Аннотації

ТЕХНОЛОГІЧНІ РІШЕННЯ ЗАСТОСУВАННЯ НОРМАТИВНОЇ БАЗИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ

Автор(и):
Ткаченко В. А., Долгополов С. Ю.
Автор(и) (англ)
Tkachenko V., Dolhopolov S.
Дата публікації:

25.12.2025

Анотація (укр):

У сучасних умовах стрімкої цифровізації процесів управління та обробки даних питання забезпечення надійного захисту інформації в автоматизованих системах набуває критичного значення для державних та приватних установ України. Нормативна база технічного захисту інформації (ТЗІ), сформована наприкінці 90-х років, закладає фундаментальні принципи безпеки, проте її практична імплементація в умовах сучасних архітектурних рішень та динамічних загроз часто викликає труднощі у фахівців. Актуальність дослідження зумовлена необхідністю гармонізації класичних вимог нормативних документів (НД) із сучасними технологічними підходами до побудови інформаційних систем, а також потребою у розробці чітких алгоритмів впровадження комплексних систем захисту інформації (КСЗІ). Стаття присвячена вирішенню проблеми адаптації теоретичних положень законодавства до практичних кейсів розгортання систем безпеки. Проведено комплексний аналіз нормативно-правових актів у сфері ТЗІ, зокрема НД ТЗІ 1.1 003-99, 2.5-004-99 та 2.5-005-99. На основі цього аналізу розроблено та представлено комплекс технологічних рішень та практичний метод впровадження заходів захисту. Запропоновано покроковий алгоритм, який охоплює всі стадії створення КСЗІ: від категоризації інформації за властивостями конфіденційності, цілісності та доступності до вибору та налаштування функціональних профілів захищеності. Особливу увагу приділено методиці визначення класу автоматизованої системи залежно від її архітектури (локальна, розподілена) та режиму обробки даних. Досліджено процес інтеграції вимог безпеки в життєвий цикл розробки програмного забезпечення (SDLC), що дозволяє перейти від «накладеної» безпеки до моделі «безпека через дизайн» (security by design). Розроблено рекомендації щодо реалізації послуг адміністративної та довірчої конфіденційності, цілісності та спостереженості. Також запропоновано метод оцінювання ефективності впроваджених заходів, який базується на комбінації аналізу документації, інтерв’ювання персоналу та інструментального тестування механізмів захисту. Результати дослідження підтверджують, що універсальність класичної нормативної бази дає змогу ефективно застосовувати її для захисту сучасних систем за умови використання адаптованих підходів. Практичне застосування розроблених технологічних рішень сприятиме мінімізації ризиків інформаційної безпеки, забезпеченню відповідності законодавчим вимогам та підвищенню загального рівня кіберстійкості інформаційної інфраструктури держави.

Анотація (рус):

Анотація (англ):

In modern conditions of rapid digitalization of management processes and data processing, the issue of ensuring reliable information protection in automated systems becomes critically important for state and private institutions of Ukraine. The regulatory framework of Technical Protection of Information (TPI), formed in the late 90s, lays down fundamental security principles; however, its practical implementation in the context of modern architectural solutions and dynamic threats often causes difficulties for specialists. The relevance of the study is driven by the necessity to harmonize the classic requirements of regulatory documents with modern technological approaches to building information systems, as well as the need to develop clear algorithms for implementing Complex Information Protection Systems (CIPS). The article is devoted to solving the problem of adapting theoretical legislative provisions to practical cases of deploying security systems. A comprehensive analysis of legal and regulatory acts in the field of TPI, particularly the classic requirements of regulatory documents 1.1-003-99, 2.5-004-99, and 2.5-005-99, was conducted. Based on this analysis, a complex of technological solutions and a practical method for implementing protection measures have been developed and presented. A step-by-step algorithm is proposed, covering all stages of CIPS creation: from information categorization based on confidentiality, integrity, and availability properties to the selection and configuration of functional protection profiles. Special attention is paid to the methodology for determining the class of an automated system depending on its architecture (local, distributed) and data processing mode. The process of integrating security requirements into the Software Development Life Cycle (SDLC) is investigated, allowing a transition from «superimposed» security to a «Security by Design» model. Recommendations regarding the implementation of administrative and discretionary confidentiality, integrity, and observability services are developed. A method for evaluating the effectiveness of implemented measures, based on a combination of documentation analysis, personnel interviewing, and instrumental testing of protection mechanisms, is also proposed. The results of the study confirm that the universality of the classic regulatory framework allows for its effective application in protecting modern systems, provided adapted approaches are used. The proposed approach enables organizations of various ownership forms and scales (from small enterprises to large distributed corporations) to build an economically justified and reliable protection system. The practical application of the developed technological solutions contributes to minimizing information security risks, ensuring compliance with legislative requirements, and increasing the general level of cyber resilience of the state’s information infrastructure.

