ОБМЕЖЕННЯ ЧИННОГО РИЗИК-ОРІЄНТОВАНОГО ПІДХОДУ  ДО ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ КРИТИЧНОЇ ІНФРАСТРУКТУРИ

А. С. Бєліков; З. М. Мацук; В. П. Руденко; А. А. Атанесян

doi:10.30838/UJCEA.0333.270526.16.1239

Автор(и)

А. С. Бєліков Український державний університет науки і технологій, ННІ «Придніпровська державна академія будівництва та архітектури», Україна
З. М. Мацук Український державний університет науки і технологій, ННІ «Придніпровська державна академія будівництва та архітектури», Україна
В. П. Руденко Український державний університет науки і технологій, ННІ «Придніпровська державна академія будівництва та архітектури», Україна
А. А. Атанесян Український державний університет науки і технологій, ННІ «Придніпровська державна академія будівництва та архітектури», Україна

DOI:

https://doi.org/10.30838/UJCEA.0333.270526.16.1239

Ключові слова:

критична інфраструктура, менеджмент ризиків, оцінювання ризику, методологічна асиметрія, принцип адекватності ймовірностей, ймовірність ефективності контрзаходів, прогнозне оцінювання, залишковий ризик, стійкість

Анотація

Постановка проблеми. Критична інфраструктура (надалі – КІ) є основою стійкого функціонування держави. В умовах зростання техногенної складності, цифровізації та гібридних загроз питання забезпечення безпеки КІ виходить за межі класичних підходів до ризик-менеджменту, оскільки відмова або компрометація окремого елемента системи може ініціювати каскадні ефекти з порушенням міжсекторальних залежностей. Традиційно управління безпекою спирається на ризик-орієнтовану парадигму, в межах якої загрози інтерпретуються через ймовірність реалізації небажаних подій і тяжкість наслідків, а ризик розглядається як вплив невизначеності на цілі. Однак застосування базових підходів виявляє системні обмеження, пов’язані з невизначеністю у прийнятті рішень, нелінійністю природи ризику, адаптивною поведінкою суб’єктів загроз, динамічною зміною конфігурацій фізичних і кіберфізичних систем, що є проблемою. Це формує потребу у переосмисленні меж застосовності відомих моделей ризик-менеджменту та розробленні нових удосконалених рамок, які врахують ризик, стійкість та сценарну невизначеність. Мета статті – обґрунтувати межі застосовності відомих ризик-орієнтованих підходів у КІ, запропонувати критерій валідності ризик-оцінювання та концептуальну модель формалізації ефективності заходів безпеки. Висновок. Обґрунтовано, що ключове обмеження чинних ризик-орієнтованих підходів полягає у методологічній асиметрії: ймовірність загроз оцінюється, тоді як ймовірність ефективності заходів безпеки не є обов’язковим елементом оцінювання безпеки. Обґрунтовано, що в практичних реалізаціях ризик-орієнтованого підходу ймовірнісна природа заходів безпеки часто не враховується, як у процедурах оцінювання ризику, так і при встановленні рівня безпеки. Запропоновано використання принципу адекватності ймовірностей як метакритерію валідності ризик-оцінювання, як основу формалізації динамічного балансу загроз і контрзаходів, для підвищення керованості безпеки КІ.

Посилання

ISO 31073:2022. Risk management. Vocabulary. Geneva : International Organization for Standardization, 2022. 15 p.

ДСТУ ISO 31000:2018. Менеджмент ризиків. Принципи та настанови (ISO 31000:2018, IDT). Київ : ДП «УкрНДНЦ», 2018. 23 с.

ДСТУ EN IEC 31010:2022. Керування ризиками. Методи оцінки ризиків (EN IEC 31010:2019, IDT ; IEC 31010:2019, IDT). Київ : ДП «УкрНДНЦ», 2022. 94 с.

ДСТУ EN ISO 22301:2021. Безпека та стабільність. Системи управління неперервністю бізнесу. Вимоги (EN ISO 22301:2019, IDT; ISO 22301:2019, IDT). Київ : ДП «УкрНДНЦ», 2021. 26 с.

ДСТУ EN ISO 14090:2022. Адаптація до змін клімату. Принципи, вимоги та настанови (EN ISO 14090:2019, IDT; ISO 14090:2019, IDT). Київ : ДП «УкрНДНЦ», 2022. 48 с.

ДСТУ ISO 55001:2019. Управління активами. Системи управління. Вимоги (ISO 55001:2014, IDT). Київ : ДП «УкрНДНЦ», 2019. 58 с.

ДСТУ 2293:2014. Охорона праці. Терміни та визначення основних понять. Київ : ДП «УкрНДНЦ», 2015. 17 с.

PwC. Global Digital Trust Insights 2026. 2025. URL: https://www.pwc.es/es/publicaciones/digital/global-digital-trust-insights-2026.pdf (дата звернення: 17.01.2026).

The Hacker News. Security Theater: Vanity Metrics Keep You Busy – and Exposed [Електронний ресурс]. 2025. URL: https://thehackernews.com/2025/04/security-theater-vanity-metrics-keep.html (дата звернення: 17.01.2026).

SAFE Security. Measuring Cybersecurity ROI: A Framework for 2026 Decision-Makers [Електронний ресурс]. 2025. URL: https://safe.security/resources/blog/measuring-cybersecurity-roi-a-framework-for-2026-decision-makers/ (дата звернення: 17.01.2026).

Gartner. Gartner Identifies the Top Cybersecurity Trends for 2025 [Електронний ресурс]. 2025. URL: https://www.gartner.com/en/newsroom/press-releases/2025-03-03-gartner-identifiesthe-top-cybersecurity-trends-for-2025 (дата звернення: 17.01.2026).

Закон України «Про критичну інфраструктуру» від 16.11.2021 № 1882-IX (зі змінами, внесеними Законом України від 22.08.2024 № 3931-IX). Відомості Верховної Ради України. 2023. № 5. Ст. 13 [Електронний ресурс]. URL: https://zakon.rada.gov.ua/laws/show/1882-20 (дата звернення: 19.01.2026).

Про затвердження вимог щодо управління ризиками безпеки на об’єктах критичної інфраструктури I категорії критичності : постанова Кабінету Міністрів України від 01.04.2025 № 367 : станом на 19.01.2026 [Електронний ресурс]. URL: https://zakon.rada.gov.ua/laws/show/367-2025-%D0%BF#Text (дата звернення: 19.01.2026).

ДСТУ EN IEC 31010:2013. Керування ризиками. Методи оцінки ризиків (EN IEC 31010:2013, IDT ; IEC 31010:2013, IDT). Київ : ДП «УкрНДНЦ», 2015. 94 с.

Matsuk Z., Belikov A., Slashchova O., Digtyar K., Ikonnikov M. Safety theory. The principle of probability adequacy in the methodology of risk management of infrastructure systems stability : plenary presentation. Proceedings of the VII International Conference “Essays on Mining Science and Practice”. November 5–7, 2024. Dnipro, Ukraine [Електронний ресурс]. URL: https://www.rmget.com/index.php/keynote-lectures.html (дата звернення: 25.01.2026).