Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/5981
Title: Розробка методики аналізу та оцінки ризиків інформаційної безпеки для навчальних закладів
Authors: Байрак, Анатолій Володимирович
Мандрус, Антон Євгенійович
Keywords: етапи оцінки ризиків загроз;методики оцінки ризику;виникнення загроз;інформаційна безпека в ВНЗ
Issue Date: 2023
Abstract: Аналіз інформаційно-телекомунікаційної інфраструктури освітньої організації та оцінка ризиків, що визначає основні характеристики ризиків інформаційної системи та ресурсів освітньої організації.
URI: https://er.chdtu.edu.ua/handle/ChSTU/5981
Appears in Collections:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Files in This Item:
File Description SizeFormat 
М_125_Мандрус_Байрак.pdf
  Restricted Access
586.25 kBAdobe PDFView/Open Request a copy


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Extracted text
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
(повне найменування вищого навчального закладу) 
Факультет електронних технологій і робототехніки 
(повна назва факультету) 
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки 
(повна назва кафедри) 
 
 
 
Пояснювальна записка 
 
до кваліфікаційної роботи магістра 
(освітньо-кваліфікаційний рівень) 
 
 
на тему «Розробка методики аналізу та оцінки ризиків інформаційної безпеки для 
навчальних закладів» 
 
 
 
Виконав студент 2 курсу, групи БІ-021 
 
Спеціальності 125 - «Кібербезпека», 
освітньої програми «Безпека 
інформаційних і комунікаційних систем» 
(шифр і назва спеціальності) 
Мандрус А.Є. 
(прізвище та ініціали) 
Керівник Байрак А.В. 
(прізвище та ініціали) 
Рецезент  
(прізвище та ініціали) 
 
 
 
 
 
 
 
 
 
 
Черкаси 2023 
ВСТУП 
 
Актуальність дослідження. Високі вимоги до забезпечення безпеки та 
надійності інформаційних систем (ІС), обумовлені характером розв'язуваних 
завдань, а також регулярні зміни інформаційного середовища, вимагають 
ретельного підходу до формування та постійного вдосконалення системи захисту 
інформації (СЗІ). вдосконалення системи захисту інформації (СЗІ) інформаційних 
систем, що складається з комплексу технічних та організаційних захисних 
заходів.   
В сучасних умовах, коли інформаційні системи пронизують усі сфери 
діяльності організації, а з урахуванням необхідності їхнього зв'язку з мережею 
Інтернет вони виявляються відкритими для реалізації внутрішніх і зовнішніх 
загроз, проблеми інформаційної безпеки стає не менш важливою ніж економічна 
або фізична безпека.  
Основне призначення інформаційних систем полягає в підвищенні 
ефективності діяльності освітньої організації, отже, сформований комплекс 
захисних заходів для ІС має бути раціональним з точки зору вигоди та витрат.  
Актуальність теми дослідження випливає із зазначеної вище необхідності 
раціонального вибору захисних заходів для ІС, здійснюваного на основі оцінки 
загроз, труднощів і протиріч, що виникають при цьому і протиріч, а також 
можливостей щодо вдосконалення застосовуваних на практиці методів і моделей 
оцінювання загроз. Основні теоретичні аспекти проблеми оцінки ризиків і вибору 
захисних заходів для інформаційних та автоматизованих систем і комп'ютерних 
мереж відображено в роботах  
Розроблено велику кількість нормативних документів, що регламентують 
питання оцінки загроз та аналізу захищеності інформаційних та автоматизованих 
систем. 
Аналіз робіт фахівців у сфері оцінювання загроз ІБ показав, що за всієї 
значущості проведених досліджень всієї значущості проведених досліджень, 
проблема кількісної  оцінки загроз і аналізу безпеки ІС вивчена і практично 
опрацьована не повною мірою.  
Насамперед, для підвищення якості вибору захисних заходів необхідно 
розробити методику аналізу та оцінки загроз.   
Аналіз ризиків містить заходи з обстеження організації з метою визначення 
того, які ресурси і від яких загроз треба захищати. За результатами аналізу та 
оцінки ризиків організація визначає фактори, що впливають на можливість 
реалізації загроз безпеці та ступені їхнього впливу, а також ухвалює усвідомлені 
рішення щодо застосування захисних заходів, що забезпечують бажаний рівень ІБ 
організації. 
Наразі не існує стандартизованої методики аналізу та оцінювання ризиків 
загроз інформаційної безпеки для освітніх організацій. Усі розроблені методики, 
які активно використовуються, є доволі загальними для організацій, що працюють 
у різних секторах, і вони мають лише рекомендаційний характер. 
У зв'язку з цим проблема дослідження полягає в розробленні методики 
оцінювання загроз інформаційній безпеці освітньої  організації на основі 
існуючих стандартів і методик управління  ризиками інформаційної безпеки. 
Мета дослідження – аналіз інформаційно-телекомунікаційної 
інфраструктури освітньої організації та оцінка ризиків, що визначає основні 
характеристики ризиків інформаційної системи та ресурсів освітньої організації. 
Об'єкт дослідження - захисні заходи інформаційних систем, що 
створюють, зберігають та обробляють інформацію, важливу з точки зору 
забезпечення її конфіденційності, цілісності та доступності. 
Предмет дослідження – методика оцінки ризиків загроз та вибору захисних 
заходів для інформаційних систем. 
Гіпотеза дослідження полягає у розробці методичного апарату, що дозволяє 
здійснювати раціональний вибір захисних заходів для інформаційних систем за 
рахунок застосування науково-обґрунтованої методики оцінки ризиків загроз. 
Досягнення мети вимагає вирішити такі задання завдання: 
- вивчити види загроз інформаційній безпеці в освітній організації та їх 
характеристику; 
- виявити загрози, уразливості та ризики в системі захисту інформації 
освітньої організації; 
- проаналізувати існуючі методики аналізу та оцінки ризиків ІБ; 
- розробити методику аналізу та оцінки ризиків ІБ, пов'язаних з загрозами 
безпеці інформаційних ресурсів; 
- проаналізувати інформаційні ресурси ВНЗ, джерела загроз та 
вразливостей; 
- описати оцінку загроз ІБ за розробленою методикою. 
Методи дослідження Для формування понять у роботі використовуються 
логічні прийоми, визначення, аналіз та синтез. Для розробки моделі оцінки 
ризиків та методики формування раціонального комплексу захисних заходів для 
інформаційної системи використовуються методи системного та структурного 
аналізу. Для кількісної оцінки ймовірності реалізації загроз порушником 
застосовуються методи математичної статистики. 
Наукова новизна результатів дослідження полягає у розробці методики, 
що дозволяє підвищити якість вибору захисних заходів для інформаційної 
системи, що відрізняється застосуванням запропонованого в роботі показника 
витратоємності активів. 
 
