Semantic approach to automated formation of information security systems documentation
The article investigates the problem of automated generation of complex documentation for information secu rity systems based on semantic analysis of the regulatory and legal framework. A systematic analysis of the re quirements of regulatory documents and international standards for information sec...
Saved in:
| Date: | 2026 |
|---|---|
| Main Authors: | , |
| Format: | Article |
| Language: | Ukrainian |
| Published: |
PROBLEMS IN PROGRAMMING
2026
|
| Subjects: | |
| Online Access: | https://pp.isofts.kiev.ua/index.php/ojs1/article/view/878 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Problems in programming |
| Download file: |  |
Institution
Problems in programming| _version_ | 1859502662082363392 |
|---|---|
| author | Bova, Yu.V. Yatsenko, O.A. |
| author_facet | Bova, Yu.V. Yatsenko, O.A. |
| author_sort | Bova, Yu.V. |
| baseUrl_str | https://pp.isofts.kiev.ua/index.php/ojs1/oai |
| collection | OJS |
| datestamp_date | 2026-02-12T15:27:30Z |
| description | The article investigates the problem of automated generation of complex documentation for information secu rity systems based on semantic analysis of the regulatory and legal framework. A systematic analysis of the re quirements of regulatory documents and international standards for information security system documentation is conducted. Critical contradictions between the dynamic nature of regulatory requirements and the static na ture of existing automation tools are identified. It is shown that manual processing of large volumes of weakly structured documents does not ensure acceptable quality and speed, while the use of generative artificial intel ligence models does not guarantee the reliability of the generated information. The necessity of integrating se mantic analysis tools with generative artificial intelligence to ensure guaranteed and explainable results is sub stantiated. Existing approaches to document generation automation are analyzed, including template-based sys tems, markup tools, ontological models, and large language models. A conceptual model of an intelligent in formation security authorization support system is proposed, combining a multi-agent architecture, ontological knowledge representation, and the capabilities of large language models. A semantic approach to the genera tion of complex documents based on ontological modeling of the information security engineering domain is developed. The proposed model ensures traceability between requirements, solutions, and knowledge sources, supports dynamic updates of the regulatory framework, and enables automated generation of documentation in accordance with current security standards. The developed approach significantly reduces the time and labor required for preparing information security documentation.Prombles in programming 2025; 4: 78-87 |
| first_indexed | 2026-03-12T23:39:28Z |
| format | Article |
| fulltext |
Семантик Веб та лінгвістичні системи
78
© Ю.В. Бова, О.А. Яценко, 2025
ISSN 1727-4907. Проблеми програмування. 2025. №4
УДК 004.056, 004.89 https://doi.org/10.15407/pp2025.04.078
Ю.В. Бова, О.А. Яценко
СЕМАНТИЧНИЙ ПІДХІД ДО АВТОМАТИЗОВАНОГО
ФОРМУВАННЯ ДОКУМЕНТАЦІЇ СИСТЕМ БЕЗПЕКИ
ІНФОРМАЦІЇ
У статті досліджується проблема автоматизованого формування складних документів для систем без-
пеки інформації на основі семантичного аналізу нормативно-правової бази. Проведено системний ана-
ліз вимог нормативних документів та міжнародних стандартів щодо документування систем захисту
інформації. Виявлено критичні суперечності між динамічністю нормативних вимог та статичністю іс-
нуючих інструментів автоматизації. Показано, що ручна обробка великих обсягів слабоструктурованих
документів не забезпечує прийнятної якості та швидкості, а використання генеративних моделей штуч-
ного інтелекту не гарантує достовірності інформації. Обґрунтовано необхідність інтеграції засобів се-
мантичного аналізу з інструментами генеративного штучного інтелекту для забезпечення гарантованих
та пояснюваних результатів. Проаналізовано існуючі підходи до автоматизації генерації документів,
включаючи шаблонні системи, засоби розмітки, онтологічні моделі та великі мовні моделі. Запропоно-
вано концептуальну модель інтелектуальної системи підтримки авторизації безпеки інформації, що по-
єднує мультиагентну архітектуру, онтологічне представлення знань та можливості великих мовних мо-
делей. Розроблено семантичний підхід до формування складних документів на основі онтологічного
моделювання предметної області технічного захисту інформації. Представлена модель забезпечує тра-
сованість між вимогами, рішеннями та джерелами знань, підтримує динамічне оновлення нормативної
бази та автоматизоване формування документації відповідно до актуальних стандартів безпеки. Розро-
блений підхід дозволяє суттєво скоротити час та трудомісткість підготовки документації систем безпе-
ки інформації.
Ключові слова: семантичний аналіз, онтологічне моделювання, системи безпеки інформації, автомати-
зована генерація документів, великі мовні моделі, нормативно-правова база, профіль безпеки, техніч-
ний захист інформації, інтелектуальні системи, формалізація знань.
Yu.V. Bova, O.A. Yatsenko
SEMANTIC APPROACH TO AUTOMATED FORMATION OF
INFORMATION SECURITY SYSTEMS DOCUMENTATION
The article investigates the problem of automated generation of complex documentation for information secu-
rity systems based on semantic analysis of the regulatory and legal framework. A systematic analysis of the re-
quirements of regulatory documents and international standards for information security system documentation
is conducted. Critical contradictions between the dynamic nature of regulatory requirements and the static na-
ture of existing automation tools are identified. It is shown that manual processing of large volumes of weakly
structured documents does not ensure acceptable quality and speed, while the use of generative artificial intel-
ligence models does not guarantee the reliability of the generated information. The necessity of integrating se-
mantic analysis tools with generative artificial intelligence to ensure guaranteed and explainable results is sub-
stantiated. Existing approaches to document generation automation are analyzed, including template-based sys-
tems, markup tools, ontological models, and large language models. A conceptual model of an intelligent in-
formation security authorization support system is proposed, combining a multi-agent architecture, ontological
knowledge representation, and the capabilities of large language models. A semantic approach to the genera-
tion of complex documents based on ontological modeling of the information security engineering domain is
developed. The proposed model ensures traceability between requirements, solutions, and knowledge sources,
supports dynamic updates of the regulatory framework, and enables automated generation of documentation in
accordance with current security standards. The developed approach significantly reduces the time and labor
required for preparing information security documentation.
