CC BY
13718,7 м3/га, при расчете поливной нормы по отметки местности соответствуют с опытными данными и расчетными по формуле Костикова А.Н. Однако, если учесть, что в некоторых метеостанциях показатели поливной нормы значительно ниже чем опытные данные. Это дает нам основание считать, что в целом на протяжении многих лет нерациональное использование поливных норм, способствовало деградации орошаемых массивов. Поэтому в целях смягчения экологической ситуации орошаемого массива, следует пересмотреть режим орошения поливной нормы на основе энергетических ресурсов конкретной местности, что благоприятствует установлению дисбаланса в ризосфер-ной зоне.
Выводы. В условиях засушливого климата и малоплодородных орошаемых землях для обеспечения высокой продуктивности поливного гектара следует оптимизировать режим орошения сельскохозяйственных культур, способы, техники и технологии орошения на основе учета энергетических ресурсов.
Разработать и внедрять ландшафтно-восстано-вительные системы земледелия, которые в условиях разнообразия природно-климатических и хозяйственных условий обеспечить получения стабильного урожая сельскохозяйственных культур и приумножения почвенного плодородия.
Для регулирования отдачи поливного земледелия в орошаемой зоне юга Казахстана, следует предпринимать меры по техническому оснащению технологии орошения
сельскохозяйственных культур;
В целях рационального использования поливной воды необходимо переходить на капельные орошения;
Общая экономия может достигать 30% и более, что, конечно делает интенсивные сады самым актуальным видом сельскохозяйственной деятельности на сегодня.
Совершенствование технологии производства сельскохозяйственных работ обеспечать до 49% сэкономить поливную воду на создания микроклимата поля и до 30-35% снизить потери на фильтрацию из почвы.
Список литературы
1. Исабай С.И. Водосберегающая технология орошения сельскохозяйственных культур на юге Казахстана., Тараз,2002,-256с.
2. Алпатьев А.М. Водопотребление культурных растений и климат. // В сб. Режим орошение сельскохозяйственных культур. М.: Колос,1965. С.55-68
3. Костяков А.Н. Основы мелиорации. М.: Сельхозгиз, 1960,621с.
4. Данильченко Н.В. Методы определения суммарного водопотребления и расчет поливных режимов сельскохозяйственных культур: Автореферат дисс., к.т.н., М.,1965
5. Будыко М.И. Глобальная экология. - М.: Мысль, 1977.-327 с.
6. Григорьев А.А. Географическая зональность и некоторые ее закономерности //Изв.АН СССР. Серия геогр.-1954.-№5.-С. 15-23; №6. - С. 21-35.
7. Хожанов Н.Н., Ержанова Н.К. Оптимизация оросительной нормы сельскохозяйственных культур.// Водное хозяйство Казахстана,№8-9(46-47),2012
1СРАРХ1ЧНА МОДЕЛЬ ОЦ1НОЧНИХ СТАНДАРТ1В СИСТЕМИ СЕРТИФ1КАЦП
К1БЕРБЕЗПЕКИ 1КТ
ЦвШй О.О.
Старший викладач кафедри Телекомуткацт Одесько'1 нацюнальног академИ зв'язку iM. О.С. Попова,
Украша, м. Одеса
HIERARCHICAL MODEL OF ICT CYBER SECURITY CERTIFICATION SYSTEM ASSESSMENT
STANDARDS
Tsvilii O.
Senior Lecturer of the Department of Telecommunications O.S. Popov Odessa National Academy of Telecommunications,
Odesa, Ukraine
Анотащя
У статп аналiзуються оцшочш стандарти, як можуть бути застосоваш в схемах сертифшацп для оць нок ввдповщносл (сертифжа^) шбербезпеки шформацшних та комушкацшних технологш (далi - 1КТ). Акцентуеться увага на забезпеченш широкого взаемного визнання результапв сертифшацп шбербезпеки, а також прагнення до узгоджених i порiвнянних процедур оцшки та здшснення заходiв щодо забезпечення шбербезпеки. Запропонована iерархiчна модель ощночних стандарпв системи сертифшацп шбербезпеки 1КТ, яка дозволить систематизувати розробку систем та схем сертифжаци шбербезпеки 1КТ з властивос-тями взаемного визнання.