РОЗДІЛ 1. СУЧАСНІ ЗАГРОЗИ ІНФОРМАЦІЙНІЙ БЕЗПЕЦІ В 
ОСВІТНІЙ ОРГАНІЗАЦІЇ 
 
1.1.  Види загроз інформаційній безпеці в освітній організації та їх 
характеристика 
Під загрозами безпеці інформаційної системи розуміють сукупність умов і 
факторів, що створюють потенційну або реальну небезпеку, пов'язану з витоком 
інформації або несанкціонованим, ненавмисним впливом на неї. 
Загроза - це потенційна або реальна дія, яка призводить до моральної або 
матеріальної шкоди. 
Загрозою інформаційній безпеці є потенційна можливість порушення 
основних якісних характеристик (властивостей) інформації при її обробці 
технічними засобами: конфіденційності, цілісності, доступності. 
Під загрозами конфіденційній інформації прийнято розуміти потенційні або 
реально можливі дії по відношенню до інформаційних ресурсів, що призводять до 
незаконного отримання інформації, що охороняється. 
Такими діями є: 
- ознайомлення з конфіденційною інформацією різними способами і 
способами без порушення її цілісності; 
- модифікація відомостей у злочинних цілях як часткова або істотна зміна 
складу та змісту інформації; 
- знищення інформації як акт вандалізму з метою прямого заподіяння 
матеріальної шкоди. 
Як наслідок, неправомірні дії з інформацією призводять до порушення її 
конфіденційності, цілісності та доступності, що в свою чергу призводить до 
порушення як режиму управління, так і його якості перед обличчям недостовірної 
або неповної інформації. 
Кожна загроза тягне за собою певну кількість шкоди, моральної чи 
матеріальної, а захист і протидія загрозі покликані зменшити її масштаби, в ідеалі 
– повністю, реально – значно або хоча б частково. Але навіть це не завжди 
можливо. 
З огляду на це, загрози можна класифікувати за такими кластерами: 
1. За розміром завданої шкоди: 
- поріг, після закінчення якого освітня організація може стати банкрутом; 
- значні, але не призводять до банкрутства; 
- незначний котрий навчальний заклад може компенсувати і т.д .; 
2. За ймовірністю виникнення: 
- дуже ймовірна загроза; 
- ймовірна загроза; 
- малоймовірна загроза. 
3. З причин появи: 
- стихійні лиха; 
- умисні дії; 
4. За характером заподіяної шкоди: 
- матеріал; 
- моральних; 
5. За характером впливу: 
- Активний; 
- Пасивний; 
6. По відношенню до об'єкта: 
- Внутрішні; 
- Зовнішній. 
Джерелами зовнішніх загроз є: 
- недобросовісні конкуренти; 
- злочинні угруповання та формування; 
- особи та організації адміністративно-управлінського апарату. 
Джерелами внутрішніх загроз можуть бути: 
- адміністрація організації; 
- персонал; 
- технічні засоби забезпечення виробничої і трудової діяльності. 
Співвідношення зовнішніх і внутрішніх загроз на середньому рівні можна 
охарактеризувати наступним чином: 
 82% погроз вчиняються власними працівниками освітньої організації або 
за їх прямої чи опосередкованої участі; 
 17% загроз надходять ззовні – зовнішні загрози;  
 1% загроз вчиняються випадковими особами. 
Особливістю загроз є не тільки можливість викрадення інформації або 
пошкодження масивів будь-якими навмисно діючими хакерськими 
угрупованнями, а й сама активність студентів, які навмисно, зловмисно або 
помилково здатні пошкодити комп'ютерну техніку або впровадити вірус. 
Виділяють чотири групи об'єктів, на які можна вплинути навмисно або 
ненавмисно: 
 комп'ютерна техніка та інше обладнання, яке може бути пошкоджено в 
результаті механічного впливу, вірусів або з інших причин; 
 програми, що використовуються для забезпечення роботи системи або в 
навчальному процесі, який може постраждати від вірусів або хакерських атак; 
 дані, що зберігаються як на жорстких дисках, так і на окремих носіях; 
 персонал, відповідальний за роботу ІТ-систем; 
 студенти, які піддаються зовнішньому агресивному інформаційному 
впливу і здатні створити кримінальну обстановку в ВНЗ. Останнім часом список 
таких ситуацій значно розширився, що свідчить про можливу цілеспрямовану 
психологічну атаку на свідомість дітей і підлітків. 
Загрози, спрямовані на пошкодження будь-якого з компонентів системи, 
можуть бути як випадковими, так і навмисними. Загрози, які не залежать від 
намірів персоналу, стажерів або третіх осіб, включають: 
 будь-які надзвичайні ситуації, такі як відключення електроенергії або 
повінь; 
 помилки персоналу; 
 програмні збої; 
 вихід з ладу обладнання; 
 проблеми в роботі систем зв'язку. 
Всі ці загрози інформаційній безпеці є тимчасовими, передбачуваними і 
легко усуваються діями співробітників і спецслужб. 
Навмисні загрози інформаційній безпеці є більш небезпечними і в більшості 
випадків їх неможливо передбачити. Їх виконавцями можуть бути студенти, 
співробітники, конкуренти, треті особи з наміром вчинити кіберзлочин. Для того 
щоб підірвати інформаційну безпеку, така особа повинна володіти високою 
кваліфікацією в принципах роботи комп'ютерних систем і програм. Найбільшому 
ризику піддаються комп'ютерні мережі, компоненти яких розташовані окремо 
один від одного в просторі. Порушення зв'язку між компонентами системи може 
призвести до повного порушення її працездатності. Важливою проблемою може 
стати порушення авторських прав, навмисна крадіжка чужих розробок. 
Комп'ютерні мережі рідко піддаються зовнішнім атакам для впливу на свідомість 
студентів, але це не виключено. А найсерйознішою небезпекою буде 
використання обладнання ВНЗ для залучення студента до злочинності та 
тероризму. 
З точки зору проникнення в периметр інформаційної безпеки і вчинення 
крадіжки інформації або порушення роботи систем, несанкціонований доступ 
необхідний. 
Способи несанкціонованого доступу 
Існує кілька видів несанкціонованого доступу: 
1. Людський. Інформація може бути вкрадена шляхом копіювання на 
тимчасові носії, надіслані електронною поштою. Крім того, при наявності доступу 
до сервера зміни в бази даних можна вносити вручну. 
2. Програма. Для крадіжки інформації використовуються спеціальні 
програми, які забезпечують копіювання паролів, копіювання і перехоплення 
інформації, перенаправлення трафіку, розшифровку, внесення змін в роботу 
інших програм. 
3. Устаткування. Вона пов'язана або з використанням спеціальних 
технічних засобів, або з перехопленням електромагнітного випромінювання по 
різних каналах, в тому числі і по телефонах. 
Існує 5 принципів системи інформаційної безпеки організації. 
Принцип комплексності. При створенні систем безпеки необхідно 
припускати ймовірність всіх можливих загроз для кожної організації, включаючи 
закриті канали доступу і використовувані для них засоби безпеки. Використання 
засобів захисту повинно збігатися з ймовірними видами загроз і функціонувати як 
комплексна система захисту, технічно доповнюючи один одного. Комплексні 
методи і засоби забезпечення інформаційної безпеки організації являють собою 
складну систему взаємопов'язаних процесів.  
Принцип поділу - це процедура забезпечення інформаційної безпеки 
організації, при якій всі межі захисної системи будуть складатися з послідовно 
розташованих охоронних зон, найважливіша з яких буде розташовуватися в 
межах всієї системи. 
Принцип надійності (рівна міцність). Стандарт організації інформаційної 
безпеки повинен поширюватися на всі охоронні зони. Всі вони повинні бути 
однаково міцними, тобто мати однакову ступінь надійного захисту з ймовірністю 
реальної загрози. 
Принцип розумної достатності передбачає розумне використання засобів 
захисту з прийнятним рівнем безпеки без фанатизму створення абсолютного 
захисту. Забезпечення організації високоефективною системою безпеки пов'язане 
з великими матеріальними витратами, тому до вибору охоронних систем 
необхідно підходити раціонально. Вартість захисної системи не повинна 
перевищувати суму можливого збитку і витрати на її експлуатацію та 
обслуговування. 
Принцип безперервності. Робота всіх охоронних систем повинна бути 
цілодобовою і безперервною. 
Як правило, захист від загроз в основному регулюється розробленими і 
затвердженими в освітній організації інструкціями з урахуванням специфіки 
функціонування інформаційних систем організації і чинної нормативної бази 
установи. 
1.2.   Виявлення загроз, вразливостей та ризиків у системі 
інформаційної безпеки освітньої організації 
Загрозою безпеці ІС є можливість порушення безпеки ІС, і ІС освітньої 
організації зокрема. Найчастіше загроза є наслідком існування вразливостей в 
захисті IС. До основних загроз інформаційній безпеці належать порушення 
конфіденційності, порушення цілісності та відмова в обслуговуванні. 
Загроза інформаційній безпеці – це сукупність умов та факторів, що 
створюють потенційну або реальну небезпеку, пов'язану з витоком інформації 
та/або несанкціонованим та/або ненавмисним впливом на неї. 
Джерелами можливих загроз інформації в освітній організації є: 
- комп'ютеризовані класи, в яких відбувається навчальний процес; 
- інтернет; 
- робочі місця некваліфікованих працівників у сфері інформаційної 
безпеки освітньої організації. 
Аналіз інформаційних ризиків можна розділити на наступні етапи: 
- класифікація об'єктів, що підлягають охороні, за значимістю; 
- визначення привабливості об'єктів, що охороняються для зловмисників; 
- виявлення можливих загроз та ймовірних каналів доступу до об'єктів; 
- оцінка існуючих заходів безпеки; 
- виявлення вразливостей у захисті та шляхів їх усунення; 
- складання рангового списку загроз; 
- оцінка збитків від несанкціонованого доступу, атак типу «відмова в 
обслуговуванні», збоїв обладнання. 
Основними об'єктами, які необхідно захистити від несанкціонованого 
доступу: 
- бухгалтерська локальна мережа, дані планово-фінансового відділу, а 
також статистичні та архівні дані; 
- Сервери баз даних 
- Консоль керування обліковим записом 
- www/ftp-сервери; 
- сервери локальної мережі та дослідницьких проектів. 
Як правило, зв'язок з Інтернетом здійснюється одночасно по декількох 
лініях зв'язку (опто-волоконна магістраль, супутникові і радіоканали). Окремі 
канали передбачені для зв'язку з іншими освітніми каналами або для безпечного 
обміну даними. 
З метою усунення ризиків, пов'язаних з витоком і пошкодженням 
інформації, що передається, такі мережі не повинні бути підключені до 
глобальних мереж і загальній колегіальній мережі. 
Критичні вузли для обміну даними ВНЗ (наприклад, бухгалтерська локальна 
мережа) також повинні існувати окремо. 
Загрози інформаційній безпеці на автоматизованому робочому місці 
працівника представлені в таблиці 1. 
Таблиця 1. Автоматизоване робоче місце співробітника 
Загроза Уразливість 
1. Відсутність системи контролю 
доступу співробітників до чужих 
1. Фізичний доступ правопорушника на 
робочих місць 
робоче місце 
2.Відсутність відеоспостереження в 
закладі 
1.Відсутність згоди про не 
нерозголошення між співробітниками та 
2. Розголошення конфіденційної 
працедавцем 
інформації, що зберігається на робочому 
2. Нечітка регламентація 
місці співробітника організації 
відповідальності співробітників 
закладу 
3. Знищення (пошкодження, втрата) 
Відсутність обмеження доступу 
конфіденційної інформації за 
користувачів до мережі інтернет та до 
допомогою спеціалізованих програм та 
внутрішньої корпоративної мережі 
вірусів 
 
Існують також загрози доступності, загрози цілісності та загрози 
конфіденційності інформації в закладі освіти. 
1. Загрозами доступності інформації є: знищення (знищення) інформації: 
вірусу, пошкодження обладнання. 
Заходи щодо запобігання цим загрозам можуть включати наступне: 
 Установка антивірусної програми. 
 Створюйте резервні копії даних на знімний носій, щоб швидко 
відновити втрачені дані під час системної помилки. 
 Монтаж аварійних джерел безперебійного живлення. 
 Електропостачання мінімум від двох незалежних ліній електропередач. 
 Регламентне обслуговування будівель і всієї допоміжної 
інфраструктури в цілому. 
2. Загрозами цілісності інформації є: порушення цілісності персоналом: 
введення невірних даних, несанкціонована зміна інформації, крадіжка інформації, 
дублювання даних; втрата інформації на жорстких носіях; загрози цілісності бази 
даних; загрози цілісності програмних механізмів організації. 
Заходи щодо запобігання цій загрозі можуть включати наступне: 
 введення і часта зміна паролів. 
 використання криптографічних засобів захисту інформації. 
3. До загроз конфіденційності належать: крадіжка обладнання; 
делегування надлишкових або невикористаних повноважень носіям 
конфіденційної інформації. відкриття портів; інсталяція неліцензійного 
програмного забезпечення; перевищення службових повноважень. 
Аналіз стану інформаційної безпеки в ВНЗі дозволяє виявити наступні 
загрози. 
1. Зараження комп'ютерними вірусами через знімні носії інформації, 
комп'ютерні мережі, Інтернет. 
2. Помилки персоналу, тобто некоректне введення даних або їх зміна. 
3. Внутрішня відмова інформаційної системи, тобто вихід з ладу 
 
програмного або апаратного забезпечення, пошкодження обладнання. 
4. Загрози технічного характеру. 
5. Загрози нетехнічного або некомп'ютерного характеру - ніяких паролів, 
конфіденційна інформація, пов'язана з інформаційними системами, зберігається 
на папері. 
6. Несанкціонований доступ до інформації (використання ресурсів без 
попереднього дозволу). При цьому можуть бути виконані такі дії: 
несанкціоноване зчитування інформації, несанкціонована зміна інформації, а 
також несанкціоноване знищення інформації. 
7. Крадіжка програмного та апаратного забезпечення. 
8. Використання застарілих програмно-технічних засобів для обробки 
інформації. 
Таким чином, найбільш значущими загрозами інформаційній безпеці в 
закладі освіти є такі загрози: крадіжка особистої інформації студентів ВНЗ, 
несанкціонована зміна персональних даних студентів та особових карток 
студентів, помилки співробітників ВНЗ при внесенні даних в особові справи та 
студентські квитки. 
 
 
Висновки до першого розділу 
За результатами першого розділу магістерської дисертації можна зробити 
наступні висновки. 
Сформульовано та класифіковано загрози, що виникають в інформаційних 
системах. 
Загрозою інформаційній безпеці є потенційна можливість порушення 
основних якісних характеристик (властивостей) інформації при її обробці 
технічними засобами: конфіденційності, цілісності, доступності. 
Всі джерела загроз інформаційній безпеці можна розділити на три основні 
групи: 
- обумовлені діями суб'єкта (антропогенні джерела загроз); 
- обумовлені технічними засобами (техногенні джерела погрози); 
- зумовлені стихійними джерелами. 
Як правило, захист від загроз в основному регулюється розробленими і 
затвердженими в освітній організації інструкціями з урахуванням специфіки 
функціонування інформаційних систем організації і чинної нормативної бази 
установи. 
Також були виявлені загрози, вразливості та ризики в системі інформаційної 
безпеки в освітній організації. Запропоновані заходи щодо їх усунення, в 
результаті яких в освітній організації підвищиться ефективність засобів безпеки і 
знизиться ризик втрати і спотворення інформації. 
 
