Cybersecurity regulation: cybersecurity certification of operational technologies

Олена Олександрівна Цвілій

doi:10.15587/2706-5448.2021.225271

Автор(и)

Олена Олександрівна Цвілій Одеська національна академія зв’язку ім. О. С. Попова, Україна https://orcid.org/0000-0002-4414-9881

DOI:

https://doi.org/10.15587/2706-5448.2021.225271

Ключові слова:

система кібербезпеки, система оцінки відповідності, ієрархічна модель, схема сертифікації кібербезпеки

Анотація

Об'єктом дослідження є система та схеми оцінки відповідності (сертифікації) кібербезпеки операційних технологій (ОТ), як набір правил та процедур, що описують об’єкти сертифікації, визначають зазначені вимоги та забезпечують методологію проведення сертифікації. Термінологічна база та понятійний апарат дослідження сертифікації кібербезпеки операційних технологій спираються на міжнародний стандарт ISO 17000:2020 Conformity assessment – Vocabulary and general principles. Основою систем і схем сертифікації кібербезпеки є оціночні стандарти, вибір та застосування яких не є однозначним та історично має безліч інтерпретацій та механізмів застосування. Ці стандарти складаються з інструментів, політик, концепцій безпеки, гарантій безпеки, керівних принципів, підходів до управління ризиками, найкращих практик, гарантій та технологій тощо. Але вони мають в тій чи іншій мірі суттєвий недолік, – складність трансформації результатів оцінювання інформаційної безпеки за цими стандартами в гарантії безпеки зі скільки завгодно широким міжнародним визнанням. Це в умовах глобалізації суттєво погіршує якість кібербезпеки.

Основна гіпотеза дослідження полягає в припущенні, що якість кібербезпеки може бути підвищена шляхом конвергенції до загальної методології, яка спирається на узгоджені міжнародні стандарти та передову міжнародну практику з сертифікації. Розглянуто питання щодо ключової ролі кібербезпеки для операційних технологій, які стають основою для економіки 4.0 та розглядаються зараз як новий рубіж кібербезпеки. Показано потребу в створенні системи та схем сертифікації кібербезпеки ОТ на основі міжнародних та європейських принципів сертифікації. Розроблені Ієрархічна модель оціночних стандартів системи сертифікації кібербезпеки та Ієрархічна модель угод про взаємне визнання сертифікатів кібербезпеки, які дозволять системно підійти до створення системи та схем з сертифікації кібербезпеки ОТ. Завдяки цьому забезпечується можливість для розробників систем та схем сертифікації формувати системи сертифікації кібербезпеки ОТ на принципах широкого транскордонного визнання сертифікатів кібербезпеки в сфері ОТ.

Біографія автора

Олена Олександрівна Цвілій, Одеська національна академія зв’язку ім. О. С. Попова

Старший викладач

Кафедра телекомунікації

Посилання

Directive (EU) 2016/1148 of the European Parliament and of the Council of 6.07.2016 concerning measures for a high common level of security of network and information systems across the Union (2016). Available at: https://eur-lex.europa.eu/eli/dir/2016/1148/oj
The IACS Cybersecurity Certification Framework (ICCF) (2018). Available at: https://erncip-project.jrc.ec.europa.eu/documents/iacs-cybersecurity-certification-framework-iccf
Regulation (EU) 2019/881 of the European Parliament and of the Council of 17.04.2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (2019). Available at: https://eur-lex.europa.eu/eli/reg/2019/881/oj
Matheu-García, S. N., Hernández-Ramos, J. L., Skarmeta, A. F., Baldini, G. (2019). Risk-based automated assessment and testing for the cybersecurity certification and labelling of IoT devices. Computer Standards & Interfaces, 62, 64–83. doi: http://doi.org/10.1016/j.csi.2018.08.003
Markopoulou, D., Papakonstantinou, V., de Hert, P. (2019). The new EU cybersecurity framework: The NIS Directive, ENISA's role and the General Data Protection Regulation. Computer Law & Security Review, 35 (6), 105336. doi: http://doi.org/10.1016/j.clsr.2019.06.007
Pro osnovni zasady zabezpechennia kiberbezpeky Ukrainy (2017). Zakon Ukrainy No. 2163-VIII. 05.10.2017. Available at: https://zakon.rada.gov.ua/laws/show/2163-19#Text
Pro rishennia Rady natsionalnoi bezpeky i oborony Ukrainy vid 27 sichnia 2016 roku "Pro Stratehiiu kiberbezpeky Ukrainy" (2016). Ukaz Prezydenta Ukrainy; Stratehiia No. 96/2016. 15.03.2016. Available at: https://www.president.gov.ua/documents/2422016-20141
ISO/IEC 17000:2020 Conformity assessment – Vocabulary and general principles (2020). Committee on conformity assessment, 23. Available at: https://www.iso.org/standard/73029.html
Pro tekhnichni rehlamenty ta otsinku vidpovidnosti (2015). Zakon Ukrainy No. 124-VIII. 15.01.2015. Available at: https://zakon.rada.gov.ua/laws/show/3164-15#Text
International Accreditation Forum. Available at: https://www.iaf.nu/
International Laboratory Accreditation Cooperation. Available at: https://ilac.org/
Pro akredytatsiiu orhaniv z otsinky vidpovidnosti (2001). Zakon Ukrainy No. 2407-III. 17.05.2001. Available at: https://zakon.rada.gov.ua/laws/show/2407-14#Text
ISO/IEC 17067:2013 Conformity assessment – Fundamentals of product certification and guidelines for product certification schemes (2013). Committee on conformity assessment, 13. Available at: https://www.iso.org/standard/55087.html