Література:

  1. Department of Special Telecommunication Systems and Protection of Information of the Security Service of Ukraine. (1999). Terminology in the field of information protection in computer systems from unauthorized access (ND TZI 1.1-003-99). DSTSZI SBU.
  2. Department of Special Telecommunication Systems and Protection of Information of the Security Service of Ukraine. (1999). Criteria for evaluating information security in computer systems from unauthorized access (ND TZI 2.5-004-99). DSTSZI SBU.
  3. Department of Special Telecommunication Systems and Protection of Information of the Security Service of Ukraine. (1999). Classification of automated systems and standard functional profiles of protection of processed information from unauthorized access (ND TZI 2.5-005-99). DSTSZI SBU.
  4. Sadkovyi, V. P., Klochko, A. M., Borysova, L. V., Nikitina, L. O., & Kolomiiets, V. S. (2023). State policy in the field of technical protection of information. Bulletin of the National University of Civil Protection of Ukraine. Series: Public Administration, 2 (19), 429–436.
  5. Dosenko, S. D. (2021). Technical protection of information: Main problems and ways to solve them. Herald of Lviv University of Trade and Economics. Technical Sciences, 27, 27–32. https://doi.org/10.36477/2522-1221-2021-27-04
  6. Shirtz, D., Koberman, I., Elyashar, A., Puzis, R., & Elovici, Y. (2024). Enhancing energy sector resilience: Integrating security by design principles. ArXiv, 2402.11543. https://doi.org/10.48550/arXiv.2402.11543
  7. Soundararajan, B. (2019). Proactive software development using secure by design principles. International Journal for Multidisciplinary Research, 1 (3), 1–12. https://doi.org/10.36948/ijfmr.2019.v01i03.39048
  8. Gao, Y. (2024). Analysis of software development and operation measures from the perspective of security technology. Journal of Electronic Research and Application, 8 (6), 145–151. https://doi.org/10.26689/jera.v8i6.9024
  9. Shashank, S., & Venkata, G. M. (2025). Secure software development: Integrating encryption protocols from design to deployment. International Journal of Applied Mathematics, 38 (2s), 1190–1213. https://doi.org/10.12732/ijam.v38i2s.714
  10. Dolhopolov, S., Honcharenko, T., Fedusenko, O., Khrolenko, V., Hots, V., & Golenkov, V. (2024). Neural network threat detection systems for data breach protection. Proceedings of the 2024 IEEE 4th International Conference on Smart Information Systems and Technologies (SIST), 415–421. https://doi.org/10.1109/SIST61555.2024.10629526
  11. Kenchi, P. V., Kondhalkar, P., & Kharat, S. (2025). Role of generative AI in software development. International Journal of Scientific Research in Engineering and Management, 9(11). https://doi.org/10.55041/IJSREM53791
  12. Odera, D., Otieno, M., & Ounza, J. E. (2023). Theory and practice in secure software development lifecycle: A comprehensive survey. World Journal of Advanced Research and Reviews, 18(3), 053–078. https://doi.org/10.30574/wjarr.2023.18.3.0944
  13. Baldassarre, M. T., Barletta, V. S., Caivano, D., Dimauro, G., & Piccinno, A. (2022). A tool for improving privacy in software development. Sensors, 22(23), 9196. https://doi.org/10.3390/s22239196
  14. Hu, W., & Wang, Z. (2025). Network security audit product performance testing methodology and practice. Proceedings of the 2025 5th International Conference on Computer Network Security and Software Engineering (CNSSE 2025), 14–19. https://doi.org/10.1145/3732365.3732368