РОЗДІЛ 2. НОРМАТИВНО-ПРАВОВА ДОКУМЕНТАЦІЯ У СФЕРІ 
УПРАВЛІННЯ РИЗИКАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В ОСВІТНІЙ 
ОРГАНІЗАЦІЇ 
 
2.1 Сімейство міжнародних стандартів управління інформаційною безпекою 
Існують численні методології в області управління інформаційними 
ризиками, запропоновані десятками посібників, алгоритмів і методів. Основні з 
них описані в міжнародних і державних стандартах в області інформаційної 
безпеки, інші мають автоматизований підхід, реалізований програмними 
продуктами. 
Завдання полягає в тому, щоб проаналізувати існуючі методи, дати їм 
коротку характеристику і визначити ті, які підходять під специфіку діяльності 
організації. 
ДСТУ ISO/IEC 27005:2019 
Цей стандарт, що є частиною серії стандартів ISO/IEC 27000, містить 
рекомендації щодо управління ризиками інформаційної безпеки в організації, 
підтримуючи, зокрема, вимоги до системи управління інформаційною безпекою 
(СУІБ) відповідно до стандарту ISO/IEC 27001. Керівництво, що міститься в 
цьому стандарті, призначене для застосування до всіх організацій, незалежно від 
їх типу, розміру та характеру діяльності. 
Цей стандарт був розроблений в 2005 році і до сих пір модифікується, 
поточна версія - 2019 року. Стандарт замінює вже застарілу серію стандартів ІТ-
безпеки ISO 13335, у зв'язку з чим скасовано міжнародні стандарти ISO 13335-3 
та ISO 13335-4. 
ISO 27005 не передбачає будь-якої конкретної методології управління 
ризиками інформаційної безпеки, він визначає підхід організації до управління 
ризиками та має рекомендаційний характер. 
Даний стандарт буде використовуватися в якості основи для аналізу ризиків 
ІТ-інфраструктури «Організації», так як він в повній мірі застосовний до даної 
 
організації і описує всі етапи управління ризиками: Встановлення контексту, 
прийняття ризику, оцінка ризиків, управління ризиками, моніторинг та перегляд 
ризиків інформаційної безпеки. Детальніше про них можна дізнатися в стандарті. 
Британський стандарт BS 7799-3 
Сімейство стандартів BS 7799 є першим міжнародним стандартом в області 
управління інформаційною безпекою. Перша частина стандарту – BS 7799-1 
«Практичні правила управління інформаційною безпекою» – була розроблена в 
1995 році і є практичним посібником з управління інформаційною безпекою в 
організації. Другою частиною стандарту є BS 7799-2 «Системи управління 
інформаційною безпекою». Специфікація та керівництво по застосуванню» - 
з'явився в 1998 році - визначає, якою має бути СУІБ. У 2006 році Британський 
інститут стандартів випустив третю частину стандарту – BS 7799-3 «Системи 
управління інформаційною безпекою. Керівні принципи управління ризиками 
інформаційної безпеки» [2]. 
BS 7799-3 є попередником ISO 27005. Ці стандарти доповнюють один 
одного, і багато в чому вони перетинаються. Ці стандарти служать основою для 
методології управління ризиками і визначають всі найважливіші моменти, 
пов'язані з ризиками. Крім того, ознайомитися з основними моментами можна в 
самому стандарті [2]. 
ДСТУ ISO/IEC 27001:2019 
Даний стандарт відноситься до серії стандартів ISO/IEC 27000 і був 
прийнятий в 2005 році і є заміною другої частини британського стандарту BS 
7799. 
Стандарт встановлює вимоги до системи управління інформаційною 
безпекою для її створення, розвитку та супроводу. Оскільки ISO 27005 та BS 
7799-3 містять конкретні вказівки та рекомендації щодо впровадження вимог ISO 
27001, пов'язаних з процесами управління ризиками та пов'язаними з ними 
видами діяльності, це також слід враховувати в цій роботі. 
З вимогами, що містяться в ISO 27001, які взаємопов'язані з ISO 27005 і BS 
 
7799-3, можна детально ознайомитися в наступних параграфах стандарту [18]: 
 створення СУІБ; 
 впровадження та функціонування СУІБ; 
 моніторинг та аналіз УІБ; 
 обслуговування та вдосконалення СУІБ; 
 управлінський огляд СУІБ; 
 удосконалення СУІБ. 
 
2.2 Методика визначення актуальних загроз безпеці персональних даних під 
час їх обробки в інформаційних системах 
Методика призначена для використання при забезпеченні безпеки 
персональних даних при їх обробці в наступних автоматизованих інформаційних 
системах персональних даних: 
- державний або муніципальний ІСПД; 
- ІСПД, створені і (або) експлуатуються підприємствами, організаціями та 
установами (далі - організації) незалежно від форми майно, необхідне для 
виконання функцій цих організацій відповідно до їх призначення; 
- ІСПД, створені і використовуються фізичними особами, за винятком 
випадків, коли останні використовують ці системи виключно для особистих і 
сімейних потреб. 
Документ призначений для фахівців із забезпечення інформаційної безпеки, 
керівників організацій і підприємств, які організовують і здійснюють роботи з 
обробки персональних даних в ІСПД. 
Під загрозами безпеці ПД при їх обробці в ПДІС розуміється сукупність 
умов і факторів, що створюють небезпеку несанкціонованого, в тому числі 
випадкового, доступу до персональних даних, наслідком якого може стати 
знищення, зміна, блокування, копіювання, поширення персональних даних, а 
також інші несанкціоновані дії при їх обробці в інформаційній системі 
персональних даних. 
 
Відповідно до Закону України №2297–VІ «Про захист персональних даних» 
ПД повинні бути захищені від несанкціонованого або випадкового доступу до 
них, знищення, зміни, блокування, копіювання, поширення персональних даних, а 
також від інших протиправних дій. Загрози безпеці ПД при їх обробці в ІСПД 
можуть бути пов'язані як з ненавмисними діями персоналу ІСПД і (або) 
споживачів, що користуються послугами, що надаються ПДІ відповідно до її 
призначення, так і з навмисно здійснюваними протиправними діями іноземних 
держав, злочинних спільнот, окремих організацій і громадян, а також іншими 
джерелами загроз. 
Загрози безпеці ПД можуть бути реалізовані за рахунок витоку ПД по 
технічних каналах (технічні канали витоку інформації, що обробляється в 
технічних засобах ІСПД, технічні канали перехоплення інформації при її передачі 
по каналах зв'язку, технічні канали витік акустичної (мовленнєвої) інформації) 
або внаслідок несанкціонованого доступу з використанням відповідного 
програмного забезпечення. 
Детальний опис загроз, пов'язаних з витоком персональних даних 
технічними каналами, наведено в «Базовій моделі загроз безпеці персональних 
даних при їх обробці в інформаційних системах персональних даних». Виявлення 
технічних каналів витоку ПД проводиться на підставі нормативно-методичних 
документів держспецзв'язку України. 
Джерелами загроз, що реалізуються шляхом несанкціонованого доступу до 
баз даних з використанням стандартного або спеціально розробленого 
програмного забезпечення, є суб'єкти, дії яких порушують регламентовані в ІСПД 
правила розмежування доступу до інформації. Такими суб'єктами можуть бути: 
- порушник; 
- хост шкідливого програмного забезпечення 
- апаратна закладка. 
При цьому порушник - фізична особа (особи), яка випадково або навмисно 
вчиняє дії, що призводять до порушення безпеки ПД під час їх обробки 
 
технічними засобами в інформаційних системах. З точки зору наявності права 
законного доступу до приміщення, в якому знаходиться обладнання, що 
забезпечує доступ до ресурсів ІСПД, порушники поділяються на два види: 
- порушники, які не мають доступу до ІСПД, які реалізують загрози з боку 
зовнішніх мереж зв'язку загального користування та (або) міжнародних мереж 
обміну інформацією, є зовнішніми порушниками; 
- порушники, які мають доступ до ІСПД, у тому числі користувачі ІСПД, які 
реалізують загрози безпосередньо в ІСПД, є внутрішніми порушниками. 
Для ІСПД, які надають інформаційні послуги віддаленим користувачам, 
зовнішніми зловмисниками можуть бути особи, які мають можливість надавати 
несанкціонований доступ до інформації за допомогою спеціальних програмних 
дій, алгоритмічних або програмних закладок через автоматизовані робочі місця, 
кінцеві пристрої ІСПД, підключені до мереж загального користування. 
Можливості внутрішнього порушника істотно залежать від встановленого 
порядку допуску фізичних осіб до інформаційних ресурсів ІСПД і заходів 
контролю за порядком проведення робіт. 
Загрози несанкціонованого доступу з боку зовнішніх зловмисників 
реалізуються за допомогою міжмережевих протоколів зв'язку. 
Детальний опис загроз, пов'язаних з несанкціонованим доступом до 
персональних даних в ІСПД, наведено в «Базовій моделі загроз безпеці 
персональних даних при їх обробці в інформаційних системах персональних 
даних». 
Виявлення несанкціонованого доступу до загроз ПД, що реалізуються з 
використанням програмно-апаратних і програмних засобів, здійснюється на 
основі експертного методу, в тому числі шляхом опитування фахівців, персоналу 
ІСПД, посадових осіб, при цьому для підтвердження наявності та виявлення 
вразливостей програмно-апаратних засобів ІСПД можуть використовуватися 
спеціальні засоби (мережеві сканери). Для проведення опитування складаються 
спеціальні анкети. 
 
Наявність джерела загрози та вразливої ланки, яка може бути використана 
для реалізації загрози, свідчить про наявність цієї загрози. Формування списку 
джерел загроз ПД на основі опитування, списку вразливих ланок ІСПД на основі 
опитування та сканування мережі, а також переліку технічних каналів витоку 
інформації на основі даних опитування ІСПД, визначаються умови існування 
загроз інформаційній безпеці в ІСПД та складається їх повний перелік. На основі 
цього переліку, відповідно до процедури, описаної нижче, формується перелік 
актуальних загроз безпеці ПДн. 
Загроза, яка може бути реалізована в ПДІС і становить небезпеку для ПД, 
вважається актуальною. Підхід до складання переліку актуальних загроз полягає в 
наступному. 
Для оцінки можливості реалізації загрози використовуються два показники: 
рівень початкового захисту ІСПД і частота (ймовірність) загрози, про яку йде 
мова. 
Під рівнем початкового захисту ІСПД розуміють узагальнений показник, 
що залежить від техніко-експлуатаційних характеристик ІСПД, наведених у 
таблиці 2. 
Таблиця 2. Показники початкового захисту ІСПД 
Техніко-експлуатаційні характеристики Рівень захисту 
ІСПД 
Високий Середній Низький 
1. За територіальним розташуванням: 
розподілений ІСПД, який охоплює 
кілька регіонів, провінцій, округів або – – + 
штат в цілому; 
Міська ІСПД, який охоплює більше 
одного населеного пункту (міста, – – + 
селища); 
корпоративний розподілений ІСПД, 
охоплює багато частин однієї – + – 
організації; 
Місцевий (кампусний) ІСПД, 
розгорнутий в межах декількох – + – 
Найближчі будівлі 
 
Місцевий інтернет-провайдер 
+ – – 
розгорнутий в межах однієї будівлі 
2. За наявністю підключення до мереж. Загальне використання: 
ІСПД з багатоточковим виходом в 
– – + 
публічну мережу; 
Продовження таблиці 2. Показники початкового захисту ІСПД 
ІСПД з одноточковим виходом до 
– + – 
мережі загального користування; 
ІСПД, який фізично відокремлений від 
+ – – 
мережі спільного використання 
3. Про вбудовані (легальні) операції з обліком баз персональних даних Дані: 
читання, пошук; + – – 
писати, видаляти, сортувати; – + – 
Модифікація, перенесення – – + 
4. Про розмежування доступу до Персональні дані: 
ІСПД, до якого працівники організації, 
що володіє організацією, мають доступ – + – 
до певних списків ПДІ або суб'єкт ПД; 
ІСПД, якому підкоряються всі 
співробітники організації, яка є власник – – + 
ІСПД; 
ІСПД з відкритим доступом – – + 
5. За наявністю зв'язків з оточуючими Бази даних ПД інших ІСПД: 
інтегрований ІСПД (організація 
використовує кілька баз даних ПДн, 
– – + 
при цьому організація не є власником 
всіх використовуваних баз даних ПД); 
ІСПД, який використовує одну базу 
даних ПД, що належить організація – + – – 
власник цього ІСПД 
6. За рівнем узагальнення (знеособлення) ПД: 
ІСПД, в якому дані, надані 
користувачеві, анонімізуються (на рівні + – – 
організації, галузь, регіон, область і т.д.); 
 
ІСПД, при якому дані знеособлюються 
тільки при передачі іншим організаціям і 
– + – 
не анонімізуються при наданні 
користувачеві в організація; 
ІСПД, в якому дані, надані 
користувачеві, не анонімізуються (тобто 
– – + 
є інформація, що дозволяє 
ідентифікувати суб'єкта ПД) 
Продовження таблиці 2. Показники початкового захисту ІСПД 
7. За обсягом ПДн, який надається стороннім користувачам ІСПД без Попередня обробка: 
ІСПД, який надає всю базу даних з ПД; – – + 
ІСПД, що надає частину ПД; – + – 
ІСПД, який не надає жодної інформації. + – – 
 
