Систематизація підходів до оцінки ризиків інформаційної безпеки транспортно-логістичних центрів

Автор(и)

DOI:

https://doi.org/10.25140/2411-5363-2025-2(40)-207-220

Ключові слова:

ризик інформаційної безпеки; транспортно-логістичний центр; оцінка ризиків; методика оцінки ризиків; критична інфраструктура

Анотація

Зростання кіберзагроз для транспортно-логістичних центрів (ТЛЦ) вимагає адаптованих підходів до управ-ління ризиками інформаційної безпеки (ІБ). Існуючі методики оцінки ризиків ІБ недостатньо враховують специфіку ТЛЦ (інтеграція IT/OT, унікальні вектори атак та ін.).
Метою статті є систематизація наявних підходів до оцінки ризиків ІБ та визначення їхньої придатності для ризиків інформаційної системи (ІС) ТЛЦ.
На основі аналізу специфіки функціонування ТЛЦ (інтеграція IT/OT, критичність ланцюгів постачання, підвищені ри-зики воєнного часу) та огляду існуючих досліджень і стандартів, було: ідентифіковано та класифіковано основні категорії ризиків ІБ, характерні для ТЛЦ; проаналізовано поширені методики та стандарти оцінки ризиків ІБ (ISO 2700x, NIST, CORAS, HAZOP, OWASP, FAIR, FMEA, EBIOS та ін.); обґрунтовано доцільність застосування комбінованого, диференці-йованого підходу до оцінки ризиків, що поєднує використання комплексних фреймворків (NIST, ISO) із застосуванням спеці-алізованих методик для окремих напрямків діяльності ТЛЦ; представлено структуровані рекомендації щодо вибору мето-дик оцінки ризиків ІБ відповідно до специфіки ключових функціональних напрямків ТЛЦ.
У результаті дослідження виявлено фрагментарність та недостатню специфічність існуючих рішень. Обґрун-товано гостру потребу розробки інтегрованої, спеціалізованої методики оцінки ризиків ІБ саме для ТЛЦ.

Біографії авторів

Олексій Трунов, Національний університет «Чернігівська політехніка»

аспірант, викладач кафедри інформаційних технологій та програмної інженерії

 

 

Марія Дорош, Національний університет «Чернігівська політехніка»

доктор технічних наук, професор, професор кафедри інформаційних технологій та програмної інженерії


Посилання

European Confederation of Institutes of Internal Auditing (ECIIA). (2024). Risk in Focus 2025: Hot topics for internal auditors. https://www.eciia.eu/2024/09/risk-in-focus-2025-hot-topics-for-internal-auditors.

Державна служба спеціального зв’язку та захисту інформації України. (n.d.). CERT-UA минулого року опрацювала 4315 кіберінцидентів. https://cip.gov.ua/ua/news/cert-ua-minulogo-roku-opracyuvala-4315-kiberincidentiv.

Trunov, O., Skiter, I., Dorosh, M., Trunova, E., Voitsekhovska, M. (2024). Modeling of the Information Security Risk of a Transport and Logistics Center Based on Fuzzy Analytic Hierarchy Process. In: Kazymyr, V., et al. Mathematical Modeling and Simulation of Systems. MODS 2023. Lecture Notes in Networks and Systems, vol 1091. Springer, Cham. https://doi.org/10.1007/978-3-031-67348-1_23.

Трунов, О. І., Дорош, М. С. (2023). Системи забезпечення інформаційної безпеки для транспортно-логістичних центрів. Математичне та імітаційне моделювання систем. МОДС 2022: тези доповідей Сімнадцятої міжнародної науково-практичної (С. 7-10). http://ir.stu.cn.ua/handle/ 123456789/26927.

Обертинюк, І. Л., Кареліна, О.В. (2018). Технології оцінки ризиків інформаційної безпеки відповідно до вітчизняних нормативних документів та міжнародних стандартів. Актуальні задачі сучасних технологій : зб. тез доповідей міжнар. наук.-техн. конф. Молодих учених та студентів, (С. 132-134). https://m.tntu.edu.ua/storage/pages/00000742/Book-2-2018.pdf.

Карпович, І. М., Гладка, О. М., Наконечна, Ю. А. (2020). Аналіз ризиків безпеки інформаційної системи ІТ-підприємства. Вчені записки Таврійського національного університету імені В. І. Вернадського. Серія: Технічні науки, 31(70), 5, 69–74. https://doi.org/10.32838/2663-5941/2020.5/12.

Карпович, І., Гладка, О., Бухало, Ю. (2021). Технології моделювання і оцінки ризиків інформаційної безпеки. Технічні науки та технології, (1(23)), 62–68. https://doi.org/10.25140/2411-5363-2021-1(23)-62-68.

Потій, О., Горбенко, Ю., Замула, О. та Ісірова, К. (2021). Аналіз методів оцінки і управління ризиками кібер-і інформаційної безпеки. Радіотехника, (206), 5-24. https://doi.org/10.30837/ rt.2021.3.206.01.

Kuzminykh, I., Ghita, B., Sokolov, V., & Bakhshi, T. (2021). Information security risk assessment. Encyclopedia, 1(3), 602–617. https://doi.org/10.3390/encyclopedia1030050.

