Сучасні практики впровадження системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури
DOI:
https://doi.org/10.18372/2310-5461.41.13527Ключові слова:
система менеджменту інформаційної безпеки, державні інформаційні ресурси, стандарт, аудит системи, система обробки інформаціїАнотація
Представлено комплексний підхід до обґрунтування і впровадження системи вітчизняних та міжнародних стандартів, а також нормативно-правових аспектів формування системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури та в системах державних інформаційних ресурсів. Визначено, що система менеджменту інформаційної безпеки є частиною загальної системи менеджменту підприємства та створена для вдосконалення стану інформаційної безпеки. Система має «процесінговий» та «ризик-орієнтований» підхід, що означає, що головною ідеєю та головним завданням СМІБ є процеси аналізу та управління інформаційними ризиками при створенні, впровадженні, функціонуванні, моніторингу та підтримці стану захищеності інформаційних ресурсів компанії. Європейський підхід до системи аудиту, ґрунтується на порівняльному аналізі поточного стану інформаційної системи та забезпеченні бажаного рівня її ефективності. В нашій країні, визначається за підсумками аналізу та контролю системи менеджменту інформаційної безпеки підприємства за моделлю вимог стандартів ISO 27001\ISO 270хх та комплексу ДСТУ ISO/IEC. Таким чином, різноманітність стандартів у сфері управління інформаційними технологіями та інформаційною безпекою надає організаціям змогу обрати саме ту методику, той підхід, який найкращим чином підходить до особливостей бізнес процесів і ринку послуг. Показано сучасні критерії оцінки якості, як сукупності вимог оцінювання ефективності функцій захисту інформації; наведено методи та моделі оцінювання ефективності функцій захисту інформації, а також форму подання результатів забезпечення процесів аудиту і контролю системи ІБ; визначено методології побудови системи обробки та аналізу інформації з аудиту інформаційної безпеки на об’єктах критичної інфраструктури та в системах обробки ДІР.Посилання
Юдін О. К., Бучик С. С. Концептуаль-ний аналіз уразливості державних інформацій-них ресурсів. Наукоємні технології. 2013. Т. 19. № 3. С. 299–304.
Юдін О. К., Бучик С. С. Аналіз загроз державним інформаційним ресурсам. Пробле-ми iнформатизацiї та управлiння. 2013. Т. 4. №. 44. С. 93–99.
Юдін О. К., Бучик С. С. Правові аспекти формування системи державних інформацій-них ресурсів. Безпека інформації. 2014. Т. 20. № 1. С. 76–82.
ISO I. IEC 27001Information technology, securityte chniques, information security management systems requirements. ISO, Geneva. 2005.
Бекетнова Ю., Крылов Г., Ларионова С. Международные основы и стандарты инфор-мационной безопасности финансово-экономичес-ких систем. Litres, 2018.
Макаренко С. И. Аудит информацион-ной безопасности: основные этапы, концепту-альные основы, классификация мероприятий. Системы управления, связи и безопасности. 2018. № 1. Методологія управління інформа-ційними технологіями [Електронний ресурс] URL: https://it60.webnode.com.ua. (дата звер-нення 20.12.2018)
Якименко Ю. М., Наконечний В. С., Толюпа С. В. Оцінка захищеності інформації в автоматизованих інформаційних системах за допомогою загальних критеріїв. Наукові запи-ски Українського науково-дослідного інсти-туту зв’язку. 2015. №6 (40). С. 27–31.
COBIT. [Електронний ресурс] URL: https://en.wikipedia.org/wiki/COBIT. (дата звер-нення 20.01.2018).
Томас Сигерс. ITIL: «за» и «против». 10 способов полюбить ITIL еще сильнее. itSFM. 2014. №1. С.4–14.