Початкова ступінь захисту визначається наступним чином: 
1. ІСПД має високий рівень початкової безпеки, якщо не менше 70% 
характеристик ІСПД відповідають «високому» рівню (підсумовуються позитивні 
рішення по першому стовпцю, що відповідають високому рівню безпеки), а решта 
- середньому рівню захисту (позитивні рішення по другому стовпцю). 
2. ІСПД має середній рівень початкової безпеки, якщо умови пункту 1 не 
виконуються і не менше 70% характеристик ІСПД відповідають рівню не нижче 
«середнього» (береться відношення суми позитивних рішень по другому стовпцю, 
що відповідає середньому рівню захисту, до загального числа рішень), а решта - 
низький рівень безпеки. 
3. ІСПД має низький ступінь початкової безпеки, якщо умови пунктів 1 і 2 
не виконуються. 
При складанні переліку реальних загроз безпеці персональних даних кожен 
ступінь початкової безпеки співвідноситься з числовим коефіцієнтом, а саме: 
0 – для високого ступеня початкового захисту;  
5 – для середнього ступеня початкового захисту;  
10 – для низького ступеня початкового захисту. 
Під частотою (ймовірністю) реалізації загрози розуміють показник, що 
 
визначається експертним методом, що характеризує, наскільки ймовірна 
реалізація конкретної загрози безпеці ПД для даного ІСПД в поточних умовах 
ситуації. Вводяться чотири словесні градації цього показника: 
- малоймовірні - відсутні об'єктивні передумови для здійснення загрози 
(наприклад, загроза викрадення носіїв інформації особами, які не мають 
законного доступу до приміщень, де вони зберігаються); 
- низька вірогідність – існують об'єктивні передумови для реалізації 
загрози, але вжиті заходи значно ускладнюють її реалізацію (наприклад, 
використовуються відповідні інструменти захисту інформації); 
- середня ймовірність - об'єктивні передумови для реалізації загрози 
існують, але вжиті заходи для забезпечення безпеки персональних даних є 
недостатніми; 
- висока ймовірність - існують об'єктивні передумови для реалізації 
загрози і не вжито заходів щодо забезпечення безпеки ПДн. 
При складанні переліку реальних загроз безпеці персональних даних кожна 
градація ймовірності загрози співвідноситься з числовим коефіцієнтом, а саме: 
0 – для малоймовірної загрози; 
2 – для низької ймовірності загрози;  
5 – для середньої ймовірності загрози; 
10 – для високої ймовірності загрози. 
З огляду на вищесказане, коефіцієнт здійсненності загрози Y буде 
визначатися співвідношенням. 
Виходячи зі значення коефіцієнта здійсненності загрози Y, формується 
словесна інтерпретація здійсненності загрози наступним чином: 
якщо, то можливість реалізації загрози вважається низькою;  
якщо, то можливість реалізації загрози визнається середньою;  
якщо, то можливість реалізації загрози вважається високою; 
якщо, то ймовірність реалізації загрози вважається дуже високою. 
Далі оцінюється небезпека кожної загрози. В ході оцінки небезпеки на 
 
підставі опитування експертів (фахівців в області інформаційної безпеки) 
визначається вербальний показник небезпеки для розглянутого ІСПД. Цей 
показник має три значення: 
низький ризик – якщо реалізація загрози може призвести до незначних 
негативних наслідків для суб'єктів персональних даних; 
середній ризик – якщо реалізація загрози може призвести до негативних 
наслідків для суб'єктів персональних даних; 
високий ризик – якщо реалізація загрози може призвести до значних 
негативних наслідків для суб'єктів персональних даних. 
Потім проводиться вибір із загального (попереднього) списку загроз 
безпеці, які мають відношення до даного ІСПД, відповідно до правил, наведених в 
таблиці 3. 
Таблиця 3. Правила віднесення загрози безпеці ПД до релевантних 
Доцільність Індикатор серйозності загрози 
реалізації 
Низький Середній Високий 
загрози 
Низький Неактуальна Неактуальна Актуальна 
Середній Неактуальна Актуальна Актуальна 
Високий Актуальна Актуальна Актуальна 
Дуже високий Актуальна Актуальна Актуальна 
 
На основі даних про клас персональних даних та складеного переліку 
актуальних загроз на основі «Рекомендацій щодо забезпечення безпеки 
персональних даних при їх обробці в інформаційних системах персональних 
даних» та «Основних заходів щодо організації та технічного забезпечення безпеки 
персональних даних, що обробляються в інформаційних системах персональних 
даних» сформульовано конкретні організаційні та технічні вимоги до захисту 
ПДІС від витоку інформації на технічних даних. каналів, від несанкціонованого 
доступу та вибору програмного забезпечення та технічні засоби захисту 
 
інформації, які можуть бути використані при створенні і подальшій експлуатації 
ІСПД. 
Таким чином, даний метод являється класичним підхідом до оцінки ризиків 
інформаційної безпеки і включає в себе наступні основні етапи: 
- оцінка базового рівня захисту; 
- оцінка частоти (ймовірності) загроз; 
- оцінка небезпеки кожної загрози; 
- оцінка актуальності загроз; 
- формування вимог до безпеки. 
Оцінка окремих параметрів проводиться за шкалою, визначеною в 
документі. Розрахунок кінцевого результату здійснюється за формулою, за 
результатами якої виводиться якісна і кількісна оцінка досліджуваної загрози. 
 
Висновки до другого розділу 
У другому розділі магістерської роботи були проаналізовані основні 
стандарти в області управління ризиками інформаційної безпеки. Визначено ті, 
які відповідають цілям оцінки ризиків у специфіці діяльності освітньої 
організації. 
В якості основного стандарту оцінки ризиків був обраний ДСТУ ISO/IEC 
27005:2019, так як він описує всі основні етапи управління ризиками і підходить 
під специфіку освітньої організації. 
Вторинні стандарти, які також розглядаються в цьому розділі, необхідні як 
доповнення до основного стандарту при розробці загальної методології оцінки 
ризиків. 
 
РОЗДІЛ 3. РОЗРОБКА МЕТОДИКИ ОЦІНКИ РИЗИКУ 
ВИНИКНЕННЯ ЗАГРОЗ ІНФОРМАЦІЙНІЙ БЕЗПЕЦІ В ВНЗ 
 
 
3.1 Методологія, концепція, етапи оцінки ризиків загроз 
В якості базового стандарту для визначення методології оцінки ризику 
інформаційної безпеки прийнято стандарт ISO 27005-2010. Цей стандарт 
пропонує наступні етапи оцінки ризиків: 
- аналіз ризиків, що включає ідентифікацію ризиків (включаючи 
ідентифікацію активів, загроз, існуючих засобів контролю, вразливостей, 
впливів); 
- вимірювання ризику; 
- оцінка ризиків. 
На рисунку 1 схематично зображено процес оцінки ризиків інформаційної 
безпеки. 
Рис. 3.1. - Процес оцінки ризиків інформаційної безпеки 
 
Існує багато методів аналізу ризиків. Деякі з них засновані на досить 
простих табличних методах і не передбачають використання спеціалізованих 
програмних засобів, в той час як інші, навпаки, активно їх використовують. 
Незважаючи на зростаючий інтерес до управління ризиками, методології, що 
використовуються в даний час, відносно неефективні, так як процес здійснюється 
самостійно кожним відділом в багатьох організаціях. Часто відсутній 
централізований контроль за їх діями, що унеможливлює впровадження єдиного і 
цілісного підходу до управління ризиками у всій організації. 
 
Для вирішення завдання оцінки ризиків інформаційної безпеки в даний час 
найчастіше використовуються такі програмні пакети: CRAMM, FRAP, RiskWatch, 
Microsoft Security Assessment Tool (MSAT), CORAS і ряд інших. 
Всі відомі методи можна розділити на: 
- До методологій, які використовують оцінку ризиків на якісному рівні 
(наприклад, за шкалою «високий», «середній», «низький»), до таких методів 
належать, зокрема, FRAP; 
- кількісні методології (ризик оцінюється через числове значення, 
наприклад, сума очікуваних річних збитків), до цього класу належить методологія 
RiskWatch; 
- методології, в яких використовуються змішані оцінки (цей підхід 
використовується в методології CRAMM,  MSAT) [10]. 
Визначимо основні етапи, необхідні для цілей оцінки ризиків. 
1. Ідентифікація активів. Необхідно виявити і описати всі активи 
освітньої організації і визначити їх вартість. Ідентифікація активів проводиться в 
ході аудиту інформаційної безпеки, визначаються основні структури, AIS і ІСПД, 
які обробляють різні типи даних. Дані вносяться до списку у вигляді таблиці. 
2. Визначте загрози. Необхідно скласти список загроз з визначенням 
типу і джерела. Загрози також виявляються в ході аудиту інформаційної безпеки з 
урахуванням загроз інформаційній безпеці, представлених в базі даних загроз 
інформаційній безпеці. 
3. Виявлення вразливостей. Слід скласти інвентаризацію 
вразливостей, пов'язаних з активами, загрозами та засобами контролю; Список 
вразливостей, які не пов'язані з виявленою загрозою, яку потрібно усунути. 
4. Вимірювання ризику. Вибір методології (з наведених нижче) для 
вимірювання ризику, включаючи якісну або кількісну оцінку ризику. На цьому 
етапі проводиться оцінка загроз і вразливостей відповідно до кількісній або 
якісній шкалі експертним шляхом. Дані заносяться в загальну таблицю, де ризик 
оцінюється виходячи з вартості активу. 
 
5. Вимірювання рівня ризику. Необхідно скласти список ризиків з 
присвоєними рівнями вартості. 
6. Оцінка ризиків. На цьому етапі виміряні ризики порівнюються з 
критеріями оцінки ризику. В результаті складається перелік ризиків, 
пріоритезованих відповідно до критеріїв оцінки ризиків для сценаріїв інцидентів, 
які призводять до цих ризиків. 
Процес оцінки ризиків встановлює вартість інформаційних активів, виявляє 
потенційні загрози та вразливості, які існують або можуть існувати, визначає 
існуючі засоби контролю та контролю, їх вплив на виявлені ризики, визначає 
можливі наслідки та, нарешті, пріоритезує виявлені ризики та ранжує їх 
відповідно до критеріїв оцінки ризиків, зафіксованих у розрізі. 
Цей стандарт пропонує два підходи до оцінки ризиків інформаційної 
безпеки: 
- оцінка ризиків інформаційної безпеки на високому рівні; 
- детальна оцінка ризиків інформаційної безпеки. 
Перший підхід необхідний для початкового простого підходу, з умінням 
вибудовувати стратегічну картину з невеликими витратами ресурсів і коштів. Цей 
підхід передбачає більш глобальний погляд на організацію та її інформаційні 
системи, більш обмежений перелік загроз і вразливостей, більш загальні ризики. 
Другий підхід, як правило, використовує матричний метод, використовуючи 
таблиці. Стандарт пропонує три методи оцінки ризиків. Такий підхід передбачає 
ретельне виявлення і визначення цінності активів, оцінку загрозци активам ти 
оцінку вразливостей. 
Перший метод являє собою матрицю з заздалегідь заданими значеннями. 
Тут міра ризику визначається на підставі таблиці, запропонованої 
стандартом (табл. 4) на основі шкали від 0 до 8. 
 
 
 
 
Таблиця 4. Матричні оцінки ризиків 
Рівень загрози 
Низький Середній Високий 
Вартість активів 
Рівень уразливості Рівень уразливості Рівень уразливості 
Н С В Н С В Н С В 
0 0 1 2 1 2 3 2 3 4 
1 1 2 3 2 3 4 3 4 5 
2 2 3 4 3 4 5 4 5 6 
3 3 4 5 4 5 6 5 6 7 
4 4 5 6 5 6 7 6 7 8 
Позначення: Н - низький, С - середній, В - високий. 
 
