Інтегрований підхід до оцінювання та пом’якшення ризиків кібербезпеки організацій з урахуванням ланцюгів постачання програмного забезпечення

Abstract

У роботі запропоновано комплексний підхід до управління ризиками кібербезпеки організацій, який охоплює процеси оцінювання активів, загроз, уразливостей та потенційних втрат. Розглянуто методичні основи ідентифікації та аналізу ризиків у життєвому циклі програмного забезпечення (ПЗ), включаючи етапи розробки, розповсюдження та підтримки. Особливу увагу приділено інтеграції підходів до оцінювання ризиків у контексті ланцюгів постачання технологій кібербезпеки (C-SCRM), що дозволяє враховувати зовнішні фактори впливу та залежності від сторонніх постачальників. Запропоновано структурований метод зменшення ризиків, який включає технічні, організаційні та процесні заходи захисту. Обґрунтовано доцільність використання ризик-орієнтованого підходу, аудиту кібербезпеки та безперервного моніторингу для підвищення стійкості інформаційних систем. Отримані результати можуть бути використані для вдосконалення систем управління кібербезпекою в організаціях різного типу. Ключові слова: кібербезпека, управління ризиками, оцінювання ризиків, активи інформаційних систем, кіберзагрози, аудит кібербезпеки, ланцюги постачання ПЗ, C-SCRM, інформаційна безпека, ризик-орієнтований підхід.