Keywords: semantic analysis, ontological modeling, information security systems, automated document gener-
ation, large language models, regulatory framework, security profile, technical information protection, intelli-
gent systems, knowledge formalization.
Семантик Веб та лінгвістичні системи
79
Вступ
Документування систем безпеки ін-
формації є критично важливим процесом,
що забезпечує відповідність інформацій-
них систем нормативним вимогам та стан-
дартам безпеки. Створення комплексної
документації для систем захисту інформа-
ції вимагає аналізу великих обсягів норма-
тивно-правових актів, стандартів та мето-
дичних рекомендацій, що характеризують-
ся складною структурою, багатозначністю
термінології та взаємозалежністю вимог
різних рівнів.
Технічний захист інформації пред-
ставляє собою приклад критичного техніч-
ного напрямку, де процеси проєктування
та експлуатації інформаційних систем жо-
рстко регламентуються нормативними до-
кументами. Предметна область характери-
зується високим рівнем формалізованості
вимог, складною ієрархією знань та необ-
хідністю забезпечення трасованості між
вимогами, технічними рішеннями та дже-
релами знань.
Основним викликом у побудові інте-
лектуальної системи підтримки авторизації
безпеки інформації є динамічність норма-
тивно-правової бази. Зміни у вимогах без-
пеки, оновлення стандартів або поява нових
нормативних документів вимагають пос-
тійного коригування формалізованих знань.
Ручне перенесення таких змін є трудоміст-
ким процесом, схильним до помилок та
суб’єктивних інтерпретацій. Крім того, но-
рмативна документація характеризується
багатозначністю термінів, складністю син-
таксичних конструкцій та необхідністю
забезпечення повної трасованості кожної
формалізованої вимоги до її першоджерела.
Це робить критично важливим роз-
робку методів автоматизованого отриман-
ня та формалізації вимог із слабострукту-
рованого тексту, що дозволить усунути
ручну працю експерта, забезпечити пос-
тійну актуальність знань системи та гаран-
тувати об'єктивність і пряму трасованість
логіки до джерел.
Стан предметної області
З 2024 року в Україні активно впро-
ваджується гармонізація національної -
нормативної бази з міжнародними стан-
дартами через застосування профілів
безпеки на основі NIST SP 800-53 та
NIST SP 800-171, що суттєво змінює ме-
тодологію документування та авторизації
систем безпеки [1].
Проведений аналіз публікацій пока-
зав, що існуючі комерційні або академіч-
ні інструментів не забезпечують компле-
ксної підтримки оновленої нормативної
бази України та повного циклу автомати-
зації від збору даних до генерації готових
документів.
Формування профілів безпеки (ПБ)
є ключовим етапом у забезпеченні ін-
формаційної безпеки систем різного при-
значення. Цей процес вимагає врахуван-
ня як нормативних вимог, так і специ-
фіки об’єкта захисту, поєднуючи
експертні знання із сучасними засобами
автоматизації.
Виявлено критичні суперечності
між динамічністю нормативних вимог та
статичністю існуючих інструментів, між
необхідністю повної формалізації знань
та відсутністю уніфікованих машиночи-
таних представлень, між потребою в
комплексній автоматизації та фрагмента-
рністю наявних рішень.
На основі цього виникає потреба
розробки принципово нових методів та
моделей, що поєднують мультиагентну
архітектуру, онтологічне представлення
знань та можливості великих мовних мо-
делей для подолання високої трудоміст-
кості, суб'єктивності експертних оцінок
та ризику помилок у підготовці пакетів
документації.
Створення документації для систем
безпеки інформації є багаторівневим
процесом, що охоплює вимоги стан-
дартів, моделювання, автоматизацію та
оцінку ризиків.
Технології автоматизованої гене-
рації документів. Генератори документів
— це інструменти, призначені для автома-
тизованого створення документації на ос-
нові шаблонів та структурованих даних.
До них належать як прості рішення, що
Семантик Веб та лінгвістичні системи
80
базуються на макросах Microsoft Word або
VBA (Visual Basic for Applications), так і
більш складні системи на основі LaTeX,
Markdown, Pandoc. Ці інструменти дозво-
ляють користувачам створювати шаблони
документів із плейсхолдерами для ди-
намічних даних, які автоматично запов-
нюються з баз даних, електронних таб-
лиць.
Один із найпоширеніших підходів —
це використання шаблонів у Microsoft
Word [2], макросів або скриптів VBA, які
заповнюють документ даними із зовнішніх
джерел (наприклад, Excel або бази даних)
для створення типових документів із
змінними даними [3]. Цей підхід забезпе-
чує простоту й швидкість, не потрібно
вивчати спеціальні системи верстки або
програмування достатньо базових знань
Word. Проте така «автоматизація» не дає
можливості аналізувати нормативні ви-
моги, структуру предметної області,
логічні зв’язки між даними.