 
Вартість активу визначається з точки зору вартості його заміщення, 
придбання або відновлення, якщо це фізичний або програмний актив, або, якщо 
це інформаційний актив, його оцінка визначається шляхом інтерв'ю з окремими 
представниками суб'єктів інформації. Всі бали зводяться до єдиної числової 
шкали від 0 до 4. Далі кожен тип загрози визначається для кожної групи активів, 
пов'язаних з цим типом загрози, щоб провести подальшу оцінку. Рівень загрози 
визначається як ймовірність її виникнення, а рівень вразливості – як легкість, з 
якою загроза може бути використана для спричинення несприятливих наслідків. 
Оцінка проводиться за якісною шкалою від високої до низької. На основі балів, 
отриманих у таблиці 4, визначають міру ризику: 
- Низький ризик: 0-2; 
- середній ризик: 3-5; 
- Високий ризик: 6-8. 
Другий  метод - метод ранжування показників ризиків загрози. 
Цей метод пов'язує вартість активів з ймовірністю виникнення загрози 
(табл. 5). 
Першим кроком є оцінка наслідків за шкалою від 1 до 5 (приклад зі 
стандарту) для кожного активу, що перебуває під загрозою зникнення (b). Крок 
 
другий – оцінка ймовірності виникнення загрози за шкалою від 1 до 5 (с). Третім 
кроком є розрахунок міри ризику шляхом множення (bxc), після чого проводиться 
ранжування. 
Таблиця 5. Ранжування загроз за допомогою показників ризику 
Наслідки Ступінь 
Ідентифікатор Ранжування 
(вартість активів) ймовірності Міра ризику (d) 
загрози(а) загроз (e) 
(b) загрози (с) 
Загроза А 5 2 10 2 
Загроза Б 2 4 18 3 
Загроза В 3 5 15 1 
Загроза D 1 3 3 5 
Загроза Е 4 1 4 4 
Загроза F 2 4 8 3 
 
Ця процедура дозволяє порівнювати та пріоритезувати різні загрози з 
різними наслідками та ймовірністю виникнення. 
Третій метод полягає в оцінці значення ймовірності і можливих наслідків 
ризиків. 
Він також ґрунтується на оцінці двох значень – для кожного активу та 
ризику, поєднання яких визначатиме бали для кожного активу. Цей метод, крім 
оцінки ризиків, визначає, яким системам слід віддати перевагу в управлінні 
ризиками. Метод заснований на тих же таблицях, що і перший спосіб, з 
невеликими змінами. 
Спочатку кожному активу присвоюється значення. Потім імовірність 
загрози оцінюється на основі комбінації ймовірності виникнення загрози та 
простоти використання вразливості в таблиці 6. 
Таблиця 6. Оцінка значення ступеня ймовірності і можливих наслідків ризиків 
Рівні загрози Низький Середній Високий 
Рівні вразливості Н С В Н С В Н С В 
Значення ймовірності 0 1 2 1 2 3 2 3 4 
 
 
Потім, знайшовши перетин ліній вартості активу та ймовірності в таблиці 7, 
бали присвоюються активу/загрозі. Очки активу/загрози розраховуються для 
отримання фінальних балів для активу. За цим показником можна розрізняти 
активи, з яких складається система. 
 
Таблиця 7. Значення вартості активу та ймовірності 
Цінність активів 
Значення ймовірності 
0 1 2 3 4 
0 0 1 2 3 4 
1 1 2 3 4 5 
2 2 3 4 5 6 
3 3 4 5 6 7 
4 4 5 6 7 8 
 
 
Завершальним кроком є підрахунок усіх кінцевих точок активів системи, 
щоб отримати бали системи. Ця цифра може бути використана для розрізнення 
систем і визначення того, яка система повинна бути захищена. 
Результати етапу оцінки ризиків 
Перелік оцінених ризиків, пріоритезованих відповідно до критеріїв оцінки 
ризиків. 
У даній роботі ми будемо використовувати третій метод для оцінки ризиків 
інформаційної безпеки в ВНЗ, так як ми оцінюємо не тільки окремі активи, але і 
систему в цілому. 
Рівень загрози буде визначатися за методикою визначення поточних загроз, 
оскільки в інформаційній системі ВНЗ основною інформацією, що підлягає 
захисту, є персональні дані. За цією методикою необхідно визначити початковий 
рівень захисту системи (Y1) і частоту (ймовірність) загрози (Y2). Ці параметри 
 
визначаються фахівцями, після чого визначається коефіцієнт доцільності загрози 
Y, який є нашим рівнем. Він розраховується за такою формулою: 
Y = (Y1 + Y2)/20. 
де Y1 визначається наступною шкалою: 
0 – для високого ступеня початкового захисту; 
5 – для середнього ступеня початкового захисту;  
10 – для низького ступеня початкового захисту. 
Y2 є показником, що характеризує ймовірність реалізації конкретної загрози 
безпеці ПД для даної системи в поточних умовах ситуації, і має наступні 
параметри (з числовим коефіцієнтом відповідно до): 
Таблиця 8. Опис параметрів індикатора Y2 
Y2 Опис 
Малоймовірно 0 відсутні об'єктивні передумови для реалізації загрози 
(наприклад, загроза крадіжки інформації особами, які 
не мають легального доступу до приміщення, де 
зберігаються дані) 
Низька ймовірність 2 Існують об'єктивні передумови для реалізації 
загрози, але вжиті заходи значно ускладнюють її 
реалізацію (наприклад, використано відповідні 
засоби захисту інформації). 
Середня ймовірність 5 Існують об'єктивні передумови для реалізації 
загрози, але заходів, вжитих для забезпечення 
збереження персональних даних, недостатньо. 
Висока ймовірність 10 Об'єктивні передумови для реалізації загрози 
існують, а заходи щодо забезпечення безпеки 
персональних даних не вжиті. 
 
Тоді в результаті рівень загрози Y визначається за такою шкалою:  
якщо 0 ≤ Y ≤ 0,3, то можливість реалізації загрози визнається низькою; 
 
якщо 0,3 < Y ≤ 0,6, то визнається можливість загрози середній; 
якщо 0,6 < Y ≤ 0,8, то можливість реалізації загрози вважається високою; 
якщо Y > 0,8, то ймовірність реалізації загрози вважається дуже високою. 
Рівень вразливості визначає можливість отримання доступу до системи та 
зручність її використання фахівцями за такою шкалою: 
 
Таблиця 9. Опис індикаторів вразливостей 
Рівень ризику 
Опис 
(вразливості) 
 Уразливість дозволяє прийняти критичну систему 
(бізнес-додаток або критичний компонент ІТ-
Високий 
інфраструктури) і виконати довільний код. 
 Доступні інструменти для використання вразливості. 
 Уразливість дозволяє прийняти критичну систему 
(бізнес-додаток або критичний компонент ІТ-
Середній інфраструктури) і виконати довільний код. 
 Доступних інструментів для використання вразливості 
поки що немає. 
 Уразливість дозволяє отримати некритичну 
інформацію. 
Низький 
 Уразливість була знайдена в системі, яка не містить 
критичної інформації. 
 
Завершальним етапом аналізу ризиків є їх оцінка та обробка. Оцінка ризиків 
проводиться за заданими критеріями. Відповідно до стандарту ISO 27005 критерії 
оцінки ризиків наступні: 
0 - 2 – низький ризик; 
3 - 5 - середній ризик; 
6 - 8 - високий ризик. 
 
За результатами аналізу ризиків буде надано оцінку ризиків щодо 
виявлених загроз. У цьому випадку межі для критеріїв ризику будуть визначені 
наступним чином: 
[0; 2x +x/2] – низький ризик; 
(3x-x/2; 5x+x/2] – середній ризик;  
(6х-х/2; 8] – високий ризик. 
Де x – кількість виявлених загроз. 
 
3.2    Аналіз інформаційно-телекомунікаційної системи Вищого 
навчального закладу 
Засновником ВНЗ є Міністерство освіти і науки України. Основною метою і 
напрямком діяльності ВНЗ є підвищення якості знань і рівня професійних 
компетенцій випускників ВНЗ шляхом розробки, створення і впровадження 
інноваційних освітніх технологій, електронних навчально-методичних 
комплексів, компетентнісного підходу. Ці технології та форми навчання 
дозволили реально підвищити якість професійної підготовки, насамперед 
практичної, і зробили випускників ВНЗ затребуваними на ринку праці. 
Сьогодні ВНЗ спеціалізується на підготовці бухгалтерів, фінансистів, ІТ-
спеціалістів, менеджерів, маркетологів, техніків автоматизованих систем обробки 
та управління інформацією, конструкторів. 
Викладачі ВНЗ мають практичний досвід роботи за відповідною 
спеціальністю та глибоку теоретичну підготовку, необхідну для успішної 
реалізації програм підготовки фахівців середньої та вищої ланки.  
Давайте розглянемо інформаційні ресурси цього ВНЗ та порядок доступу 
науково-педагогічних працівників до інформаційно-телекомунікаційні мережі та 
бази даних, навчально-методичні матеріали, матеріально-технічні засоби 
забезпечення освітньої діяльності. 
Доступ викладачів та студентів до інформаційних ресурсів забезпечується з 
метою якісного здійснення навчальної та іншої діяльності, передбаченої Статутом 
 
ВНЗ. 
Професорсько-викладацький склад користується навчальними, 
методичними та науковими послугами ВНЗ на безоплатній основі. Користування 
навчально-методичними та науковими послугами ВНЗ здійснюється через веб-
сайт та локальну мережу ВНЗ, а також методичні кабінети, навчальну частину. 
Досліджуване підприємство містить такі інформаційні ресурси: 
Інформація, пов'язана з комерційною таємницею: 
 заробітна плата; 
 договори з постачальниками та орендарями. 
Інформація, що охороняється: 
 особові справи співробітників і студентів; 
 трудові договори; 
 особові картки працівників; 
 вміст регістрів обліку бухгалтерського обліку і внутрішня 
бухгалтерія; 
 інші розробки та документи для внутрішнього користування.  
 публічна інформація: 
 буклети; 
 інформація на  сайті; 
 установчий документ; 
 статут; 
 перелік освітніх програм тощо. 
Доступ до інформаційно-телекомунікаційних мереж: доступ викладачів до 
інформаційно-телекомунікаційної мережі Інтернет в ВНЗ здійснюється з 
персональних комп'ютерів (ноутбуків тощо), підключених до мережі Інтернет. 
Для доступу до інформаційно-телекомунікаційних мереж в ВНЗ викладачеві 
надаються ідентифікаційні дані (логін і пароль / аккаунт). Доступ надається 
системним адміністратором ВНЗ. 
Доступ до баз даних: Викладачам надається доступ до таких електронних 
 
баз даних: 
 професійні бази даних; 
 інформаційно-довідкові системи; 
 пошукові системи. 
Доступ до електронних баз даних здійснюється на умовах, визначених 
договорами, укладеними ВНЗ з правовласником електронних ресурсів (зовнішніх 
баз даних). 
Інформація про освітні, методичні, наукові, нормативні та інші електронні 
ресурси, доступні для використання, розміщена на сайті ВНЗ. 
Електронні освітні ресурси 
 Локальна мережа для одночасної роботи 768 комп'ютерів. 
(Високошвидкісна глобальна мережа (пакет 20 000 МБ на місяць), 70% аудиторій 
оснащені комп'ютерною та комунікаційною технікою (в т.ч. 25 робочих місць 
електронної бібліотеки); 
 освітній портал; 
 веб-сторінка викладача; 
 Програмна оболочка Moodle 
 Навчально-методична комплекс на Основі Кейс-технології (на 
папері); 
 Навчально-методичний електронний комплекс за спеціальністю: 
 Понад 50 електронних підручників з дисциплін; 
 Система організація самостійної роботи студентів в електронній 
бібліотеці; 
 Міждисциплінарний навчально-методичний електронний комплекс 
компетентностей: 
 Електронні підручники з компетенцій; 
 Практичні заняття в корпоративних навчально-виробничих центрах; 
 Система сертифікації; 
 Моніторинг (система оцінки знань, умінь і навичок). 
 
