МОДЕЛЮВАННЯ ІНФОРМАЦІЙНОЇ СИСТЕМИ ПРОВЕДЕННЯ НЕЗАЛЕЖНОГО АУДИТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Заголовок (англійською):
MODELING OF THE INFORMATION SYSTEM OF INFORMATION SECURITY INDEPENDENT AUDIT
Автор(и):
Криворучко О. В.
Десятко А. М.
Сунічук О. М.
Автор(и) (англ):
Kryvoruchko Olena
Desiatko Alona
Synichuk Olena
Ключові слова (укр):
інформаційна безпека; аудит інформаційної безпеки; інформаційна система; декомпозиція інформаційної системи; моделювання; Сase-технологія ERwin
Ключові слова (англ):
information security; information security audit; information system; information system; decomposition, modeling; ERwin case technology
Анотація (укр):
У статті розглядається стан України в світовому інформаційному просторі щодо захищеності від кібератак об’єктів критичної інфраструктури. Отже, є необхідність в розробленні та фукціонуванні такої інформаційної системи, яка б підтримувала аудит інформаційних систем з усіма її складовими – підcиcтемами. Запропонована інформаційна система має бути інтегрованою, мати ієрархічну структуру. Така інформаційна система дає можливість допускати інтеграцію як зовнішньої і внутрішньої інформації, горизонтальне та вертикальне об’єднання між системами з різною ієрархічною структурою. Процес моделювання інформаційної системи відбувається за допомогою Сase-технології ERwin, яка дає можливість описувати всі необхідні процеси з високою точністю, в результаті чого система, що моделюється, визначається як сукупність взаємопов'язаних функцій та активностей. Відповідно проводиться декомпозиція системи, що дає можливість визначити модель цієї інформаційної системи у вигляді ієрархічної сукупності низки підсистем, на кожному з рівнів якої здійснюються деякі процедури з розв’язанням локальних задач. Концептуальні моделі таких підсистем дають наочне моделювання всіх учасників інформаційної системи та наявних потоків інформації (як вхідних, так і вихідних, як внутрішніх, так і зовнішніх впливів). Також в процесах моделювання інформаційної системи застосовується нотація IDEF3, яка своєю чергою використовує графічний опис інформаційних потоків, взаємин між процесами опрацювання інформації та об'єктів, що є частиною цих процесів. Так, в конкретному випадку представляється можливість описати та змоделювати компоненти діаграми декомпозиції процесу системи оцінювання фахової підготовки аудиторів інформаційної безпеки. Інформаційна система зазначеної предметної області має бути спочатку змодельованою системою, тобто мають бути визначені основні вимоги та механізми щодо впровадження незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури.
Анотація (англ):
This article examines the condition of our country in the global information space in terms of protection against critical infrastructure cyberattacks. Accordingly, there is a need to develop and operate such an information system that would support the audit of information systems with all its components - subsystems. The proposed information system should be integrated, have a hierarchical structure. Such an information system makes it possible to allow the integration of both external and internal information, horizontal and vertical integration between systems with a different hierarchical structure. The process of modeling an information system takes place using ERwin's Case technology, which makes it possible to describe all the necessary processes with high accuracy, as a result of which the modeled system is defined as a set of interrelated functions and activities. Accordingly, the system is decomposed, which makes it possible to determine the model of this information system in the form of a hierarchical set of a number of subsystems, at each level of which some procedures are performed to solve local problems. Conceptual models of such subsystems provide visual modeling of all participants in the information system and existing information flows (both input and output, both internal and external influences). IDEF3 notation is also used in information system modeling processes, which in turn uses a graphical description of information flows, relationships between information processing processes and objects that are part of these processes. Thus, in this case, it is possible to describe and model the components of the decomposition diagram of the process of assessing the professional training of information security auditors. The information system of the specified subject area must first be a simulated system, ie the basic requirements and mechanisms for the implementation of an independent audit of information security at critical infrastructure facilities must be defined.