Інший підхід [4] представлений си-
стемами розмітки LaTeX або Markdown і
конверторами форматів, наприклад,
Pandoc. За допомогою таких систем автор
формує структурований текст (з роз-
міткою), який потім компілюється у фор-
матовані документи (PDF, DOCX, HTML,
тощо) [5]. Цей підхід дуже зручний для
наукових публікацій, технічних звітів або
документації, де важлива чітка структура,
автоматичний зміст, покажчики, стандар-
тизоване форматування [6]. Перевагою є
розділення змісту й оформлення, автор
формує «сирий» текст, а система піклуєть-
ся про оформлення. Це забезпечує відтво-
рюваність, консистентність стилю, мож-
ливість автоматичного оновлення доку-
ментів у разі зміни структури. Проте, як і у
випадку шаблонів, ці системи не аналізу-
ють зміст документів та не дозволяють
визначати семантику відношень між окре-
мими елементами. Вони не реалізують
логіку, не інтерпретують вимоги, не пе-
ревіряють відповідність даних правилам,
просто відтворюють те, що їм подадуть.
Для задач, де потрібно формувати доку-
менти на основі складних нормативних
вимог або властивостей інформаційних
систем, цього недостатньо.
Зараз активно розглядається викори-
стання LLM у синтезі документації: ство-
рення технічних специфікацій, user-guides,
описів систем, де контент генерується ав-
томатично на основі описів, кодів або
структурованих метаданих. Наприклад, у
недавньому дослідженні [7] показано, що
поєднання LLM з онтологічним підходом
дає змогу зменшити обсяг ручної роботи,
підвищити стандартизацію і узгодженість
документації, а також покращити її
підтримку у разі зміни проєкту.
Також з’являються моделі, здатні од-
ночасно генерувати структуру документа
та його оформлення, наприклад, у роботі
[8] пропонують метод autoregressive-
моделювання, який враховує і текстовий
вміст, і макет документа. Подібні підходи
мають потенціал для створення комплекс-
них документів з динамічним змістом і
нестандартною структурою. Використання
експертних систем і онтологій для автома-
тичного формування баз знань і правил,
що лягають в основу документації з
аналізу ризиків [9].
У роботі [10] розглядається застосу-
вання LLM-RAG, машинного навчання,
аналітики великих даних для генерації
звітів, оцінки вразливостей та підвищення
якості документації.
Сучасні системи застосовують мето-
ди обробки природної мови (Natural Lan-
guage Processing, NLP) і глибокі нейронні
мережі для автоматичного здобуття вимог
із нормативних документів, що дозволяє
формувати комплаєнс-звіти та перевіряти
відповідність заявлених функцій реальним
можливостям пристроїв [11].
Для спрощення підтримки та онов-
лення знань автоматизоване формування
баз знань для аналізу ризиків здійснюється
шляхом трансформації елементів онто-
логій у правила.
Також існують спеціаізовані методи
для формування профілів безпеки. Логіко-
матричний метод базується на формаліза-
ції вимог нормативних документів за до-
помогою логічних рівнянь та матриці
знань. Логіко-матричний та ймовірно-
вартісний методи забезпечують високу
обґрунтованість рішень, але вимагають
значних часових витрат та високої квалі-
Семантик Веб та лінгвістичні системи
81
фікації експертів. Методи на основі систем
підтримки ухвалення рішень та математи-
чної оптимізації демонструють кращі по-
казники за часом, проте є складнішими в
розробці та підтримці [12].
Спільним недоліком усіх розгляну-
тих методів є їхня ізольованість від проце-
су фінального документування. Вони до-
помагають сформувати профіль безпеки,
але не забезпечують автоматичної генера-
ції супровідної документації у стандарти-
зованих форматах для регулятора, відсутня
підтримка оновлених нормативних доку-
ментів.
Аналіз літератури виявив три ключо-
ві протиріччя, що обґрунтовують необхід-
ність розробки нових підходів.
Перше протиріччя виникає між ди-
намічністю нормативних вимог та статич-
ністю існуючих інструментів автоматиза-
ції. За останні роки нормативна база у
сфері технічного захисту інформації зазна-
ла фундаментальних змін, що вимагають
перегляду всіх існуючих підходів до доку-
ментування. Існуючі комерційні та акаде-
мічні рішення не забезпечують автоматич-
ного оновлення під час зміни нормативної
бази, що призводить до швидкого застарі-
вання їхнього функціоналу.
Друге протиріччя постає між необ-
хідністю повної формалізації знань про
предметну область та відсутністю уніфі-
кованих машиночитаних представлень
нормативних вимог. Усі розглянуті мето-
ди формування профілів захищеності ба-
зуються на експертних оцінках та вима-
гають ручного відображення вимог на
характеристики конкретної інформаційної
системи. Значна частина поданих на екс-
пертизу пакетів документації отримує
негативні висновки або вимагає істотного
доопрацювання, що призводить до збіль-
шення загального терміну авторизації. Це
свідчить про високу трудомісткість та
суб’єктивність традиційного підходу.
Третє протиріччя виявляється між
потребою в комплексній автоматизації
всього циклу документування та фрагме-
нтарністю існуючих рішень. Ключовою
вадою є відсутність інтегрованого підхо-
ду, що поєднував би: автоматизований
збір та верифікацію даних про інформа-
ційну систему, інтелектуальний семанти-
чний аналіз текстів нормативних докуме-
нтів, автоматичну класифікацію систем на
основі формалізованих правил, форму-
вання профілів безпеки відповідно до
структури нормативних документів, гене-
рацію готової документації у стандарти-
зованих форматах.
Незважаючи на значні досягнення у
застосуванні онтологічних підходів та
великих мовних моделей, відсутні ком-
плексні рішення, що поєднують гаранто-
вану достовірність результатів семантич-
ного аналізу з гнучкістю генеративних
моделей. Існуючі методи не забезпечують
повної трасованості від вихідних норма-
тивних документів до згенерованої доку-
ментації, що є критичним для систем без-
пеки інформації.