 

References:

  1. Department of Special Telecommunication Systems and Protection of Information of the Security Service of Ukraine. (1999). Terminology in the field of information protection in computer systems from unauthorized access (ND TZI 1.1-003-99). DSTSZI SBU.
  2. Department of Special Telecommunication Systems and Protection of Information of the Security Service of Ukraine. (1999). Criteria for evaluating information security in computer systems from unauthorized access (ND TZI 2.5-004-99). DSTSZI SBU.
  3. Department of Special Telecommunication Systems and Protection of Information of the Security Service of Ukraine. (1999). Classification of automated systems and standard functional profiles of protection of processed information from unauthorized access (ND TZI 2.5-005-99). DSTSZI SBU.
  4. Sadkovyi, V. P., Klochko, A. M., Borysova, L. V., Nikitina, L. O., & Kolomiiets, V. S. (2023). State policy in the field of technical protection of information. Bulletin of the National University of Civil Protection of Ukraine. Series: Public Administration, 2 (19), 429–436.
  5. Dosenko, S. D. (2021). Technical protection of information: Main problems and ways to solve them. Herald of Lviv University of Trade and Economics. Technical Sciences, 27, 27–32. https://doi.org/10.36477/2522-1221-2021-27-04
  6. Shirtz, D., Koberman, I., Elyashar, A., Puzis, R., & Elovici, Y. (2024). Enhancing energy sector resilience: Integrating security by design principles. ArXiv, 2402.11543. https://doi.org/10.48550/arXiv.2402.11543
  7. Soundararajan, B. (2019). Proactive software development using secure by design principles. International Journal for Multidisciplinary Research, 1 (3), 1–12. https://doi.org/10.36948/ijfmr.2019.v01i03.39048
  8. Gao, Y. (2024). Analysis of software development and operation measures from the perspective of security technology. Journal of Electronic Research and Application, 8 (6), 145–151. https://doi.org/10.26689/jera.v8i6.9024
  9. Shashank, S., & Venkata, G. M. (2025). Secure software development: Integrating encryption protocols from design to deployment. International Journal of Applied Mathematics, 38 (2s), 1190–1213. https://doi.org/10.12732/ijam.v38i2s.714
  10. Dolhopolov, S., Honcharenko, T., Fedusenko, O., Khrolenko, V., Hots, V., & Golenkov, V. (2024). Neural network threat detection systems for data breach protection. Proceedings of the 2024 IEEE 4th International Conference on Smart Information Systems and Technologies (SIST), 415–421. https://doi.org/10.1109/SIST61555.2024.10629526
  11. Kenchi, P. V., Kondhalkar, P., & Kharat, S. (2025). Role of generative AI in software development. International Journal of Scientific Research in Engineering and Management, 9(11). https://doi.org/10.55041/IJSREM53791
  12. Odera, D., Otieno, M., & Ounza, J. E. (2023). Theory and practice in secure software development lifecycle: A comprehensive survey. World Journal of Advanced Research and Reviews, 18(3), 053–078. https://doi.org/10.30574/wjarr.2023.18.3.0944
  13. Baldassarre, M. T., Barletta, V. S., Caivano, D., Dimauro, G., & Piccinno, A. (2022). A tool for improving privacy in software development. Sensors, 22(23), 9196. https://doi.org/10.3390/s22239196
  14. Hu, W., & Wang, Z. (2025). Network security audit product performance testing methodology and practice. Proceedings of the 2025 5th International Conference on Computer Network Security and Software Engineering (CNSSE 2025), 14–19. https://doi.org/10.1145/3732365.3732368