Публікатор:
Київський національний університет будівництва і архітектури
Назва журналу, номер, рік випуску (укр):
Управління розвитком складних систем, номер 43, 2020
Назва журналу, номер, рік випуску (рус):
Управление развитием сложных систем, номер 43, 2020
Назва журналу, номер, рік випуску (англ):
Management of Development of Complex Systems, Number 43, 2020
Мова статті:
Українська
Формат документа:
application/pdf
Документ:
Дата публікації:
05 Сентябрь 2020
Номер збірника:
Розділ:
ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ УПРАВЛІННЯ
Університет автора:
Київський національний торговельно-економічний університет, Київ; ТОВ «Новелл Консалтинг», Київ
Литература:
- Всеукраїнське щотижневе професійне юридичне видання «Юридична газета оonline». Юрій Котляров. «Україна рухається до врегулювання системи захисту критичної інфраструктури» Електронний ресурс. URL: https://yur-gazeta.com/gazeta/info/
- Національне агентство з питань запобігання корупції. Результати перевірок. Електронний ресурс. URL: https://old.nazk.gov.ua/rezultaty-perevirok
- Methodology Forming for the Approaches to the Cyber Security of Information Systems Management / A. Adranova, L. Yona, O. Kryvoruchko, A. Desiatko. Journal of Theoretical and Applied Information Technology (ISSN: 1992-8645, E-ISSN: 1817-3195). 2020. Р. 1993–2005. (Retrieved from www.scopus.com)
- Криворучко О. В. Аналіз стану захищеності інформаційно-телекомунікаційних систем [Текст] /
О. В. Криворучко, О. М. Сунічук, Д. В. Швець, О. В. Мінін // Управління розвитком складних систем. – 2020. – № 42. – С. 56 – 62. - Олександр Чаузов Держспецзв'язок: поглиблення системного підходу й розвиток в Україні сучасного захищеного цифрового суспільства. Часопис BUSINESS PANORAMA (Ділова панорама) №3 2019 (спецвипуск “Кібербезпека”).
- Браіловський М. М., Хорошко В. О. Особливості кібербезпеки на підприємствах України. Безпека соціально-економічних процесів в кіберпросторі: матеріали Всеукр. наук.-практ. конф. Київ, 27 березня 2019 р. С. 18–19
- Problems of information security in enterprise / V. Semidotska, O. Kryvoruchko, M. Tsiutsiura, A. Desyatko. Information Protection and Information Systems Security (VIІ International Scientific and Technical Conference ) = Захист інформації і безпека інформаційних систем: матеріали VІІ Міжнар. наук.-техн. конф. Львів, 30–31 травня 2019 р. Львів: Вид-во Львівської політехніки, 2019. С. 33 – 35.
- Desyatko A., Shestak Y., Kryvoruchko O. Cybersecurity as a Part of Business. Безпека ресурсів інформаційних систем: зб. тез I Міжнар. наук.-практ. конф. Чернігів, 16–17 квітня 2020 р. Чернігів: НУЧП, 2020. С. 12 – 15.
- Криворучко О. В., Сунічук О. М., Десятко А. М. Компетентістна модель формування фахівця з кібераудиту. Соціально-економічні аспекти розвитку суспільства : матеріали Міжнародної науково-практичної конференції (Одеса, 7 серпня 2020 р). Одеса : Східноєвропейський центр наукових досліджень, 2020. С. 58 – 60.
- ISO/IEC 27001 Information Security Management. Електронний ресурс. URL: https://www.iso.org/isoiec-27001-information-security.html (Дата останнього відгуку 05.09.2020).
- Закон України «Про основні засади забезпечення кібербезпеки України» (Відомості Верховної Ради (ВВР), 2017, № 45, ст.403).
- Закон України «Про Державну службу спеціального зв’язку та захисту інформації України» (Відомості Верховної Ради України (ВВР), 2006, № 30, ст.258)
- Закон України “Про інформацію” (Відомості Верховної Ради України (ВВР), 1992, № 48, ст.650)
- Про рішення Ради національної безпеки і оборони України від 27 січня 2016 року "Про Стратегію кібербезпеки України" Указ Президента України; Стратегія від 15.03.2016 № 96/2016
- Закон України «Про основні засади забезпечення кібербезпеки України» від 5 жовтня 2017 року № 2163-VIII. Електронний ресурс. Точка доступу: https://zakon.rada.gov.ua/laws/show/2163-19
- Порталт газети «Українська правда». Електронний ресурс. Точка доступу: https://www.epravda.com.ua/publications/2016/12/9/613957/
- Портал «Держкомзв’язок». Шляхи вирішення проблеми інформаційної безпеки в Україні. Електронний ресурс. Точка доступу: http://www.dsszzi.gov.ua/dsszzi/ control/uk/publish/article%3Bjsessionid=CE0C98AFB4AE2CF71790756873D292F6?art_id=38826&cat_id=38712
- Черевко О. В. Теоретичні засади поняття інформаційної безпеки та класифікація загроз системі інформаційного захисту / Ефективна економіка. № 5, 2020.
- Кальченко В. В. Огляд методів проведення тестування на проникнення для оцінки захищеності комп’ютерних систем. Системи управління, навігації та зв’язку. 2018. №4. – С. 109-114.
- Сороковская А. А. Информационная безопасность предприятия: новые угрозы и перспективы [Электронный ресурс]. – Режим доступа: http://nbuv.gov.ua/portal/Soc_Gum/Vchnu_ekon/2010_2_2/032-035.pdf. Гайворонський М.В., Новіков О.М. Безпека інформаційно-комунікаційних систем. – К.: Видавнича група BHV,2009. – 608 с.