Мета статті полягає у розробці се-
мантичного підходу до автоматизованого
формування складних документів для си-
стем безпеки інформації на основі онто-
логічного моделювання предметної обла-
сті та інтеграції засобів семантичного
аналізу з можливостями великих мовних
моделей.
Концептуальна модель системи.
Запропонована інтелектуальна система
підтримки авторизації безпеки інформації
базується на інтеграції трьох ключових
компонентів: онтологічної бази знань, за-
собів семантичного аналізу та великих
мовних моделей.
У процесі авторизації системи безпе-
ки інформації (СБІ) доцільно виокремити
дві основні множини документів: вхідні та
вихідні. Такий поділ дозволяє формалізу-
вати взаємозв’язок між етапами підготовки
документів та спроєктувати алгоритми
їхньої автоматизованої обробки.
Вхідні документи — це матеріали,
які створюються на етапі проєктування
інформаційної системи або надаються ко-
ристувачем: опис системи, архітектура,
перелік оброблюваних даних, попередні
заходи безпеки. Вихідні документи — це
результат роботи системи: автоматично
згенеровані та перевірені звіти, профілі
безпеки, що формують пакет документів
для подальшого погодження.
Семантик Веб та лінгвістичні системи
82
Формально загальна множина доку-
ментів може бути представлена у вигляді
(1):
.in outD D D= (1)
До множини вхідних документів на-
лежать документи та дані, що формуються
на етапах проєктування або експлуатації
інформаційної системи (2):
1 2, , , . in nD d d d= (2)
Множина вихідних документів фор-
мується автоматизованою системою на
основі вхідних даних та нормативної ба-
зи (3):
1 2, , , .out mD d d d= (3)
Таким чином, вхідні документи ви-
ступають джерелом інформації, тоді як
вихідні є результатом роботи мультиаген-
тної системи, що обробляє дані за допомо-
гою семантичних технологій та великих
мовних моделей.
Формальна модель знань
Для забезпечення уніфікованого та
однозначного представлення знань пред-
метної області пропонується онтологічна
модель знань у сфері безпеки інформації
(рис. 1). Вона є центральним компонентом
системи та забезпечує формалізоване,
структуроване представлення предметної
області, виступає єдиним узгодженим
джерелом знань для всіх інтелектуальних
модулів системи.
Одним із важливих завдань системи є
автоматизована трансформація онтологіч-
них знань — концептів, властивостей та
зв’язків — у структуровані текстові доку-
менти, що відповідають вимогам нормати-
вно-правових актів. На відміну від тради-
ційних підходів, де структура бази даних
жорстко прив'язується до шаблонів доку-
ментів, запропонований механізм ґрунту-
ється на семантичному мапуванні, яке за-
безпечує гнучке та формально визначене
відображення між елементами онтології та
структурними компонентами цільового
документа.
Нехай O — онтологія системи, а
D — цільовий документ із певною струк-
турою
( ) 1 2, , , .nStructure D S S S=
Семантичне мапування визначається
як множина:
( )
, , : ,{
},
( )
,
i j k i
j k
M c s f c O
s Structure D f F
=
(4)
де ic — концепт або властивість онтології;
js — елемент структури документа (роз-
діл, підрозділ, пункт); kf — функція тран-
сформації, що перетворює онтологічні дані
у текстовий формат.
Важливою перевагою семантичного
мапування є його незалежність від конкре-
тних шаблонів документів. У разі зміни
структури документа (наприклад, дода-
вання нового розділу або пункту) достат-
ньо лише додати нові триплети
( , , ) ,i new kc s f M не змінюючи саму онто-
логію або базу даних. Отож, онтологія ви-
ступає не лише джерелом даних, а й меха-
нізмом керованого породження текстового
змісту, що гарантує семантичну відповід-
ність інформаційної моделі нормативній
структурі документа.
Використання онтологічного підходу
дозволяє забезпечити семантичну узго-
дженість даних, підтримку логічного виве-
дення, а також адаптивність системи до
змін нормативної бази у сфері технічного
захисту інформації. Застосування онтоло-
гічного підходу для формалізації знань у
процесі документування систем безпеки
дозволяє забезпечити цілісність норматив-
них вимог [13].
Ця онтологічна модель містить на-
ступні класи:
• Normative_Document — клас
нормативних документів, що регламенту-
ють вимоги до захисту інформації;
Семантик Веб та лінгвістичні системи
83
• Security_Requirement — клас ви-
мог безпеки, сформульованих на основі
нормативних документів;
• Basic_Security_Profile — клас ба-
зових профілів безпеки;
• Target_Security_Profile — клас
цільових профілів безпеки, адаптованих до
конкретної інформаційної системи;
• Security_Control — клас заходів
захисту інформації;
• Information_System — клас ін-
формаційних систем, для яких формується
профіль безпеки;
• System_Object — клас об’єктів
системи;
• Data_Type — клас типів даних,
що обробляються в інформаційній системі.
Онтологічний підхід дозволяє одно-
значно визначити відношення між екземп-
лярами цих класів. Виразна потужність
онтології дозволяє задавати для таких від-
ношень їхню область значення (домен) та
визначення (діапазон), їхні логічні харак-
теристики.
Наприклад, для Властивостіi
s_Sourced_FromДомен — це
Security_Requirement, а діапазон —
Normative_Document.
В цілому структура онтології є до-
сить стабільною — набір класів та відно-
шень між ними змінюється дуже рідко,
тільки внаслідок змін нормативних доку-
ментів. Але поповнення онтології екземп-
лярами класів на основі зовнішніх природ-
номовних джерел знань розширює її обсяг
та забезпечує акуальність представленої
інформації.
