ChSTU repository
ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
Learn More
Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/7032| Title: | Управління проєктом впровадження системи кібербезпеки в організації |
| Authors: | Рудницька , Юлія Володимирівна Апілат, Денис Анатолійович |
| Keywords: | управління проєктами;планування;кібербезпека;інформаційний захист;ризики;контроль;впровадження |
| Issue Date: | 17-Dec-2025 |
| Abstract: | Кваліфікаційна робота присвячена дослідженню процесу управління проєктом упровадження системи кібербезпеки в організації. Актуальність дослідження зумовлена зростанням кількості кіберзагроз, що створюють значні ризики для бізнесу, порушують безперервність роботи та можуть спричинити витік критично важливої інформації. Метою кваліфікаційної роботи є дослідження, аналіз та удосконалення методів управління проєктом упровадження системи кібербезпеки, що дозволяє підвищити рівень інформаційної стійкості організації, мінімізувати ризики та забезпечити відповідність сучасним вимогам безпеки. Об’єктом дослідження є процес упровадження системи кібербезпеки в організації. Предметом дослідження є процеси управління проєктом, що охоплюють планування, оцінювання ризиків, вибір технологій захисту, управління ресурсами, комунікаціями та контролем виконання робіт. У роботі застосовано методи проєктного менеджменту відповідно до стандарту PMBOK, методи ризик-менеджменту, а також сучасні підходи до планування архітектури систем інформаційної безпеки. Наукова новизна отриманих результатів полягає в удосконаленні моделі управління проєктом упровадження системи кібербезпеки через поєднання процесного підходу та методів оцінювання ризиків, що дозволяє підвищити ефективність контролю безпеки та точність планування. Практична значимість роботи полягає у можливості застосування розроблених рекомендацій у реальних проєктах організацій, які прагнуть підвищити рівень захищеності інформаційних активів, оптимізувати процеси безпеки та зменшити вплив людського фактора на загальний рівень кіберзахисту. У першому розділі роботи проведено аналіз сучасних кіберзагроз, нормативних вимог та доцільності впровадження системи кібербезпеки. Наведено SWOT та PEST аналізи проєкту, проаналізовано архітектурні підходи до побудови систем інформаційної безпеки. У другому розділі описано структуру управління проєктом, визначено макроцілі, побудовано WBS-структуру, розроблено матрицю відповідальності, а також описано ключові процеси управління відповідно до PMBOK. Третій розділ присвячено оцінюванню ефективності впровадження системи кібербезпеки, аналізу ризиків, визначенню показників ефективності контролю безпеки та розрахунку економічної доцільності проєкту. |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/7032 |
| Appears in Collections: | 126 Інформаційні системи та технології (IT Project Management) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| РЕП_МАГ_Апілат_МІТ-2411.pdf Restricted Access | 4.87 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛГІЙ І СИСТЕМ
КАФЕДРА ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ ПРОЕКТУВАННЯ
ПОЯСНЮВАЛЬНА ЗАПИСКА
до кваліфікаційної роботи магістра
на тему: «Управління проєктом впровадження системи кібербезпеки в
організації»
Виконав: здобувач другого
(магістерського) рівня вищої освіти
2 курсу, групи МІТ-2411
Спеціальності 126 Інформаційні систем та
технології
ОП «IT Project Management»
Апілат Денис Анатолійович
Керівник: доктор філософії, старший
викладач кафедри інформаційних
технологій проектування
Рудницька Юлія Володимирівна
Рецензент: к.т.н., доцент кафедри
Інформаційних технологій Черкаського
національного університету ім.
Б.Хмельницького Стабецька Т.А.
Черкаси – 2025 року
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
Факультет інформаційних технологій і систем
(повна назва)
Кафедра інформаційних технологій проектування
(повна назва)
Освітньо-кваліфікаційний рівень магістр
( назва)
Спеціальність 126 «Інформаційні системи та технології»
(шифр і назва)
ЗАТВЕРДЖУЮ
Завідувач кафедри ІТП
Тетяна ПРОКОПЕНКО
«____» ________________ 2025 року
З А В Д А Н Н Я
НА КВАЛІФІКАЦІЙНУ РОБОТУ МАГІСТРА
Апілату Денису Анатолійовичу
(прізвище, ім’я, по батькові)
1. Тема роботи Управління проєктом впровадження системи кібербезпеки в організації
Керівник роботи Рудницька Юлія Володимирівна
( прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
Затверджено наказом Черкаського державного технологічного університету від
« 07 » жовтня 2025 року № 307/03-03
2.Строк подання здобувачем роботи 03 грудня 2025 р.
3. Вихідні дані до роботи стандарти управління проектами; процеси управління проектом;
вимоги до керівника проекту; управління командою проекту; календарне планування
проекту; управління ризиками проекту; управління ресурсами проекту.
4. Зміст розрахунково-пояснювальної записки (перелік питань, які потрібно розробити)
Список умовних скорочень; Вступ; Розділ 1 Аналітичний огляд предметної області
Розділ 2 Планування проєкту впровадження кібербезпеки в організації; Розділ 3. Реалізація
проєкту впровадження системи кібербезпеки; Висновки.
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів)
1) Матриця ризиків
2) Організаційна структура
3) Архітектура мережевої безпеки
6. Консультанти розділів роботи
Розділ Прізвище, ініціали та Підпис, дата
посада консультанта
завдання завдання
видав прийняв
7. Дата видачі завдання 15 вересня 2025 року
КАЛЕНДАРНИЙ ПЛАН
№ Назва етапів Строк виконання
Примітка
з/п кваліфікаційної роботи етапів роботи
1.1 Постановка задачі 15.09.2025 виконано
1.2 Підготовка завдання 18.09.2025 виконано
1.3 Погодження завдання 19.09.2025 виконано
1.4 Затвердження завдання 25.09.2025 виконано
2 Основна стадія
2.1 Підбір матеріалів 29.09.2025 виконано
Оцінка можливих варіантів вирішення 06.10.2025
2.2 виконано
поставленої задачі
2.3 Розрахунок основних параметрів рішення 10.10.2025 виконано
2.4 Вибір кінцевого варіанту проєктного рішення 16.10.2025 виконано
Оформлення первісної редакції 23.10.2025
2.5 виконано
кваліфікаційної роботи
3 Заключна стадія
Узгодження щодо прийнятих проектних 30.10.2025
3.1 виконано
рішень
Оформлення пояснювальної записки до 13.11.2025
3.2 виконано
кваліфікаційної роботи у заключній редакції
3.3 Попередній захист кваліфікаційної роботи 01.12.2025 виконано
3.4 Затвердження кваліфікаційної роботи 11.12.2025 виконано
3.5 Рецензування кваліфікаційної роботи 12.12.2025 виконано
3.6 Захист кваліфікаційної роботи 17.12.2025 виконано
Здобувач вищої освіти ______________________ Апілат Д. А.
(підпис) (прізвище та ініціали)
Керівник роботи ______________________ Рудницька Ю. В.
(підпис) (прізвище та ініціали)
АНОТАЦІЯ
Структура та обсяг роботи. Пояснювальна записка складається з 3 розділів,
викладена на 96 сторінках, містить 12 рисунків, 45 таблиці, 32 використаних
джерел, без додатків.
Кваліфікаційна робота присвячена дослідженню процесу управління
проєктом упровадження системи кібербезпеки в організації. Актуальність
дослідження зумовлена зростанням кількості кіберзагроз, що створюють значні
ризики для бізнесу, порушують безперервність роботи та можуть спричинити витік
критично важливої інформації.
Метою кваліфікаційної роботи є дослідження, аналіз та удосконалення
методів управління проєктом упровадження системи кібербезпеки, що дозволяє
підвищити рівень інформаційної стійкості організації, мінімізувати ризики та
забезпечити відповідність сучасним вимогам безпеки.
Об’єктом дослідження є процес упровадження системи кібербезпеки в
організації.
Предметом дослідження є процеси управління проєктом, що охоплюють
планування, оцінювання ризиків, вибір технологій захисту, управління ресурсами,
комунікаціями та контролем виконання робіт.
У роботі застосовано методи проєктного менеджменту відповідно до
стандарту PMBOK, методи ризик-менеджменту, а також сучасні підходи до
планування архітектури систем інформаційної безпеки.
Наукова новизна отриманих результатів полягає в удосконаленні моделі
управління проєктом упровадження системи кібербезпеки через поєднання
процесного підходу та методів оцінювання ризиків, що дозволяє підвищити
ефективність контролю безпеки та точність планування.
Практична значимість роботи полягає у можливості застосування
розроблених рекомендацій у реальних проєктах організацій, які прагнуть
підвищити рівень захищеності інформаційних активів, оптимізувати процеси
безпеки та зменшити вплив людського фактора на загальний рівень кіберзахисту.
У першому розділі роботи проведено аналіз сучасних кіберзагроз,
нормативних вимог та доцільності впровадження системи кібербезпеки. Наведено
SWOT та PEST аналізи проєкту, проаналізовано архітектурні підходи до побудови
систем інформаційної безпеки.
У другому розділі описано структуру управління проєктом, визначено
макроцілі, побудовано WBS-структуру, розроблено матрицю відповідальності, а
також описано ключові процеси управління відповідно до PMBOK.
Третій розділ присвячено оцінюванню ефективності впровадження системи
кібербезпеки, аналізу ризиків, визначенню показників ефективності контролю
безпеки та розрахунку економічної доцільності проєкту.
Ключові слова: кібербезпека, управління проєктами, інформаційний захист,
ризики, контроль, планування, впровадження.
SUMMARY
Structure and scope of work. The explanatory report consists of 3 chapters, is
presented on 96 pages, contains 12 figures, 45 tables, and 20 references, with no
appendices.
The qualification work is devoted to the study of the project management process
for implementing a cybersecurity system in an organization. The relevance of the research
is justified by the increasing number of cyber threats that pose significant risks to
businesses, disrupt operational continuity, and may lead to the leakage of critical
information.
The purpose of the qualification work is to analyze, study, and improve project
management methods for the implementation of a cybersecurity system, which increases
the information resilience of an organization, minimizes risks, and ensures compliance
with modern security requirements.
The object of the study is the process of implementing a cybersecurity system in an
organization.
The subject of the study includes project management processes such as planning,
risk assessment, selection of security technologies, resource management,
communication, and project control.
The research uses project management methods according to PMBOK standards,
risk management techniques, and modern approaches to designing information security
architectures.
The scientific novelty lies in improving the model of project management for
cybersecurity implementation by combining a process-oriented approach with enhanced
risk assessment techniques, which increases the accuracy of security planning and the
efficiency of control mechanisms.
The practical significance of the work is that the developed recommendations can
be applied in real organizational environments to enhance information protection,
optimize cybersecurity processes, and reduce the impact of the human factor on overall
system security.
The first section analyzes modern cyber threats, regulatory requirements, and the
feasibility of introducing a cybersecurity system. SWOT and PEST analyses of the project
are performed, and architectural approaches to building information security systems are
reviewed.
The second section defines the macro goals of the project, describes the project
management structure, develops a WBS structure and responsibility matrix, and outlines
key project management processes according to PMBOK.
The third section evaluates the effectiveness of implementing the cybersecurity
system, analyzes risks, determines security control performance indicators, and assesses
the economic feasibility of the project.
Keywords: cybersecurity, project management, information protection, risks,
control, planning, implementation.
ЗМІСТ
Список умовних скорочень ............................................................................................ 3
ВСТУП ............................................................................................................................. 6
РОЗДІЛ 1 АНАЛІТИЧНИЙ ОГЛЯД ПРЕДМЕТНОЇ ОБЛАСТІ ................................ 8
1.1 Аналіз сучасного стану кібербезпеки в організаціях ......................................... 8
1.2 Огляд стандартів та нормативно-правової бази кібербезпеки ........................ 12
1.3 Аналіз методологій управління ІТ-проєктами .................................................. 16
1.4 Огляд компонентів системи кібербезпеки організації ..................................... 20
1.5 Аналіз існуючих підходів до впровадження систем кібербезпеки ................. 24
Висновки до розділу 1 ............................................................................................... 25
РОЗДІЛ 2 ПЛАНУВАННЯ ПРОЄКТУ ВПРОВАДЖЕННЯ СИСТЕМИ
КІБЕРБЕЗПЕКИ В ОРГАНІЗАЦІЇ .............................................................................. 27
2.1 Характеристика організації та постановка задачі проєкту .............................. 27
2.2 Управління змістом проєкту ............................................................................... 31
2.3 Управління часом проєкту .................................................................................. 33
2.4 Управління вартістю проєкту ............................................................................. 35
2.5 Управління ресурсами проєкту .......................................................................... 39
2.6 Управління ризиками проєкту ............................................................................ 42
2.7 Управління комунікаціями проєкту ................................................................... 45
2.8 Критерії успішності проєкту .............................................................................. 47
Висновки до розділу 2 ............................................................................................... 49
РОЗДІЛ 3 РЕАЛІЗАЦІЯ ПРОЄКТУ ВПРОВАДЖЕННЯ СИСТЕМИ
КІБЕРБЕЗПЕКИ ............................................................................................................ 51
3.1 Впровадження системи управління інформаційною безпекою (СУІБ) ......... 51
3.2 Впровадження технічних засобів захисту ......................................................... 58
3.3 Впровадження системи резервного копіювання та відновлення .................... 73
3.4 Впровадження програми підвищення обізнаності персоналу ........................ 77
3.5 Тестування на проникнення та оцінка захищеності ......................................... 81
1
3.6 Оцінка ефективності впровадженої системи .................................................... 85
Висновки до розділу 3 ............................................................................................... 90
ВИСНОВКИ ................................................................................................................... 92
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ..................................................................... 94
2
Список умовних скорочень
- AC (Actual Cost) – фактичні витрати, понесені на виконання робіт.
- ALE (Annual Loss Expectancy) – очікувані річні збитки від реалізації ризику.
- ARO (Annual Rate of Occurrence) – середня кількість інцидентів на рік.
- ASR (Attack Surface Reduction) – зменшення поверхні атаки.
- CEO (Chief Executive Officer) – генеральний директор.
- CISO (Chief Information Security Officer) – директор з інформаційної безпеки.
- CIS Controls – набір практичних контролів кібербезпеки від Center for
Internet Security.
- CPI (Cost Performance Index) – індекс ефективності використання коштів.
- CSF (Cybersecurity Framework) – фреймворк кібербезпеки NIST.
- DMZ (Demilitarized Zone) – демілітаризована зона мережі.
- DR / DRP (Disaster Recovery / Disaster Recovery Plan) – відновлення після
катастроф / план відновлення.
- EDR (Endpoint Detection and Response) – система виявлення та реагування на
інциденти на кінцевих точках.
- EV (Earned Value) – освоєний обсяг робіт.
- EVM (Earned Value Management) – методика управління вартістю та
строками проєкту.
FTE (Full-Time Equivalent) – повна штатна одиниця.
- IAM (Identity and Access Management) – управління ідентифікацією та
доступом.
- IDS / IPS (Intrusion Detection / Prevention System) – система виявлення /
запобігання вторгненням.
- ISO/IEC 27001 – міжнародний стандарт системи управління інформаційною
безпекою.
- IT (Information Technology) – інформаційні технології.
- JIT (Just-In-Time) – доступ або привілеї, що надаються на обмежений час.
- KPI (Key Performance Indicator) – ключовий показник ефективності.
3
- LSASS (Local Security Authority Subsystem Service) – служба безпеки
Windows.
- MFA (Multi-Factor Authentication) – багатофакторна автентифікація.
- MITRE ATT&CK – база знань тактик і технік кіберзагроз.
- MTTD (Mean Time to Detect) – середній час виявлення інциденту.
- MTTR (Mean Time to Respond) – середній час реагування на інцидент.
- NGFW (Next-Generation Firewall) – міжмережевий екран нового покоління.
- NIST (National Institute of Standards and Technology) – Національний інститут
стандартів і технологій США.
- PAM (Privileged Access Management) – управління привілейованим
доступом.
- PIM (Privileged Identity Management) – управління привілейованими
обліковими записами.
- POC (Proof of Concept) – перевірка концепції.
- PRINCE2 (Projects IN Controlled Environments) – методологія управління
проєктами.
- PV (Planned Value) – планова вартість виконаних робіт.
- RACI (Responsible, Accountable, Consulted, Informed) – матриця
відповідальності.
- ROSI (Return on Security Investment) – рентабельність інвестицій у безпеку.
- RTO (Recovery Time Objective) – цільовий час відновлення.
- SIEM (Security Information and Event Management) – система збору та аналізу
подій безпеки.
- SOC (Security Operations Center) – центр операційної безпеки.
- SPI (Schedule Performance Index) – індекс дотримання графіка.
- SLE (Single Loss Expectancy) – втрати від одного інциденту.
- SLA (Service Level Agreement) – угода про рівень сервісу.
- SaaS / PaaS / IaaS – моделі хмарних сервісів (Software / Platform /
Infrastructure as a Service).
- СУІБ – система управління інформаційною безпекою.
4
- VLAN (Virtual Local Area Network) – віртуальна локальна мережа.
- WAF (Web Application Firewall) – міжмережевий екран вебзастосунків.
- WBS (Work Breakdown Structure) – структура декомпозиції робіт.
- Zero Trust – модель безпеки з принципом недовіри за замовчуванням.
5
ВСТУП
У сучасних умовах стрімкого розвитку цифрових технологій питання
кібербезпеки стає критично важливим для будь-якої організації. Зростання
кількості кібератак, ускладнення методів зламу та поява нових векторів загроз
потребують системного та професійного підходу до захисту інформаційних
ресурсів. Саме тому впровадження комплексної системи кібербезпеки вже давно
перестало бути лише технічними змінами — це повноцінний проєкт, який охоплює
організаційні, управлінські та технологічні процеси.
Актуальність теми полягає у тому, що більшість компаній залежать від
інформаційних систем, і будь-який інцидент може призвести до простою,
фінансових втрат або витоку конфіденційних даних. Своєчасне впровадження
системи кібербезпеки дозволяє мінімізувати ризики, підвищити рівень
захищеності, а також забезпечити відповідність організації сучасним нормативним
вимогам та стандартам у сфері інформаційного захисту.
Метою кваліфікаційної роботи магістра є дослідження та вдосконалення
процесів управління проєктом впровадження системи кібербезпеки організації,
включаючи планування, оцінку ризиків, вибір оптимальних технічних рішень,
організацію взаємодії учасників проєкту та визначення ефективних механізмів
контролю виконання робіт. До ключових результатів належить формування
комплексного підходу, що забезпечує стабільну роботу ІТ-інфраструктури та
високий рівень захисту даних.
Для реалізації мети були вирішені такі завдання:
– визначити передумови та необхідність впровадження системи кібербезпеки;
– здійснити аналіз поточного стану інформаційної безпеки та оцінено ключові
загрози;
– сформувати концепцію системи кіберзахисту та обґрунтовано вибір технологій;
– виконати структуризацію проєкту та визначено основні етапи його реалізації;
– оцінити бюджет, ресурси та фінансові потреби;
– провести аналіз ризиків та визначено заходи з їх мінімізації;
6
– розробити рекомендації щодо підвищення ефективності кіберзахисту після
впровадження системи.
Об’єкт дослідження — система кібербезпеки організації.
Предмет дослідження — методи та механізми управління проєктом упровадження
системи кіберзахисту.
