSESSMENT OF CYBER SECURITY AND CONTROL OF PRIVACY IN PUBLIC ADMINISTRATION INFORMATION SYSTEMSОЦІНКА РИЗИКІВ КІБЕРБЕЗПЕКИ ТА КОНТРОЛЮ КОНФІДЕНЦІЙНОСТІ В ІНФОРМАЦІЙНИХ СИСТЕМАХ ДЕРЖАВНОГО УПРАВЛІННЯСтаття