Запропонована структура класів за-
безпечує повне покриття предметної об-
ласті, дозволяє формалізувати зв’язки між
нормативними вимогами, характеристика-
ми інформаційних систем та відповідними
заходами захисту.
Інтеграція з великими мовними
моделями. Великі мовні моделі викорис-
товуються для розв’язання задач, що пот-
ребують розуміння контексту та генерації
природномовного тексту. Зокрема, великі
мовні моделі застосовуються для:
Рис. 1. Структурна схема ОМЗ
Семантик Веб та лінгвістичні системи
84
• попередньої обробки та нормалі-
зації текстів нормативних документів;
• генерації пояснень щодо вимог
безпеки та їхніх взаємозв’язків;
• формування текстових розділів
документації на основі структурованих
даних з онтології;
• адаптації документації до різних
аудиторій та форматів представлення.
Критично важливим є забезпечення
контролю достовірності генерованого кон-
тенту. Для цього використовується метод
верифікації, що передбачає перевірку кож-
ного твердження великої мовної моделі на
відповідність фактам з онтологічної бази
знань. Формально для кожного тверджен-
ня A, згенерованого моделлю, виконується
перевірка:
: ( , ) ,T KB verify A T true =
де KB — онтологічна база знань, verify —
функція верифікації відповідності твер-
дження триплетам онтології.
Архітектура системи формування
документів. Система формування докуме-
нтів реалізована за мультиагентною архі-
тектурою, що включає такі основні компо-
ненти:
- агент аналізу нормативних докуме-
нтів здійснює вилучення та структуруван-
ня вимог з вихідних текстів, формування
онтологічних триплетів, підтримку актуа-
льності бази знань;
- агент категоризації об’єкта захисту
виконує визначення класу інформаційної
системи згідно з нормативними критерія-
ми, ідентифікацію загроз та вразливостей,
оцінку рівня ризиків;
- агент формування профілю безпеки
забезпечує вибір релевантних вимог та
заходів захисту, формування функціональ-
ного профілю захищеності, генерацію пла-
ну імплементації заходів;
- агент генерації документації вико-
нує формування структури документа, ге-
нерацію текстових розділів з використан-
ням великих мовних моделей, верифікацію
згенерованого контенту, форматування та
експорт результатів.
Взаємодія агентів здійснюється через
обмін семантичними повідомленнями, що
містять онтологічні триплети та метадані
про контекст виконання задачі. Це забез-
печує прозорість процесу ухвалення рі-
шень та можливість трасування кожного
елемента документації до вихідних дже-
рел.
Основні етапи обробки. У загаль-
ному випадку задача формування складних
документів складається з наступних етапів.
1. Збір вхідних даних та їхнє струк-
турування відповідно до вимог предметної
області. Необхідною вимогою цього є
створення структури бази знань предмет-
ної області, відповідно до якої визнача-
ються стурктурні елементи даних (це мо-
жна розглядати як визначення набору еле-
ментів семантичної розмітки). Етап збору і
обробки вхідних даних є базовим, оскільки
він формує основу для подальших етапів
класифікації, оцінки та генерації докумен-
тації. Його основне завдання — прийняти
первинні дані та документи від користува-
ча і перетворити їх на структурований
формат, зрозумілий для подальших інте-
лектуальних модулів системи. Цей процес
є критично важливим, оскільки забезпечує
перехід від неструктурованого природного
тексту до формалізованого представлення
знань.
2. Аналіз структрованих даних та
отримання потрібної користувачу інфор-
мації, з використанням зовнішніх джерел
знань та онтології предметної області, яка
формалізує відношення між компонента-
ми.
3. Перевірка відповідності семантики
отриманих результатів вимогам користу-
вача та правилам предметної області.
4. Генерація результуючого інформа-
ційного об’єкта у формі, що відповідає
правилам предметної області, та пертво-
рення його у формат, потрібний користу-
вачеві.
Для даної задачі ці етапи уточню-
ються наступним чином:
Етап 1. Отримані дані структурують-
ся у формалізованому вигляді (JSON, RDF)
і проходять процедуру семантичного ма-
пінгу з базою знань, яка містить норматив-
ні документи НД ТЗІ. Це дозволяє зістави-
Семантик Веб та лінгвістичні системи
85
ти характеристики інформаційної системи
(ІС) із вимогами нормативної бази та ви-
явити вади у вхідних даних. Якщо даних
виявляється недостатньо, система автома-
тично формує запити на уточнення до ко-
ристувача. Вхідними даними є базові до-
кументи, що формуються на етапі проєк-
тування інформаційної системи, такі як
концепція безпеки інформації та приватно-
сті, опис ІС, категорія критичності ІС та
інші.
Етап 2. На другому етапі структуро-
вані дані потрапляють до модуля оцінки
відповідності, головним завданням якого
є визначення наскільки характеристики та
параметри ІС відповідають встановленим
вимогам нормативних документів, здійс-
нюється формальна класифікаці ІС, що
полягає в визначеності категорії критич-
ності.
Обробка даних відбувається за допо-
могою агента нормативної класифікації,
який використовує онтології, що дозволя-
ють агенту не просто шукати ключові сло-
ва, а й розуміти смислові зв'язки між різ-
ними термінами та поняттями. Це забезпе-
чує точне та повне зіставлення вимог.
Результатом етапу є два набори да-
них, які стають вхідними для наступних
етапів:
• перелік БПБ — базовий профіль
безпеки - мінімально необхідний набір
заходів і вимог, обов’язкових для ІС;
• шаблон ЦПБ — попередній
проєкт цільового профілю безпеки.