Методи дослідження ґрунтуються на положеннях PMBOK, підходах ризик-
менеджменту, економічної оцінки проєктів та методах аналізу інформаційної
безпеки.
Наукова новизна роботи полягає у розробленні моделі управління проєктом
кібербезпеки, яка поєднує процесний підхід з ризик-орієнтованим аналізом, що
дозволяє оптимізувати планування, зменшити вплив загроз та підвищити
ефективність впровадження системи.
Практична значимість полягає в можливості застосування запропонованих
рішень у реальних організаціях, особливо в тих, які прагнуть підвищити стійкість
ІТ-інфраструктури, зменшити кількість інцидентів та покращити рівень цифрової
безпеки персоналу й даних.
Апробація результатів. Основні положення та результати магістерської
роботи були представлені на Міжнародній науково-практичній Інтернет-
конференції «Інновації та перспективні шляхи розвитку інформаційних технологій
(ІПШРІТ-2025)».
Структура роботи включає вступ, три розділи, висновки та список
використаних джерел. У першому розділі розглянуто передумови впровадження
системи кібербезпеки, проведено огляд загроз та аналіз сучасних технологій
захисту.
Другий розділ присвячений побудові структури управління проєктом:
визначено цілі, сформовано WBS, розроблено матрицю відповідальності та
описано ключові процеси управління. У третьому розділі виконано оцінювання
ефективності реалізації системи кібербезпеки, визначено показники
результативності та сформовано рекомендації щодо удосконалення системи.
7
8
РОЗДІЛ 1
АНАЛІТИЧНИЙ ОГЛЯД ПРЕДМЕТНОЇ ОБЛАСТІ
1.1 Аналіз сучасного стану кібербезпеки в організаціях
Кібербезпека – це практика захисту систем, мереж і програм від цифрових
атак. Такі кібератаки зазвичай спрямовані на доступ, зміну або знищення
конфіденційної інформації, вимагання грошей у користувачів або порушення
нормальних бізнес-процесів організації.
У сучасних умовах цифрової трансформації бізнесу кібербезпека стає
критично важливим елементом функціонування будь-якої організації. За даними
дослідження IBM Security "Cost of a Data Breach Report 2023", середня вартість
витоку даних у світі досягла рекордних 4,45 млн доларів США, що на 15% більше
порівняно з 2020 роком.
Основні причини зростання значущості кібербезпеки:
1. Цифрова трансформація бізнесу:
- масовий перехід організацій на хмарні технології;
- впровадження віддаленої роботи та гібридних моделей;
- інтеграція IoT-пристроїв у корпоративні мережі;
- автоматизація бізнес-процесів.
2. Зростання кіберзагроз:
- збільшення кількості та складності кібератак;
- поява нових типів шкідливого програмного забезпечення;
- розвиток ransomware-атак (програм-вимагачів);
- використання штучного інтелекту зловмисниками.
3. Регуляторні вимоги:
- GDPR (General Data Protection Regulation) в Європі;
- Закон України "Про захист персональних даних";
- галузеві стандарти (PCI DSS, HIPAA, SOX);
- вимоги НБУ для фінансового сектору.
8
9
4. Репутаційні ризики:
- втрата довіри клієнтів після інцидентів безпеки;
- негативний вплив на вартість акцій компанії;
- конкурентні втрати через витік комерційної таємниці.
Сучасний ландшафт кіберзагроз характеризується різноманітністю векторів
атак та методів компрометації систем. Розглянемо класифікацію кіберзагроз за
основними критеріями.
За джерелом загрози:
1. Зовнішні загрози:
- хакерські угруповання;
- державні актори (APT-групи);
- конкуренти;
- кіберзлочинці.
2. Внутрішні загрози:
- зловмисні інсайдери;
- недбалі працівники;
- підрядники та партнери з доступом до систем;
- колишні співробітники зі збереженим доступом.
За цілями атаки:
1. Фінансово мотивовані – отримання прямого або непрямого прибутку.
2. Шпигунство – крадіжка конфіденційної інформації, комерційних
таємниць.
3. Саботаж – порушення роботи критичної інфраструктури.
4. Хактивізм – політично або соціально мотивовані атаки.
5. Кібертероризм – створення страху та паніки через кібератаки.
Класифікація основних типів кібератак наведена в Таблиці 1.1. Вона
систематизує відомі методи злому та шкідливого впливу на інформаційні системи,
дозволяючи чітко визначити потенційні загрози та застосовувати відповідні заходи
захисту. Таблиця охоплює як технічні атаки, спрямовані на мережеву та прикладну
9
10
інфраструктуру, так і соціальні атаки, що використовують фактор людського
фактора для отримання несанкціонованого доступу.
Таблиця 1.1
Класифікація основних типів кібератак
Тип атаки Опис Приклад Потенційний вплив
Malware Шкідливе ПЗ для Вірус, троян, Крадіжка даних,
компрометації систем rootkit пошкодження системи
Ransomware Шифрування даних з WannaCry, Втрата доступу до даних,
вимогою викупу Petya, LockBit фінансові збитки
Phishing Соціальна інженерія Підроблені Крадіжка облікових даних
через email листи від банку
DDoS Перевантаження Botnet-атаки Недоступність сервісів
ресурсів
SQL Injection Впровадження SQL- Атаки на веб- Крадіжка БД,
коду форми несанкціонований доступ
Man-in-the- Перехоплення ARP spoofing, Крадіжка даних, підміна
Middle комунікацій SSL stripping інформації
Zero-day Експлуатація невідомих Stuxnet Повна компрометація
вразливостей системи
APT Довготривала прихована Cobalt Strike Шпигунство, крадіжка IP
атака
Аналіз статистичних даних демонструє тенденцію до зростання кількості та
складності кіберінцидентів. Світова статистика за 2023-2024 роки за даними
Cybersecurity Ventures [3] показує, що глобальні збитки від кіберзлочинності
досягнуть 10,5 трлн доларів США щорічно до 2025 року, атаки ransomware
відбувається кожні 11 секунд, 60% малих підприємств закриваються протягом 6
місяців після кібератаки. За даними CERT-UA по Україні за 2023 р. оброблено
понад 2500 кіберінцидентів, основними векторами атак були: фішинг (35%),
експлуатація вразливостей (28%), malware (22%). Критична інфраструктура та
10
11
державний сектор залишаються основними цілями. Відбувається поступове
зростання атак на 40% порівняно з довоєнним періодом.
Розподіл кібератак за галузями у 2023 році наведено в Таблиці 1.2. Дані
демонструють, які сектори економіки найбільш уразливі до різних типів
кіберзагроз та дозволяють пріоритизувати заходи з кібербезпеки. Аналіз показує,
що фінансовий сектор, енергетика та державні установи залишаються основними
мішенями для зловмисників, тоді як інші галузі, такі як освіта та роздрібна
торгівля, демонструють середній рівень ризику. Такий підхід допомагає
організаціям адаптувати стратегії захисту відповідно до специфіки своєї галузі.
Таблиця 1.2
Розподіл кібератак за галузями (2023 р.)
Галузь Частка атак, % Середня вартість інциденту, млн USD
Охорона здоров'я 17% 10,93
Фінансовий сектор 15% 5,90
Державний сектор 12% 2,60
Енергетика 10% 4,72
Виробництво 9% 4,47
Роздрібна торгівля 8% 3,28
Освіта 7% 3,65
Транспорт 6% 4,18
Інші 16% 4,24
Наведена статистика підтверджує необхідність системного підходу до
впровадження кібербезпеки в організаціях незалежно від їх розміру та галузевої
приналежності.
11
12
1.2 Огляд стандартів та нормативно-правової бази кібербезпеки
Міжнародна спільнота з метою уніфікації та систематизації підходів до
забезпечення кібербезпеки розробила низку стандартів і фреймворків, які широко
застосовуються в діяльності організацій різного масштабу. Одним із найбільш
поширених і визнаних є стандарт ISO/IEC 27001:2022, що регламентує вимоги до
створення, впровадження, підтримки та постійного вдосконалення системи
управління інформаційною безпекою. Даний стандарт базується на процесному та
ризик-орієнтованому підходах і передбачає врахування контексту організації,
визначення зацікавлених сторін, активну роль керівництва, планування заходів з
управління ризиками, забезпечення необхідних ресурсів і компетентності
персоналу, організацію операційної діяльності, регулярне оцінювання
ефективності системи та її безперервне вдосконалення. Важливою складовою
стандарту є додаток A, який містить набір контрольних заходів безпеки,
спрямованих на організаційні, кадрові, фізичні та технологічні аспекти захисту
інформації.
Широке практичне застосування також має Cybersecurity Framework,
розроблений Національним інститутом стандартів і технологій США (NIST). У
версії 2.0 даний фреймворк був доповнений новою функцією управління, що
акцентує увагу на стратегічному плануванні, формуванні політик та
відповідальності керівництва. Загальна логіка фреймворку ґрунтується на
поетапному підході до кіберзахисту, який охоплює ідентифікацію активів та
ризиків, впровадження захисних заходів, постійний моніторинг і виявлення
інцидентів, організацію реагування на них та забезпечення відновлення після
порушень безпеки. Такий підхід дозволяє організаціям комплексно оцінювати свій
рівень кіберстійкості та поступово його підвищувати.
Практично орієнтованим інструментом у сфері кібербезпеки є також
контролі безпеки CIS Controls версії 8, запропоновані Центром інтернет-безпеки.
Вони являють собою набір пріоритизованих заходів, спрямованих на зниження
найбільш поширених кіберризиків. Дані контролі охоплюють управління
апаратними та програмними активами, захист даних, безпечну конфігурацію
12
13
систем, управління обліковими записами та доступом, постійне виявлення
вразливостей, моніторинг подій безпеки, захист електронної пошти, веб-ресурсів і
мережевої інфраструктури, а також організацію навчання персоналу та реагування
на інциденти. Завдяки чіткій структурі та практичній спрямованості CIS Controls
часто використовуються як основа для поетапного впровадження системи
кіберзахисту в організаціях.
Таким чином, міжнародні стандарти та фреймворки забезпечують
комплексний підхід до побудови системи кібербезпеки, поєднуючи управлінські,
організаційні та технічні аспекти. Їх використання дозволяє не лише підвищити
рівень захищеності інформаційних ресурсів, але й забезпечити системність
управління проєктами впровадження кібербезпеки в організаціях.
Правове регулювання кібербезпеки в Україні ґрунтується на комплексі
законодавчих і підзаконних нормативно-правових актів, які визначають загальні
принципи захисту інформації, повноваження державних органів та обов’язки
суб’єктів господарювання. Базовим документом у цій сфері є Закон України «Про
основні засади забезпечення кібербезпеки України», який встановлює національні
пріоритети, принципи державної політики та систему суб’єктів забезпечення
кібербезпеки. Важливу роль також відіграє Закон України «Про захист інформації
в інформаційно-комунікаційних системах», що регламентує вимоги до організації
захисту інформації та створення комплексних систем захисту в автоматизованих
системах. Окрему увагу законодавство приділяє питанням обробки персональних
даних, що відображено в Законі України «Про захист персональних даних», який
визначає правові засади їх збирання, зберігання та обробки. Крім того,
функціонування телекомунікаційної інфраструктури та вимоги до її безпеки
регламентуються Законом України «Про електронні комунікації», а питання
захисту життєво важливих об’єктів держави врегульовані Законом України «Про
критичну інфраструктуру».
Доповненням до законодавчих актів є підзаконні нормативні документи, які
деталізують механізми реалізації вимог у сфері кібербезпеки. Зокрема, стратегічні
напрями розвитку та вдосконалення національної системи кіберзахисту визначені
13
14
Указом Президента України, яким затверджено Стратегію кібербезпеки України.
Практичні аспекти захисту об’єктів критичної інфраструктури регламентуються
постановами Кабінету Міністрів України, а технічні та організаційні вимоги до
систем захисту інформації встановлюються нормативними документами
Державної служби спеціального зв’язку та захисту інформації України. Окремі
галузі економіки також підпадають під дію спеціальних вимог регуляторних
органів, зокрема Національного банку України та Національної комісії, що
здійснює державне регулювання у сферах енергетики та комунальних послуг.
Узагальнюючи зазначене, можна стверджувати, що для організацій
законодавство у сфері кібербезпеки передбачає низку обов’язкових вимог,
дотримання яких є необхідною умовою законної діяльності. До таких вимог
належить забезпечення захисту об’єктів критичної інфраструктури, виконання
норм щодо обробки та зберігання персональних даних, впровадження та атестація
комплексних систем захисту інформації, а також проведення регулярного аудиту
стану інформаційної безпеки. Усі ці аспекти необхідно враховувати під час
планування та реалізації проєкту впровадження системи кібербезпеки в організації.
Порівняння основних стандартів кібербезпеки наведено в Таблиці 1.3.
Таблиця дозволяє зіставити ключові вимоги, підходи та сфери застосування
міжнародних стандартів, таких як ISO/IEC 27001, NIST Cybersecurity Framework та
CIS Controls. Аналіз показує, що кожен стандарт має свої сильні сторони: ISO 27001
фокусується на побудові системи управління інформаційною безпекою (СУІБ),
NIST надає практичні рекомендації з управління ризиками та реагування на
інциденти, а CIS Controls пропонує конкретні заходи захисту для мінімізації
технічних загроз. Такий підхід допомагає організаціям обирати стандарти
відповідно до масштабу, специфіки та цілей їхньої системи кібербезпеки.
14
15
Таблиця 1.3 –
Порівняння основних стандартів кібербезпеки
Критерій ISO 27001 NIST CSF CIS Controls COBIT
Тип Стандарт Фреймворк Контролі Фреймворк
Сертифікація Так Ні Ні Так
Обов'язковість Добровільний Добровільний Добровільний Добровільний
Галузь Універсальний Універсальний Універсальний ІТ-
управління
Підхід Ризик- Ризик- Пріоритизований Процесний
орієнтований орієнтований
Складність Висока Середня Середня Висока
впровадження
Міжнародне Високе Високе Середнє Високе
визнання
Для реалізації проєкту впровадження системи кібербезпеки в організації
доцільним є застосування комбінованого підходу, що поєднує переваги різних
міжнародних стандартів і фреймворків. Основою такої моделі може слугувати
стандарт ISO/IEC 27001, який забезпечує формування повноцінної системи
управління інформаційною безпекою та створює передумови для подальшої
сертифікації. Для структурування процесів кібербезпеки та управління ризиками
ефективним є використання NIST Cybersecurity Framework, що дозволяє
систематизувати заходи захисту на всіх етапах життєвого циклу інцидентів.
Практичну реалізацію обраної моделі доцільно доповнити застосуванням CIS
Controls, які виконують роль пріоритетного переліку заходів і слугують
інструментом швидкого підвищення рівня захищеності інформаційної
інфраструктури. Поєднання зазначених підходів забезпечує комплексність,
гнучкість та практичну спрямованість управління проєктом упровадження
системи кібербезпеки.
15
16
1.3 Аналіз методологій управління ІТ-проєктами
Стандарт PMBOK (Project Management Body of Knowledge), розроблений
Project Management Institute (PMI), є одним із найбільш поширених підходів до
управління проєктами та використовується в організаціях різних галузей. Він
ґрунтується на системному підході до управління проєктною діяльністю та
охоплює повний життєвий цикл проєкту — від ініціації до завершення. У межах
стандарту визначено ключові області знань, які забезпечують комплексне
управління всіма аспектами проєкту, включаючи планування, реалізацію, контроль
і взаємодію із зацікавленими сторонами.
До основних областей знань PMBOK належать: управління інтеграцією,
управління змістом, управління розкладом, управління вартістю, управління
якістю, управління ресурсами, управління комунікаціями, управління ризиками,
управління закупівлями та управління зацікавленими сторонами. Сукупність цих
областей дозволяє координувати всі елементи проєкту, забезпечувати контроль за
виконанням робіт, оптимізувати використання ресурсів і мінімізувати ризики.
Окрім областей знань, PMBOK структурує управління проєктом за групами
процесів, які відображають логічну послідовність виконання робіт протягом
життєвого циклу проєкту.
До груп процесів PMBOK належать:
• ініціація;
• планування;
• виконання;
• моніторинг і контроль;
• закриття.
Застосування PMBOK у проєктах упровадження систем кібербезпеки
дозволяє забезпечити чітке планування, контроль термінів і бюджету, ефективне
управління ризиками та координацію дій усіх учасників проєкту.
У сучасних умовах динамічних змін вимог та високого рівня невизначеності
все більшого поширення набувають гнучкі методології управління проєктами,
об’єднані загальною концепцією Agile. Їх основною перевагою є орієнтація на
16
17
адаптивність, тісну взаємодію команди із замовником та поступове створення
цінності через ітеративну реалізацію результатів. У проєктах, пов’язаних із
впровадженням систем кібербезпеки, Agile-підходи дозволяють оперативно
реагувати на зміну загроз, вимог регуляторів та внутрішніх потреб організації.
Одним із найбільш поширених гнучких фреймворків є Scrum, який
застосовується для ітеративної розробки та вдосконалення продуктів і рішень.
Scrum передбачає чіткий розподіл ролей у команді, використання визначених
артефактів та регулярні події, що забезпечують прозорість процесу та постійний
зворотний зв’язок. Завдяки коротким ітераціям, які називаються спринтами,
команда має змогу регулярно демонструвати проміжні результати, оцінювати їхню
відповідність очікуванням та вносити необхідні коригування.
Ключовими елементами фреймворку Scrum є:
• ролі Product Owner, Scrum Master та Development Team, які забезпечують
формування бачення продукту, підтримку процесу та безпосередню
реалізацію завдань;
• артефакти Product Backlog, Sprint Backlog та Increment, що відображають
вимоги, поточні завдання та досягнутий результат;
• події Sprint Planning, Daily Scrum, Sprint Review та Sprint Retrospective,
спрямовані на планування, синхронізацію роботи, оцінювання результатів і
постійне вдосконалення процесу.
Застосування Scrum у проєктах кібербезпеки є доцільним у випадках, коли
вимоги до системи захисту формуються поступово, а необхідність швидкого
впровадження змін має критичне значення.
Іншим поширеним гнучким підходом є Kanban, який зосереджується на
візуалізації робочого процесу та забезпеченні безперервного потоку виконання
завдань. На відміну від Scrum, Kanban не використовує фіксовані ітерації, що
дозволяє більш гнучко керувати поточними задачами та швидко реагувати на нові
запити або інциденти. Даний підхід особливо ефективний у процесах підтримки та
експлуатації систем кібербезпеки, де завдання надходять нерівномірно та
потребують оперативного виконання.
17
18
Основними характеристиками методу Kanban є:
• використання візуальної дошки з колонками, що відображають стан
виконання завдань;
• обмеження кількості одночасно виконуваних робіт (Work In Progress);
• організація неперервного потоку виконання без поділу на спринти;
• застосування метрик ефективності, таких як Lead Time, Cycle Time та
Throughput.
Таким чином, гнучкі методології Agile, зокрема Scrum і Kanban, можуть
ефективно доповнювати класичні підходи до управління проєктами в сфері
кібербезпеки. Їх використання дозволяє підвищити адаптивність проєкту,
скоротити час реагування на зміни та забезпечити постійне вдосконалення процесів
захисту інформації.