Abstract
The article analyzes the assessment standards that can be used in certification schemes for conformity assessment (certification) of cybersecurity of information and communication technologies (hereinafter - ICT). Emphasis is placed on ensuring broad mutual recognition of the results of cybersecurity certification, as well as the desire for harmonized and comparable procedures for assessing and implementing cybersecurity measures. A hierarchical model of evaluation standards of the ICT cybersecurity certification system is proposed, which will allow to systematize the development of ICT cybersecurity certification systems and schemes with the properties of mutual recognition.
Ключовi слова: шбербезпека, сертифшащя шбербезпеки, акредитащя оргашв з сертифшацп шбер-безпеки, система сертифшацп шбербезпеки, схема сертифшацп шбербезпеки.
Keywords: cybersecurity, cybersecurity certification, accreditation of cybersecurity certification bodies, cybersecurity certification system, cybersecurity certification scheme.
Юбербезпека шформацшних та комушкацш-них технологш (далi - 1КТ) е ключовою проблемою для збереження функцюнування та безпеки цифро-во! економши i державного управлшня в найближ-чому майбутньому. Важливу роль в сферi шбербезпеки вщграе оцшка вiдповiдностi (сертифiкацiя) кiбербезпеки. Це може ввдноситись до кiбербезпеки компонента, продуктiв, обладнання, послуг та про-цесiв 1КТ, до кiбербезпеки хмарних сервгав, до ш-бербезпеки технолопчних процесiв, до особисшс-них компетенцш тощо.
Оцiнка вiдповiдностi - це демонстращя того, що зазначенi вимоги виконуються (оцiнка вщповвд-ностi включае такi види дiяльностi як випробу-вання, iнспектування, валвдацгя, верифiкацiя, сер-тифiкацiя та акредитацiя). Зазначена вимога (specified requirement) - потреба або сподiвання, яке зазначено (зазначеш вимоги можуть бути викладенi в нормативних документах, таких як регламента, стандарта та техшчш специфжацп. Зазначенi вимоги можуть бути детальними або загальними) [1].
Правила, процедури та менеджмент проведения сертифжацп шбербезпеки встановлюють схему сертифiкацii, а набiр правил та процедур для управлшня подiбними або спорiдненими схемами оцшки вiдповiдностi утворюють систему сертифь кацп [2].
Створення схем сертифiкацii шбербезпеки з властивостями взаемного визнання сертифжапв на сьогоднi е актуальним завданням, так як глобаль-нiсть проблеми шбербезпеки потребуе i вщповвд-них пiдходiв з глобальним визнанням сертифжапв кiбербезпеки 1КТ [3,4].
На сьогодш питання кiбербезпеки в Укрш'ш ре-гулюють низка правових актiв [5,6]. В них ставиться завдання на створення Нацюнально! сис-теми шбербезпеки Украши та застосування в нш мiжнародних та европейських принцитв оцiнки вiдповiдностi iнформацiйноi' та шбербезпеки, гар-монiзацii нормативних документiв у сферi шбербез-пеки вiдповiдно до мiжнародних стандартiв i стандарта £С i НАТО та запровадженш кращих свгго-вих практик i мгжнародних стаидартiв з питань шбербезпеки.