Програмне забезпечення, що використовується в навчальному процесі, 
дозволяє в повній мірі реалізувати всі освітні програми. Застосовувати: 
 Операційні системи: Windows XP, 8, 10; 
 Пакети прикладних програм: MS Office, «Бухгалтерія», 
«Підприємство»; 
 Правова довідкова система «Консультант-Плюс»; 
 Автоматизовані робочі місця (АРМ) конструктора КОМПАС; 
 Робочі станції захищені засобами антивірусного захисту. 
У ВНЗ проводиться цілеспрямована робота зі створення та розвитку 
сучасних технологій навчання із залученням системи електронного навчання, 
формування нових програм підготовки випускників різних рівнів відповідно до 
вимог ринку, відкриття нових спеціальностей та спеціалізацій за напрямами 
відповідно до вимог промисловості, торгівлі та послуг, розробка та впровадження 
систем додаткової, дистанційної та безперервної освіти, впровадження системи 
працевлаштування випускників на основі довгострокової взаємодії ВНЗ зі 
споживачами (підприємствами, фірмами та організаціями) у підготовці фахівців 
різного рівня та профілю. 
Впровадження в ВНЗ електронної системи навчання на допомогу 
викладачеві та студенту дозволило повністю перейти на індивідуальні та масові 
форми навчання, а потужна електронна бібліотека створила можливість для 
викладачів перекласти більшу частину рутинної роботи на техніку, студентів 
самостійно опанувати та оновити знання. Підвищилася працездатність викладачів 
і студентів, зросла доступність освіти. 
Таким чином, висока ефективність використання комп'ютерної техніки та 
інформаційних ресурсів визначається комплексом наступних завдань: 
 інформаційне забезпечення та контроль освітнього процесу, діяльності 
структурних підрозділів ВНЗ; 
 організація і проведення Навчання Класи організація 
позакласної самостійної роботи учнів; 
 
 підтримка додаткових освітніх послуг; 
 контроль за результатами засвоєння навчальної програми здобувачами 
освіти. 
Технічний відділ ВНЗ займається адмініструванням мережі та 
розмежуванням прав користувачів. Політика безпеки домену наказує 
користувачам регулярно змінювати паролі, контролює неповторення та 
несхожість паролів. 
У локальній мережі ВНЗ для співробітників доступні шаблони різних 
документів, а також мережа використовується для обміну поточними 
документами. Для цього використовуються спільні папки Windows. Доступ до 
спільних папок обмежується залежно від статусу працівника. Співробітник ВНЗ 
може змінювати документи, що зберігаються в них, тільки в тому випадку, якщо 
він має доступ до цієї папки і авторизований в академічній книжці, в якій був 
створений документ. 
Працівники ВНЗ мають доступ до мережі Інтернет через шлюз у 
корпоративній мережі. За допомогою електронної пошти відбувається обмін 
документами з іншими освітніми організаціями та Міністерством освіти. 
На даний момент в ВНЗ функціонує інформаційна система 
«Абітурієнт» створений для автоматизації прийому документів від 
абітурієнтів денної та заочної форм навчання, складання прохідних списків, 
наказів про прийом студентів до ВНЗ. АС «ЄДЕБО» значно спрощує роботу 
приймальної комісії ВНЗ. АС «ЄДЕБО» зберігає і працює з наступними даними 
про претендентів: ПІБ, паспортні дані, дата народження, інформація про 
реєстрацію за місцем проживання, місцем роботи, номер телефону, результати 
іспитів, інформація про родичів заявника. Ці дані є персональною інформацією і 
охороняються Законом про захист персональних даних. 
Дані заявника зберігаються на сервері бази даних. Доступ до даних 
здійснюється за допомогою спеціально розробленого інтерфейсу користувача 
системи Entrant AS. Кожен користувач системи має свій логін і пароль. 
 
Фіксуються всі зміни, внесені в дані конкретними користувачами. Сервер 
встановлено у відділі «Інформаційних технологій», фізичний доступ до нього 
мають лише працівники цього відділу. 
Аналіз та оцінка ризиків здійснюються за методикою, розробленою у 
другому розділі цієї роботи. 
Ідентифікація активів 
У таблиці 10 представлений перелік інформаційних систем, отриманих в 
ході аудиту інформаційної безпеки ВНЗ. Оцінка вартості інформаційних активів, 
що обробляються в АІС та ІСПД, визначалася експертним шляхом. 
 
Таблиця 10. Перелік АІС і ІСПД обробки КІ, КТ і ПД  
 Ім'я Опис Зміст 
Пункт № Інформаційна система Інформаційна система Інформаційна система 
Паспортні дані студента 
Дані атестата студента 
Контактний номер 
телефону 
Електронна пошта 
Спеціальність 
Програмний продукт є Накази про зарахування, 
комплексним рішенням відрахування, академічну 
для управління діяльністю відпустку 
закладів початкової та Паспортні дані, ІПН, 
1 «ВНЗ профі» 
середньої професійної контактний номер 
освіти та охоплює всі рівні телефону, досвід роботи 
управлінської діяльності співробітників освітньої 
основних підрозділів ВНЗ. організації 
Освітні програми, робочі 
програми, розклад занять, 
успішність студентів 
 
Автоматизована - Паспортні дані студента 
інформаційна система - Паспортні дані батьків 
«Мережеве Місто. Освіта», (родичів) учня 
модуль - Паспортні дані 
«Модуль організації 
- Контактний номер 
професійно-технічної 
телефону 
освіти для професійно-
технічної освіти - Електронна пошта 
організації АІС дозволяє - Досягнення 
вирішувати - Групи здоров'я 
адміністративні завдання - Спеціальність 
професійних освітніх 
Регіональні АІС - Накази про зарахування, 
2 організацій та 
«Мережеве місто освіти» відрахування, академічну 
контролювати поточний відпустку 
освітній процес. - Паспортні дані, ІПН, 
номер телефону, стаж 
роботи співробітників 
освітньої організації 
- Освітні програми, робочі 
програми, 
- Розклад занять, 
успішність учнів 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Продовження таблиці 10. Перелік АІС і ІСПД обробки КІ, КТ і ПД 
 
- Паспортні дані студента 
- Паспортні дані 
- Галузь знань 
- Спеціальність 
Єдина державна - Порядок зарахування 
3 ЄДЕБО електрона  база з питань 
освіти 
- Прізвище, ім'я, по-батькові 
викладачів 
- Фотографії викладачів 
- Коротка біографія 
Сайт освітньої педагогів 
4  
організації  - Всі документи про освітню 
організацію 
- Фотографії з подій, в тому 
числі масові фото 
студентів 
Прізвище, ім'я, по батькові, 
Програмний продукт 
посада, відділ працівника 
«СТЕК-Документообіг» 
допомагає структурувати 
та автоматизувати рух 
5 СТЕК Документообігу документів в організації 
від моменту їх створення 
або отримання до 
завершення виконання 
або відправки. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Продовження таблиці 10. Перелік АІС і ІСПД обробки КІ, КТ і ПД 
Версія СТЕК для Підсистема:  "СТЕК – 
державних установ Бухгалтерія" 
призначена для - Імена працівників 
автоматизації обліку - Паспортні дані 
державних установ будь- працівників: 
якого типу: державних, - (Серія, номер, коли, ким 
бюджетних і автономних, 
видано) 
що знаходяться на 
- Дата народження 
самостійному балансі, що 
працівників 
фінансуються з 
державного  або місцевих - Ідентифікаційний номер 
бюджетів, а також з платника податків (ІПН) 
бюджету державного працівників 
позабюджетного фонду, - Адреса реєстрації 
ведення обліку відповідно працівників 
до наведених вище - Місце народження 
Планами рахунків та студентів 
інструкціями по їх - Контактний номер 
застосуванню. телефону співробітників 
ПП «Комплексна система 
- посада 
6 бухгалтерського обліку» 
СТЕК - банківські реквізити 
 
Підсистема:  "СТЕК – 
Склад" 
- Імена працівників 
- Паспортні дані 
працівників: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження 
працівників 
- Ідентифікаційний номер 
платника податків (ІПН) 
працівників 
- Адреса реєстрації 
працівників 
- Місце народження учнів 
- Контактний номер 
телефону співробітників 
 
   Підсистема: "СТЕК – 
Облік основних засобів» 
Імена працівників 
Паспортні дані працівників: 
(Серія, номер, коли, ким 
видано) 
Дата народження працівників 
Ідентифікаційний номер 
платника податків (ІПН) 
працівників 
Адреса реєстрації працівників 
Місце народження учнів 
Контактний номер телефону 
співробітників 
 
Підсистема:  "СТЕК – 
Зарплата" 
 
- Імена працівників 
- Паспортні дані працівників: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження 
працівників 
- Ідентифікаційний номер 
платника податків (ІПН) 
працівників 
- Адреса реєстрації 
працівників 
- Місце народження учнів 
- Контактний номер телефону 
співробітників 
- особистий кабінет Інші 
учасники (наприклад, ті, хто 
працює за договором 
підряду) 
 
Підсистема:  "СТЕК – платник 
податків"  
- Прізвища працівників 
- Паспортні дані працівників: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження 
працівників 
- Ідентифікаційний номер 
платника податків (ІПН) 
працівників 
 
 
   - Адреса реєстрації 
працівників 
- Контактний номер телефону 
співробітників 
- особистий кабінет Інші 
учасники (наприклад, ті, хто 
працює за договором 
підряду) 
 
Підсистема:  "СТЕК – 
Кадровий облік підприємства" 
- Імена працівників 
- Паспортні дані працівників: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження 
працівників 
- Ідентифікаційний номер 
платника податків (ІПН) 
працівників 
- Адреса реєстрації 
працівників 
- Місце народження учнів 
- Контактний номер телефону 
співробітників 
 
Підсистема:  "СТЕК – Облік 
розрахунків за житловим 
фондом" 
- Імена працівників 
- Паспортні дані працівників: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження 
працівників 
- Ідентифікаційний номер 
платника податків (ІПН) 
працівників 
- Адреса реєстрації 
працівників 
- Місце народження учнів 
- Контактний номер телефону 
співробітників 
 
Підсистема:  "СТЕК – 
Гуртожиток" 
- Імена працівників 
 
 
   - Паспортні дані працівників: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження працівників 
- Ідентифікаційний номер 
платника податків (ІПН) 
працівників 
- Адреса реєстрації працівників 
- Місце народження учнів 
- Контактний номер телефону 
співробітників 
- Прізвище, ім'я, по батькові 
учнів 
- Паспортні дані студентів: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження учнів 
- СНІЛС студентів 
- Студентський 
ідентифікаційний номер 
платника податків (ІПН 
- Адреса реєстрації студентів 
- Місце народження учнів 
- Контактний номер телефону 
студентів 
- Особистий кабінет 
 
Підсистема: "СТЕК -
Розрахунки зі студентами» 
- Прізвище, ім'я, по батькові 
учнів 
- Паспортні дані студентів: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження учнів 
- Студентський 
ідентифікаційний номер 
платника податків (ІПН) 
- Адреса реєстрації студентів 
- Місце народження учнів 
- Контактний номер телефону 
студентів 
- Особистий кабінет ПІБ 
батьків 
- Паспортні дані батьків: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження батьків 
 
