АНАЛІЗ ПІДХОДІВ ДО СТВОРЕННЯ СИСТЕМ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ ДЛЯ ЗАКЛАДІВ ВИЩОЇ ОСВІТИ ТА НАУКОВИХ УСТАНОВ

Г. М. Шило; І. С. Добринін; Н. В. Матвіїшина

doi:10.26661/2786-6254-2024-2-10

Г. М. Шило Харківський національний університет радіоелектроніки https://orcid.org/0000-0002-5020-6707
І. С. Добринін Харківський національний університет радіоелектроніки https://orcid.org/0000-0001-8910-2609
Н. В. Матвіїшина Запорізький національний університет https://orcid.org/0000-0001-7938-4622

DOI: https://doi.org/10.26661/2786-6254-2024-2-10

Ключові слова: інформаційна безпека, метод аналізу ієрархій, методи прийняття рішень, багатокритеріальна оптимізація, кіберстійкість

Анотація

У статті розглянуто особливості впровадження систем управління інформаційною безпекою (СУІБ) у закладах вищої освіти та наукових установах. Показано актуальність захисту інформаційних активів, зокрема персональних даних здобувачів і співробітників, конфіденційних досліджень і технологій подвійного призначення в умовах зростання кіберзагроз. Проведено аналіз поточного стану інформаційної безпеки в українських навчальних закладах, що виявляє основні проблеми, як-от обмежене фінансування, нестача кваліфікованих фахівців та відсутність стандартизованих підходів. Досліджено досвід упровадження систем управління інформаційною безпекою в університетах різних країн. У статті розглядаються різні методики побудови СУІБ, що містить лінійку міжнародних стандартів ISO/IEC 27000, методологію IT-Grundschutz та вимоги Національного банку України. Здійснено порівняння цих підходів із погляду ефективності, гнучкості та відповідності нормативним вимогам. Для вибору оптимальної методики використано метод аналізу ієрархій (AHP), що дає змогу оцінити й порівняти альтернативи на основі багатьох критеріїв: сфера застосування; орієнтація; гнучкість; технічна деталізація; сертифікація; юридична відповідність; витрати на впровадження. З огляду на специфіку діяльності навчальних закладів і відповідність міжнародним стандартам, зроблено висновок, що найбільш ефективним підходом до створення СУІБ є використання лінійки міжнародних стандартів ISO/IEC 27000. Основними перевагами розробки СУІБ на базі стандарту ISO/IEC 27001:2022 для університетів є універсальність та можливість проведення сертифікації, яка зміцнює довіру партнерів і державних структур, а також розширює можливості міжнародного співробітництва. Запропоновано основні поступові кроки впровадження СУІБ за ISO/IEC 27001:2022, починаючи від діагностичного аудиту й розробки політик до сертифікації та постійного вдосконалення. Підкреслено важливість системного підходу до інформаційної безпеки у вищих навчальних закладах і наукових установах, що дасть змогу забезпечити стабільну роботу та міжнародну співпрацю.

Посилання

1. Marhad S.S., Abd Goni S.Z., Abdullah Sani M.K.J. Implementation of Information Security Management Systems for Data Protection in Organizations: A systematic literature review. Environment-Behaviour Proceedings Journal. 2024. Vol. 9, SI18. P. 197–203. DOI: https://doi.org/10.21834/e-bpj.v9isi18.5483 (date of access: 30.11.2024).
2. Hernandez Collante L., Pranolo A., Prasetya Wibawa A. Implementation plan of the information security management system based on the NTC-ISO-IEC 27001:2013 standard and security risk analysis. Case study: Higher education institution. Transactions on Energy Systems and Engineering Applications. 2024. Vol. 5, no. 2. P. 1–20. DOI: https://doi.org/10.32397/tesea.vol5.n2.635 (date of access: 30.11.2024).
3. Amine A.M., Chakir E.M., Issam T., Khamlichi Y.I. A Review of Cybersecurity Management Standards Applied in Higher Education Institutions. International Journal of Safety and Security Engineering. 2023. Vol. 13, no. 6. P. 1109–1116. DOI: https://doi.org/10.18280/ijsse.130614 (date of access: 30.11.2024).
4. Ulven J.B., Wangen G. A Systematic Review of Cybersecurity Risks in Higher Education. Future Internet. 2021. Vol. 13, no. 2. P. 39. DOI: https://doi.org/10.3390/fi13020039 (date of access: 30.11.2024).
5. Makupi D. A Design of Information Security Maturity Model for Universities Based on ISO 27001. The International Journal of Business & Management. 2019. Vol. 7, no. 6. P. 134–139. DOI: https://doi.org/10.24940/theijbm/2019/v7/i6/bm1906-038 (date of access: 30.11.2024).
6. Saaty T. L. Fundamentals of Decision Making and Priority Theory with the Analytic Hierarchy Process. Pittsburgh : RWS Publications, 2013. 477 p.
7. Синенко М. Метод Сааті при прийнятті управлінських рішень на прикладі підприємства малого бізнесу. Інтелект ХХІ. 2018. № 1. С. 235–238.
8. Фукс М. Моделювання багатокритеріальної задачі оптимізації вибору методики побудови СУІБ методами Томаса Сааті. Перспективи розвитку інфокомунікацій та інформаційно-вимірювальних технологій : матеріали 28-го Міжнар. молодіж. форуму, м. Харків, 16–18 квіт. 2024 р. Харків, 2024. С. 92–93.
9. ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection. Information security management systems. Requirements. URL: https://www.iso.org/standard/27001 (date of access: 30.11.2024).
10. IT-Grundschutz. A systematic basis for information security. Federal Office for Information Security. URL: https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html (дата звернення: 30.11.2024).
11. Про затвердження Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України : постанова Нац. банку України від 28.09.2017 № 95. URL: https://zakon.rada.gov.ua/laws/show/v0095500-17#Text (дата звернення: 30.11.2024).