Аудит інформаційної безпеки як необхідна складова управління в державних установах

doi:10.34213/db.21.01.06

Геннадій Володимирович Пліс https://orcid.org/0000-0003-2560-6036
Євген Володимирович Котух Сумський державний університет, м. Суми https://orcid.org/0000-0003-4997-620X
Дмитро Михайлович Нехороших https://orcid.org/0000-0002-6455-2221
Геннадій Зайдулович Халімов Харківський національний університет радіоелектроніки, м. Харків https://orcid.org/0000-0002-2054-9186
Ольга Миколаївна Кучма https://orcid.org/0000-0002-7983-7545

DOI: https://doi.org/10.34213/db.21.01.06

Ключові слова: кібербезпека, кібераудит, кібератака, державні установи, врядування

Анотація

У статті проаналізовано поточний стан забезпечення аудиту у сфері кібербезпеки в державних установах, визначено типи аудиту, цілі та результати. В статті подано аналіз аудиту інформаційної безпеки як явища, наведені його основні види та характеристики, проаналізовані основні напрямки, методики, програмні інструменти за допомогою яких проводиться експертний та сертифікаційний аудит. Запропоновано подальші кроки для впровадження стратегії кубераудиту та розробки ефективних моделей реалізації кібераудиту, як необхідної складової управління.

Завантаження

##plugins.generic.usageStats.noStats##

Біографії авторів

Геннадій Володимирович Пліс

к.т.н, Голова Державної аудиторської служби України, м. Київ

Євген Володимирович Котух, Сумський державний університет, м. Суми

к.т.н, доцент кафедри комп’ютерних наук,
Сумський державний університет, м. Суми

Дмитро Михайлович Нехороших

аудитор компанії Legal Strategy Advisors, м. Київ

Геннадій Зайдулович Халімов , Харківський національний університет радіоелектроніки, м. Харків

д.т.н., проф., завідувач кафедри безпеки інформаційних технологій,
Харківський національний університет радіоелектроніки, м. Харків

Ольга Миколаївна Кучма

начальник Управління нормативно-методологічного забезпечення процесу державного фінансового контролю, Державна аудиторська служба України, м. Київ

Посилання

Averchenkov, V.Y. (2016). Audyt ynformatsyonnoi bezopasnosty. Moscow: Flinta [in Russian].

Astakhov, A. (2012). Audyt bezopasnosty ynformatsyonnykh system. Moscow [in Russian].

Petrenko, S. (2001). Audyt ynformatsyonnoi bezopasnosty korporatyvnykh system Ynternet/Yntranet. Systemy bezopasnosty, 41, 85-87 [in Russian].

Konsaltynh i audyt u sferi IT 2004. CNews Analytics. URL: http://www.bezpeka.com [in Ukrainian].

Alekseev, A. (2015). Upravlenye ryskamy. Metod CRAMM. URL: https://www.itexpert.ru/rus/ITEMS/ITEMS_CRAMM.pdf [in Russian].

Tom Carlson. (2001). Information Security Management: Understanding ISO 17799. URL: http://wisetel.com.br/pe_t-security/biblioteca/referencias_estrangeiras/ISO17799_ Whitepaper.pdf.

ISO 15408 Common Criteria for Information Technology Security Evaluation. Reference number ISO/IEC 15408-1:2009(E). 2009. URL: https://www.iso.org/standard/40612.html.

ISO/IEC 27001 Системы обеспечения информационной безопасности. URL: https://www.iso.org/ru/isoiec-27001-information-security.html.

Cramm. Threat and Risk Management. URL: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-ra-methods/m_ cramm.html.

Gorbunov, A. Praktycheskyi menedzhment kachestva. URL: pqm-online.com [in Russian].

ISO/IEC 27001:2013; Соr 1:2014, IDT Information technology – Security techniques – Information security management systems – Requirements. URL: https://www.iso.org/standard/ 66805.html.

ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for information security controls. URL: https://www.iso.org/standard/54533.html.

ISO/IEC 27006:2015 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems. URL: https://www.iso.org/standard/62313.html.

ISO/IEC 27007:2017 Information technology – Security techniques – Guidelines for information security management systems auditing. URL: https://www.iso.org/standard/ 67397.html.

ISO/IEC 27008:2019 Information technology – Security techniques – Guidelines for the assessment of information security controls. URL: https://www.iso.org/en/standard/61651.html.

ISO/IEC 17021-1:2015 Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 1: Requirements. URL: https://www.iso.org/obp/ui/#iso:std:iso-iec:17021:-1:en.

ISO/IEC 19011:2018 Guidelines for auditing management systems. URL: https://www.iso.org/en/standard/70017.html.

ISO/IEC 15408 Information technology - Security techniques - Evaluation criteria for IT security. URL: https://www.iso.org/en/standard/46413.html.

WebTrust. URL: https://www.cpacanada.ca/en/business-and-accounting-resources/audit-and-assurance/overview-of-webtrust-services.

GDPR compliance. URL: https://legalitgroup.com/ru/home/.

BSI (Bundesamt für Sicherheit in der Informationstechnik (German Information Security Agency). URL: https://www.bsi.bund.de/EN/TheBSI/thebsi_node.html.

Nessus Network Monitor. URL: Nessus https://www.tenable.com/.