Аннотації
03.04.2020
В час постійної інформатизації суспільства, стрімкого розвитку інформаційних технологій, збільшення кількості нових програмних продуктів та відповідно інформаційних систем гостро стоїть питання захисту від несанкціонованих вторгнень в інформаційні системи та захисту даних. Визначено що ІТ-аудит є ключовим компонентом досягнення якісної роботи інформаційної системи, що госторо відображає проблему підготовки фахівців, які не в змозі ефективно, коректно та швидко підтримувати роботу інформаційної системи від спотворень зловмисників та дані в безпеці. Проаналізовано динаміку кібератак на інформаційні ресурси нашої держави та правову складову кіберзахисту України. Проблема захисту стоїть гостро і піднімається дуже вузьким колом науковців. Але підґрунтя розвитку та впровадження ІТ-аудиту закладено. Відповідно до правового поля України спеціальні державні установи не лише встановлюють вимоги щодо захисту інформації, але і проводять перевірки стану захищеності систем. Розгляд міжнародного стандарту ISO / IEC 27001:2013 дає можливість побачити яким чином система стандартів працює на підтримку інформаційних систем в сегменті інформаційної безпеки, яким чином підприємство/організація будь-якої форми власності матиме якісний алгоритм захисту інформації і яким чином проводиться ІТ-аудит інформаційних систем. ISO / IEC 27001:2013 надає низку перспектив для управління інформаційною безпекою підприємства/організації – виявляє ризики та застосовує засоби контролю для управління або уникнення інформаційних загроз; підсилює гнучкість в адаптації управління до всіх або окремих підсистем діяльності підприємства/організації; дає можливість отримати зацікавленість та довіру клієнтів, що її дані захищені; показує сучасність та надійність захисту інформаційної системи. Саме система міжнародних стандартів та приклади таких організацій, як глобальна асоціація ISACA логічно підводять до висновку, що проведення ІТ-аудиту є необхідним для керування інформаційними системами. Гостро постає питання у підготовці ІТ-аудиторів, які мають бути сертифікованими та відповідати світовим стандартам.
Во время постоянного повышения информатизации общества, стремительного развития информационных технологий, увеличения количества новых программных продуктов и соответственно информационных систем остро стоит вопрос защиты от несанкционированных вторжений в информационные системы и защиты данных. Установлено, что ИТ-аудит является ключевым компонентом достижения качественной работы информационной системы. Кроме того, остро стоит проблема с наличием специалистов, которые в состоянии эффективно, корректно и быстро поддерживать работу информационной системы, защищая ее от злоумышленников и сберегая данные в безопасности. Проанализирована динамика кибератак на информационные ресурсы нашего государства и правовую составляющую киберзащиты Украины. Проблема защиты стоит остро, но поднимается очень узким кругом ученых. Но основы развития и внедрения ИТ-аудита заложены. В соответствии с правовым полем Украины специальные государственные учреждения не только устанавливают требования по защите информации, но и проводят проверки состояния защищенности систем. Рассмотрение международного стандарта ISO / IEC 27001 дает возможность увидеть, каким образом система стандартов работает в поддержку информационных систем в сегменте информационной безопасности, каким образом предприятие / организация любой формы собственности будет обеспечивать качественный алгоритм защиты информации и каким образом проводится ИТ-аудит информационных систем. ISO / IEC 27001 предоставляет ряд перспектив для управления информационной безопасностью предприятия / организации – обнаруживает риски и применяет средства контроля для управления или предотвращения информационных угроз; усиливает гибкость адаптации управления ко всей или отдельным подсистемам деятельности предприятия / организации; дает возможность получить заинтересованность и доверие клиентов, данные которых защищены; показывает современность и надежность защиты информационной системы. Именно система международных стандартов и примеры таких компаний, как группы ISACA логически подводят к выводу, что проведение ИТ-аудита необходимо для управления информационными системами. Также стоит отметить, что остро стоит вопрос в подготовке ИТ аудиторов, которые должны быть сертифицированы и соответствовать мировым стандартам.