Проєкти впровадження систем кібербезпеки мають низку специфічних
особливостей, які відрізняють їх від класичних ІТ-проєктів і потребують адаптації
стандартних методологій управління. Основною характеристикою таких проєктів є
високий рівень невизначеності, зумовлений динамічним розвитком загроз
інформаційній безпеці. Ландшафт кіберзагроз постійно змінюється, нові
вразливості в програмному та апаратному забезпеченні виявляються щоденно, а
вимоги національних і міжнародних регуляторів можуть коригуватися залежно від
актуальної безпекової ситуації. У зв’язку з цим процеси планування та управління
проєктом мають бути достатньо гнучкими, щоб забезпечити можливість
оперативного реагування на зміни.
Ще однією важливою особливістю є необхідність забезпечення
безперервності діяльності організації під час реалізації проєкту. Впровадження
системи кібербезпеки не повинно призводити до зупинки бізнес-процесів або
суттєвого зниження продуктивності. Це зумовлює потребу у поетапному
розгортанні рішень, мінімізації простоїв та ретельному плануванні робіт, які
можуть впливати на критичні сервіси. У багатьох випадках система кіберзахисту
впроваджується паралельно з уже функціонуючою інфраструктурою, що
ускладнює управління проєктом і підвищує вимоги до координації дій.
18
19
Проєкти кібербезпеки також характеризуються міждисциплінарним
характером, оскільки до їх реалізації залучаються не лише ІТ-фахівці, а й
представники юридичних служб, підрозділів з управління персоналом, служби
безпеки та керівництва організації. Окрім технічних аспектів, значну роль
відіграють питання правового регулювання, управління персоналом, підвищення
обізнаності працівників і формування культури інформаційної безпеки. Таким
чином, управління проєктом має враховувати необхідність координації різних груп
стейкхолдерів і організації ефективної комунікації між ними.
Особливу увагу в проєктах кібербезпеки необхідно приділяти питанням
конфіденційності. Інформація про вразливості, архітектуру систем захисту та
результати тестувань є чутливою і повинна бути доступною лише обмеженому колу
осіб. Це накладає додаткові вимоги на процеси документування, зберігання даних
та управління доступом у межах проєкту, а також впливає на вибір інструментів
управління та комунікації.
З урахуванням зазначених особливостей, для управління проєктами
впровадження систем кібербезпеки доцільним є використання гібридного підходу,
який поєднує елементи класичних і гнучких методологій. Такий підхід дозволяє
забезпечити необхідний рівень формалізації на початкових і завершальних етапах
проєкту, одночасно зберігаючи гнучкість у процесі впровадження технічних
рішень.
Рекомендований гібридний підхід до управління проєктом кібербезпеки
включає такі етапи:
• на фазі ініціації та планування доцільно застосовувати положення PMBOK
або PRINCE2, що дозволяє обґрунтувати доцільність проєкту, провести
оцінку ризиків, визначити бюджет, терміни та отримати формальне
затвердження керівництвом;
• на фазі впровадження ефективним є використання гнучких методологій,
зокрема Agile або Scrum, які забезпечують ітеративне впровадження
контролів безпеки, регулярну демонстрацію результатів та адаптацію до
виявлених проблем;
19
20
• на фазі тестування та закриття знову доцільно застосовувати класичні
підходи, що передбачають проведення комплексного тестування, формальне
приймання результатів, документування та передачу системи в
експлуатацію.
Таким чином, специфіка проєктів кібербезпеки обумовлює необхідність
використання адаптивних моделей управління, які поєднують структурованість і
гнучкість. Це дозволяє підвищити ефективність реалізації проєкту, зменшити
ризики та забезпечити відповідність системи кіберзахисту потребам і можливостям
організації.
1.4 Огляд компонентів системи кібербезпеки організації
Технічні компоненти є базовою складовою системи кібербезпеки та
забезпечують безпосередній захист інформаційної інфраструктури організації від
зовнішніх і внутрішніх загроз. Вони охоплюють комплекс апаратних і програмних
засобів, спрямованих на запобігання несанкціонованому доступу, виявлення атак,
мінімізацію наслідків інцидентів та забезпечення стабільної роботи інформаційних
систем.
Одним із ключових напрямів технічного захисту є захист периметра мережі,
який спрямований на контроль та фільтрацію мережевого трафіку. Для цього
використовуються міжмережеві екрани різних типів, включаючи класичні stateful-
рішення, міжмережеві екрани нового покоління з можливістю глибокого аналізу
пакетів, а також спеціалізовані засоби захисту веб-додатків. Доповненням до них є
системи виявлення та запобігання вторгненням, що дозволяють аналізувати
мережеву активність, виявляти аномалії та автоматично блокувати потенційно
небезпечні дії. Окрему роль у сучасних умовах відіграє захист від DDoS-атак, який
може реалізовуватися за допомогою апаратних рішень, хмарних сервісів або
гібридних моделей.
Не менш важливим елементом є захист кінцевих точок, оскільки саме робочі
станції, сервери та мобільні пристрої часто стають початковою точкою
компрометації системи. Сучасні підходи передбачають використання не лише
20
21
традиційного антивірусного програмного забезпечення, але й рішень нового
покоління, що поєднують поведінковий аналіз та механізми виявлення загроз у
режимі реального часу. Управління кінцевими точками також включає
централізований контроль пристроїв, захист даних від витоку та застосування
політик безпеки незалежно від місця знаходження користувача.
Окремим напрямом технічного захисту є управління ідентифікацією та
доступом, яке забезпечує контроль прав користувачів і запобігає
несанкціонованому використанню облікових записів. Це досягається шляхом
впровадження багатофакторної автентифікації, єдиного входу, безпарольних
механізмів доступу, а також управління привілейованими обліковими записами з
дотриманням принципу мінімально необхідних прав.
Центральним елементом моніторингу та реагування є центр операцій
безпеки, у межах якого використовуються SIEM- та SOAR-платформи. Вони
забезпечують збір і кореляцію журналів подій, виявлення підозрілої активності,
генерацію сповіщень та автоматизацію реагування на інциденти, що значно
скорочує час реагування та зменшує вплив атак на діяльність організації.
До основних технічних компонентів системи кібербезпеки належать:
• засоби захисту периметра мережі;
• рішення для захисту кінцевих точок;
• системи управління ідентифікацією та доступом;
• інструменти моніторингу, виявлення та реагування на інциденти.
Ефективність технічних засобів захисту значною мірою залежить від
організаційних компонентів, які визначають правила, відповідальність та порядок
дій у сфері інформаційної безпеки. Саме організаційні заходи забезпечують
системність кіберзахисту та його інтеграцію в загальну систему управління
організацією.
Основою організаційного забезпечення є політики та процедури
інформаційної безпеки, які встановлюють правила використання інформаційних
ресурсів, вимоги до захисту даних, порядок реагування на інциденти та
21
22
відновлення після них. Вони формують єдині стандарти поведінки для працівників
та знижують імовірність помилок, пов’язаних із людським фактором.
Важливу роль відіграє організаційна структура кібербезпеки, яка передбачає
визначення відповідальних осіб та команд. У великих організаціях ці функції
зазвичай покладаються на спеціалізовані підрозділи на чолі з відповідальним за
інформаційну безпеку, тоді як у менших компаніях відповідальність може бути
розподілена між кількома ролями. Незалежно від формату, чітке визначення ролей
і зон відповідальності є критично важливим для ефективного управління
кіберризиками.
Крім того, організаційні компоненти включають процеси управління,
пов’язані з виявленням і усуненням вразливостей, контролем змін в ІТ-
інфраструктурі, реагуванням на інциденти та забезпеченням безперервності
бізнесу. Саме ці процеси дозволяють підтримувати систему кібербезпеки в
актуальному стані та адаптувати її до змін середовища.
До ключових організаційних компонентів належать:
• політики та процедури інформаційної безпеки;
• організаційна структура та розподіл відповідальності;
• процеси управління ризиками, інцидентами та безперервністю діяльності.
Людський фактор залишається одним із найбільш вразливих елементів
системи кібербезпеки, оскільки навіть найсучасніші технічні засоби не можуть
повністю компенсувати помилки або недбалість персоналу. Більшість
кіберінцидентів пов’язані з порушенням правил безпеки, використанням слабких
паролів, фішинговими атаками або ненавмисними діями користувачів.
З метою зниження ризиків організації впроваджують програми підвищення
обізнаності з питань кібербезпеки, які спрямовані на формування відповідального
ставлення до захисту інформації. Такі програми включають регулярне навчання
працівників, проведення спеціалізованих тренінгів для ІТ-персоналу та адаптаційні
курси для нових співробітників. Важливим елементом є також перевірка
ефективності навчання шляхом тестування знань і моделювання реальних атак,
зокрема фішингових.
22
23
Окрему роль відіграє постійна комунікація з персоналом, яка дозволяє
підтримувати увагу до питань безпеки та оперативно інформувати про нові загрози.
Використання інформаційних матеріалів, нагадувань і елементів гейміфікації
сприяє підвищенню зацікавленості працівників та формуванню культури
кібербезпеки в організації.
Основними складовими роботи з людським фактором є:
• навчання та підвищення обізнаності персоналу;
• тестування знань і моделювання загроз;
• регулярна комунікація та формування культури безпеки.
Комплексна система кібербезпеки охоплює різні рівні захисту інформаційних
ресурсів організації, інтегруючи технічні, організаційні та процедурні заходи. Як
показано в Таблиці 1.4, ключовими компонентами такої системи є управління
ідентифікацією та доступом (IAM), мережевий захист, захист кінцевих точок,
моніторинг і реагування на інциденти (SOC), резервне копіювання та відновлення,
а також програма підвищення обізнаності персоналу. Ця інтегрована структура
дозволяє забезпечити всебічний контроль за безпекою, зменшити ризики
несанкціонованого доступу та оперативно реагувати на загрози.
Таблиця 1.4
Компоненти комплексної системи кібербезпеки
Категорія Компоненти Призначення
Мережева NGFW, IDS/IPS, VPN, NAC Захист периметра та внутрішньої
безпека мережі
Endpoint Security EDR, AV, DLP, Encryption Захист кінцевих пристроїв
IAM MFA, SSO, PAM, Directory Управління доступом
Services
SOC SIEM, SOAR, Threat Intelligence Моніторинг та реагування
Data Security Encryption, DLP, Backup, Захист даних
Classification
23
24
Категорія Компоненти Призначення
Application WAF, SAST, DAST, Container Захист додатків
Security Security
Governance Policies, Procedures, Compliance Управління та відповідність
People Training, Awareness, Culture Людський фактор
1.5 Аналіз існуючих підходів до впровадження систем кібербезпеки
Підхід на основі відповідності спрямований на забезпечення виконання
вимог регуляторів та стандартів інформаційної безпеки. Він передбачає
використання чеклистів для контролю виконання заходів і документальне
підтвердження всіх процедур. Такий підхід дозволяє організаціям гарантувати
відповідність законодавству, забезпечити структурованість процесів та отримати
сертифікацію. Водночас він має певні обмеження: формальний контроль може не
враховувати реальні загрози, процес впровадження часто є тривалим і дорогим, а
глибоке розуміння ризиків залишається мінімальним.
Ризик-орієнтований підхід базується на ідентифікації та оцінці ризиків у
організації та дозволяє визначити пріоритетні заходи безпеки. Він концентрує
ресурси на найсуттєвіших загрозах і оптимізує витрати на забезпечення безпеки.
Переваги та недоліки підходу можна представити у вигляді списку:
• Переваги: ефективне використання ресурсів, фокус на реальних загрозах,
адаптивність до змін;
• Недоліки: складність оцінки ризиків, суб’єктивність оцінок, потребує
високої експертності.
Zero Trust передбачає принцип «ніколи не довіряй, завжди перевіряй». Він
включає мікросегментацію мережі та постійну верифікацію користувачів і
пристроїв, що забезпечує сучасний рівень захисту, особливо у хмарних
середовищах. Основні принципи підходу полягають у явній перевірці всіх запитів,
застосуванні принципу найменших привілеїв та припущенні про можливу
компрометацію системи. Впровадження Zero Trust складне, потребує значних
24
25
інвестицій і може впливати на продуктивність, але значно підвищує рівень захисту
від внутрішніх загроз.
Аналіз підходів показав, що для організації доцільно застосувати
комбінований підхід, який поєднує ризик-орієнтовану модель із елементами Zero
Trust та забезпеченням compliance. Основні складові обраного підходу:
• Базис: ISO 27001 для структурованої системи управління інформаційною
безпекою;
• Пріоритизація: оцінка ризиків для оптимізації витрат;
• Архітектура: принципи Zero Trust для сучасного захисту;
• Compliance: дотримання вимог українського законодавства для легітимності
процесів.
Таке поєднання дозволяє забезпечити ефективний захист і водночас
дотримуватися нормативних вимог, оптимально використовуючи ресурси
організації.
Висновки до розділу 1
У першому розділі проведено комплексний аналіз предметної області
кібербезпеки, досліджено нормативно-правову базу, стандарти, методології
управління проєктами та компоненти систем захисту. Аналіз сучасного стану
кібербезпеки показав постійне зростання кількості та складності загроз, а середня
вартість інциденту досягає 4,45 млн USD, що підкреслює необхідність системних
інвестицій, особливо в умовах підвищеної кіберагресії.
Огляд стандартів показав наявність розвиненої системи міжнародних
стандартів та національного законодавства. Для організацій рекомендується
комбінований підхід із використанням ISO 27001 як основи, NIST CSF для
структурування процесів та CIS Controls як практичного чекліста.
Аналіз методологій управління продемонстрував доцільність гібридного
підходу (PMBOK/PRINCE2 + Agile), який поєднує структурованість традиційних
методів із гнучкістю agile-підходів. Огляд компонентів системи кібербезпеки дав
25
26
змогу сформувати розуміння комплексної архітектури захисту, що включає
технічні засоби, організаційні заходи та людський фактор.
Проведений аналіз підходів до впровадження дозволив обґрунтувати вибір
комбінованого ризик-орієнтованого підходу з елементами Zero Trust та
забезпеченням compliance як оптимального для проєкту впровадження системи
кібербезпеки. Результати розділу створюють теоретичну основу для детального
планування проєкту, яке буде розглянуто у наступних розділах роботи.
26
27
РОЗДІЛ 2
ПЛАНУВАННЯ ПРОЄКТУ ВПРОВАДЖЕННЯ СИСТЕМИ
КІБЕРБЕЗПЕКИ В ОРГАНІЗАЦІЇ
2.1 Характеристика організації та постановка задачі проєкту
Для демонстрації методології управління проєктом впровадження системи
кібербезпеки розглядається модельна організація середнього розміру, що
функціонує у сфері фінансових послуг. Підприємство має головний офіс та три
регіональні відділення, а чисельність персоналу складає приблизно 150–200
працівників.
ІТ-інфраструктура організації є гібридною та поєднує класичні on-premise
рішення з сучасними хмарними сервісами, що дозволяє ефективно обслуговувати
бізнес-процеси та забезпечувати масштабованість систем. Водночас організація
повинна дотримуватися низки регуляторних вимог, серед яких основними є
нормативи Національного банку України та Закон України «Про захист
персональних даних».
Основні характеристики модельної організації можна представити у вигляді
наступного списку:
• Тип організації: середнє підприємство сфери фінансових послуг;
• Чисельність персоналу: 150–200 працівників;
• Географія: головний офіс та три регіональні відділення;
• ІТ-інфраструктура: гібридна (on-premise та хмарні сервіси);
• Регуляторні вимоги: НБУ, Закон про захист персональних даних.
Поточний стан ІТ-інфраструктури характеризується наявністю серверних
потужностей у головному офісі, централізованого зберігання даних та частковим
використанням хмарних сервісів для резервного копіювання та дистанційного
доступу. Інформаційні системи організації охоплюють облікові, фінансові та
клієнтські сервіси, а також внутрішні комунікаційні платформи. Таке поєднання
27
28
дозволяє підтримувати безперервність бізнес-процесів і водночас створює базу для
впровадження сучасних заходів кібербезпеки.
Характеристика ІТ-інфраструктури організації наведена в Таблиці 2.1.
Таблиця відображає основні компоненти інформаційних систем, мережеве
обладнання, серверні ресурси, програмне забезпечення та сервіси, що
використовуються в організації. Аналіз ІТ-інфраструктури дозволяє оцінити рівень
готовності організації до впровадження системи кібербезпеки та визначити
критичні точки, які потребують додаткового захисту або модернізації.
Таблиця 2.1
Характеристика ІТ-інфраструктури організації
Компонент Опис Кількість
Сервери (on-premise) Windows Server 2019, Linux (CentOS/Ubuntu) 12
Хмарні сервіси Microsoft 365, Azure (часткова міграція) -
Робочі станції Windows 10/11 180
Мережеве Cisco (комутатори, маршрутизатори) 25
обладнання
Wi-Fi точки доступу Ubiquiti 15
Мобільні пристрої Корпоративні смартфони (BYOD часткова) 50
Бази даних MS SQL Server, PostgreSQL 5
Критичні додатки ERP, CRM, АБС (автоматизована банківська 3
система)
Поточний стан кібербезпеки в модельній організації характеризується як
базовий та потребує значного вдосконалення. На робочих станціях встановлено
базовий антивірус, а периметровий захист здійснюється за допомогою застарілого
firewall. Відсутній централізований моніторинг подій безпеки, політика паролів
відповідає лише мінімальним вимогам, а резервне копіювання проводиться
нерегулярно. Також організація не має формалізованої системи управління
28
29
інформаційною безпекою (СУІБ), а рівень обізнаності персоналу щодо
кіберризиків є низьким.
Основні елементи поточного стану кібербезпеки можна узагальнити у
вигляді списку:
• базовий антивірус на робочих станціях;
• периметровий firewall (застаріла модель);
• відсутність централізованого моніторингу;
• політика паролів з мінімальними вимогами;
• резервне копіювання нерегулярне;
• відсутність формалізованої СУІБ;
• низький рівень обізнаності персоналу.
Для оцінки поточного рівня кіберризиків у модельній організації проведено
аналіз відповідно до методології ISO 27005. Ця методологія дозволяє системно
ідентифікувати загрози, оцінити ймовірність їх настання та потенційний вплив на
бізнес-процеси, а також визначити пріоритетні заходи щодо зниження ризиків.
Результати аналізу ризиків організації представлені у вигляді матриці оцінки
ризиків (Таблиця 2.2), яка відображає поєднання ймовірності настання інцидентів і
рівня їхнього впливу на критичні активи підприємства. Такий підхід дозволяє
наочно визначити найбільш суттєві загрози та ефективно планувати заходи з
кіберзахисту.