- ІПН батьків 
- Адреса реєстрації батьків 
- Місце народження батьків 
- Контактний номер телефону 
батьків 
Опис захищеної - Прізвище, ім'я, по батькові 
системи електронного учнів 
документообігу, що - Паспортні дані студентів: 
дозволяє здавати - (Серія, номер, коли, ким 
звітність в ДПСУ, 
видано) 
Пенсійний фонд 
- Дата народження учнів 
України, та інші 
контролюючі органи. - Студентський 
Тарифи. Заявка на ідентифікаційний номер 
підключення. платника податків (ІПН 
- Адреса реєстрації студентів 
- Місце народження учнів 
7 ЗСЕД - Імена працівників 
- Паспортні дані працівників: 
- (Серія, номер, коли, ким 
видано) 
- Дата народження 
працівників 
- Ідентифікаційний номер 
платника податків (ІПН) 
працівників 
- Адреса реєстрації 
працівників 
- Місце народження учнів 
 
Виявлення вразливостей 
В ході аудиту інформаційної безпеки Організації були виявлені вразливості 
за наступними напрямками: 
 персонал; 
 приміщення та обладнання; 
 нормативно-методична база; 
 системи зв'язку; 
 програмні засоби та операційні системи. 
Персонал може призвести до різноманітних загроз. Некваліфіковані та 
неуважні співробітники можуть завдати ненавмисної шкоди організації. Зайва 
балакучість, бажання помститися керівництву або колезі по роботі, схильність до  
 
 
маніпуляцій (впливу з боку зловмисника) можуть розкрити конфіденційні дані 
організації, завдати фінансової або репутаційної шкоди. Наявність шкідливих 
звичок може призвести до фізичної шкоди, наприклад, пожежі через те, що 
залишилося. недопалок. 
Приміщення  та обладнання мають безліч можливостей для реалізації різних 
загроз. Відсутність системи пожежної сигналізації в приміщенні, відсутність 
системи контролю доступу в приміщення, невідповідність приміщення вимогам 
безпеки можуть призвести до ряду різних загроз. З апаратного боку можуть 
виникати такі вразливості, як несправність обладнання, знос і старіння елементів 
обладнання, залежність від фізичного середовища експлуатації, необхідність 
фізичного захисту від несанкціонованого доступу і т.д.. 
Нормативно-методична база використовує недосконалість організації в 
області розробки нормативно-методичних документів, положень, актів і т.д. 
Програмне забезпечення та операційні системи мають безліч вразливостей, 
обумовлені помилками коду, недоліком чи відсутністю необхідних засобів 
захисту (автентифікації, перевірки цілісності), впровадженням шкідливих програм 
тощо, які можуть призвести до реалізації різних загроз, таких як, наприклад, 
відмова в обслуговуванні, НСД. 
Докладний список організаційних та програмно-апаратних вразливостей 
наведений в звіті який був проведений в ході аудиту ВНЗ 
Оцінка ризиків 
В таблиці 11 представлена оцінка ризиків ІБ по активам та відповідним їм 
загрозам, оцінка яких проведена раніше. 
Оцінки здійснювалася за методикою, розробленою в пункті 3.1 
магістерської роботи. 
 
 
 
 
 
Таблиця 11. Оцінка ризиків інформаційної безпеки 
Активи Оцінка Загрози Значення Міра Кінцевий 
ступеня ризику бал для 
ймовірності активу 
«ВНЗ профі» 2 Загроза введення шкідливого 0 2 87 
коду BIOS 
Загроза доступу до 2 4 
захищених файлів з  
використанням обхідного 
шляху 
Загроза використання 2 4 
інформації 
Ідентифікація/автентифікація, 
Визначеної за замовчуванням 
Загроза вивчення механізмів 1 3 
робота програми 
Загроза незаконного 3 5 
ознайомлення із захищеною 
інформацією 
Загроза несанкціонованого 2 4 
доступ до активного та (або) 
Пасивному віртуальному та 
(або) фізичному мережевому 
обладнання з фізичної та 
(або) віртуальної мережі 
Загроза несанкціонованої 2 4 
доступ до захищуваних 
Віртуальним пристроям з під 
Віртуальної та (або) фізичної 
мережі 
Загроза несанкціонованого 3 5 
доступу до збереженої у 
віртуальному простірі 
захищуваної інформації 
Загроза несанкціонованої 3 5 
видалення захищуваної 
інформації 
 
Загроза знаходження 3 5 
відкритих портів та 
ідентифікація прив’язаних  
до них мережевих служб 
Загроза визначення топології 2 4 
обчислювальної мережі 
Загроза перехоплення 1 3 
введеної та виведеної 
інформації на перефирійні 
пристрої 
Загроза перехоплення даних, 3 5 
які передаються 
обчислювальною мережею 
Загроза підбору пароля BIOS 0 2 
Загроза втрати інформації 0 2 
через невідповідність роботи 
вузлів сховища великих 
даних  
Загроза програмного 3 5 
виведення з ладу засобів 
зберігання, обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза фізичного виведення 2 4 
з ладу засобів зберігання, 
обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза викрадення засобів 1 3 
зберігання обробки та (або) 
вводу/виводу/передачі 
інформації 
Загроза зараження 2 4 
комп’ютера при відвідуванні 
неблагонадійних сайтів 
Загроза несанкціонованої 3 5 
модифікації захищеної 
 
інформації 
Загроза перехоплення 1 3 
одноразових паролів в 
режимі реального часу 
Загроза використання 4 6 
вразливих версій 
програмного забезпечення 
Регіональні АІС 4 Загроза введення шкідливого 0 4 132 
«Мережеве коду BIOS 
місто освіти» Загроза доступу до 2 6 
захищених файлів з  
використанням обхідного 
шляху 
Загроза використання 2 6 
інформації 
Ідентифікація/автентифікація, 
Визначеної за замовчуванням 
Загроза вивчення механізмів 1 5 
робота програми 
Загроза незаконного 3 7 
ознайомлення із захищеною 
інформацією 
Загроза несанкціонованого 2 6 
доступ до активного та (або) 
Пасивному віртуальному та 
(або) фізичному мережевому 
обладнання з фізичної та 
(або) віртуальної мережі 
Загроза несанкціонованої 2 6 
доступ до захищуваних 
Віртуальним пристроям з під 
Віртуальної та (або) фізичної 
мережі 
Загроза несанкціонованого 3 7 
доступу до збереженої у 
віртуальному простірі 
захищуваної інформації 
 
Загроза несанкціонованої 3 7 
видалення захищуваної 
інформації 
Загроза знаходження 3 7 
відкритих портів та 
ідентифікація прив’язаних  
до них мережевих служб 
Загроза визначення топології 2 6 
обчислювальної мережі 
Загроза перехоплення 1 5 
введеної та виведеної 
інформації на перефирійні 
пристрої 
Загроза перехоплення даних, 3 7 
які передаються 
обчислювальною мережею 
Загроза підбору пароля BIOS 0 4 
Загроза втрати інформації 0 4 
через невідповідність роботи 
вузлів сховища великих 
даних  
Загроза програмного 3 7 
виведення з ладу засобів 
зберігання, обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза фізичного виведення 2 6 
з ладу засобів зберігання, 
обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза викрадення засобів 1 5 
зберігання обробки та (або) 
вводу/виводу/передачі 
інформації 
Загроза зараження 2 6 
комп’ютера при відвідуванні 
 
неблагонадійних сайтів 
Загроза несанкціонованої 3 7 
модифікації захищеної 
інформації 
Загроза перехоплення 1 5 
одноразових паролів в 
режимі реального часу 
Загроза використання 4 8 
вразливих версій 
програмного забезпечення 
ЄДЕБО 1 Загроза введення шкідливого 0 1 65 
коду BIOS 
Загроза доступу до 2 3 
захищених файлів з  
використанням обхідного 
шляху 
Загроза використання 2 3 
інформації 
Ідентифікація/автентифікація, 
Визначеної за замовчуванням 
Загроза вивчення механізмів 1 2 
робота програми 
Загроза незаконного 3 4 
ознайомлення із захищеною 
інформацією 
Загроза несанкціонованого 2 3 
доступ до активного та (або) 
Пасивному віртуальному та 
(або) фізичному мережевому 
обладнання з фізичної та 
(або) віртуальної мережі 
Загроза несанкціонованої 2 3 
доступ до захищуваних 
Віртуальним пристроям з під 
Віртуальної та (або) фізичної 
мережі 
Загроза несанкціонованого 3 4 
 
доступу до збереженої у 
віртуальному простірі 
захищуваної інформації 
Загроза несанкціонованої 3 4 
видалення захищуваної 
інформації 
Загроза знаходження 3 4 
відкритих портів та 
ідентифікація прив’язаних  
до них мережевих служб 
Загроза визначення топології 2 3 
обчислювальної мережі 
Загроза перехоплення 1 2 
введеної та виведеної 
інформації на перефирійні 
пристрої 
Загроза перехоплення даних, 3 4 
які передаються 
обчислювальною мережею 
Загроза підбору пароля BIOS 0 1 
Загроза втрати інформації 0 1 
через невідповідність роботи 
вузлів сховища великих 
даних  
Загроза програмного 3 4 
виведення з ладу засобів 
зберігання, обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза фізичного виведення 2 3 
з ладу засобів зберігання, 
обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза викрадення засобів 1 4 
зберігання обробки та (або) 
вводу/виводу/передачі 
 
інформації 
Загроза зараження 2 3 
комп’ютера при відвідуванні 
неблагонадійних сайтів 
Загроза несанкціонованої 3 4 
модифікації захищеної 
інформації 
Загроза перехоплення 1 2 
одноразових паролів в 
режимі реального часу 
Загроза використання 4 5 
вразливих версій 
програмного забезпечення 
Сайт освітньої 2 Загроза введення шкідливого 0 3 110 
організації коду BIOS 
Загроза доступу до 2 5 
захищених файлів з  
використанням обхідного 
шляху 
Загроза використання 2 5 
інформації 
Ідентифікація/автентифікація, 
Визначеної за замовчуванням 
Загроза вивчення механізмів 1 4 
робота програми 
Загроза незаконного 3 6 
ознайомлення із захищеною 
інформацією 
Загроза несанкціонованого 2 5 
доступ до активного та (або) 
Пасивному віртуальному та 
(або) фізичному мережевому 
обладнання з фізичної та 
(або) віртуальної мережі 
Загроза несанкціонованої 2 5 
доступ до захищуваних 
Віртуальним пристроям з під 
 
Віртуальної та (або) фізичної 
мережі 
Загроза несанкціонованого 3 6 
доступу до збереженої у 
віртуальному простірі 
захищуваної інформації 
Загроза несанкціонованої 3 6 
видалення захищуваної 
інформації 
Загроза знаходження 3 6 
відкритих портів та 
ідентифікація прив’язаних  
до них мережевих служб 
Загроза визначення топології 2 5 
обчислювальної мережі 
Загроза перехоплення 1 4 
введеної та виведеної 
інформації на перефирійні 
пристрої 
Загроза перехоплення даних, 3 6 
які передаються 
обчислювальною мережею 
Загроза підбору пароля BIOS 0 3 
Загроза втрати інформації 0 3 
через невідповідність роботи 
вузлів сховища великих 
даних  
Загроза програмного 3 6 
виведення з ладу засобів 
зберігання, обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза фізичного виведення 2 5 
з ладу засобів зберігання, 
обробки та(або) 
вводу/виводу/передачі 
інформації 
 