At a time society constant informatization, the rapid information technology development, increasing the number of new software products and information systems, the question of protection against unauthorized intrusions into information systems and data protection is acute. It is determined that IT audit is a key component of achieving quality work of the information system and a problem with professionals who are able to effectively, correctly and quickly support the information system from malformations and data security. The dynamics of cyberattacks on state information resources and the legal component of Ukraine cyber defense are analyzed. The problem of protection is raised by a very narrow circle of scientists. But the foundation for the development and implementation of IT audit is laid. In accordance with the legal field of Ukraine, special state institutions not only establish requirements for the information protection, but also conduct inspections of the systems security. Consideration of the international standard ISO / IEC 27001 gives an opportunity to see how the standards system works to support security of information systems, how an enterprise / organization of any ownership form will have a quality information protection algorithm and how IT audit of information systems. ISO / IEC 27001 provides a number of perspectives for the management of the enterprise / organization information security – identifies risks and applies controls to managing or avoiding of information threats; enhances flexibility in the adaptation management to all or some subsystems of the enterprise / organization; provides an opportunity to gain the customers interest and trust that their data is protected; shows the modernity and reliability of information system protection. It is the system of international standards and examples of companies such as ISACA groups that logically lead to the conclusion that conducting an IT audit is necessary for the management of information systems. The issue of training IT auditors, which must be certified and meet international standards, is acute.
- Закон України «Про основні засади забезпечення кібербезпеки України» від 5 жовтня 2017 року № 2163-VIII. Електронний ресурс. Точка доступу: https://zakon.rada.gov.ua/laws/show/2163-19
- Порталт газети «Українська правда». Електронний ресурс. Точка доступу: https://www.epravda.com.ua/publications/2016/12/9/613957/
- Портал «Держкомзв’язок». Шляхи вирішення проблеми інформаційної безпеки в Україні. Електронний ресурс. Точка доступу: http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article%3Bjsessionid=
CE0C98AFB4AE2CF71790756873D292F6?art_id=38826&cat_id=38712 - Черевко О.В. Теоретичні засади поняття інформаційної безпеки та класифікація загроз системі інформаційного захисту // Ефективна економіка. – № 5, 2020.
- Кальченко В.В. Огляд методів проведення тестування на проникнення для оцінки захищеності комп’ютерних систем // Системи управління, навігації та зв’язку. –2018. – №4. – С. 109 – 114.
- Семененко В.А. Информационная безопасность: Учебное пособие. 2-е изд., стереот. – М.: МГИУ, 2005. – 215 с.
- Корнюшин, П.Н. Информационная безопасность / П.Н. Корнюшин, С.С. Костерин. – Владивосток: ТИДОТ ДВГУ, 2003. – 154 с.
- Конев И. Р. Информационная безопасность предприятия / И. Р. Конев, А. В. Беляев. – СПб. : БХВ-Петербург, 2003. – 747 с.
- Кавун С.В. Інформаційна безпека. Навчальний посібник. Ч.1 / С.В. Кавун, В.В. Носов, О.В. Мажай. – Харків: Вид. ХНЕУ, 2008. – 352 с.
- Аникин И.В., Глова В.И., Нейман Л.И., Нигматуллина А.Н. Теория информационной безопасности и методология защиты информации // Учебное пособие. Казань: Изд-во Казан. гос. техн. ун-та, 2008 с. 358.
- Сороковская А.А. Информационная безопасность предприятия: новые угрозы и перспективы [Электронный ресурс]. – Режим доступа: http://nbuv.gov.ua/portal/Soc_Gum/Vchnu_ekon/2010_2_2/032-035.pdf.
- Курушин В.Д. Компьютерные преступления и информационная безопасность / В.Д. Курушин, В.А. Минаев. – М.: Новый юрист. – 2012. – 256 с.
- Гатчин Ю.А. Теория информационной безопасности и методология защиты информации / Ю.А. Гатчин,
В.В. Сухостат. – СПб.: СПбГУ ИТМО, 2010. – 98 с. - Гайворонський М.В., Новіков О.М. Безпека інформаційно-комунікаційних систем. – К.: Видавнича група BHV, 2009. – 608 с.
- Дронь М.М., Малайчук В.П., Петренко О.М. Основи теорії захисту інформації: Навч. посібник. – Д.: Вид-во Дніпропетр. ун-ту, 2001. – 312 с.
- Даник Ю.Г., Супрунов Ю.М. Деякі підходи до формування системи підготовки кадрів для системи кібернетичної безпеки України. Збірник наукових праць ЖВІ НАУ “Інформаційні системи”, 2011. – С. 5 – 22.
- Міночкін А.І. Інформаційна боротьба: сучасний стан та досвід підготовки фахівців // Оборонний вісник. – К.: Центр воєнної політики та політики безпеки, 2011. – №2. – С. 12 – 14.
- Сисоєв В. Аналіз рівня освіти та підготовки фахівців з управління IT та інформаційної безпеки в Україні. [Електронний ресурс]. – Режим доступу: http://www.auditagency.com.ua/blog/ISACA_research_Education.pdf. Дата звернення: 24 травня 2018.
- Перший стандарт вищої освіти стосується кібербезпеки. [Електронний ресурс]. Режим доступу: https://ligazakon.net/lawnews/doc/-nz173112-pershyy-standart-vyshchoyi-osvity-stosuyetsya-kiberbezpeky?type=ep. Дата звернення: 24 травня 2018.