Таблиця 2.2
Матриця оцінки ризиків організації
Ризик Ймовірність Вплив Рівень Пріоритет
ризику
Ransomware-атака на критичні Висока Критичний Критичний 1
системи
Фішингова атака на працівників Висока Високий Високий 2
Витік персональних даних Середня Критичний Високий 3
клієнтів
29
30
Ризик Ймовірність Вплив Рівень Пріоритет
ризику
Несанкціонований доступ Середня Високий Високий 4
інсайдера
DDoS-атака на веб-сервіси Середня Середній Середній 5
Втрата даних через збій Середня Високий Високий 6
обладнання
Компрометація облікових Висока Середній Високий 7
записів
Вразливості в застарілому ПЗ Висока Середній Високий 8
Порушення compliance (НБУ) Середня Високий Високий 9
Фізичний доступ до серверів Низька Середній Низький 10
Аналіз поточного стану кібербезпеки дозволив визначити критичні
прогалини, які потребують першочергового усунення. Відсутність
централізованого моніторингу унеможливлює виявлення інцидентів у реальному
часі, а слабкий захист кінцевих точок, що обмежується базовим антивірусом, не
забезпечує належного захисту від сучасних загроз. Крім того, автентифікація
користувачів здійснюється лише за паролем, оскільки відсутня багатофакторна
аутентифікація (MFA). Застарілий периметровий firewall не підтримує функції deep
packet inspection, а плоска топологія мережі свідчить про відсутність сегментації,
що підвищує ризик поширення загроз у внутрішній інфраструктурі. Нерегулярне
резервне копіювання створює загрозу втрати даних, а низький рівень обізнаності
персоналу робить організацію вразливою до атак соціальної інженерії.
Основні критичні прогалини безпеки можна узагальнити у вигляді списку:
• відсутність централізованого моніторингу;
• слабкий захист кінцевих точок;
• відсутність багатофакторної аутентифікації (MFA);
• застарілий firewall;
• відсутність сегментації мережі;
• нерегулярне резервне копіювання;
30
31
• низька обізнаність персоналу.
Мета проєкту полягає у підвищенні рівня захищеності інформаційних активів
організації шляхом впровадження комплексної системи кібербезпеки відповідно до
вимог ISO 27001 та регуляторних норм Національного банку України. Досягнення
цієї мети передбачає визначення конкретних, вимірюваних, досяжних, релевантних
та обмежених у часі (SMART) цілей.
Конкретна ціль проєкту полягає у впровадженні системи кібербезпеки, що
включає центр безпекових операцій (SOC), захист кінцевих точок, управління
ідентифікацією та доступом, а також мережеву безпеку. Вимірювані цілі
охоплюють досягнення 95% coverage антивірусного захисту, впровадження
багатофакторної аутентифікації для всіх користувачів, забезпечення середнього
часу реагування (MTTR) менше ніж 4 години та досягнення compliance score понад
85% за ISO 27001. Реалізація проєкту можлива в межах затвердженого бюджету та
наявних ресурсів, вона відповідає бізнес-стратегії організації та регуляторним
вимогам, а термін реалізації проєкту становить 12 місяців.
Для досягнення мети визначено низку задач, що включають проведення
детального аудиту поточного стану кібербезпеки (Gap Assessment), розробку та
затвердження політик і процедур інформаційної безпеки, впровадження
централізованого моніторингу (SIEM), модернізацію захисту периметра мережі за
допомогою NGFW, впровадження рішень для захисту кінцевих точок (EDR),
систему управління ідентифікацією та доступом (IAM, MFA), реалізацію
сегментації мережі, організацію резервного копіювання та відновлення даних,
проведення навчання персоналу, забезпечення відповідності вимогам регуляторів,
тестування на проникнення та усунення виявлених вразливостей, а також
підготовку організації до сертифікації ISO 27001.
2.2 Управління змістом проєкту
Work Breakdown Structure (WBS) проєкту впровадження системи
кібербезпеки передбачає детальний поділ на етапи та підетапи для управління всіма
завданнями та ресурсами. Ініціація та планування включає формування команди
31
32
проєкту, розробку статуту, ідентифікацію стейкхолдерів, створення плану
управління та проведення kick-off зустрічі.
Далі відбувається аудит та оцінка, що охоплює інвентаризацію ІТ-активів,
оцінку поточного стану безпеки, gap-аналіз за ISO 27001, оцінку ризиків та
підготовку звіту з рекомендаціями. Наступний етап – розробка політик та
процедур, що включає політику інформаційної безпеки, управління доступом,
реагування на інциденти, резервне копіювання, допустиме використання та
затвердження політик керівництвом.
Мережева безпека передбачає проєктування нової архітектури, закупівлю та
впровадження NGFW, сегментацію мережі, налаштування VPN та тестування з
документуванням результатів. Захист кінцевих точок охоплює вибір EDR-рішення,
закупівлю ліцензій, розгортання агентів, налаштування політик, інтеграцію з SIEM
та тестування системи.
Управління ідентифікацією (IAM) включає аудит облікових записів,
впровадження MFA та SSO, налаштування PAM, автоматизацію
provisioning/deprovisioning та документування процесів. Центр безпекових
операцій (SOC) охоплює вибір SIEM-платформи, проєктування архітектури,
розгортання SIEM, підключення джерел логів, налаштування правил кореляції,
розробку playbooks та формування команди.
Резервне копіювання та відновлення включає аудит поточних процесів,
розробку стратегії BCP/DR, впровадження рішення, налаштування розкладу,
тестування відновлення та документування процедур. Навчання та підвищення
обізнаності персоналу передбачає розробку програми, створення матеріалів,
проведення тренінгів, симуляцію фішингових атак, оцінку ефективності та
постійну комунікацію. Тестування та валідація охоплюють внутрішнє та зовнішнє
тестування безпеки, аналіз вразливостей, усунення недоліків та повторне
тестування. Завершальний етап – закриття проєкту, що включає внутрішній аудит
СУІБ, підготовку до сертифікації, передачу в експлуатацію, документування уроків
та формальне закриття.
32
33
2.3 Управління часом проєкту
Для ефективного управління проєктом впровадження системи кібербезпеки
розроблено детальний календарний план, який відображає послідовність робіт,
тривалість етапів та взаємозв’язок між ними. Такий план дозволяє координувати
ресурси, контролювати прогрес і своєчасно виявляти відхилення від графіка.
Основні етапи календарного плану охоплюють ініціацію та планування,
аудит та оцінку стану кібербезпеки, розробку політик і процедур, модернізацію
мережевої інфраструктури, впровадження системи захисту кінцевих точок,
управління ідентифікацією та доступом, створення центру безпекових операцій
(SOC), організацію резервного копіювання та відновлення даних, проведення
навчання персоналу, тестування безпеки та закриття проєкту.
Для побудови календарного план проєкту використовується графік робочих
пакетів. Розглянемо приклади деяких з них.
Приклад робочого пакета «Аудит та оцінка». Його метою є визначення
поточного стану кібербезпеки та виявлення gap’ів. Deliverables включають звіт з
інвентаризації активів, Gap Assessment Report та Risk Assessment Report. Критерієм
приймання є затвердження звіту CISO та керівництвом, тривалість пакета – 4 тижні,
ресурси – Security Architect, Security Analyst та зовнішній консультант.
Робочий пакет «Мережева безпека» спрямований на модернізацію периметра
та впровадження сегментації. Deliverables включають встановлений NGFW,
сегментовану мережу та VPN-доступ, а критерієм приймання – успішні тести на
проникнення та документація. Тривалість пакета – 6 тижнів, а ресурси – Network
Engineer, Security Engineer та вендор.
Робочий пакет «SOC» передбачає створення центру безпекових операцій для
моніторингу та реагування. Deliverables включають розгорнутий SIEM, playbooks
та навчану команду SOC. Критерієм приймання є отримання логів з усіх джерел та
коректна робота алертів. Тривалість пакета – 8 тижнів, ресурси – Security Architect,
два SOC Analysts та SIEM-адміністратор.
Таблиця 2.3 представляє календарний план проєкту, у якому детально
зазначено часові рамки виконання кожного етапу, а також очікувані результати та
33
34
відповідальних виконавців. Використання такого календарного плану забезпечує
прозорість управління проєктом та сприяє досягненню поставлених цілей у
визначений термін.
Таблиця 2.3
Календарний план проєкту
ID Робочий пакет Тривалість Початок Завершення Залежності
1.1 Ініціація та планування 2 тиж Тиждень 1 Тиждень 2 -
1.2 Аудит та оцінка 4 тиж Тиждень 3 Тиждень 6 1.1
1.3 Розробка політик 4 тиж Тиждень 5 Тиждень 8 1.2 (частково)
1.4 Мережева безпека 6 тиж Тиждень 7 Тиждень 12 1.2
1.5 Захист кінцевих точок 5 тиж Тиждень 9 Тиждень 13 1.2
1.6 IAM 6 тиж Тиждень 11 Тиждень 16 1.2, 1.3
1.7 SOC 8 тиж Тиждень 13 Тиждень 20 1.4, 1.5
1.8 Backup/DR 4 тиж Тиждень 17 Тиждень 20 1.3
1.9 Навчання 6 тиж Тиждень 15 Тиждень 20 1.3
1.10 Тестування 4 тиж Тиждень 21 Тиждень 24 Усі попередні
1.11 Закриття проєкту 2 тиж Тиждень 25 Тиждень 26 1.10
Загальна тривалість проєкту впровадження системи кібербезпеки становить
26 тижнів, що відповідає приблизно шести місяцям активної роботи. Для
забезпечення ефективного управління термінами було визначено критичний шлях
проєкту, який відображає послідовність завдань, від яких безпосередньо залежить
своєчасне завершення всього проєкту.
Критичний шлях включає наступні етапи: ініціацію проєкту (тривалість 2
тижні), аудит та оцінку стану кібербезпеки (4 тижні), модернізацію мережевої
інфраструктури (6 тижнів), впровадження центру безпекових операцій SOC (8
тижнів), тестування системи безпеки (4 тижні) та закриття проєкту (2 тижні).
Важливо зазначити, що будь-яка затримка на критичному шляху автоматично
34
35
призведе до відтермінування завершення всього проєкту. Такий підхід дозволяє
концентрувати ресурси та контроль на ключових завданнях, мінімізуючи ризики
порушення графіка.
Для забезпечення моніторингу прогресу та своєчасного прийняття
управлінських рішень визначено ключові віхи проєкту. Вони фіксують завершення
основних етапів і слугують контрольними точками для оцінки відповідності плану
та досягнення цілей. Таблиця 2.4 містить перелік основних віх, що включають
завершення етапів ініціації, аудиту, впровадження мережевих рішень, SOC,
тестування та формального закриття проєкту, а також очікувані результати та
відповідальних виконавців. Використання таких віх дозволяє оперативно реагувати
на відхилення та забезпечує прозорість управління проєктом.
Таблиця 2.4
Ключові віхи проєкту
№ Віха Дата Критерій досягнення
M1 Затвердження плану проєкту Тиждень 2 Підписаний статут проєкту
M2 Завершення аудиту Тиждень 6 Затверджений Gap Assessment
M3 Затвердження політик Тиждень 8 Підписані політики
M4 NGFW в експлуатації Тиждень 12 Firewall працює, мережа сегментована
M5 EDR розгорнуто Тиждень 13 100% endpoint coverage
M6 MFA впроваджено Тиждень 16 100% користувачів з MFA
M7 SOC operational Тиждень 20 SIEM працює, команда готова
M8 Pentest завершено Тиждень 24 Звіт pentest, критичні знахідки усунуто
M9 Проєкт завершено Тиждень 26 Формальне закриття
2.4 Управління вартістю проєкту
Для ефективного управління фінансовими ресурсами проєкту впровадження
системи кібербезпеки здійснено оцінку бюджету за основними категоріями витрат.
35
36
Така оцінка дозволяє планувати фінансування, контролювати виконання витрат та
забезпечувати оптимальне використання ресурсів.
Бюджет проєкту включає витрати на закупівлю обладнання та програмного
забезпечення, оплату праці команди проєкту та зовнішніх консультантів, навчання
персоналу, тестування безпеки, ліцензійні платежі та резервні фонди для
непередбачених витрат. Детальний розподіл бюджету за категоріями наведено у
таблиці 2.5, де зазначено очікувані суми, відповідальних виконавців та строки
фінансування. Такий підхід дозволяє контролювати фінансові ризики та забезпечує
прозорість управління витратами на всіх етапах проєкту.
Таблиця 2.5
Бюджет проєкту за категоріями витрат
Категорія Компонент Вартість, Примітка
USD
Обладнання NGFW Fortinet/Palo Alto 45,000 Включаючи 3-річну
підписку
Обладнання Сервери для SIEM 15,000 2 сервери
Обладнання Мережеве обладнання 10,000 Комутатори для
сегментації
Підсумок обладнання 70,000
Програмне SIEM (Splunk/Microsoft 40,000 Річна ліцензія
забезпечення Sentinel)
Програмне EDR 25,000 200 endpoints, 1 рік
забезпечення (CrowdStrike/SentinelOne)
Програмне IAM/MFA (Okta/Azure AD 15,000 Річна ліцензія
забезпечення P2)
Програмне PAM 20,000 Річна ліцензія
забезпечення (CyberArk/BeyondTrust)
Програмне Backup Solution 12,000 Veeam/Commvault
забезпечення
Програмне Vulnerability Scanner 8,000 Tenable/Qualys
забезпечення
36
37
Категорія Компонент Вартість, Примітка
USD
Підсумок ПЗ 120,000
Послуги Зовнішній аудит та 25,000 Gap Assessment,
консалтинг рекомендації
Послуги Впровадження та інтеграція 35,000 Вендорські
professional services
Послуги Penetration Testing 15,000 Зовнішній pentest
Послуги Навчання персоналу 10,000 Security Awareness
Platform
Підсумок послуг 85,000
Внутрішні Менеджер проєкту (6 міс × 18,000 Зарплата
ресурси 50%)
Внутрішні Security Architect (6 міс × 27,000
ресурси 75%)
Внутрішні Security Engineers (2 × 6 36,000
ресурси міс)
Внутрішні IT Support (6 міс × 25%) 9,000
ресурси
Підсумок внутрішніх 90,000
Резерв (Contingency) 36,500 10% від загального
ЗАГАЛЬНИЙ БЮДЖЕТ 401,500
Для ефективного фінансового управління проєктом впровадження системи
кібербезпеки проведено аналіз грошових потоків, що дозволяє відстежувати
планові та фактичні витрати по місяцях. Такий підхід сприяє своєчасному
виявленню перевитрат, плануванню ресурсів та забезпечує контроль за фінансовою
дисципліною протягом всього проєкту.
Розподіл витрат за місяцями враховує необхідність фінансування закупівлі
обладнання та програмного забезпечення, оплату праці внутрішніх та зовнішніх
фахівців, реалізацію навчальних програм, проведення тестувань та впровадження
ключових компонентів системи кібербезпеки. Аналіз грошових потоків дозволяє
37
38
визначати, на яких етапах виникають найбільші витрати, і своєчасно коригувати
бюджет для підтримки стабільного фінансування проєкту. Детальний розподіл
витрат по місяцях представлено у таблиці 2.6.
Таблиця 2.6
Розподіл витрат за місяцями
Місяць Обладнання ПЗ Послуги Внутрішні Резерв Всього
1 0 0 10,000 15,000 2,500 27,500
2 45,000 60,000 15,000 15,000 13,500 148,500
3 25,000 30,000 20,000 15,000 9,000 99,000
4 0 15,000 15,000 15,000 4,500 49,500
5 0 15,000 10,000 15,000 4,000 44,000
6 0 0 15,000 15,000 3,000 33,000
Всього 70,000 120,000 85,000 90,000 36,500 401,500
Для контролю вартості та ефективності виконання проєкту впровадження
системи кібербезпеки застосовується методика Earned Value Management (EVM).
Вона дозволяє оцінювати відповідність фактичних витрат та прогресу робіт
плановим показникам та своєчасно коригувати бюджет і графік.
Основні показники EVM включають:
• PV (Planned Value) – планова вартість виконаних робіт на конкретний
момент часу;
• EV (Earned Value) – освоєний обсяг робіт, що відображає реальний прогрес
проєкту;
• AC (Actual Cost) – фактичні витрати, понесені на виконання робіт;
• CPI (Cost Performance Index) – індекс ефективності використання коштів,
що розраховується як відношення EV до AC, цільове значення ≥ 1.0;
• SPI (Schedule Performance Index) – індекс ефективності дотримання
графіка, що визначається як відношення EV до PV, цільове значення ≥ 1.0.
38
39
Використання цих показників дозволяє оцінити фінансову ефективність,
своєчасність виконання завдань та приймати обґрунтовані управлінські рішення
щодо коригування плану та бюджету проєкту.
2.5 Управління ресурсами проєкту
Для успішного виконання проєкту впровадження системи кібербезпеки
критично важливо чітко визначити організаційну структуру управління ресурсами.
Вона забезпечує розподіл обов’язків, відповідальності та повноважень серед членів
команди, а також визначає взаємозв’язки між різними ролями та підрозділами.
Організаційна структура проєкту передбачає формування керівної команди,
до складу якої входять керівник проєкту (Project Manager), відповідальні за технічні
напрямки (Network Engineer, Security Architect, SOC Analysts), а також спеціалісти
з контролю якості та тестування безпеки. Взаємодія між членами команди
здійснюється через регулярні наради, звіти про виконання завдань та систему
комунікацій, що забезпечує прозорість і координацію дій.
Основною метою такої структури є забезпечення ефективного використання
людських ресурсів, своєчасного виконання робіт та мінімізації ризиків, пов’язаних
із недотриманням термінів або некоректним виконанням завдань. Чітке визначення
ролей також сприяє підвищенню відповідальності кожного учасника та створенню
умов для успішної реалізації проєкту у встановлені терміни та в межах бюджету.
39
40
Рис. 2.1 Організаційна структура управління проектом
Для ефективного управління проєктом важливо чітко визначити ролі та зони
відповідальності учасників. Одним із найбільш зручних інструментів для цього є
матриця RACI, яка дозволяє наочно побачити, хто відповідає за виконання завдань,
хто їх контролює, а хто бере участь у процесі прийняття рішень. Використання
такої матриці допомагає уникнути дублювання функцій та забезпечує прозорість у
процесі реалізації проєкту.
У таблиці 2.7 представлена RACI-матриця проєкту. Вона відображає
наступні ключові категорії відповідальності:
Таблиця 2.7
RACI-матриця проєкту
Задача Спонсор PM CISO Sec Arch Sec Eng IT Ops HR
Затвердження статуту A R C I I I I
Аудит безпеки I A R R C C I
Розробка політик A C R C I I C
40
41
Задача Спонсор PM CISO Sec Arch Sec Eng IT Ops HR
Впровадження NGFW I A C R R C I
Впровадження EDR I A C R R C I
Впровадження IAM I A C R R C C
Розгортання SOC I A R R R C I
Навчання персоналу I A R C I I R
Pentest I A R C C C I
Закриття проєкту A R C C I I I
Для правильного розуміння матриці RACI використовують умовні
позначення, які допомагають швидко визначити тип відповідальності кожного
учасника проєкту. Основні позначення такі:
• R – Responsible (Виконавець): особа або група, яка безпосередньо виконує
завдання;
• A – Accountable (Відповідальний): той, хто несе остаточну
відповідальність за результат;
• C – Consulted (Консультований): учасники, яких залучають для порад або
експертної підтримки;
• I – Informed (Поінформований): ті, кого необхідно інформувати про хід
виконання завдання або результат.
Ефективне планування ресурсів є ключовим для успішного виконання
проєкту. План завантаження ресурсів допомагає розподілити робоче навантаження
серед учасників та оптимізувати використання матеріальних і фінансових
ресурсів. У таблиці 2.8 представлено завантаження ключових ресурсів за місяцями
у відсотках, розраховане на період шести місяців. Такий підхід дозволяє керівнику
проєкту відстежувати завантаження команди, своєчасно виявляти потенційні
перевантаження і приймати рішення щодо перерозподілу ресурсів для
забезпечення ефективної реалізації завдань.