Razikin, K., Soewito, B. (2022). Cybersecurity decision support model to designing information technology security system based on risk analysis and cybersecurity framework. Egyptian Informatics Journal, 23(3), 383–404. https://doi.org/10.1016/j.eij.2022.03.001.

Schmitz, C., Pape, S. (2020). LiSRA: Lightweight security risk assessment for decision support in information security. Computers & Security, Article 101656. https://doi.org/10.1016/ j.cose.2019.101656.

Loft, P., He, Y., Yevseyeva, I., Wagner, I. (2022). CAESAR8: an agile enterprise architecture approach to managing information security risks. Computers & Security, 122, Article 102877. https://doi.org/10.1016/j.cose.2022.102877.

Irsheida, A., Murada, A., AlNajdawia, M., Qusefa A. (2022). Information security risk management models forcloud hosted systems: A comparative study. Procedia Computer Science, 204, 205–217. https://doi.org/10.1016/j.procs.2022.08.025.

Bernsmed, K., Bour, G., Lundgren, M., Bergström, E. (2022). An evaluation of practitioners’ perceptions of a security risk assessment methodology in air traffic management projects. Journal of Air Transport Management, 102, 102223. https://doi.org/10.1016/j.jairtraman.2022.102223.

Gunes, B., Kayisoglu, G., Bolat, P. (2021). Cyber security risk assessment for seaports: A case study of a container port. Computers & Security, 103, 102196, https://doi.org/10.1016/ j.cose.2021.102196.

Liang, L., Wu, X., Deng J., Lv, X. (2022). Research on risk analysis and governance measures of open-source components of information system in transportation industry. Procedia Computer Science, 208, 106-110. https://doi.org/10.1016/j.procs.2022.10.017.

Alfarisi, S., Surantha, N. (2022). Risk assessment in fleet management system using OCTAVE allegro. Bulletin of Electrical Engineering and Informatics, 11(1), 530–540. https://doi.org/10.11591/ eei.v11i1.3241.

Melnychenko, O., Ignatenko, O., Tsybulskyi, V., Degtiarova, A., Kashuba, M., & Derehuz, I. (2024). Development of a mechanism for information security risk management of transport service provision systems. Eastern-European Journal of Enterprise Technologies, 1(3(127)), 27-36. https://doi.org/10.15587/1729-4061.2024.298144.

Haji, S., Tan, Q., Costa, R. S. (2019). A Hybrid Model for Information Security Risk Assessment. International Journal of Advanced Trends in Computer Science and Engineering, 8(1.1), 100–106. https://doi.org/10.30534/ijatcse/2019/1981.12019

Національний банк України. (2011, 3 березня). Щодо впровадження системи управління інформаційною безпекою та методики оцінки ризиків відповідно до стандартів Національного банку України: 1 Лист № 24-112/365. Верховна Рада України. https://zakon.rada.gov.ua/laws/show/ v0365500-11#Text.

NIST SP 800-37 Rev. 2. Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. (2018). https://doi.org/10.6028/ NIST.SP.800-37r2.

International Organization for Standardization & International Electrotechnical Commission. (2022). Information security, cybersecurity and privacy protection – Guidance on managing information security risks (ISO/IEC 27005:2022). https://cdn.standards.iteh.ai/samples/80585/ 7bca93ac16fd426a9bc717cadc9284d9/ISO-IEC-27005-2022.pdf.

International Organization for Standardization & International Electrotechnical Commission. (2022). Information security, cybersecurity and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022).

Lund, M. S., Stølen, K., & Vraalsen, F. (2011). Model-Driven Risk Analysis: The CORAS Approach. Springer. https://doi.org/10.1007/978-3-642-12323-8.

International Electrotechnical Commission. (2016). Hazard and operability studies (HAZOP studies) – Application guide (IEC 61882:2016).

UcedaVélez, T., & Morana, M. M. (2015). Risk Centric Threat Modeling: Process for Attack Simulation and Threat Analysis. Wiley.

OWASP Foundation. (n.d.). OWASP Foundation | Open Source Foundation for Application Security. https://owasp.org.

Freund, J., & Jones, J. (2014). Measuring and Managing Information Risk: A FAIR Approach. Butterworth-Heinemann.

International Electrotechnical Commission. (2018). Failure modes and effects analysis (FMEA and FMECA) (IEC 60812:2018).

Agence nationale de la sécurité des systèmes d'information (ANSSI). (2018). EBIOS Risk Manager – The method. https://www.ssi.gouv.fr/en/guide/ebios-risk-manager-the-method.

##submission.downloads##

Опубліковано

2025-08-11

Як цитувати

Трунов, О., & Дорош, М. . (2025). Систематизація підходів до оцінки ризиків інформаційної безпеки транспортно-логістичних центрів. Технічні науки та технології, (2 (40), 207–220. https://doi.org/10.25140/2411-5363-2025-2(40)-207-220

Номер

№ 2 (40) (2025): Технічні науки та технології

Розділ

ІНФОРМАЦІЙНО-КОМП’ЮТЕРНІ ТЕХНОЛОГІЇ

Ліцензія

Creative Commons License

Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial 4.0 International License.