За останш десятилiття в свт була створена безлiч систем та оцшочних стандартiв, якi застосо-вуються для сертифшацп iнформацiйноi та шбер-безпеки, але вони не забезпечують взаемного ви-знання процедур i результатiв випробувань i оцiнок
випробувальними лабораториями, а також праг-нення до узгоджених i порiвнянних процедур ощ-нки та здiйснення заходiв щодо забезпечення шбе-рбезпеки. Найбiльш вiдомими серед них е: станда-рти серп ISO/IEC 27000; стандарти серiï 1ЕС 62443; Framework vl.1 Нацiонального шституту стандар-тiв i технологiй (NIST) США; стандарт СОВ1Т 5; OWASP-Top10 - вiдкритий проект з безпеки веб-до-даткiв; ISO/IEC 15408 Information technology -Security techniques - Evaluation criteria for IT security; ISO/IEC 18045:2008 Information technology - Security techniques - Methodology for it security evaluation; система SOG-IS (Senior Officials Group Information Systems Security); Федеральш стандарти обробки шформацп (FIPS) серп 140 - США; Сертифшащя 1Т-продукцп DoD IPv6 - США; Сер-тифжащя 1Т-продукцп DODIN APL - США; Серти-фкащя Army I3MP RPL - США.
Практичне застосування вказанi системи та стандарти сертифжацп знаходять здебiльшого в га-лузевих схемах сертифiкацiï, рiдше в нацюнальних схемах i деякi з них, наприклад система SOG-IS, групами кран. Таке рiзноманiття створюе потужнi бар'ери у визнанш вiдповiдних оцiнок (сертифша-тiв). Крiм того, у бшьшосл випадкiв iснування або використання рiзних вимог i процедур в тих секторах, як функцiонують в якост глобальних i ком-плексних сфер, може саме по собi представляти собою пiдвищений ризик.
В статп пропонуеться для забезпечення широкого визнання сертифiкатiв шбербезпеки задгяти та вдосконалити механiзми усунення технiчних бар'ерiв у торгiвлi [7].
У свт останш 20-25 рошв з метою усунення техшчних бар'ерiв для визнання оцiнок ввдповвдно-сп та сертифiкатiв створена глобальна шфраструк-тура, яка дозволяе при певних умовах максимально широко визнавати сертифiкати, як результат оцшки ввдповщносп [1]. Ця система - акредитащя органiв з оцшки вщповвдносл (далi - ООВ), до яких ввдно-сяться i органи сертифшацп. Акредитацiя ООВ сьогодш е невiд'емною частиною процесiв надання до-вiри до результатiв сертифшацп в будь-якiй сферi. В сучасному технiчному регулюваннi акредитацiя е одним з основних шститута iнфраструктури, поряд з стандартизацiею, метрологiею, оцiнкою вщповвд-ностi та ринковим наглядом [8].
Акредитащею е процес, за допомогою якого авторитетний орган дае формальне визнання ком-
петентносп оргашзаци або приватно! особи в вико-нанш конкретних завдань. У структурi технiчного регулювання, орган, вiдповiдальний за акредита-цш, оцiнюе компетенцш органiв з сертифжацп продукцп, послуг та процесiв, систем менеджменту, шспектування й персоналу, випробувальних й калiбрувальних лабораторiй. Офщшне визнання, iменоване «акредитащею», засввдчуе ктентам i ко-ристувачам послуг компетентшсть дiяльностi да-них органiзацiй. Акредитащя часто входить в мандат державно! акредитацп, яка може забезпечити визнання сво!х послуг з акредитацп в рамках Мiж-народного форуму з акредитацп (IAF) i М1жнарод-ного комiтету з акредитацi! лабораторш (ILAC).
IAF i ILAC сприяють i управляють визнанням «Двостороншх» або «Багатостороншх» «Угод» або «Домовленостей» (МRА/MLA), зпдно з якими сто-рони, яш беруть участь в них, погоджуються обош-льно визнавати результати тестування, iнспекцiй, сертифiкацi! або акредитацп. Угоди МRА/MLA сьогоднi стали важливим кроком на шляху оптимь зацп чи зменшення числа сертифшацш продуктов.
М1жнародна асощашя ) акредитацм лабораторш (1ЬАС)
II. АС - МЬкнадодиа ддгаяЬадЫ > »кредитам! лабсратогой
1. ЕА - Свропейська оргашзашя а
послуг, систем, процеав i матерiалiв, необхвдних особливо в мгжнароднш дiяльностi.