41
42
Таблиця 2.8
Завантаження ключових ресурсів за місяцями (%) з розрахунком
на 6 місяців.
Роль М1 М2 М3 М4 М5 М6
Менеджер проєкту 100% 75% 50% 50% 50% 75%
Security Architect 50% 100% 100% 75% 75% 50%
Security Engineer 1 25% 75% 100% 100% 100% 50%
Security Engineer 2 25% 50% 100% 100% 100% 50%
Network Engineer 0% 50% 100% 50% 25% 0%
SOC Analyst 0% 0% 25% 75% 100% 100%
2.6 Управління ризиками проєкту
Управління ризиками є невід’ємною частиною будь-якого проєкту, оскільки
дозволяє своєчасно виявляти потенційні загрози і мінімізувати їхній вплив на
результат. Системний підхід до управління ризиками забезпечує підвищену
надійність планування та сприяє досягненню поставлених цілей у встановлені
терміни.
Першим етапом управління ризиками є їхня ідентифікація. На цьому етапі
визначаються всі можливі фактори, які можуть негативно вплинути на виконання
проєкту, включаючи технічні, фінансові, організаційні та зовнішні аспекти.
Результати ідентифікації заносяться до реєстру ризиків, представленого в таблиці
2.9, де кожному ризику присвоюється опис, ймовірність настання та можливий
вплив на проєкт. Такий підхід дозволяє керівнику своєчасно планувати заходи
щодо запобігання чи зменшення негативних наслідків, забезпечуючи стабільну
реалізацію проєкту.
42
43
Таблиця 2.9
Реєстр ризиків проєкту
ID Ризик Категорія Ймовірність Вплив Оцінка
Затримка поставки
R1 Зовнішній Середня Високий Високий
обладнання
Нестача
R2 кваліфікованих Ресурси Висока Високий Критичний
кадрів
Перевищення
R3 Фінанси Середня Середній Середній
бюджету
Опір змінам від
R4 Організаційний Висока Середній Високий
персоналу
Технічна
R5 несумісність Технічний Середня Високий Високий
рішень
Зміна регуляторних
R6 Зовнішній Низька Середній Низький
вимог
Кібератака під час
R7 Безпека Середня Критичний Високий
впровадження
Недостатня
R8 підтримка Організаційний Низька Критичний Середній
керівництва
R9 Scope creep Управління Висока Середній Високий
Відмова ключового
R10 Ресурси Низька Високий Середній
персоналу
Після ідентифікації ризиків наступним кроком є розробка стратегій
реагування на них. Основна мета цього етапу – мінімізувати негативний вплив
ризиків на проєкт та забезпечити його стабільну реалізацію. Для кожного ризику
визначається відповідна стратегія, яка може передбачати запобігання, зменшення
впливу, прийняття ризику або передачу відповідальності іншим учасникам чи
організаціям.
Найпоширеніші стратегії реагування включають:
• Запобігання (Avoidance) – зміна плану або процесу для виключення ризику;
43
44
• Зменшення (Mitigation) – впровадження заходів, що зменшують ймовірність
або наслідки ризику;
• Прийняття (Acceptance) – усвідомлене прийняття ризику без додаткових дій;
• Передача (Transfer) – передача ризику стороннім організаціям або
страхування.
У таблиці 2.10 представлено план реагування на ризики, де зазначено
відповідні дії для кожного ризику, відповідальних осіб та строки виконання. Такий
системний підхід дозволяє забезпечити чіткий контроль над потенційними
проблемами і оперативно реагувати на їх виникнення.
Таблиця 2.10
План реагування на ризики
ID Ризик Стратегія План реагування Відповідальний
R1 Затримка Mitigation Замовлення з резервом часу; PM
поставки альтернативні постачальники
R2 Нестача кадрів Mitigation Залучення зовнішніх PM, HR
консультантів; навчання
існуючих
R3 Перевищення Mitigation Резерв 10%; щотижневий PM
бюджету контроль витрат
R4 Опір змінам Mitigation Комунікаційна кампанія; PM, HR
залучення champions
R5 Несумісність Avoidance POC перед закупівлею; вимоги Sec Arch
до інтеграції
R7 Кібератака Mitigation Посилений моніторинг; план CISO
реагування на інциденти
R9 Scope creep Avoidance Формальний процес Change PM
Control
R10 Відмова Transfer Документування знань; cross- PM
персоналу training
На основі отриманих даних будується матриця ризиків, яка дозволяє наочно
оцінити ймовірність настання кожного ризику та його потенційний вплив на
44
45
проєкт. Така візуалізація допомагає керівнику та команді проєкту швидко
визначати пріоритетні ризики та концентрувати зусилля на тих, що можуть мати
найбільший негативний ефект.
Ретельно відмальована матриця демонструє розподіл ризиків за рівнями їх
критичності та ймовірності, що забезпечує прозорість у процесі аналізу. На основі
отриманої матриці можна зробити висновки щодо ключових загроз і розробити
ефективні заходи щодо їх мінімізації, підвищуючи тим самим надійність і
стабільність реалізації проєкту.
Рис. 2.2 Матриця ризиків
2.7 Управління комунікаціями проєкту
Ефективна комунікація є ключовим елементом успішного управління
проєктом. Вона забезпечує своєчасний обмін інформацією між усіма учасниками,
дозволяє уникнути непорозумінь і сприяє координації дій. Чітко сплановані
комунікаційні процеси допомагають підтримувати прозорість і контроль на всіх
етапах реалізації проєкту.
План комунікацій визначає, яка інформація, коли і в який спосіб повинна
передаватися учасникам проєкту. У таблиці 2.11 представлена матриця
комунікацій, яка включає основні канали взаємодії та відповідальних за обмін
інформацією осіб. Основні типи комунікацій у проєкті можуть включати:
• Регулярні наради та звіти – забезпечують контроль за ходом
виконання завдань;
45
46
• Електронна пошта та онлайн-платформи – для швидкого обміну
інформацією і документами;
• Презентації та звіти для керівництва – дозволяють узагальнити
результати і визначити стратегічні кроки.
Такий підхід забезпечує своєчасне інформування всіх зацікавлених сторін і
дозволяє уникати затримок або недопорозумінь у процесі реалізації проєкту.
Таблиця 2.11
Матриця комунікацій
Тип комунікації Частота Аудиторія Формат Відповідальний
Статус-звіт Щотижня Керівний Email + PM
проєкту комітет презентація
Daily Standup Щодня Команда Zoom/Teams (15 Scrum Master
проєкту хв)
Sprint Review Раз на 2 Стейкхолдери Презентація PM
тижні
Retrospective Раз на 2 Команда Workshop Scrum Master
тижні
Steering Щомісяця Керівництво Засідання Спонсор
Committee
Звіт про ризики Щотижня PM, CISO Документ Risk Owner
All-hands update Щомісяця Весь персонал Презентація CISO
Технічна За потреби Технічна Wiki/Confluence Sec Arch
документація команда
Для забезпечення оперативного реагування на проблеми та ризики у проєкті
застосовується ескалаційна процедура. Вона визначає, на якому рівні керівництва
вирішуються різні ситуації, залежно від їхньої критичності та впливу на проєкт.
Основні рівні ескалації можна представити таким чином:
1. Рівень 1 (Team Lead) – відповідає за технічні проблеми та
затримки до 3 днів; час реакції – до 4 годин.
46
47
2. Рівень 2 (Project Manager) – опікується ризиками середнього
рівня, затримками від 3 до 7 днів та відхиленням бюджету до 10%; час реакції
– 1 робочий день.
3. Рівень 3 (Steering Committee) – розглядає критичні ризики,
затримки понад 7 днів та відхилення бюджету понад 10%; час реакції – 2
робочі дні.
4. Рівень 4 (Sponsor/CEO) – відповідає за загрозу зупинки проєкту
та критичні інциденти безпеки; час реакції – негайно.
Такий підхід дозволяє чітко визначити порядок реагування і забезпечити
швидке прийняття рішень на всіх рівнях управління.
2.8 Критерії успішності проєкту
Оцінка успішності проєкту базується на встановлених критеріях та
показниках ефективності. Вони дозволяють об’єктивно вимірювати досягнення
цілей і своєчасно коригувати процеси при необхідності.
Key Performance Indicators (KPIs) є основними метриками для оцінки
ефективності виконання проєкту. У таблиці 2.12 представлено KPIs, що
дозволяють вимірювати прогрес у досягненні ключових цілей, контролювати
строки виконання завдань та ефективність використання ресурсів. Використання
таких показників забезпечує прозорість управління проєктом і дає можливість
своєчасно реагувати на будь-які відхилення від плану.
Таблиця 2.12
KPIs проєкту
KPI Цільове Метод вимірювання
значення
Schedule Performance Index (SPI) ≥ 0.95 EV / PV
Cost Performance Index (CPI) ≥ 0.95 EV / AC
Завершення обсягу робіт (Scope completion) 100% % виконаних
deliverables
47
48
KPI Цільове Метод вимірювання
значення
Задоволеність стейкхолдерів (Stakeholder ≥ 4/5 Опитування
satisfaction)
Реалізовані засоби безпеки (Security controls 100% Checklist ISO 27001
implemented)
Покриття MFA 100% % користувачів з
MFA
Покриття EDR 100% % endpoints з EDR
Середній час виявлення (MTTD) < 1 години SOC metrics
Середній час реагування (MTTR) < 4 годин SOC metrics
Security Awareness score > 80% Результати тестування
Compliance score (ISO 27001) > 85% Gap assessment
Критерії приймання проєкту визначають, за яких умов проєкт вважається
завершеним і успішно реалізованим. Вони поділяються на обов’язкові та бажані,
що дозволяє оцінювати як обов’язкові вимоги, так і додаткові досягнення, які
підвищують якість впровадження системи кібербезпеки.
Обов’язкові критерії включають:
• Впровадження та функціонування усіх компонентів системи
кібербезпеки.
• Затверджені політики інформаційної безпеки керівництвом.
• 100% працівників пройшли навчання з кібербезпеки.
• Проведено тестування на проникнення та усунено критичні
вразливості.
• SOC (Security Operations Center) працює, а команда навченa.
• Передача документації в експлуатацію.
• Рівень відповідності вимогам ISO 27001 (compliance score)
перевищує 85%.
Бажані критерії включають:
• Підготовка до сертифікації ISO 27001.
48
49
• Автоматизовані playbooks для типових інцидентів.
• Інтеграція з зовнішніми джерелами розвідки кіберзагроз.
Висновки до розділу 2
У другому розділі дипломної роботи було проведено комплексне
планування проєкту впровадження системи кібербезпеки в умовній організації. На
основі проведеного аналізу та розроблених планових документів можна виділити
кілька ключових висновків.
По-перше, були чітко визначені вимірювані цілі проєкту відповідно до
методології SMART. Основною метою стало впровадження комплексної системи
кібербезпеки з досягненням рівня відповідності стандарту ISO 27001 не нижче 85%
протягом шести місяців. Початковий аудит виявив десять критичних розривів у
сфері безпеки, які потребують першочергового усунення.
По-друге, у межах управління змістом була створена детальна структура
декомпозиції робіт (WBS), що включає одинадцять робочих пакетів і понад
п’ятдесят конкретних завдань. Для кожного пакету визначено очікувані результати
та критерії їх приймання, що забезпечує прозорість та контрольованість виконання.
По-третє, календарний графік виконання робіт розроблено на 26 тижнів із
визначеним критичним шляхом. До ключових етапів увійшли ініціація проєкту,
проведення аудиту, впровадження мережевої безпеки, створення SOC, тестування
та завершення проєкту. Крім того, визначено дев’ять основних віх для контролю
прогресу.
По-четверте, у межах управління вартістю сформовано загальний бюджет у
розмірі 401 500 USD із 10% резервом. Витрати розподілено за основними
категоріями: придбання обладнання, ліцензії програмного забезпечення, залучення
зовнішніх послуг та використання внутрішніх ресурсів, а також по місяцях
реалізації для ефективного фінансового контролю.
По-п’яте, управління ресурсами включало розробку організаційної
структури проєкту, формування RACI-матриці та плану завантаження персоналу.
49
50
Виділено ключові ролі, серед яких менеджер проєкту (PM), архітектор безпеки,
інженери з безпеки, аналітики SOC та інші фахівці.
По-шосте, ідентифіковано десять основних ризиків, які можуть негативно
вплинути на реалізацію проєкту. Найбільш критичними визначено нестачу
кваліфікованого персоналу та можливість кібератак під час впровадження. Для
кожного ризику розроблено відповідні стратегії реагування і заходи щодо
мінімізації ймовірності та впливу.
По-сьоме, у сфері управління комунікаціями опрацьовано матрицю
інформаційних потоків, визначено формат, періодичність та відповідальних осіб.
Також створено чотирирівневу ескалаційну процедуру для оперативного
вирішення проблемних ситуацій.
По-восьме, визначено критерії успішності проєкту та одинадцять ключових
показників ефективності (KPI), що дозволяють об’єктивно оцінювати досягнення
результатів і відповідність системи кібербезпеки встановленим вимогам.
У цілому, розроблений план управління проєктом відповідає методології
PMBOK, забезпечує комплексний та системний підхід до впровадження системи
кібербезпеки та створює необхідні передумови для досягнення встановлених цілей
і підвищення рівня захищеності інформаційних ресурсів.
50
51
РОЗДІЛ 3
РЕАЛІЗАЦІЯ ПРОЄКТУ ВПРОВАДЖЕННЯ СИСТЕМИ КІБЕРБЕЗПЕКИ
3.1 Впровадження системи управління інформаційною безпекою
(СУІБ)
Впровадження системи управління інформаційною безпекою (СУІБ) є
ключовим етапом забезпечення захищеності інформаційних ресурсів організації.
Воно передбачає комплексний підхід, що охоплює не лише технічні засоби, але й
нормативну базу, процеси та підготовку персоналу. СУІБ дозволяє
стандартизувати процедури роботи з інформацією та створює умови для
ефективного контролю і мінімізації ризиків.Основою системи кібербезпеки
організації є комплекс нормативних документів, що регламентують усі аспекти
захисту інформації. У рамках проєкту розроблено ієрархічну структуру документів
СУІБ.
Основою СУІБ є комплекс нормативних документів, які регламентують усі
аспекти захисту інформації. У рамках проєкту було розроблено ієрархічну
структуру документів, що забезпечує чітке розмежування обов’язків і прав, а також
створює логічну послідовність управління безпекою.
Ієрархія документів СУІБ включає:
• Політики інформаційної безпеки – визначають загальні принципи та вимоги
до захисту інформації в організації;
• Стандарти та методичні рекомендації – описують конкретні технічні та
організаційні заходи для реалізації політик;
• Процедури та інструкції – детально регламентують виконання конкретних
операцій і контрольних дій у рамках політик і стандартів;
• Журнали та записи – забезпечують документування дій та контроль за
виконанням процедур.
51
52
Таке структурування дозволяє забезпечити прозорість управління
інформаційною безпекою, підвищує ефективність внутрішнього контролю та
полегшує процес підготовки до аудиту або сертифікації.
Рис. 3.1 Ієрархія документів СУІБ
Політика інформаційної безпеки, яка є верхнім рівнем ієрархії СУІБ,
затверджується керівництвом організації та визначає основні цілі, сферу
застосування, принципи та відповідальність учасників процесу. Вона слугує
фундаментом для всіх наступних стандартів, процедур та інструкцій у рамках
системи управління інформаційною безпекою.
Основні цілі політики включають: захист конфіденційності, цілісності та
доступності інформації, забезпечення безперервності бізнес-процесів, дотримання
законодавчих і регуляторних вимог, а також захист репутації організації.
Сфера застосування політики охоплює всіх працівників, підрядників і треті
сторони, усі інформаційні системи та активи організації, а також усі її локації.
Принципи інформаційної безпеки, які закладені у політиці, включають:
• Принцип найменших привілеїв (Least Privilege) – користувачі отримують
доступ тільки до тих ресурсів, які необхідні для виконання їхніх обов’язків;
52
53
• Принцип захисту в глибину (Defense in Depth) – багаторівневий захист
інформаційних ресурсів;
• Принцип розподілу обов’язків (Separation of Duties) – розмежування функцій
для запобігання зловживань;
• Принцип "знати необхідне" (Need to Know) – доступ до інформації надається
лише за потребою.
Ролі та відповідальності у рамках політики розподіляються таким чином:
керівництво несе загальну відповідальність і забезпечує ресурси; CISO здійснює
операційне управління безпекою; власники активів відповідають за захист
підконтрольних ресурсів; працівники зобов’язані дотримуватися політик і
процедур.
На другому рівні ієрархії СУІБ розроблені тематичні політики, які
деталізують конкретні напрямки інформаційної безпеки та регламентують порядок
дій у різних ситуаціях. Перелік таких політик наведено у таблиці 3.1. Вони
забезпечують виконання верхньорівневої політики та створюють практичні
інструменти для контролю й управління безпекою на всіх рівнях організації.
Таблиця 3.1
Перелік тематичних політик СУІБ
№ Назва політики Основні положення
1 Політика управління Принципи надання, перегляду та відкликання доступу;
доступом вимоги до автентифікації
2 Політика класифікації Рівні конфіденційності; правила маркування та обробки
інформації
3 Політика допустимого Дозволене використання ІТ-ресурсів; заборони та
використання обмеження
4 Політика паролів Вимоги до складності, терміну дії, зберігання паролів
5 Політика мобільних Вимоги до корпоративних та BYOD пристроїв
пристроїв
6 Політика віддаленого Умови та вимоги безпеки для remote work
доступу
53
54
№ Назва політики Основні положення
7 Політика реагування на Класифікація, процедури реагування, ескалація
інциденти
8 Політика резервного Розклад, зберігання (retention), тестування відновлення
копіювання
9 Політика управління Процес затвердження та впровадження змін
змінами
10 Політика управління Сканування, пріоритизація та усунення вразливостей
вразливостями
У рамках СУІБ впроваджено процес управління ризиками інформаційної
безпеки відповідно до стандарту ISO 27005. Цей процес дозволяє системно
виявляти, оцінювати та мінімізувати потенційні загрози, що можуть впливати на
інформаційні активи організації.
Методологія оцінки ризиків передбачає кілька ключових етапів. Першим кроком є
ідентифікація активів, яка охоплює всі інформаційні ресурси організації,
включаючи:
• Інформаційні активи – бази даних, документи, внутрішні та зовнішні
інформаційні потоки;
• Програмні активи – програмне забезпечення, додатки, системи управління;
• Фізичні активи – сервери, мережеве обладнання та інші пристрої;
• Сервіси – хмарні сервіси, зовнішні системи та інтерфейси.
Наступним етапом є ідентифікація загроз та вразливостей, що дозволяє оцінити
потенційний вплив кожного ризику на діяльність організації. Приклад оцінки
ризиків для критичних активів наведено у таблиці 3.2, де для кожного активу
визначено можливі загрози, вразливості та ймовірність їх реалізації.
Завдяки впровадженню цього процесу організація отримує структурований підхід
до управління інформаційними ризиками, що підвищує ефективність захисту і
дозволяє пріоритизувати заходи для мінімізації негативного впливу на критично
важливі активи.