Етап 3. Після класифікації здійсню-
ється аналіз відповідності, під час якого
перевіряється виконання вимог норматив-
них документів. Для кожного критерію
визначається ступінь відповідності (повна,
часткова або відсутня). Результати аналізу
передаються до компонента генерації
профілів, який на основі формалізованих
правил формує перелік БПБ. Це забезпечує
формальний перехід від характеристик ІС
та нормативної бази до структурованого
переліку вимог, який лягає в основу гене-
рації кінцевих документів для авторизації.
Етап 4. Наступним етапом роботи си-
стеми є автоматизована генерація вихідних
документів та формування пояснень щодо
ухвалених рішень.
На вхід отримується перелік БПБ,
сформований на попередньому етапі шаб-
лон ЦПБ відповідної ІС та структуровані
результати оцінки відповідності (виконані,
невиконані, частково виконані вимоги).
Агент генерації взаємодіє з моделлю LLM,
яка не просто заповнює поля в шаблонах, а
створює зв'язний та зрозумілий текст,
формує пояснення . Результатом етапу є
готовий ЦПБ — уніфікований документ із
повним переліком заходів безпеки, а також
обґрунтування, пояснення та висновки,
сформовані інтелектуальною системою.
Висновки
У роботі розроблено семантичний
підхід до автоматизованого формування
складних документів для систем безпеки
інформації, що базується на інтеграції
онтологічного моделювання, семантично-
го аналізу та можливостей великих мов-
них моделей.
Запропоновано формальну модель
документообігу, що розділяє вхідні та
вихідні документи і дозволяє чітко визна-
чити процес трансформації даних у готову
документацію. Розроблено механізм се-
мантичного мапування між онтологічни-
ми концептами та структурними елемен-
тами документів, що забезпечує гнучкість
та незалежність від конкретних шаблонів.
Мультиагентна архітектура системи
забезпечує модульність та можливість
адаптації до різних предметних областей.
Інтеграція великих мовних моделей під
контролем онтологічної бази знань дозво-
ляє поєднати гнучкість генерації природ-
номовного тексту з гарантованою досто-
вірністю інформації.
Розроблений підхід дозволяє суттєво
скоротити час та трудомісткість підготов-
ки документації систем безпеки інформа-
ції, забезпечити об’єктивність та повноту
документування, підтримувати актуаль-
ність документації у разі змін норматив-
ної бази.
Подальші дослідження будуть спря-
мовані на розширення онтологічної моде-
лі для охоплення додаткових аспектів
безпеки інформації, розробку методів ав-
томатизованого виявлення неузгодженос-
тей у нормативній базі, створення механі-
Семантик Веб та лінгвістичні системи
86
змів інтерактивної взаємодії експерта із
системою для уточнення результатів, ап-
робацію розробленого підходу на реаль-
них проєктах систем захисту інформації.
Також сферою подальших досліджень
може стати застосування розобленого
підходу до інших областей, де вирішення
проблем потребує аналізу великих обсягів
нормативних документів, обробки звітів
про виконані роботи та отриманий досвід
для надання рекомендацій та порад у но-
вих обставинах з урахуванням індивідуа-
льних особливостей користувачів. Також
важливими напрямами дослідження мо-
жуть стати: аналіз виразних потужностей
онтологічної моделі, можливість її масш-
табування та інтеграції із зовнішніми
джерелами знань.
Література
1. О. В. Потій, Д. Ю. Голубничий, Ю. К.
Васильєв, М. В. Єсіна, Процес
декларування профілів безпеки інформації,
Радіотехніка. 2024. № 2 (217). С. 7–22.
DOI:
https://doi.org/10.30837/rt.2024.2.217.01.
2. A. Javed, A. Sundrani, N. Malik, S. Prescott,
Word Automation, Robotic Process
Automation using UiPath StudioX (2021) 251-
285 https://doi.org/10.1007/978-1-4842-6794-
3_6.
3. Microsoft. Створення стандартизованих
документів за допомогою шаблонів Word.
2025. Accessed: 28.01.2026. URL:
https://learn.microsoft.com/uk-ua/power-
platform/admin/using-word-templates-
dynamics-365?tabs=new.
4. J. White, Using markup languages for
accessible scientific, technical, and scholarly
document creation, Journal of Science
Education. 2022. Vol. 25, N 1.
https://doi.org/10.14448/jsesd.14.0005.
5. D. Tenen, G. Wythoff, Sustainable authorship
in plain text using Pandoc and Markdown,
The Programming Historian. 2014. DOI:
https://doi.org/10.46430/phen0041.
6. І. Сокорчук Звітна документація при
освітньому процесі в дистанційній формі.
Інформаційні системи та технології (ІСТ-
2024): матеріали 13-ї Міжнар. наук.-техн.
конф. С. 90–93. URL: https://ist-conf-
nure.com.ua/IST-2024_part-1.pdf.
7. В. Пасічник, М. Яромич, Автоматизоване
формування технічної документації в
галузі іт із використанням великих мовних
моделей, Studia Methodologica. 2025. № 59.
С. 250–272.
8. S. Biswas, R. Jain, V. Morariu, J. Gu, P.
Mathur, C. Wigington, T. Sun, J. Llad’os,
DocSynthv2: a practical autoregressive
modeling for document generation, ArXiv.
2024. P. 1–6. DOI:
https://doi.org/10.48550/arxiv.2406.08354.
9. D. Vitkus, Z. Steckevicius, N. Goranin, D.
Kalibatienė, A. Čenys, Automated expert
system knowledge base development method
for information security risk analysis,
International Journal of Computers
Communications & Control. 2019. Vol. 14. P.