IAF (International Accreditation Forum) - це Всесвггня асощащя по оцiнцi вiдповiдностi оргашв по акредитацii в областi систем управлшня, продукцп, послуг, персоналу та шших подiбних програм оцшки вiдповiдностi. ILAC (International Laboratory Accreditation Cooperation) - це мiжнародна оргашза-цiя з питань акредитацii' калiбрувальних та випробувальних лабораторiй, медичних випробувальних лабораторiй, органiв з шспектування, провайдерiв перевiрок квалiфiкацii тощо [9]. Основна функщя IAF та ILAC - розробити едину в усьому свiтi про-граму оцiнки ввдповщносп.
Глобальна система IAF/ILAC дiе через репона-льнi оргашзацп з акредитацп. 1х географiчне розта-шування зображене на рис. 1.
Модель Угод Угод MRA/MLA, яка дiе для на-цiонального органу з акредитацп Украши за посе-редництва £вропейсько! регiональноl органiзацii з акредитацii (ЕА) зображена на рис. 2.
МЬкнародний форум з акредитацП {IAFJ
Рисунок 1. Регюнальт системи ILAC та IAF
Рисунок 2. Модель Угод Угод MRA/MLA
акредгггаш
2. APLAC - Органтшя з акрелнтяпй лабораторШ кряТн AjiaTCbKQ-TitxciciKgaiicbKoro регшну
3.1 AAC - Мцашернкаисыя органпаии ii спшробшнштв« в галуи акреднтада
4. AFRAC - Афрнкакеька органпаии ?i спшромтшштвд в галуи якрелгггащТ
5. SADCA - Пшенно-афрнканське сшвтовярнство г шггань ротылку спшробпництва в галун акркснтаци
Основним елементом схеми сертифiкацi! шбербезпеки е вимоги для ощнювання (стандарта чи iншi нормативнi документи), як можуть бути галу-зевими, нацюнальними, м1ждержавними та м1жна-родними, задаючи, таким чином можливостi та широту визнання. Як вже зазначалось вище, юнування або використання рiзних вимог i процедур в тих секторах, яш функцюнують в якостi глобальних i
комплексних сфер, може саме по собi представляти собою шдвищений ризик. Юбербезпека - це глобальна сфера. Тому систематизащя та унiфiкацiя вимог i процедур для сертифжацп к1бербезпеки е не-обхвдною умовою для визнання сертифшалв к1бер-безпеки.
Загальна Ieрархiчна модель оцiночних стандарта Системи сертифжаци к1бербезпеки (далi - Модель Стандарта) представлена на рис. 3. Модель дозволяе упорядити визначення та застосування стандартiв чи шших нормативних документiв, стандарта та схем з можливими комбшащями для по-сл1дуючо! розробки схем сертифкацп.
Модель складаеться з 6 рiвнiв, системне розпо-дiлення ощночних стандартiв по яким створюе гну-чк1сть для розробник1в схем сертифжаци к1бербез-пеки.
1 рiвень - вимоги до органiв з акредитаци, яш акредитують органи, задiянi в сертифкацп шбер-безпеки. Визначенi в стандарта ISO/IEC 17011 (та в
Регламента (£С) 765/2008 для ЕА) i, якщо необхь дно, додaтковi вимоги, визначеш в обов'язкових документах IAF/ILAC та докyментax EA (затвердже-них EA як обов'язковi для £С) [9].
2 рiвень - дiяльнiсть з оцiнки вiдповiдностi ООВ, яким органи акредитаци надають акредита-цiю вiдповiдно до стaндaртiв, включених до рiвня 3 (дaлi - дiяльнiсть з оцiнки вiдповiдностi). Це, як правило, визнaчaeться в сxемi сертифiкaцiï. Для сертифiкaцiï кiбербезпеки в цш Системi, залежно ввд схеми сертифжаци, можуть 6ути зaдiянi: органи сертифшацп продyкцiï, послуг та процеав; органи з сертифiкaцiï систем менеджменту; органи з серти-фiкaцiï персоналу; випробувальш лaборaторiï; органи з шспектування.