54
55
Таблиця 3.2
Приклад оцінки ризиків для критичних активів
Актив Загроза Вразливіс Ймовірніс Вплив Ризик Заходи
ть ть
АБС Ransomware Застаріле Висока Критичн Критичн EDR,
(банківсь ПЗ ий ий резервне
ка копіюванн
система) я,
регулярне
патчуванн
я
База Витік даних Слабкий Середня Високий Високий IAM, DLP,
клієнтів контроль шифруван
доступу ня
Email- Фішинг Низька Висока Середній Високий Email
сервер обізнаніст security,
ь навчання
персоналу персоналу
Веб- SQL Вразливий Середня Високий Високий WAF,
портал Injection програмни SAST,
й код pentest
AD Компромета Слабкі Середня Критичн Критичн MFA,
(Active ція паролі ий ий PAM,
Directory) моніторин
г
Формула оцінки ризику та матриця прийняття рішень
Для системної оцінки ризиків інформаційної безпеки застосовується
формула:
Рівень ризику=Ймовірність×Вплив×Цінність активу (3.1)
Вона дозволяє кількісно визначати критичність кожного ризику та
приймати обґрунтовані управлінські рішення щодо його мінімізації. Параметри
оцінки визначаються за шкалою від 1 до 5:
• Ймовірність: від 1 (низька) до 5 (дуже висока);
55
56
• Вплив: від 1 (мінімальний) до 5 (критичний);
• Цінність активу: від 1 (низька) до 5 (критична).
На основі отриманих значень формується матриця прийняття рішень щодо
ризиків (таблиця 3.3), яка дозволяє визначити подальші дії для кожного ризику:
уникнення, зменшення, прийняття або передачу відповідальності. Такий підхід
забезпечує прозорість і структурованість процесу управління ризиками,
дозволяючи ефективно планувати заходи для захисту інформаційних активів
організації.
Таблиця 3.3.
Матриця прийняття рішень щодо ризиків:
Рівень Діапазон
Рішення Терміновість
ризику балів
Критичний 76–125 Негайне усунення До 1 тижня
Високий 51–75 Планове усунення До 1 місяця
Моніторинг + розробка плану
Середній 26–50 До 3 місяців
зниження
Не потребує
Низький 1–25 Прийняття ризику
термінових дій
Для ефективного впровадження та підтримки системи управління
інформаційною безпекою (СУІБ) було створено чітку організаційну структуру
управління безпекою. Вона визначає відповідальні ролі та повноваження,
забезпечує координацію дій між різними рівнями керівництва та операційними
підрозділами, а також гарантує контроль за виконанням політик і процедур
безпеки.
Структура включає керівництво організації, яке несе загальну
відповідальність за безпеку та забезпечує необхідні ресурси, CISO (Chief
Information Security Officer), що відповідає за оперативне управління ризиками та
56
57
впровадження політик, власників активів, які контролюють захист підконтрольних
ресурсів, а також працівників, що дотримуються встановлених політик і процедур.
Завдяки такій організаційній структурі забезпечується прозорість у
процесах управління безпекою, швидке реагування на інциденти та ефективний
розподіл відповідальності на всіх рівнях організації.
Рис. 3.2 Організаційна структура
Для ефективного функціонування системи управління інформаційною
безпекою було сформовано штатний розпис підрозділу інформаційної безпеки. У
ньому визначено ключові ролі та посадові обов’язки, що забезпечують реалізацію
політик, процедур і контроль за безпекою інформаційних активів. Таблиця 3.4
демонструє структуру команди безпеки, включаючи керівництво, CISO, власників
активів, аналітиків SOC та інших фахівців, що дозволяє забезпечити комплексний
підхід до захисту інформаційних ресурсів і швидке реагування на потенційні
інциденти.
57
58
Таблиця 3.4.
Структури команди безпеки
Посада Кількість Основні обов'язки
CISO 1 Загальне керівництво СУІБ, стратегія безпеки, управління
ризиками, звітність керівництву
Security 1 Розробка архітектури безпеки, проектування контролів,
Architect вибір і інтеграція технологій
SOC Analyst 2 Цілодобовий моніторинг подій, первинний аналіз алертів,
L1 ескалація інцидентів
SOC Analyst 1 Глибоке розслідування інцидентів, цифрова криміналістика,
L2 координація реагування
Security 1 Налаштування, оптимізація та підтримка security-
Engineer інструментів (SIEM, EDR, WAF тощо)
GRC 1 Управління політиками, аудитами, відповідністю ISO 27001,
Specialist навчання персоналу
Всього 7 —
3.2 Впровадження технічних засобів захисту
Впровадження технічних засобів захисту є критично важливим етапом
реалізації системи управління інформаційною безпекою. Воно передбачає
оновлення та модернізацію існуючої інфраструктури, встановлення сучасних
засобів контролю доступу, моніторингу та запобігання загрозам. Технічні заходи
реалізуються у взаємозв’язку з політиками і процедурами, що забезпечує
комплексний захист інформаційних активів організації.
Архітектура мережевої безпеки побудована за принципом Defense in Depth
(захист у глибину), що передбачає багаторівневий захист інформаційних ресурсів.
Такий підхід забезпечує послідовне накладання заходів безпеки на різних рівнях:
від фізичної інфраструктури і мережевих компонентів до прикладних систем і
кінцевих користувачів.
Багаторівнева архітектура дозволяє:
58
59
• зменшити ризик компрометації систем у разі порушення безпеки
на одному з рівнів;
• забезпечити ізоляцію критичних ресурсів і контроль за трафіком;
• оперативно виявляти та реагувати на загрози, що виникають на
різних сегментах мережі.
Реалізація концепції Defense in Depth створює надійний фундамент для
подальшого впровадження додаткових технічних засобів захисту та інтеграції з
процесами управління ризиками і моніторингу інформаційної безпеки.
Рис. 3.3 Архітектура мережевої безпеки
59
60
У рамках модернізації мережевої безпеки було впроваджено низку
технічних компонентів, які забезпечують багаторівневий захист інформаційних
ресурсів організації. Це включає сучасні міжмережеві екрани, системи виявлення
та запобігання вторгненням, а також засоби контролю трафіку та сегментації
мережі. Таблиця 3.5 містить детальні характеристики впровадженого мережевого
обладнання, що демонструють його технічні параметри, функціональні можливості
та роль у забезпеченні безпеки організації.
Таблиця 3.5
Характеристики впровадженого мережевого обладнання
Компонент Модель Характеристики Призначення
NGFW Palo Alto PA- Пропускна здатність 5 Gbps; Периметровий захист,
3220 App-ID; Threat Prevention; контроль трафіку
SSL Inspection
Internal Palo Alto PA- Пропускна здатність 940 Сегментація та ізоляція
Firewall 820 Mbps; підтримка зон; логічна внутрішніх мереж
сегментація
WAF FortiWeb 400E 250 Mbps; ML-based Захист веб-додатків і
detection; захист від OWASP API
Top-10
VPN Palo Alto До 2000 одночасних Захищений віддалений
Concentrator GlobalProtect користувачів; IPSec/SSL VPN доступ співробітників
NAC Cisco ISE 802.1X; posture assessment; Контроль доступу до
профілювання пристроїв мережі та політики
відповідності
Для підвищення безпеки мережевої інфраструктури організації
впроваджено мікросегментацію за принципами Zero Trust. Такий підхід
передбачає поділ мережі на ізольовані сегменти з контролем доступу на кожному
рівні, що дозволяє мінімізувати ризик поширення загроз та забезпечує більш
строгий контроль за взаємодією між користувачами, пристроями та сервісами.
60
61
Таблиця 3.6 демонструє схему сегментації мережі, відображаючи структуру
сегментів, межі безпеки та правила доступу між ними. Реалізація мікросегментації
створює надійний фундамент для подальшого захисту критичних ресурсів і
інтеграції з іншими технічними та організаційними заходами СУІБ.
Таблиця 3.6
Схема сегментації мережі
VLAN Рівень
Назва Підмережа Призначення
ID довіри
Публічні сервіси (web, API,
10 DMZ 10.0.10.0/24 Низький
external gateways)
20 Corporate 10.0.20.0/24 Робочі станції співробітників Середній
30 Servers 10.0.30.0/24 Сервери бізнес-додатків Високий
40 Database 10.0.40.0/24 Сервери баз даних Критичний
Мережа адміністрування,
50 Management 10.0.50.0/24 Критичний
доступ до обладнання
Гостьовий Wi-Fi, повністю
100 Guest 10.0.100.0/24 Ізольований
ізольований
Для забезпечення безпечної роботи організації та мінімізації ризиків
поширення загроз між сегментами мережі встановлено чіткі правила
міжсегментної взаємодії. Вони визначають, які сервіси, користувачі та пристрої
можуть обмінюватися даними між сегментами, які протоколи дозволені, а які
блокуються, а також порядок авторизації та аутентифікації при доступі до
критичних ресурсів.
Дотримання цих правил дозволяє контролювати потоки даних, запобігати
несанкціонованому доступу та забезпечує ефективну реалізацію принципів Zero
Trust у мережевій інфраструктурі організації.
61
62
Рис. 3.4 Правила міжсегментної взаємодії
Для підвищення рівня захисту інформаційних активів організації було
впроваджено систему захисту кінцевих точок (EDR – Endpoint Detection and
Response). Таке рішення дозволяє своєчасно виявляти загрози, аналізувати
поведінку кінцевих пристроїв та оперативно реагувати на інциденти безпеки.
Вибір оптимального EDR-рішення здійснювався на основі порівняльного
аналізу провідних продуктів на ринку. При оцінці враховувалися такі критерії, як
ефективність виявлення загроз, можливості аналітики та реагування, інтеграція з
існуючою інфраструктурою та зручність адміністрування. Результати порівняння
представлені в таблиці 3.7, де наведено технічні характеристики та функціональні
можливості кожного рішення, що дозволяє обґрунтовано обрати найбільш
відповідний продукт для організації.
Таблиця 3.7
Порівняння EDR-рішень
CrowdStrike Microsoft Carbon
Критерій SentinelOne
Falcon Defender Black
Gartner Rating Leader Leader Leader Visionary
Detection Rate 99,7% 98,5% 99,5% 97,8%
Cloud-native Так Так Так Частково
62
63
CrowdStrike Microsoft Carbon
Критерій SentinelOne
Falcon Defender Black
Інтеграція з
Відмінна Відмінна (MS) Добра Добра
SIEM
Вартість (200 Включено в
$25,000/рік $22,000/рік $20,000/рік
EP) M365 E5
Так (Falcon Так (Defender Так
MDR послуги Так
Complete) Experts) (Vigilance)
В результаті аналізу провідних EDR-рішень для організації було обрано
Microsoft Defender for Endpoint, зважаючи на наявність ліцензії Microsoft 365 E5
та можливість інтеграції з існуючою інфраструктурою. Це рішення забезпечує
ефективний захист кінцевих точок, централізоване управління безпекою та
автоматизацію реагування на інциденти.
Архітектура впровадження EDR передбачає розгортання агентів на всіх
кінцевих пристроях, інтеграцію з центральною консоллю управління та
підключення до систем моніторингу й логування. Така структура дозволяє
централізовано збирати дані про події безпеки, аналізувати поведінку користувачів
і пристроїв, а також оперативно реагувати на підозрілі або шкідливі дії.
Рис. 3.5 Microsoft Defender for Endpoint
63
64
У процесі впровадження Microsoft Defender for Endpoint були активовані та
налаштовані ключові функції для забезпечення всебічного захисту кінцевих точок.
До них належать:
1. Next-Generation Protection – забезпечує захист у реальному часі за
допомогою антивірусних механізмів, моніторингу поведінки, хмарної
аналітики та моделей машинного навчання.
2. Attack Surface Reduction (ASR) – мінімізує вразливості, блокуючи
виконання небезпечних процесів Office, захист облікових даних LSASS,
блокування виконання шкідливого контенту з електронної пошти та
неперевірених USB-пристроїв.
3. Endpoint Detection and Response (EDR) – забезпечує розширені запити для
пошуку загроз, автоматизоване розслідування інцидентів, аналітику загроз та
функції Live Response для оперативного реагування.
4. Інтеграція – дозволяє підключати EDR до Microsoft Sentinel (SIEM),
Microsoft Intune (MDM) та Azure AD (Identity) для централізованого
моніторингу, управління та контролю доступу.
Детальні характеристики та налаштування функцій наведено у таблиці 3.8.
Для оцінки ефективності впровадження системи захисту кінцевих точок визначено
метрики, що дозволяють вимірювати рівень виявлення загроз, час реагування на
інциденти та охоплення захисту всіх кінцевих пристроїв організації.
Таблиця 3.8
Метрики впровадження EDR
Метрика Цільове значення Досягнуте значення
Coverage (endpoints) 100% 100% (192/192)
Sensor health > 95% 98,4%
ASR rules enabled 100% 100%
Avg detection time < 5 хв 3,2 хв
64
65
Метрика Цільове значення Досягнуте значення
False positive rate < 5% 2,1%
Для забезпечення контролю доступу та безпечного управління обліковими
записами в організації було впроваджено систему Identity and Access Management
(IAM). Ця система дозволяє централізовано керувати ідентифікацією користувачів,
їх правами доступу та політиками автентифікації, що забезпечує відповідність
принципам Zero Trust та мінімізує ризики несанкціонованого доступу.
Архітектура IAM передбачає інтеграцію з корпоративною директорією,
системами єдиного входу (SSO), багатофакторною аутентифікацією (MFA) та
управлінням ролями і групами користувачів. Вона забезпечує централізоване
адміністрування, контроль за змінами прав доступу та можливість швидкого
реагування на інциденти безпеки, пов’язані з обліковими записами.
Рис. 3.6 Архітектура IAM
65
66
Для підвищення безпеки доступу до корпоративних ресурсів у рамках
системи IAM було впроваджено багатофакторну аутентифікацію (MFA). MFA
забезпечує додатковий рівень захисту, вимагаючи підтвердження особи
користувача за допомогою двох або більше факторів, таких як пароль, смс-код,
мобільний додаток або апаратний токен.
Таблиця 3.9 демонструє застосування різних методів MFA для окремих
категорій користувачів, враховуючи рівень їх доступу та критичність ресурсів.
Впровадження MFA значно знижує ризик несанкціонованого доступу та підвищує
загальний рівень інформаційної безпеки організації.
Таблиця 3.9
Методи MFA за категоріями користувачів
Категорія Кількість Метод MFA Fallback
Адміністратори 15 Hardware token (YubiKey) MS Authenticator
IT персонал 20 MS Authenticator (push) SMS
Звичайні користувачі 150 MS Authenticator (push) SMS
Зовнішні підрядники 15 MS Authenticator Email OTP
У рамках системи IAM для підвищення безпеки доступу впроваджено
політики умовного доступу (Conditional Access Policies). Ці політики дозволяють
контролювати доступ користувачів до корпоративних ресурсів залежно від умов,
таких як місцезнаходження, пристрій, роль користувача або рівень ризику. Завдяки
цьому забезпечується динамічне управління доступом та мінімізація ймовірності
несанкціонованого входу.
Таблиця 3.10 демонструє перелік впроваджених політик умовного доступу,
що включають правила доступу для різних категорій користувачів та сценаріїв
роботи з корпоративними системами. Реалізація цих політик дозволяє організації
дотримуватися принципів Zero Trust і ефективно контролювати ризики, пов’язані
з аутентифікацією та авторизацією.
66
67
Таблиця 3.10
Політики умовного доступу
Політика Умова Дія Винятки
MFA for all Всі користувачі, всі Вимагати MFA Emergency
додатки accounts
Block legacy Всі користувачі Заблокувати Немає
auth
Compliant Всі користувачі, Вимагати сумісний -
devices чутливі додатки пристрій
Named Всі користувачі, admin Заблокувати з VPN IP
locations portals неперевірених локацій
Risk-based Всі користувачі, high Заблокувати / Вимагати -
sign-in risk зміну пароля
Admin MFA Адмінські ролі Вимагати MFA + сумісний -
пристрій
Для ефективного управління привілейованим доступом у організації було
впроваджено Azure AD Privileged Identity Management (PIM). Це рішення
дозволяє контролювати адміністративні ролі та обмежувати ризики, пов’язані з
надмірними правами доступу.
Основні налаштування PAM включають:
1. Just-In-Time Access – адміністративні ролі активуються лише на
запит користувача, при цьому максимальний термін активації становить 8
годин, а кожен запит потребує обов’язкового обґрунтування.
2. Eligible vs Active Assignments – постійні призначення надаються
лише для break-glass облікових записів, решта адміністраторів отримує ролі
з категорії eligible, активовані за потреби.
3. Access Reviews – щоквартальний перегляд привілейованих ролей
з автоматичним відкликанням невикористаних прав доступу.
67
68
Таблиця 3.11 демонструє метрики впровадження системи IAM, що
дозволяють оцінювати ефективність управління доступом, використання
привілейованих ролей та дотримання політик безпеки.
Таблиця 3.11
Метрики впровадження IAM
Метрика Цільове значення Досягнуте значення
MFA coverage 100% 100%
Legacy auth blocked 100% 100%
Avg privilege elevation time < 15 хв 8 хв
Unused accounts disabled 100% 100%
Password-less users > 20% 35%
Для забезпечення безперервного моніторингу та оперативного реагування
на інциденти інформаційної безпеки в організації було впроваджено Security
Operations Center (SOC). Центр забезпечує централізоване спостереження за
подіями безпеки, збір та аналіз логів, виявлення загроз та координацію реагування
на інциденти.
Архітектура SOC передбачає інтеграцію з усіма критичними системами
організації, включаючи мережеве обладнання, EDR-системи, IAM та рішення для
управління привілейованим доступом. Це дозволяє забезпечити повну видимість
подій безпеки, автоматизувати процеси оповіщення та реагування, а також
проводити кореляцію інцидентів для своєчасного виявлення складних атак.
68
69
Рис. 3.7 Архітектура SOC
Для ефективного функціонування Security Operations Center (SOC) було
підключено різноманітні джерела даних, які забезпечують збір логів та подій
безпеки з усіх критичних систем організації. Це включає мережеве обладнання,
сервери, кінцеві точки, системи управління доступом та хмарні сервіси.
Таблиця 3.12 демонструє перелік джерел логів, підключених до системи
SIEM, що дозволяє централізовано збирати, аналізувати та корелювати інформацію
про події безпеки. Використання цих джерел створює основу для оперативного
виявлення загроз та ефективного реагування на інциденти.
Таблиця 3.12
Джерела логів SIEM
Джерело Тип логів Events per day Retention
Azure AD Sign-in, Audit, Risky users ~50,000 90 днів
69
70
Джерело Тип логів Events per day Retention
Microsoft 365 Exchange, SharePoint, Teams ~100,000 90 днів
Defender for Endpoint Alerts, Events ~200,000 30 днів
Palo Alto NGFW Traffic, Threat, URL ~500,000 30 днів
Windows Servers Security, System, Application ~150,000 30 днів
Linux Servers Syslog, Auth ~20,000 30 днів
DNS Servers DNS queries ~300,000 7 днів
У рамках роботи Security Operations Center (SOC) було налаштовано
комплекс правил аналітики, що дозволяють автоматично виявляти підозрілі події
та потенційні загрози. Ці правила детекції охоплюють різні типи інцидентів,
включаючи спроби несанкціонованого доступу, аномальні дії користувачів,
підозрілий мережевий трафік та інші сигнали порушення безпеки.