743–758.
https://doi.org/10.15837/ijccc.2019.6.3668.
10. O. A. Troian, Methods and techniques for the
information and analytical systems of data
protection and conversion assessment,
Ukrainian Journal of Information
Technology. 2024. Vol. 6, № 1. P. 76–85.
11. K. Ameri, M. Hempel, H. Sharif, J. Lopez, K.
Perumalla, Design of a novel information
system for semi-automated management of
cybersecurity in industrial control systems,
ACM Transactions on Management
Information Systems. 2022. Vol. 14, N 1. P.
4–35. DOI: https://doi.org/10.1145/3546580.
12. Ostapets D., Sukhomlyn O., Analysis of
existing approaches to the formation of
functional security profiles, System
technologies. 2025. Vol. 6, N 155. P. 208–
217. DOI: https://doi.org/10.34185/1562-
9945-6-155-2024-20.
13. Ю. В. Бова. Застосування онтологічного
підходу для моделювання знань у процесі
документування систем безпеки
інформації. «Безпека енергетики в епоху
цифрової трансформації»: Зб.матер.
сьомої науково-практичної конференції
(2025, Київ). С. 93–95.
References
1. O. V. Potiy, D. Yu. Golubnychyy, Yu. K.
Vasiliev, M. V. Yesina, The process of
declaring information security profiles, in:
Radiotechnics 2 (2024) 7-22. doi: 10.30837/
rt.2024.2.217.01. [in Ukrainian]
2. A. Javed, A. Sundrani, N. Malik, S. Prescott,
Word Automation, in: Robotic Process
Automation using UiPath StudioX (2021).
doi: 10.1007/978-1-4842-6794-3_6.
3. Microsoft. Create standardized documents
using Word templates (2025). URL:
https://learn.microsoft.com/uk-ua/power-
Семантик Веб та лінгвістичні системи
87
platform/admin/using-word-templates-
dynamics-365?tabs=new.
4. J. White, Using markup languages for
accessible scientific, technical, and scholarly
document creation, in: Journal of Science
Education 25 (2022).
doi: 10.14448/jsesd.14.0005.
5. D. Tenen, G. Wythoff, Sustainable
Authorship in Plain Text using Pandoc and
Markdown, in: The Programming Historian
(2014). doi: 10.46430/phen0041.
6. I. Sokorchuk, Reporting documentation in the
educational process in a distance form.
Information systems and technologies (IST-
2024): materials of the 13th International
Scientific and Technical Conference, 90-93.
URL: https://ist-conf-nure.com.ua/IST-
2024_part-1.pdf [in Ukrainian]
7. V. Pasichnyk, M. Yaromych, Automated
generation of technical documentation in the
IT industry using large language models, in:
Studia Methodologica 59 (2025) 250-272. [in
Ukrainian]
8. S. Biswas, R. Jain, V. Morariu, J. Gu, P.
Mathur, C. Wigington, T. Sun, J. Llad’os,
DocSynthv2: a practical autoregressive
modeling for document generation, in: ArXiv
(2024) 1-6. doi: 10.48550/arxiv.2406.08354.
9. D. Vitkus, Z. Steckevicius, N. Goranin, D.
Kalibatienė, A. Čenys, Automated expert
system knowledge base development method
for information security risk analysis, in:
International Journal of Computers
Communications & Control 14 (2019) 743-
758. doi:10.15837/ijccc.2019.6.3668.
10. O. A. Troian, Methods and techniques for the
information and analytical systems of data
protection and conversion assessment, in:
Ukrainian Journal of Information Technology
6 (2024) 76-85. [in Ukrainian]
11. K. Ameri, M. Hempel, H. Sharif, J. Lopez, K.
Perumalla, Design of a novel information
system for semi-automated management of
cybersecurity in industrial control systems, in:
ACM Transactions on Management
Information Systems 14 (2022) 4-35.
doi:10.1145/3546580.
12. D. Ostapets, O. Sukhomlyn, Analysis of
existing approaches to the formation of
functional security profiles. System
technologies 6 (2025) 208-217.
doi: 10.34185/1562-9945-6-155-2024-20.