Загроза викрадення засобів 1 4 
зберігання обробки та (або) 
вводу/виводу/передачі 
інформації 
Загроза зараження 2 5 
комп’ютера при відвідуванні 
неблагонадійних сайтів 
Загроза несанкціонованої 3 6 
модифікації захищеної 
інформації 
Загроза перехоплення 1 4 
одноразових паролів в 
режимі реального часу 
Загроза використання 4 7 
вразливих версій 
програмного забезпечення 
СТЕК 3 Загроза введення шкідливого 0 3 110 
Документообігу коду BIOS 
Загроза доступу до 2 5 
захищених файлів з  
використанням обхідного 
шляху 
Загроза використання 2 5 
інформації 
Ідентифікація/автентифікація, 
Визначеної за замовчуванням 
Загроза вивчення механізмів 1 4 
робота програми 
Загроза незаконного 3 6 
ознайомлення із захищеною 
інформацією 
Загроза несанкціонованого 2 5 
доступ до активного та (або) 
Пасивному віртуальному та 
(або) фізичному мережевому 
обладнання з фізичної та 
(або) віртуальної мережі 
 
Загроза несанкціонованої 2 5 
доступ до захищуваних 
Віртуальним пристроям з під 
Віртуальної та (або) фізичної 
мережі 
Загроза несанкціонованого 3 6 
доступу до збереженої у 
віртуальному простірі 
захищуваної інформації 
Загроза несанкціонованої 3 6 
видалення захищуваної 
інформації 
Загроза знаходження 3 6 
відкритих портів та 
ідентифікація прив’язаних  
до них мережевих служб 
Загроза визначення топології 2 5 
обчислювальної мережі 
Загроза перехоплення 1 4 
введеної та виведеної 
інформації на перефирійні 
пристрої 
Загроза перехоплення даних, 3 6 
які передаються 
обчислювальною мережею 
Загроза підбору пароля BIOS 0 3 
Загроза втрати інформації 0 3 
через невідповідність роботи 
вузлів сховища великих 
даних  
Загроза програмного 3 6 
виведення з ладу засобів 
зберігання, обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза фізичного виведення 2 5 
з ладу засобів зберігання, 
 
обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза викрадення засобів 1 4 
зберігання обробки та (або) 
вводу/виводу/передачі 
інформації 
Загроза зараження 2 5 
комп’ютера при відвідуванні 
неблагонадійних сайтів 
Загроза несанкціонованої 3 6 
модифікації захищеної 
інформації 
Загроза перехоплення 1 4 
одноразових паролів в 
режимі реального часу 
Загроза використання 4 7 
вразливих версій 
програмного забезпечення 
ПП 3 Загроза введення шкідливого 0 3 87 
«Комплексна коду BIOS 
система Загроза доступу до 2 5 
захищених файлів з  
бухгалтерського 
використанням обхідного 
обліку» СТЕК 
шляху 
Загроза використання 2 5 
інформації 
Ідентифікація/автентифікація, 
Визначеної за замовчуванням 
Загроза вивчення механізмів 1 4 
робота програми 
Загроза незаконного 3 6 
ознайомлення із захищеною 
інформацією 
Загроза несанкціонованого 2 5 
доступ до активного та (або) 
Пасивному віртуальному та 
 
(або) фізичному мережевому 
обладнання з фізичної та 
(або) віртуальної мережі 
Загроза несанкціонованої 2 5 
доступ до захищуваних 
Віртуальним пристроям з під 
Віртуальної та (або) фізичної 
мережі 
Загроза несанкціонованого 3 6 
доступу до збереженої у 
віртуальному простірі 
захищуваної інформації 
Загроза несанкціонованої 3 6 
видалення захищуваної 
інформації 
Загроза знаходження 3 6 
відкритих портів та 
ідентифікація прив’язаних  
до них мережевих служб 
Загроза визначення топології 2 5 
обчислювальної мережі 
Загроза перехоплення 1 4 
введеної та виведеної 
інформації на перефирійні 
пристрої 
Загроза перехоплення даних, 3 6 
які передаються 
обчислювальною мережею 
Загроза підбору пароля BIOS 0 3 
Загроза втрати інформації 0 3 
через невідповідність роботи 
вузлів сховища великих 
даних  
Загроза програмного 3 6 
виведення з ладу засобів 
зберігання, обробки та(або) 
вводу/виводу/передачі 
 
інформації 
Загроза фізичного виведення 2 5 
з ладу засобів зберігання, 
обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза викрадення засобів 1 4 
зберігання обробки та (або) 
вводу/виводу/передачі 
інформації 
Загроза зараження 2 5 
комп’ютера при відвідуванні 
неблагонадійних сайтів 
Загроза несанкціонованої 3 6 
модифікації захищеної 
інформації 
Загроза перехоплення 1 4 
одноразових паролів в 
режимі реального часу 
Загроза використання 4 7 
вразливих версій 
програмного забезпечення 
ЗСЕД 3 Загроза введення шкідливого 0 3 110 
коду BIOS 
Загроза доступу до 2 5 
захищених файлів з  
використанням обхідного 
шляху 
Загроза використання 2 5 
інформації 
Ідентифікація/автентифікація, 
Визначеної за замовчуванням 
Загроза вивчення механізмів 1 4 
робота програми 
Загроза незаконного 3 6 
ознайомлення із захищеною 
інформацією 
 
Загроза несанкціонованого 2 5 
доступ до активного та (або) 
Пасивному віртуальному та 
(або) фізичному мережевому 
обладнання з фізичної та 
(або) віртуальної мережі 
Загроза несанкціонованої 2 5 
доступ до захищуваних 
Віртуальним пристроям з під 
Віртуальної та (або) фізичної 
мережі 
Загроза несанкціонованого 3 6 
доступу до збереженої у 
віртуальному простірі 
захищуваної інформації 
Загроза несанкціонованої 3 6 
видалення захищуваної 
інформації 
Загроза знаходження 3 6 
відкритих портів та 
ідентифікація прив’язаних  
до них мережевих служб 
Загроза визначення топології 2 5 
обчислювальної мережі 
Загроза перехоплення 1 4 
введеної та виведеної 
інформації на перефирійні 
пристрої 
Загроза перехоплення даних, 3 6 
які передаються 
обчислювальною мережею 
Загроза підбору пароля BIOS 0 3 
Загроза втрати інформації 0 3 
через невідповідність роботи 
вузлів сховища великих 
даних  
Загроза програмного 3 6 
 
виведення з ладу засобів 
зберігання, обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза фізичного виведення 2 5 
з ладу засобів зберігання, 
обробки та(або) 
вводу/виводу/передачі 
інформації 
Загроза викрадення засобів 1 4 
зберігання обробки та (або) 
вводу/виводу/передачі 
інформації 
Загроза зараження 2 5 
комп’ютера при відвідуванні 
неблагонадійних сайтів 
Загроза несанкціонованої 3 6 
модифікації захищеної 
інформації 
Загроза перехоплення 1 4 
одноразових паролів в 
режимі реального часу 
Загроза використання 4 7 
вразливих версій 
програмного забезпечення 
  
Обробка результату оцінки ризиків 
Завершальним етапом оцінки ризиків інформаційної безпеки є їх оцінка. 
Необхідно порівняти виміряні ризики з критеріями оцінки ризиків та визначити 
пріоритети подальшого управління ризиками. 
За результатами оцінки ризику шкала критерію оцінки ризику виглядає 
наступним чином: 
0 - 55 – ризики низькі; 
56 - 121 - ризики середні;  
122 - 176 - Ризики високі. 
 
Інформаційні системи високого ризику вимагають негайного планування та 
здійснення коригувальних дій для зниження ризику. Так як ІСПД, яка пов'язана з 
фінансовою діяльністю ВНЗ, має високий ризик фінансових втрат, що є 
неприпустимим і необхідно в першу чергу вжити всіх заходів для усунення або 
зниження ризиків, пов'язаних з цим ІСПД. Саме: 
- забезпечувати повноту нормативно-правової бази;  
- переглянути та посилити контроль доступу; 
- провести ревізію та модернізацію серверних кімнат, серверного та 
телекомунікаційного обладнання, робочих станцій; 
- удосконалити обслуговування ІТ-інфраструктури шляхом об'єднання 
структурних підрозділів, що здійснюють технічну підтримку інфраструктури 
ВНЗ, в єдиний підрозділ; 
- підвищення кваліфікації та обізнаності персоналу з питань 
інформаційної безпеки; 
- забезпечувати відповідальність за збереження конфіденційної 
інформації; 
- Забезпечте антивірусний захист на всіх серверах і робочих станціях. 
Інформаційні системи із середнім рівнем ризику також повинні 
впроваджувати вищезазначені заходи для зниження ризиків, зокрема для ІСПД, 
які обробляють ПД, КІ та КТ, що мають вищий пріоритет. 
В останню чергу обробляються низько пріоритетні інформаційні системи, 
так як ризики, пов'язані з даними АІС, можуть завдати меншої шкоди, а реалізація 
деяких захисних заходів може бути невиправданою. 
Якщо ризик низький, слід вирішити, чи потрібні якісь коригувальні дії, чи 
можна прийняти ризик. 
Висновки до третього розділу 
У третьому розділі були детально розглянуті етапи оцінки ризиків 
стандарту ДСТУ ISO/IEC 27005:2019 і на його основі розроблена методика оцінки 
ризиків, що включає ідентифікацію активів, загроз, вразливостей, а також їх 
подальшу оцінку. 
 
Дана методологія передбачає якісну та кількісну оцінку з подальшою 
пріоритизацією ризиків, за заданими критеріями, що дозволяє виявити найбільш 
важливі системи для подальшої обробки ризиків. 
Проведено аналіз ІТС ВНЗ для оцінки ризиків інформаційної безпеки. 
Визначено інформаційні активи ВНЗ та їх оцінку. Виявлено загрози та 
вразливості для АІС освітньої організації, проведено їх оцінку. 
Далі була проведена оцінка ризиків на основі отриманих раніше результатів. 
 
ВИСНОВОК 
Магістерська робота вирішує проблему розробки методології оцінки загроз 
інформаційній безпеці освітньої організації на основі існуючих стандартів і 
методів управління ризиками інформаційної безпеки. Результати дослідження 
дозволили зробити такі загальні висновки: 
1. Проблема вибору захисних заходів для ІС освітнього закладу Вищої  
освіти. 
Загрозою безпеці ІС є потенційна можливість порушення основних якісних 
характеристик (властивостей) ІС при її обробці технічними засобами: 
конфіденційності, цілісності, доступності. 
Всі джерела загроз безпеці IС можна розділити на три основні групи: 
- викликані діями  суб'єкт (антропогенний джерела загроз); 
- викликані технічними засобами (техногенні джерела загрози); 
- викликані природними джерелами. 
Як правило, захист від загроз в основному регулюється розробленими і 
затвердженими в освітній організації інструкціями з урахуванням специфіки 
функціонування інформаційних систем організації і чинної нормативної бази 
установи. 
2. Нормативно-правова документація у сфері управління ризиками 
інформаційної безпеки в освітній організації. 
Описано міжнародні стандарти управління інформаційною безпекою, а 
також методологію для визначення актуальних загроз безпеці персональних даних 
при обробці в інформаційних системах персональних даних. 
В якості основного стандарту оцінки ризиків був обраний ДСТУ ISO/IEC 
27005:2019, так як він описує всі основні етапи управління ризиками і підходить 
під специфіку освітньої організації. 
3. Аналіз та оцінка ризиків, пов'язаних із загрозами безпеці 
інформаційних ресурсів ВНЗ, виявив ризики інформаційної безпеки для їх 
подальшої обробки. 
Для досягнення поставлених цілей були реалізовані наступні завдання: 
 
- розроблено методологію оцінки ризиків інформаційної безпеки 
освітньої організації на основі проаналізованих стандартів у сфері управління 
ризиками інформаційної безпеки; 
- проаналізовані інформаційно-телекомунікаційна інфраструктура ВНЗ з 
метою виявлення інформаційних активів, загроз та вразливостей; 
- проведено оцінку інформаційних активів, загроз та вразливостей, а за 
результатами виведено загальну оцінку ризиків у вигляді зведеної таблиці. 
Дослідження не вичерпує всю розглянуту проблему і викликає появу нових 
питань, які потребують вирішення.