Таблиця 3.13 наводить приклади правил детекції, які реалізовані в системі,
демонструючи критерії спрацьовування та обробку інцидентів. Завдяки
налаштуванню аналітичних правил SOC може оперативно і точно реагувати на
загрози, знижуючи ризик шкоди інформаційним ресурсам організації.
Таблиця 3.13
Приклади правил детекції
Правило Severity Тактика Логіка
MITRE
Brute force attack High Credential > 10 failed logins за 5 хв
Access
Suspicious High Execution Використання encoded commands,
PowerShell download cradle
Lateral movement High Lateral Виявлення PsExec, WMI remote
Movement execution
70
71
Правило Severity Тактика Логіка
MITRE
Data exfiltration Critical Exfiltration Великий outbound-трафік у рідкісний
напрям
Privileged role Medium Persistence Призначення ролі Global Admin
assigned
Malware detected Critical Execution Defender alert про виявлення шкідника
Impossible travel Medium Initial Access Логін з різних країн < 2 годин
New external High Collection Налаштування пересилки пошти на
forwarding зовнішній домен
У рамках роботи Security Operations Center (SOC) було впроваджено
автоматизовані playbooks, що дозволяють оперативно реагувати на виявлені
інциденти безпеки. Ці playbooks визначають послідовність дій для обробки різних
типів загроз, автоматизують рутинні завдання та скорочують час реагування на
критичні події.
Таблиця 3.14 демонструє приклади впроваджених автоматизованих
playbooks, відображаючи сценарії використання та очікувані дії системи у відповідь
на інциденти. Завдяки цій автоматизації SOC підвищує ефективність своєї роботи
та зменшує ймовірність людської помилки при реагуванні на загрози.
Таблиця 3.14
Автоматизовані playbooks
Playbook Trigger Дії SLA
Enrich-IP Alert with IP GeoIP lookup, VirusTotal check, Auto
AbuseIPDB
Enrich-User Alert with user Отримання деталей користувача, Auto
останні входи, членство в групах
Block-IP High severity Додавання IP у блок-лист NGFW Auto
network alert
71
72
Playbook Trigger Дії SLA
Isolate- Critical Ізоляція пристрою в Defender Manual
Endpoint malware alert approval
Disable- Compromised Вимкнення AAD-акаунта, Manual
User account alert відкликання сесій approval
Create- All incidents Створення ServiceNow тикета Auto
Ticket
Notify-SOC High/Critical alerts Сповіщення Teams/Email Auto
Для забезпечення ефективного функціонування Security Operations
Center (SOC) було визначено та документовано ключові операційні процеси.
Вони включають моніторинг подій безпеки, аналіз інцидентів, пріоритизацію
загроз, ескалацію критичних ситуацій та координацію дій між різними командами
безпеки.
Стандартизація операційних процесів дозволяє забезпечити послідовну та
швидку реакцію на інциденти, зменшити час їх обробки та підвищити загальний
рівень безпеки організації. Крім того, це створює основу для автоматизації
рутинних завдань та інтеграції з playbooks для реагування на загрози.
Рис. 3.8 SOC операційні процеси
72
73
Для оцінки ефективності роботи Security Operations Center (SOC)
впроваджено SOC Metrics Dashboard, що дозволяє відстежувати ключові
показники роботи центру безпеки. Метрики включають час виявлення та
реагування на інциденти, кількість оброблених подій, рівень автоматизації завдань
та ефективність застосованих playbooks.
Таблиця 3.15 демонструє приклади метрик, що відображають продуктивність
SOC та дозволяють керівництву оперативно приймати рішення щодо оптимізації
процесів, підвищення швидкості реагування та покращення загального рівня
інформаційної безпеки організації.
Таблиця 3.15
SOC Metrics Dashboard
Метрика Target Month 1 Month 3 Month 6
MTTD (Mean Time to Detect) < 1h 2.5h 1.2h 45min
MTTR (Mean Time to Respond) < 4h 6h 4.5h 3.5h
Alert volume - 1,200 980 750
False positive rate < 30% 45% 32% 24%
Incidents/month - 15 12 8
Critical incidents 0 2 0 0
3.3 Впровадження системи резервного копіювання та відновлення
Для забезпечення безперервності бізнес-процесів та захисту даних
організації було впроваджено стратегію резервного копіювання за правилом 3-2-1.
Згідно з цим правилом, створюються три копії даних — основна (production) та дві
резервні, які зберігаються на двох різних носіях, наприклад, локально на дисках та
у хмарному сховищі. При цьому одна копія розміщується offsite, що забезпечує
доступність даних навіть у випадку фізичних загроз на основному майданчику.
73
74
Архітектура системи резервного копіювання передбачає інтеграцію з
критичними інформаційними системами, централізоване управління процесом
бекапу та регулярне тестування відновлення даних, що гарантує надійність та
оперативність відновлення у разі інцидентів.
Рис. 3.9 Архітектура backup
Для ефективного управління процесом резервного копіювання та
забезпечення безпеки даних організації розроблено політику резервного
копіювання, яка визначає частоту створення копій, типи даних, що підлягають
резервуванню, місця зберігання та відповідальних за контроль виконання
процедур.
Таблиця 3.16 демонструє деталі політики резервного копіювання,
включаючи періодичність бекапів, типи носіїв та процедури відновлення, що
забезпечує послідовність та надійність процесу, а також дозволяє швидко реагувати
на інциденти втрати даних.
74
75
Таблиця 3.16
Політика резервного копіювання
Тип даних RPO RTO Частота Retention Метод
Databases (критичні) 1 год 4 год Hourly 30 days Snapshot + Log
File servers 4 год 8 год Every 4h 30 days Incremental
Virtual machines 24 год 24 год Daily 14 days Image-level
M365 (Exchange, SPO) 24 год 24 год Daily 1 year Veeam for M365
Endpoints 7 днів N/A Weekly 30 days File-level
Config backups 24 год 1 год Daily 90 days Config export
Для забезпечення безперервності бізнес-процесів у разі критичних
інцидентів або катастроф в організації розроблено план відновлення після
катастроф (Disaster Recovery Plan, DRP). План визначає процедури відновлення
інформаційних систем та критичних сервісів у встановлені терміни, а також
пріоритети відновлення для різних типів ресурсів.
Таблиця 3.17 демонструє план відновлення після катастроф, які визначають
рівні готовності систем до відновлення, час відновлення (RTO) та допустимий
рівень втрати даних (RPO). Така структура дозволяє організації планомірно і
ефективно реагувати на критичні події, мінімізуючи наслідки для бізнесу та
забезпечуючи безперервність функціонування ключових процесів.
Таблиця 3.17
План відновлення після катастроф
Tier Системи RTO RPO DR Strategy
Tier 1 (Critical) АБС, AD, DNS 4h 1h Hot standby in Azure
Tier 2 (Important) Email, CRM, ERP 24h 4h Warm standby
Tier 3 (Standard) File servers, Intranet 72h 24h Restore from backup
75
76
Tier Системи RTO RPO DR Strategy
Tier 4 (Non-critical) Dev/Test systems 1 week 1 week Rebuild if needed
У разі виникнення критичного інциденту в організації застосовується чітко
визначена процедура активації плану відновлення після катастроф (DR).
Першим кроком є виявлення інциденту відповідальними особами — CISO та IT
Manager, після чого керівництво організації, зокрема CEO, приймає рішення про
оголошення катастрофи.
Далі активується команда відновлення (DR team), проводиться failover
критичних систем (Tier 1) протягом 4 годин, організовується комунікація зі
стейкхолдерами та здійснюється поетапне відновлення систем нижчих рівнів (Tier
2 → Tier 3 → Tier 4). Після завершення відновлення проводиться валідація
результатів, повернення систем у production (failback) та post-incident review для
аналізу ефективності процедур і вдосконалення DRP.
Для перевірки готовності системи та ефективності процедур відновлення
регулярно проводяться тестування DR, результати яких представлені в таблиці
3.18. Таке тестування дозволяє оцінити час відновлення, коректність процедур та
готовність персоналу до реагування на критичні події, забезпечуючи високий
рівень стійкості організації до інцидентів.
Таблиця 3.18
Результати тестування відновлення
Target Actual
Тест Дата Scope Результат
RTO RTO
SQL Server prod
Database restore 15.03 4h 2.5h PASS
DB
VM recovery 22.03 3 critical VMs 24h 18h PASS
FAIL →
Full DR drill 05.04 Tier 1 systems 4h 5.5h
Fixed
76
77
Target Actual
Тест Дата Scope Результат
RTO RTO
Full DR drill
19.04 Tier 1 systems 4h 3.5h PASS
(retest)
M365 mailbox
10.05 5 mailboxes 24h 8h PASS
restore
Ransomware Isolated
24.05 24h 20h PASS
simulation environment
3.4 Впровадження програми підвищення обізнаності персоналу
Для підвищення рівня кібербезпеки організації було впроваджено
комплексну програму Security Awareness, яка спрямована на формування в
працівників знань, навичок та поведінкових моделей для зниження ризиків
кіберзагроз.
Програма складається з кількох ключових компонентів, що забезпечують
системний підхід до навчання та підвищення обізнаності персоналу. Основні
елементи включають:
• Навчальні модулі — курси та тренінги з основ кібербезпеки,
правил безпечного поводження з інформацією та практичних кейсів.
• Симуляції атак — проведення тренувальних фішингових
кампаній та інших сценаріїв для перевірки готовності персоналу.
• Регулярні комунікації — розсилки, бюлетені та оновлення про
актуальні загрози та рекомендації щодо безпечної роботи.
• Оцінка ефективності — контроль знань та навичок за допомогою
тестувань, анкет та аналізу поведінки користувачів.
Завдяки такій структурі програма дозволяє не лише підвищити обізнаність
працівників, а й формувати культуру інформаційної безпеки в організації, що є
важливою складовою комплексного підходу до захисту даних та систем.
77
78
Рис. 3.10 Компоненти програми
У межах програми Security Awareness було сформовано структурований
перелік навчальних модулів, спрямованих на підвищення рівня обізнаності
персоналу у сфері кібербезпеки. Модулі охоплюють як базові принципи захисту
інформації, так і практичні аспекти безпечної роботи з корпоративними системами,
включаючи протидію соціальній інженерії та реагування на інциденти.
Таблиця 3.19 відображає склад навчальних модулів програми, їхню
тематику, цільову аудиторію та періодичність проведення. Така структура
навчання дозволяє адаптувати освітній контент до різних категорій працівників і
забезпечує системне формування культури інформаційної безпеки в організації.
Таблиця 3.19
Навчальні модулі програми
Модуль Аудиторія Тривалість Формат Частота
При прийомі +
Security Basics Всі працівники 45 min E-learning
щорічно
Phishing E-learning +
Всі працівники 30 min Щоквартально
Awareness simulation
78
79
Password Security Всі працівники 20 min E-learning Щорічно
Офісні
Physical Security 15 min E-learning Щорічно
працівники
Data
Всі працівники 30 min E-learning Щорічно
Classification
Remote Work
Remote workers 30 min E-learning При зміні статусу
Security
Secure
Developers 2 hours Instructor-led Щорічно
Development
Admin Security IT admins 2 hours Instructor-led Щорічно
IT + Tabletop
Incident Response 1 hour Щорічно
Management exercise
З метою оцінки рівня обізнаності персоналу та практичної перевірки
ефективності програми Security Awareness в організації впроваджено симуляцію
фішингових атак. Такий підхід дозволяє моделювати реальні загрози та аналізувати
поведінку користувачів у типових сценаріях соціальної інженерії.
Методологія тестування побудована за поетапним принципом. На першому
етапі проводиться baseline assessment, що передбачає початкове тестування без
попередження персоналу з метою визначення вихідного рівня стійкості до
фішингових атак. Далі здійснюється етап training, під час якого працівники
проходять навчання на основі виявлених помилок і типових сценаріїв атак.
Наступним етапом є follow-up testing, яке дозволяє оцінити ефективність
проведеного навчання та динаміку покращення показників. Додатково реалізується
targeted testing, орієнтоване на групи підвищеного ризику, зокрема користувачів із
розширеними правами доступу або працівників, що працюють з критичними
даними. Завершальним елементом методології є continuous improvement, що
передбачає постійне вдосконалення сценаріїв симуляцій і навчальних матеріалів на
основі отриманих результатів.
79
80
Таблиця 3.20 містить класифікацію типів фішингових симуляцій, які
використовуються в межах програми, та дозволяє системно оцінювати рівень
готовності персоналу до протидії атакам соціальної інженерії.
Таблиця 3.20
Типи фішингових симуляцій
Тип Складність Приклад Цільовий click rate
Generic Low "Password expiration" < 30%
Targeted Medium "IT Support ticket" < 20%
Spear phishing High Персоналізований від "CEO" < 10%
Credential harvest High Fake M365 login < 15%
Malicious attachment Medium "Invoice" PDF < 15%
За результатами проведених фішингових симуляцій було отримано кількісні
та якісні показники, що дозволяють оцінити рівень обізнаності персоналу та
ефективність програми Security Awareness. Аналіз результатів тестування
демонструє динаміку змін у поведінці користувачів, зокрема зниження кількості
переходів за шкідливими посиланнями та зростання частки своєчасно
повідомлених інцидентів.
Таблиця 3.21 відображає узагальнені результати фішинг-тестування,
включаючи показники кліків, введення облікових даних та рівень повідомлення
про підозрілі листи. Отримані дані використовуються для коригування навчальних
матеріалів, підвищення фокусу на групах підвищеного ризику та подальшого
вдосконалення програми підвищення обізнаності персоналу у сфері кібербезпеки.
80
81
Таблиця 3.21
Результати фішинг-тестування
Кампанія Дата Надіслано Click rate Report rate Тренд
Baseline 01.02 180 32% 5% -
Campaign 2 15.03 180 24% 12% ↓
Campaign 3 01.05 180 18% 22% ↓
Campaign 4 15.06 180 14% 35% ↓
Target - - < 10% > 40% -
3.5 Тестування на проникнення та оцінка захищеності
З метою комплексної оцінки рівня захищеності інформаційних систем
організації було проведено тестування на проникнення відповідно до методології
PTES (Penetration Testing Execution Standard). Застосування цієї методології
забезпечує структурований та послідовний підхід до виявлення технічних і
організаційних вразливостей, а також дозволяє оцінити потенційні наслідки
успішних атак.
Процес тестування включав кілька взаємопов’язаних етапів. На
початковому етапі Pre-engagement було визначено обсяг робіт (scope) та правила
проведення тестування (Rules of Engagement). Далі здійснювався збір
розвідувальної інформації (Intelligence Gathering) про цільове середовище, на
основі якої виконувалося моделювання загроз (Threat Modeling).
Наступні етапи передбачали аналіз вразливостей (Vulnerability Analysis)
та їх практичну перевірку шляхом експлуатації (Exploitation) з подальшою
оцінкою можливих наслідків на етапі Post-Exploitation. Завершальним кроком
стало звітування (Reporting), у межах якого було підготовлено рекомендації щодо
усунення виявлених недоліків та підвищення рівня кібербезпеки.
81
82
Таблиця 3.22 містить опис scope тестування, включаючи перелік систем,
сервісів і мережевих сегментів, що були залучені до перевірки, що забезпечує
прозорість та контрольованість проведених робіт.
Таблиця 3.22
Scope тестування
Тип Охоплення Методи
External Публічні IP, веб-додатки Black-box
Internal Корпоративна мережа Gray-box
Wireless Wi-Fi мережі Black-box
Social Engineering Email phishing Controlled
Physical Офісні приміщення Controlled
За результатами проведеного тестування на проникнення було отримано
комплексну оцінку рівня захищеності інформаційних систем організації. Виявлені
вразливості дозволили оцінити ефективність впроваджених технічних і
організаційних заходів безпеки, а також визначити потенційні вектори атак, які
можуть бути використані зловмисниками.
У ході тестування були зафіксовані вразливості різного рівня критичності,
зокрема пов’язані з налаштуваннями доступу, застарілими компонентами
програмного забезпечення та помилками конфігурації окремих сервісів. Аналіз
отриманих результатів підтвердив доцільність впровадження багаторівневого
захисту та постійного моніторингу стану безпеки.
Таблиця 3.23 містить зведену інформацію про виявлені вразливості,
включаючи їхню категорію, рівень критичності та рекомендовані заходи щодо
усунення. Отримані результати стали підґрунтям для формування плану
коригувальних дій і подальшого підвищення рівня захищеності організації.
Таблиця 3.23
82
83
Зведення виявлених вразливостей
Severity До проєкту Після впровадження Усунено
Critical 5 0 5 (100%)
High 12 2 10 (83%)
Medium 28 8 20 (71%)
Low 45 15 30 (67%)
Info 32 20 -
Total 122 45 65 (73%)
У процесі тестування на проникнення було виявлено низку критичних та
середньокритичних вразливостей, які могли негативно вплинути на рівень
захищеності інформаційних систем організації. Після завершення етапу аналізу для
кожної з них були розроблені та реалізовані відповідні коригувальні заходи,
спрямовані на мінімізацію ризиків та запобігання повторному виникненню
аналогічних проблем.
Основна увага була зосереджена на усуненні вразливостей, пов’язаних із
помилками конфігурації, надмірними правами доступу, відсутністю актуальних
оновлень програмного забезпечення та недостатнім контролем мережевих
з’єднань. Проведені заходи підтвердили ефективність впровадженої системи
захисту та готовність організації до протидії сучасним кіберзагрозам.
Таблиця 3.24 наводить приклади усунених вразливостей із зазначенням їх
характеру, рівня критичності та застосованих методів усунення. Отримані
результати демонструють практичну результативність заходів з підвищення рівня
кібербезпеки та обґрунтовують доцільність регулярного проведення тестувань на
проникнення.
83
84
Таблиця 3.24
Приклади усунених вразливостей
ID Вразливість Severity CVSS Вектор атаки Статус
V-001 SQL Injection в веб-порталі Critical 9.8 Remote Fixed
V-002 Default credentials на NGFW Critical 9.1 Remote Fixed
V-003 SMBv1 enabled Critical 8.8 Network Fixed
V-004 Missing MFA для VPN High 8.0 Remote Fixed
V-005 Outdated Apache (RCE) High 7.8 Remote Fixed
V-006 LLMNR/NBT-NS enabled High 7.5 Network Fixed
V-007 Weak password policy High 7.2 Local Fixed
V-008 Excessive admin privileges High 7.0 Local Fixed
V-009 Unpatched Windows servers Medium 6.5 Network In progress
V-010 SSL/TLS weak ciphers Medium 5.9 Network Fixed
На основі результатів тестування на проникнення та аналізу виявлених
вразливостей було сформовано комплекс рекомендацій і розроблено поетапний
план їх усунення. Основна мета запропонованих заходів полягає у зниженні
залишкових ризиків та підвищенні загального рівня захищеності інформаційних
систем організації.
Рекомендації охоплюють як технічні, так і організаційні аспекти безпеки,
зокрема оптимізацію конфігурацій систем, удосконалення механізмів контролю
доступу, регулярне оновлення програмного забезпечення та посилення процесів
моніторингу і реагування на інциденти. Реалізація цих заходів дозволяє
мінімізувати ймовірність експлуатації залишкових вразливостей у майбутньому.
