Аудит інформаційної безпеки як необхідна складова управління в державних установах
Анотація
У статті проаналізовано поточний стан забезпечення аудиту у сфері кібербезпеки в державних установах, визначено типи аудиту, цілі та результати. В статті подано аналіз аудиту інформаційної безпеки як явища, наведені його основні види та характеристики, проаналізовані основні напрямки, методики, програмні інструменти за допомогою яких проводиться експертний та сертифікаційний аудит. Запропоновано подальші кроки для впровадження стратегії кубераудиту та розробки ефективних моделей реалізації кібераудиту, як необхідної складової управління.
Завантаження
Посилання
Averchenkov, V.Y. (2016). Audyt ynformatsyonnoi bezopasnosty. Moscow: Flinta [in Russian].
Astakhov, A. (2012). Audyt bezopasnosty ynformatsyonnykh system. Moscow [in Russian].
Petrenko, S. (2001). Audyt ynformatsyonnoi bezopasnosty korporatyvnykh system Ynternet/Yntranet. Systemy bezopasnosty, 41, 85-87 [in Russian].
Konsaltynh i audyt u sferi IT 2004. CNews Analytics. URL: http://www.bezpeka.com [in Ukrainian].
Alekseev, A. (2015). Upravlenye ryskamy. Metod CRAMM. URL: https://www.itexpert.ru/rus/ITEMS/ITEMS_CRAMM.pdf [in Russian].
Tom Carlson. (2001). Information Security Management: Understanding ISO 17799. URL: http://wisetel.com.br/pe_t-security/biblioteca/referencias_estrangeiras/ISO17799_ Whitepaper.pdf.
ISO 15408 Common Criteria for Information Technology Security Evaluation. Reference number ISO/IEC 15408-1:2009(E). 2009. URL: https://www.iso.org/standard/40612.html.
ISO/IEC 27001 Системы обеспечения информационной безопасности. URL: https://www.iso.org/ru/isoiec-27001-information-security.html.
Cramm. Threat and Risk Management. URL: https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-ra-methods/m_ cramm.html.
Gorbunov, A. Praktycheskyi menedzhment kachestva. URL: pqm-online.com [in Russian].
ISO/IEC 27001:2013; Соr 1:2014, IDT Information technology – Security techniques – Information security management systems – Requirements. URL: https://www.iso.org/standard/ 66805.html.
ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for information security controls. URL: https://www.iso.org/standard/54533.html.
ISO/IEC 27006:2015 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems. URL: https://www.iso.org/standard/62313.html.
ISO/IEC 27007:2017 Information technology – Security techniques – Guidelines for information security management systems auditing. URL: https://www.iso.org/standard/ 67397.html.
ISO/IEC 27008:2019 Information technology – Security techniques – Guidelines for the assessment of information security controls. URL: https://www.iso.org/en/standard/61651.html.
ISO/IEC 17021-1:2015 Conformity assessment – Requirements for bodies providing audit and certification of management systems – Part 1: Requirements. URL: https://www.iso.org/obp/ui/#iso:std:iso-iec:17021:-1:en.
ISO/IEC 19011:2018 Guidelines for auditing management systems. URL: https://www.iso.org/en/standard/70017.html.
ISO/IEC 15408 Information technology - Security techniques - Evaluation criteria for IT security. URL: https://www.iso.org/en/standard/46413.html.
WebTrust. URL: https://www.cpacanada.ca/en/business-and-accounting-resources/audit-and-assurance/overview-of-webtrust-services.
GDPR compliance. URL: https://legalitgroup.com/ru/home/.
BSI (Bundesamt für Sicherheit in der Informationstechnik (German Information Security Agency). URL: https://www.bsi.bund.de/EN/TheBSI/thebsi_node.html.
Nessus Network Monitor. URL: Nessus https://www.tenable.com/.