- Cybersecurity: A Generic Reference Curriculum (RC). Dear Partners/NATO Members, 4500-1 (OSEM PED)”, Oct. 2016, 73 р.
- “ISO/IEC 27032:2012. Information technology. – Security techniques. – Guidelines for cybersecurity”, 50 p.
- Center for Internet Security, CIS Controls Version 7 – What’s Old, What’s New [Електронний ресурс]. Режим доступу: https://www.cisecurity.org/cis-controls-version-7-whats-old-whats-new/. Дата звернення: 24 травня, 2019.
- Center for Internet Security. CIS Controls [Електронний ресурс]. Режим доступу: https://www.cisecurity.org/controls/. Дата звернення: 24 травня, 2019.
- Law of Ukraine "On Basic Principles of Cyber Security of Ukraine" of October 5, 2017 № 2163-VIII. Electronic resource. Access point: https://zakon.rada.gov.ua/laws/show/2163-19
- Portal of the newspaper "Ukrainian Truth". Electronic resource. Access point: https://www.epravda.com.ua/publications/2016/12/9/613957/
- Goskomzvyaz portal. Ways to solve the problem of information security in Ukraine. Electronic resource. Access point: http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article%3Bjsessionid=CE0C98AFB4AE2CF71790756873D292F6?art_id=38826&cat_id=38712
- Cherevko, O.V. (2020). Theoretical foundations of the concept of information security and classification of threats to the information security system. Effective economics, 5.
- Kalʹchenko, V.V. (2018). An overview of penetration testing methods for assessing the security of computer systems. Control, navigation and communication systems, 4, 109–114.
- Semenenko, V.A. (2005). Information security. MGIU, Moscow, Russia: 215.
- Kornjushin, P.N. (2003). Information security. TIDOT DVGU, Vladivostok, Russia: 154.
- Konev, I.R. (2003). Information security. BHV-Peterburg, Saint Petersburg, Russia: 747.
- Kavun, S.V. (2008). Information security. Vyd. KhNEU, Kharkiv, Ukraine: 352.
- Anikin, I.V., Glova, V.I., Nejman, L.I. & Nigmatullina, A.N. (2008). The theory of information security and protection of information methodology. PH of Kazan gos. tehn. un-ta, Kazan, Russia: 358.
- Sorokovskaja, A.A. (2010). Information security of the enterprise: new threats and prospects [Electronic resource]. – Access mode: http://nbuv.gov.ua/portal/Soc_Gum/Vchnu_ekon/2010_2_2/032-035.pdf.
- Kurushin, V.D. & Mynaev, V.A. (2012). Computer crimes and information security. Novyj jurist, Moscow, Russia: 256.
- Gatchin, Ju.A. (2010). The theory of information security and protection of information methodology. SPbGU ITMO, Saint Petersburg, Russia: 358.
- Hajvorons'kyj, M.V. & Novikov, O.M. (2009). Safety of information and communication systems. Publishing house BHV, Russia: 608.
- Dron', M.M., Malajchuk, V.P. & Petrenko, O.M. (2001). Bases of the theory of information protection. PH Dnipropetr. un-tu, Dnipropetrovsk, Ukraine: 312.
- Danyk, Yu. H. & Suprunov, Yu. M. (2011). Some approaches to the formation of a training system for the cyber security system of Ukraine. Collection of scientific works of ZhVI NAU "Information systems", 5–22.
- Minochkin, A.I. (2011). Information struggle: current state and experience of training specialists. Defense Bulletin, 2, 12–14.
- Sysoyev, V. (2018). Analysis of the level of education and training of specialists in IT management and information security in Ukraine. [Electronic resource]. – Access mode: http://www.auditagency.com.ua/blog/ISACA_research_Education.pdf.
- The first standard of higher education concerns cybersecurity. (2018). [Electronic resource]. Access mode: https://ligazakon.net/lawnews/doc/-nz173112-pershyy-standart-vyshchoyi-osvity-stosuyetsya-kiberbezpeky?type=ep.
- Cybersecurity: A Generic Reference Curriculum (RC). (2016). Dear Partners/NATO Members, 4500-1 (OSEM PED)”, 73.
- “ISO/IEC 27032:2012. Information technology. Security techniques. Guidelines for cybersecurity”, 50.
- Center for Internet Security. (2019). CIS Controls Version 7. What’s Old, What’s New [Electronic resource]. Access mode: https://www.cisecurity.org/cis-controls-version-7-whats-old-whats-new/.
- Center for Internet Security. (2019). CIS Controls [Electronic resource]. Access mode: https://www.cisecurity.org/controls/.