13. Yu. V. Bova, Application of ontological
approach for knowledge modeling in the
process of documenting information security
systems, in: “Energy Security in the Era of
Digital Transformation”: Proceedings of the
Seventh Scientific and Practical Conference
(2025, Kyiv) 93-95. [in Ukrainian]
Одержано: 10.12.2025
Внутрішня рецензія отримана: 15.12.2025
Зовнішня рецензія отримана: 16.12.2025
Про авторів:
Бова Юрій Вікторович,
аспірант, інженер-програміст,
https://orcid.org/0009-0008-9797-5213
Яценко Олена Анатоліївна,
кандидат фізико-математичних наук,
старший науковий співробітник,
http://orcid.org/0000-0002-4700-6704
Місце роботи авторів:
1 Інститут програмних систем
НАН України,
E-mail: bova1997@gmail.com,
oayat@ukr.net
Сайт: https://iss.nas.gov.ua
|
| id | pp_isofts_kiev_ua-article-878 |
| institution | Problems in programming |
| keywords_txt_mv | keywords |
| language | Ukrainian |
| last_indexed | 2026-03-12T23:39:28Z |
| publishDate | 2026 |
| publisher | PROBLEMS IN PROGRAMMING |
| record_format | ojs |
| resource_txt_mv | ppisoftskievua/10/a34a0ccf18db33bed866649c7b9a6010.pdf |
| spelling | pp_isofts_kiev_ua-article-8782026-02-12T15:27:30Z Semantic approach to automated formation of information security systems documentation Семантичний підхід до автоматизованого формування документації систем безпеки інформації Bova, Yu.V. Yatsenko, O.A. semantic analysis; ontological modeling; information security systems; automated document generation; large language models; regulatory framework; security profile; technical information protection; intelli gent systems; knowledge formalization UDC 004.056, 004.89 семантичний аналіз; онтологічне моделювання; системи безпеки інформації; автомати зована генерація документів; великі мовні моделі; нормативно-правова база; профіль безпеки; технічний захист інформації; інтелектуальні системи; формалізація знань УДК 004.056, 004.89 The article investigates the problem of automated generation of complex documentation for information secu rity systems based on semantic analysis of the regulatory and legal framework. A systematic analysis of the re quirements of regulatory documents and international standards for information security system documentation is conducted. Critical contradictions between the dynamic nature of regulatory requirements and the static na ture of existing automation tools are identified. It is shown that manual processing of large volumes of weakly structured documents does not ensure acceptable quality and speed, while the use of generative artificial intel ligence models does not guarantee the reliability of the generated information. The necessity of integrating se mantic analysis tools with generative artificial intelligence to ensure guaranteed and explainable results is sub stantiated. Existing approaches to document generation automation are analyzed, including template-based sys tems, markup tools, ontological models, and large language models. A conceptual model of an intelligent in formation security authorization support system is proposed, combining a multi-agent architecture, ontological knowledge representation, and the capabilities of large language models. A semantic approach to the genera tion of complex documents based on ontological modeling of the information security engineering domain is developed. The proposed model ensures traceability between requirements, solutions, and knowledge sources, supports dynamic updates of the regulatory framework, and enables automated generation of documentation in accordance with current security standards. The developed approach significantly reduces the time and labor required for preparing information security documentation.Prombles in programming 2025; 4: 78-87 У статті досліджується проблема автоматизованого формування складних документів для систем без пеки інформації на основі семантичного аналізу нормативно-правової бази. Проведено системний ана ліз вимог нормативних документів та міжнародних стандартів щодо документування систем захисту інформації. Виявлено критичні суперечності між динамічністю нормативних вимог та статичністю іс нуючих інструментів автоматизації. Показано, що ручна обробка великих обсягів слабоструктурованих документів не забезпечує прийнятної якості та швидкості, а використання генеративних моделей штуч ного інтелекту не гарантує достовірності інформації. Обґрунтовано необхідність інтеграції засобів се мантичного аналізу з інструментами генеративного штучного інтелекту для забезпечення гарантованих та пояснюваних результатів. Проаналізовано існуючі підходи до автоматизації генерації документів, включаючи шаблонні системи, засоби розмітки, онтологічні моделі та великі мовні моделі. Запропоно вано концептуальну модель інтелектуальної системи підтримки авторизації безпеки інформації, що по єднує мультиагентну архітектуру, онтологічне представлення знань та можливості великих мовних мо делей. Розроблено семантичний підхід до формування складних документів на основі онтологічного моделювання предметної області технічного захисту інформації. Представлена модель забезпечує тра сованість між вимогами, рішеннями та джерелами знань, підтримує динамічне оновлення нормативної бази та автоматизоване формування документації відповідно до актуальних стандартів безпеки. Розро блений підхід дозволяє суттєво скоротити час та трудомісткість підготовки документації систем безпе ки інформації.Prombles in programming 2025; 4: 78-87 PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2026-02-12 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/878 PROBLEMS IN PROGRAMMING; No 4 (2025); 78-87 ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 4 (2025); 78-87 ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 4 (2025); 78-87 1727-4907 uk https://pp.isofts.kiev.ua/index.php/ojs1/article/view/878/931 Copyright (c) 2026 PROBLEMS IN PROGRAMMING |
| spellingShingle | semantic analysis ontological modeling information security systems automated document generation large language models regulatory framework security profile technical information protection intelli gent systems knowledge formalization UDC 004.056 004.89 Bova, Yu.V. Yatsenko, O.A. Semantic approach to automated formation of information security systems documentation |
| title | Semantic approach to automated formation of information security systems documentation |
| title_alt | Семантичний підхід до автоматизованого формування документації систем безпеки інформації |
| title_full | Semantic approach to automated formation of information security systems documentation |
| title_fullStr | Semantic approach to automated formation of information security systems documentation |
| title_full_unstemmed | Semantic approach to automated formation of information security systems documentation |
| title_short | Semantic approach to automated formation of information security systems documentation |
| title_sort | semantic approach to automated formation of information security systems documentation |
| topic | semantic analysis ontological modeling information security systems automated document generation large language models regulatory framework security profile technical information protection intelli gent systems knowledge formalization UDC 004.056 004.89 |
| topic_facet | semantic analysis ontological modeling information security systems automated document generation large language models regulatory framework security profile technical information protection intelli gent systems knowledge formalization UDC 004.056 004.89 семантичний аналіз онтологічне моделювання системи безпеки інформації автомати зована генерація документів великі мовні моделі нормативно-правова база профіль безпеки технічний захист інформації інтелектуальні системи формалізація знань УДК 004.056 004.89 |
| url | https://pp.isofts.kiev.ua/index.php/ojs1/article/view/878 |
| work_keys_str_mv | AT bovayuv semanticapproachtoautomatedformationofinformationsecuritysystemsdocumentation AT yatsenkooa semanticapproachtoautomatedformationofinformationsecuritysystemsdocumentation AT bovayuv semantičnijpídhíddoavtomatizovanogoformuvannâdokumentacíísistembezpekiínformacíí AT yatsenkooa semantičnijpídhíddoavtomatizovanogoformuvannâdokumentacíísistembezpekiínformacíí |