Рисунок 3. lepapxi4Ha модель оцiночних cmaHdapmie Системи cертифiкацiï юбербезпеки
3 рiвень - гармошзоваш стандарта (або iншi нормaтивнi документи), що мiстять зaгaльнi вимоги до ООВ, що виконують дiяльнiсть з оцшки вщпо-вiдностi кiбербезпеки, включених до рiвня 2 (дaлi стандарти оцшки ввдповвдноста). Це нaстyпнi оць ночш стандарти: ISO/IEC 17025; ISO/IEC 17020; ISO/IEC 17065; ISO/IEC 17021-1; ISO/IEC 17024.
4 рiвень - документи, що мютять додaтковi критерй' до стандарта 3 рiвня. Рiвень 4 застосову-сться лише там, де юнують документи, що допов-нюють стандарти 3 рiвня (це ознaчae, що рiвень 5 часто безпосередньо пов'язаний зi стандартом рiвня 3).
Такими документами для £С e: гaлyзевi стандарти або iншi нормативш документи (нaдaлi галу-зевi стандарти); гaлyзевi схеми, як зазначено у Регламента (£С) 765/2008 Статта 2 (10) та 13; Схеми оцшки вщповвдноста зпдно з EA-1/22 (дaлi схеми).
Так, галузевим стандартом, який безсyмнiвно буде застосований в схемах сертифшацп кбербез-пеки, e ISO/IEC 27006:2015 Information technology -Security techniques - Requirements for bodies providing audit and certification of information security management systems.
Також високоймовiрним е присутнiсть в Сис-темi сертифкацп к1бербезпеки Додаткових крите-рив з Регламенту £С 2019/881.
5 рiвень - сфера акредитаци органу з сертифь кацп: стандарти або iншi нормативнi документи, що використовуються акредитованим ООВ вщпо-вiдностi для визначено! акредитовано! сфери ощ-нки вiдповiдностi. Може включати, наприклад, конкретш методи випробувань та конкретнi вимоги до системи управлшня (наприклад: ШО/1ЕС 27001), критерп к1бербезпеки (ISO/IEC 15408), методику оцшки юбербезпеки (ШО/1ЕС 18045) тощо.
6 рiвень - сфера акредитаци органу з сертифь каци: додатковi вимоги до сфери акредитаци, яш можуть бути встановленi. Для Украши визначенi в законi Украши «Про акредитащю органiв з оцшки ввдповщноста», стаття 1 [10].
Таким чином, запропонована 6-рiвнева iерар-хiчна модель оцiночних стандартiв системи серти-фшацп к1бербезпеки е iнструментарiем, який надае можливiсть створення гнучких схем сертифжаци к1бербезпеки з забезпеченням транскордонного ви-знання результатiв оцiнки вщповвдноста в сферi ш-бербезпеки (випробування та сертифжаци).
Список лггератури
1. ISO/IEC 17000:2020 Conformity assessment
- Vocabulary and general principles.
2. ISO/IEC 17067:2013 Conformity assessment
- Fundamentals of product certification and guidelines for product certification schemes.
3. United Nations. Economic and Social Council Report. On the sectoral initiative on cyber security. Geneva, 20-22 November 2019.
4. Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecu-rity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) [Електронний ресурс]// - Режим доступу: https://eur-lex.europa.eu/eli/reg/2019/881/oj.
5. Про основш засади забезпечення юбербезпеки Украши, Закон Украши вщ 05.10.2017 № 2163-VIII.
6. Про захист шформаци в шформацшно-те-лекомушкацшних системах, Закон Украши ввд 05.07.1994 № 80/94-ВР.
7. Додаток 1A до Угоди про заснування Свггово! оргашзацп торпвлт Угода про техшчш бар'ери в торпвлг https://zakon.rada.gov.Ua/laws/show/981_008#Text.
8. https://www.unido.org/sites/default/files/201 7-02/QI_Russian_online_final_0.pdf.
9. EA-1/06 A-AB: 2017 EA Multilateral Agreement. Criteria for signing.
10. Про акредитацш оргашв з оцшки ввдповщносп, Закон Украши ввд 17.05.2001 № 2407-III.
