Статтю присвячено дослідженню кібербезпеки інформаційних систем підприємств в енергетичному секторі. Сьогодні енергокомпанії централізовано через інформаційні системи здійснюють контроль і управління процесами виробництва, передачі та розподілу електроенергії. Розвиток технологій Smart Grid та розумного обліку ведуть до появи численних нових послуг та сервісів, у тому числі і шляхом залучення споживачів, що кардинально змінює архітектуру систем у бік розподіленої автоматизації та змінює принципи управління, доступу і використання інформаційних систем та породжує якісно нові загрози і ризики.

У роботі запропоновано методику графічного моделювання процесу оцінки ризиків кількісним та якісним методом з використанням діаграм діяльності та обчислення ймовірних втрат від реалізації загрози із врахуванням коефіцієнта руйнування. Для проведення аналізу ризиків необхідно: визначити список і цінність активів (ресурсів), що підлягають захисту; ідентифікувати список загроз інформаційній безпеці, актуальних для даної інформаційної системи; оцінити ймовірність реалізації загроз; визначити вразливість активів та розмір потенційних збитків; виконати оцінку ризиків; запропонувати рішення, яке забезпечує необхідний рівень інформаційної безпеки, забезпечити реалізацію і тестування обраних способів захисту та провести оцінку залишкового ризику.

Детально проаналізовано особливості зовнішніх і внутрішніх загроз та вразливостей об’єктів ІТ-інфраструктури в енергетичному секторі. Основними загрозами для інформаційних систем автоматизації та управління можна вважати: несанкціоноване використання точок доступу до дистанційного технічного обслуговування; мережеві атаки через корпоративну мережу; атаки на стандартні компоненти, що використовуються в мережі ICS; DDoS-атаки; людська помилка або саботаж; проникнення вірусу через знімний носій чи зовнішні пристрої; несанкціонований доступ до ресурсів; атаки на компоненти мережі; технічні збої або форс-мажор.

Узагальнено перелік заходів щодо управління ІТ-ризиками та способи планування, здійснення і контролю контрзаходів, спрямованих на захист інформаційних систем.