Таблиця 3.25 містить перелік залишкових вразливостей та відповідний
план їх усунення, включаючи пріоритети, відповідальних осіб і терміни
виконання. Застосування такого плану забезпечує контрольованість процесу
підвищення рівня безпеки та створює передумови для постійного вдосконалення
системи кіберзахисту в організації.
84
85
Таблиця 3.25
Залишкові вразливості та план усунення
ID Вразливість Severity План усунення Термін
V-
Unpatched Windows Medium Патч-менеджмент процес 30 days
009
V- Upgrade або
Missing logging on legacy Medium 60 days
011 decommission
V-
Weak Wi-Fi isolation Medium VLAN reconfiguration 30 days
012
V- No network segmentation for
Low IoT VLAN implementation 90 days
015 IoT
3.6 Оцінка ефективності впровадженої системи
Для визначення результативності впровадженої системи кібербезпеки було
проведено порівняльний аналіз ключових показників безпеки до та після реалізації
проєкту. Такий підхід дозволяє об’єктивно оцінити вплив впроваджених технічних
і організаційних заходів на загальний рівень захищеності інформаційних ресурсів
організації.
У межах аналізу розглядалися показники, що характеризують кількість та
критичність інцидентів безпеки, час їх виявлення та реагування, рівень обізнаності
персоналу, а також відповідність вимогам міжнародних стандартів інформаційної
безпеки. Отримані результати свідчать про суттєве покращення більшості
показників після впровадження комплексної системи захисту.
Таблиця 3.26 демонструє порівняння ключових показників безпеки у
початковому стані та після завершення проєкту, що підтверджує ефективність
реалізованих заходів і доцільність комплексного підходу до управління
кібербезпекою в організації.
Таблиця 3.26
85
86
Порівняння ключових показників безпеки
Показник До проєкту Після проєкту Зміна
Технічні показники
Endpoint protection coverage 65% 100% +35%
MFA coverage 0% 100% +100%
Network segmentation 0 VLANs 6 VLANs +6
Vulnerability scan score 45/100 85/100 +40
Patching compliance 60% 92% +32%
Операційні показники
MTTD (hours) N/A (no SOC) 0.75 New
MTTR (hours) 48+ 3.5 -93%
Security incidents/month Unknown 8 (avg) Visibility
Compliance показники
ISO 27001 readiness 25% 87% +62%
Policy compliance 30% 95% +65%
Security awareness score 45% 82% +37%
Phishing click rate 32% 14% -18%
Для оцінки результативності реалізації проєкту впровадження системи
кібербезпеки було здійснено аналіз ступеня досягнення поставлених цілей.
Основна увага приділялася відповідності отриманих результатів запланованим
показникам, визначеним на етапі ініціації та планування проєкту.
У процесі аналізу враховувалися технічні, організаційні та процесні
аспекти, зокрема рівень захищеності інформаційних активів, ефективність роботи
SOC, стан управління доступом, рівень обізнаності персоналу та відповідність
вимогам стандарту ISO/IEC 27001. Отримані результати підтверджують, що
86
87
більшість цілей проєкту було досягнуто в повному обсязі, а окремі показники
перевищили заплановані значення.
Таблиця 3.27 відображає зіставлення запланованих та фактично досягнутих
цілей проєкту, що дозволяє наочно оцінити ефективність впровадженої системи та
обґрунтувати успішність реалізації проєкту з позиції управління кібербезпекою.
Таблиця 3.27
Досягнення цілей проєкту
Ціль Target Actual Status
MFA coverage 100% 100% ✅ Achieved
EDR coverage 100% 100% ✅ Achieved
MTTD < 1 hour 45 min ✅ Exceeded
MTTR < 4 hours 3.5 hours ✅ Achieved
ISO 27001 readiness > 85% 87% ✅ Achieved
Phishing click rate < 15% 14% ✅ Achieved
Critical vulnerabilities 0 0 ✅ Achieved
Security awareness > 80% 82% ✅ Achieved
Project on budget $401,500 $385,200 ✅ Under budget
Project on schedule 26 weeks 28 weeks ⚠️ +2 weeks delay
Для оцінки економічної ефективності впровадженої системи кібербезпеки
було проведено розрахунок показника Return on Security Investment (ROSI). Цей
інструмент дозволяє кількісно оцінити співвідношення між витратами на заходи
захисту та потенційним зменшенням втрат від кіберінцидентів.
Методологія розрахунку ROSI базується на співвідношенні представленому
формулою (3.2)
87
88
ROSI=(Risk Reduction×ALE−Cost of Control)Cost of Control×100%, (3.2)
де ALE (Annual Loss Expectancy) визначається як добуток ARO (Annual Rate of
Occurrence) — частоти інцидентів на рік, та SLE (Single Loss Expectancy) —
очікуваних втрат від одного інциденту.
Розрахунок ROSI дозволяє не лише оцінити ефективність окремих заходів
кібербезпеки, але й визначити доцільність інвестицій у комплексну систему
захисту інформаційних ресурсів організації. Таблиця 3.28 наводить приклад
розрахунку ROSI для ключових компонентів системи, демонструючи економічну
вигоду від впровадження заходів безпеки та оптимізацію витрат.
Таблиця 3.28
Розрахунок ROSI
Ризик ALE до ALE після Risk Reduction Cost ROSI
Ransomware $500,000 $50,000 $450,000 $120,000 275%
Data breach $300,000 $45,000 $255,000 $80,000 219%
Phishing $100,000 $20,000 $80,000 $25,000 220%
Insider threat $150,000 $30,000 $120,000 $60,000 100%
Downtime $200,000 $40,000 $160,000 $85,000 88%
Compliance fines $250,000 $25,000 $225,000 $31,500 614%
TOTAL $1,500,000 $210,000 $1,290,000 $401,500 221%
Інтерпретація отриманого показника ROSI свідчить про високу економічну
ефективність заходів кібербезпеки. Значення ROSI = 221% означає, що на кожен
долар, вкладений у систему захисту інформаційних ресурсів, організація отримує
$2,21 у вигляді зниження потенційних ризиків та уникнення фінансових втрат.
88
89
Такий результат підтверджує доцільність інвестування у комплексну систему
кібербезпеки та обґрунтовує подальше підтримання та розвиток заходів захисту.
У ході реалізації проєкту були виявлені як позитивні аспекти, так і виклики,
що дозволяють сформулювати уроки та рекомендації для наступних етапів
розвитку системи кібербезпеки.
Позитивний досвід:
• Executive sponsorship – активна підтримка CEO забезпечила
необхідні ресурси та пріоритет проєкту.
• Phased approach – поетапне впровадження знизило ризик
простою систем.
• User training before rollout – навчання персоналу перед
впровадженням MFA зменшило опір змінам.
• Vendor collaboration – тісна взаємодія з постачальниками
прискорила процеси впровадження.
Виклики та уроки:
• Затримка поставки обладнання (+2 тижні) Урок: планувати запас часу
та мати альтернативних постачальників.
• Опір змінам від IT-персоналу Урок: залучати команду IT на етапі
планування як champions змін.
• Інтеграція legacy systems Урок: проводити Proof of Concept (POC) для
всіх інтеграцій перед закупівлею.
• Alert fatigue на початку SOC Урок: налаштування правил SIEM
потребує часу, планувати 2–3 місяці для оптимізації.
Рекомендації для наступних етапів:
• Short-term (0–6 місяців): завершити усунення залишкових
вразливостей, провести сертифікаційний аудит ISO 27001, впровадити
автоматизоване оновлення патчів (automated patching).
• Medium-term (6–12 місяців): розширити SOC до 24/7 моніторингу,
впровадити Threat Intelligence Platform, провести Red Team exercise.
89
90
• Long-term (12+ місяців): повне впровадження Zero Trust Network
Architecture, інтеграція Security as Code для DevOps pipeline,
використання AI/ML для виявлення складних загроз.
Висновки до розділу 3
У третьому розділі дипломної роботи здійснено детальний опис практичної
реалізації проєкту впровадження системи кібербезпеки в організації. На основі
виконаних робіт та отриманих результатів можна сформулювати такі висновки:
1. Впровадження СУІБ: створено повноцінну нормативну базу,
що включає десять тематичних політик та відповідні процедури.
Організаційна структура підрозділу безпеки, що складається з семи штатних
одиниць (FTE), забезпечує ефективне виконання функцій захисту, від
моніторингу до реагування на інциденти.
2. Технічні засоби захисту:
o Мережева безпека забезпечена за допомогою NGFW Palo
Alto, сегментації на шість VLAN та WAF.
o Захист кінцевих точок реалізовано через Microsoft
Defender for Endpoint з повним охопленням (100%).
o Система управління доступом (IAM) реалізована на базі
Azure AD із MFA, Conditional Access та PIM.
o SOC організовано за допомогою Microsoft Sentinel із
сімома інтегрованими джерелами даних, понад 15 правилами
виявлення загроз та вісьмома автоматизованими playbooks.
3. Система резервного копіювання: побудована за стратегією 3-
2-1 із використанням Veeam. Тестування відновлення після аварії показало
RTO 3,5 години при таргеті 4 години, що підтверджує надійність підходу.
4. Програма Security Awareness: підвищила обізнаність
персоналу: показник натискання на фішингові посилання знизився з 32% до
14%, рівень повідомлень про підозрілі повідомлення підвищився до 35%, а
рівень проходження навчальних курсів досяг 95%.
90
91
5. Penetration testing: виявлено 122 вразливості, з яких 65 (73%)
усунено, включаючи всі критичні. Розроблено план усунення залишкових
вразливостей.
6. Ефективність проєкту: досягнуто 9 із 10 поставлених цілей;
відхилення пов’язане із затримкою на два тижні. Показник ROSI склав
221%, що підтверджує економічну доцільність інвестицій.
7. Готовність до сертифікації ISO 27001: досягнуто 87%, що
перевищує таргет 85% та дозволяє розпочати сертифікаційний аудит.
У цілому, реалізація проєкту здійснена в межах затвердженого бюджету
(385 200 USD з 401 500 USD) та із незначним відхиленням за термінами (+2
тижні). Впроваджена система кібербезпеки забезпечує комплексний захист
організації та створює надійну основу для подальшого розвитку інформаційної
безпеки.
91
92
ВИСНОВКИ
У дипломній роботі вирішено актуальну науково-практичну задачу
управління проєктом впровадження комплексної системи кібербезпеки в
організації в умовах зростання кількості та складності кіберзагроз. У процесі
дослідження було поєднано теоретичні підходи, методології управління
проєктами та практичну реалізацію технічних і організаційних заходів захисту
інформації.
У першому розділі здійснено ґрунтовний аналіз сучасного стану
кібербезпеки, який показав стійку тенденцію до зростання кібератак, їх складності
та фінансових наслідків для організацій. Дослідження нормативно-правової бази
та міжнародних стандартів дозволило обґрунтувати доцільність використання
ISO/IEC 27001 як базового стандарту управління інформаційною безпекою у
поєднанні з NIST Cybersecurity Framework та CIS Controls. Аналіз методологій
управління проєктами підтвердив ефективність гібридного підходу, що поєднує
структурованість PMBOK і PRINCE2 із гнучкістю Agile. Результати першого
розділу сформували теоретичне підґрунтя для подальшого проєктування та
реалізації системи кібербезпеки.
У другому розділі було виконано комплексне планування проєкту
впровадження системи кібербезпеки. Визначено чіткі та вимірювані цілі
відповідно до методології SMART, ключовою з яких стало досягнення рівня
відповідності ISO 27001 не нижче 85% протягом шести місяців. Розроблено
детальну структуру декомпозиції робіт, календарний графік із критичним шляхом
та систему контролю виконання. Сформовано бюджет проєкту з урахуванням
резерву, розроблено організаційну структуру команди, RACI-матрицю та план
завантаження ресурсів. Значну увагу приділено управлінню ризиками,
комунікаціями та визначенню ключових показників ефективності, що забезпечило
системний та контрольований підхід до реалізації проєкту.
У третьому розділі представлено практичну реалізацію запланованих
заходів. У межах впровадження системи управління інформаційною безпекою
92
93
створено повноцінну нормативну базу та організаційну структуру підрозділу
безпеки. Реалізовано багаторівневу технічну архітектуру захисту, що включає
модернізовану мережеву безпеку, захист кінцевих точок, систему управління
ідентифікацією та доступом, а також Security Operations Center із
автоматизованими сценаріями реагування. Побудовано систему резервного
копіювання та відновлення після катастроф, ефективність якої підтверджено
тестуванням. Реалізована програма підвищення обізнаності персоналу суттєво
знизила рівень успішності фішингових атак. Проведене тестування на
проникнення дозволило виявити та усунути більшість критичних вразливостей.
Оцінка результатів проєкту показала досягнення переважної більшості
поставлених цілей із незначним відхиленням за термінами, при цьому проєкт було
реалізовано в межах затвердженого бюджету. Показник Return on Security
Investment (ROSI) у розмірі 221% підтвердив економічну доцільність інвестицій у
кібербезпеку. Рівень готовності організації до сертифікації ISO/IEC 27001 досяг
87%, що перевищує встановлений цільовий показник і дозволяє розпочати
сертифікаційний аудит.
У цілому, результати дипломної роботи підтверджують, що комплексний
ризик-орієнтований підхід до управління проєктом впровадження системи
кібербезпеки є ефективним та практично доцільним. Запропоновані рішення
забезпечують високий рівень захисту інформаційних активів, відповідність
міжнародним стандартам та створюють надійну основу для подальшого розвитку
системи інформаційної безпеки в організації.
93
94
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Al-Janabi S., Jabbar H., Syms F. Cybersecurity Transformation: Cyber
Resilient IT Project Management Framework // Digital. – 2024. – Vol. 4, No. 4. –
Article 43. – DOI: https://doi.org/10.3390/digital4040043
2. Shatnawi A. S., et al. Adaptable Plug and Play Security Operations Center
Leveraging a Novel Programmable Plugin based Intrusion Detection and
Prevention System // arXiv preprint. – 2022. – arXiv:2204.04576. – URL:
https://arxiv.org/abs/2204.04576
3. Schiliro F. Building a Resilient Cybersecurity Posture: A Framework for
Leveraging Prevent, Detect and Respond Functions and Law Enforcement
Collaboration // arXiv preprint. – 2023. – arXiv:2303.10874. – URL:
https://arxiv.org/abs/2303.10874
4. Artificial intelligence for cybersecurity: Literature review and future
research directions / Multiple authors // Information Fusion. – 2023. – DOI:
https://doi.org/10.1016/j.inffus.2023.101804
5. Okdem S., Okdem S. Artificial Intelligence in Cybersecurity: A Review
and a Case Study // Applied Sciences. – 2024. – Vol. 14, No. 22. – Article 10487.
– DOI: https://doi.org/10.3390/app142210487
6. Syrotynskyi R. M., Tyshyk I. Y. Improvement the Security of the
Enterprise's Network Infrastructure in Conditions of Modern Challenges and
Limited Resources // Computer Science and Networks. – 2024. – DOI:
https://doi.org/10.23939/csn2024.01.155
7. Іваночко Т. А., Семенюк С. А. Управління ризиками кібербезпеки з
використанням NIST CSF 2.0 // Сучасний захист інформації. – 2025. – № 3
(63).
8. Котляров О. Ю., Бортнік Л. Л. Порівняльний аналіз сучасних систем
захисту віртуальних мереж та їх методологій // Наукові журнали ДДУТ. –
2024. – DOI: 10.31673/2409-7292.2024.040007
94
95
9. Гарасимчук О., Партика А., Нємкова О., Совин Я. Інтегрований підхід
до забезпечення кібербезпеки та дослідження кіберзлочинів критичної
інфраструктури // Кібербезпека. – 2023. – DOI: https://doi.org/10.28925/2663-
4023.2023.21.286296
10. Teitler K., Kuznetcov A. Case Study: Incident Response Automation
Through IRP Implementation // ISACA Journal. – 2023. – Vol. 5. – URL:
https://www.isaca.org/resources/isaca-journal/issues/2023/volume-5/case-study-
incident-response-automation-through-irp-implementation
11. Стратегічні підходи до навчання з кібербезпеки: моделі та результати /
Multiple authors // Information. – 2024. – Vol. 15, No. 2. – Article 117. – DOI:
https://doi.org/10.3390/info15020117
12. Кухарська Н. П., Лагун А. Е. Захист інформації в організації при
впровадженні BYOD // Безпека інформації. – 2024. – Т. 30, № 1.
13. Партика А. І., Захарова Я. А. Модель безпеки та контролю доступу до
даних у хмарних сервісах на основі IAM // Безпека інформації. – 2024. – Т.
30, № 1.
14. Смірнова Т., та ін. Сучасні технології забезпечення кібербезпеки IaaS,
PaaS та SaaS // Кібербезпека. – 2024. – DOI: 10.28925/2663-4023.2024.24.627
15. Захарова Я., Партика А. Еволюція управління кіберризиками через
призму NIST Cybersecurity Framework // Кібербезпека. – 2025. – DOI:
10.28925/2663-4023.2025.30.980
16. Пантюшенко Р., Чайка Ю. Штучний інтелект у сфері кібербезпеки:
інновації, виклики та перспективи розвитку // Воєнна наука. – 2024. – DOI:
https://doi.org/10.62524/msj.2024.2.1.16
17. Лерой І., та ін. Захист критичної інфраструктури: бачення
кіберекспертів ЄС і США // Науковий вісник НГУ. – 2023.
18. Шуліка К., Балагура Д., Смірнов А., та ін. Метод використання
сучасних систем захисту кінцевих точок (EDR) для забезпечення від
комплексних атак // Наукові журнали України. – 2024. – DOI:
https://doi.org/10.30837/2522-9818.2024.2.182
95
96
19. Партика А., Гарасимчук О., та ін. Метод дослідження кіберзлочинів
типу ransomware з використанням моделей ШІ в ISMS критичної
інфраструктури // Computer Science and Networks. – 2024. – DOI:
https://doi.org/10.23939/csn2024.01.015
20. Robinson R. J. Comparison of security frameworks in IT outsourcing
company: a pragmatic view // Social Science. – 2024. – DOI:
https://doi.org/10.69971/sl.1.1.2024.6
21. Kiberbezpeka: shcho tse take prostymy slovamy // IT Lviv. – 2025. – URL:
https://itlviv.org.ua/statti/302-kiberbezpeka-shcho-tse-take-prostymy-slovamy/
22. Naukovyi artykul: PDF download // Perspectives. – 2025. – URL:
http://perspectives.pp.ua/index.php/nauka/article/download/6721/6756/6759
23. Papers SDS // Papers SDS. – 2025. – URL: http://paperssds.eu/
24. George Mason University // George Mason University. – 2025-09-07.
25. EFP // EFP. – 2025. – URL: efp.in.ua
26. WUNU // WUNU. – 2024-11-18.
27. Kharkiv Aviation Institute // Kharkiv Aviation Institute. – 2024-12-17.
28. CSBC – Dr. // CSBC. – 2025. – URL: dr.csbc.edu.ua
29. Elibrary KUBG // Elibrary KUBG. – 2025. – URL: elibrary.kubg.edu.ua
30. National Aerospace University – Kharkiv Aviation Institute // National
Aerospace University. – 2025-12-03.
31. DUiKT // DUiKT. – 2025. – URL: duikt.edu.ua
32. National Aerospace University – Kharkiv Aviation Institute // National
Aerospace University. – 2025-12-12.
96