- Дронь М. М., Малайчук В.П., Петренко О. М. Основи теорії захисту інформації: Навч. посібник. – Д.: Вид-во Дніпропетр. ун-ту, 2001. – 312 с.
- Даник Ю. Г. і Супрунов Ю. М. Деякі підходи до формування системи підготовки кадрів для системи кібернетичної безпеки України // Збірник наукових праць ЖВІ НАУ “Інформаційні системи”, 2011, вип. 5, С. 5 – 22.
- Міночкін А. І. "Інформаційна боротьба: сучасний стан та досвід підготовки фахівців", Оборонний вісник, К., Центр воєнної політики та політики безпеки, 2011, № 2, С. 12 – 14.
- Сисоєв В. Аналіз рівня освіти та підготовки фахівців з управління IT та інформаційної безпеки в Україні. [Електронний ресурс]. Режим доступу: http://www.auditagency.com.ua/blog/ISACA_research_Education.pdf. Дата звернення: 24 травня 2018.
- "Перший стандарт вищої освіти стосується кібербезпеки" [Електронний ресурс]. Режим доступу: https://ligazakon.net/lawnews/doc/-nz173112-pershyy-standart-vyshchoyi-osvity-stosuyetsya-kiberbezpeky?type=ep. Дата звернення: 24 травня 2018.
- “Cybersecurity: A Generic Reference Curriculum (RC). Dear Partners/NATO Members, 4500-1 (OSEM PED)”, Oct. 2016, 73 р.
- “ISO/IEC 27032:2012. Information technology – Security techniques – Guidelines for cybersecurity”, 50 p.
- Center for Internet Security, CIS Controls Version 7 – What’s Old, What’s New [electronic source] https://www.cisecurity.org/cis-controls-version-7-whats-old-whats-new/. Last access: 24 May, 2019.
- Center for Internet Security. CIS Controls [electronic source] https://www.cisecurity.org/controls/. Last access: 24 May, 2019.
References:
- Ukrainian weekly professional legal publication "Legal newspaper online". Yuri Kotlyarov. "Ukraine is moving to regulate the protection of critical infrastructure" [electronic sourсe] https://yur-gazeta.com/gazeta/info/
- National Agency for the Prevention of Corruption. Results of inspections. [electronic sourse] https://old.nazk.gov.ua/rezultaty-perevirok
- Adranova, A., Yona, L., Kryvoruchko, O., Desiatko, A. (2020). Methodology Forming for the Approaches to the Cyber Security of Information Systems Management. Journal of Theoretical and Applied Information Technology (ISSN: 1992-8645,
E-ISSN: 1817-3195), 1993–2005. (Retrieved from www.scopus.com) - Kryvoruchko, O. V., Sunichuk, О. М., Shvets, D. V., Minin, O. V. (2020). Analysis of the state of security of information and telecommunication systems. Management of development of complex systems, 42, 56 – 62.
- Chauzov, Oleksandr. (2019). State Special Communications: Deepening the System Approach and Development of a Modern Protected Digital Society in Ukraine. BUSINESS PANORAMA Magazine (Business Panorama), 20193.
- Brailovsky, M.M., Khoroshko, V.O. (2019). Features of cybersecurity at the enterprises of Ukraine. Security of socio-economic processes in cyberspace: Procc. Ukrainian. scientific-practical conf. Kyiv, March 27, Pp. 18 – 19
- Semidotska, V., Kryvoruchko, O., Tsiutsiura, M., Desyatko, A. (2019). Problems of information security in enterprise / Information Protection and Information Systems Security (VIІ International Scientific and Technical Conference ). Protection of information and security of information systems: Procc. VII International. scientific and technical conf. Lviv, May 30–31, 2019. Lviv: Lviv Polytechnic Publishing House, Pp. 33 – 35.
- Desyatko, A., Shestak, Y., Kryvoruchko, O. (2020). Cybersecurity as a Part of Business. Security of information systems resources: collection. thesis I International. scientific-practical conf. Chernihiv, April 16–17, 2020. Chernihiv: NUCHP, 2020. P. 12 – 15.
- Kryvoruchko, O.V., Sunichuk, O.M., Desyatko, A.M. (2020). Competent model of forming a cyber audit specialist. Socio-economic aspects of society development: materials of the International scientific-practical conference (Odessa, August 7, 2020). Odessa: Eastern European Center for Scientific Research, 2020. Pp. 58-60.
- ISO/IEC 27001 Information Security Management. [electronic sourсe] https://www.iso.org/isoiec-27001-information-security.html (Last access 05.09.2020).
- Law of Ukraine “About Basic Principles of Ensuring Cyber Security of Ukraine” (Vidomosti Verkhovnoi Rady (VVR), 2017, № 45, p. 403).
- Law of Ukraine “About Information” (Vidomosti Verkhovnoi Rady Ukrainy (VVR), 1992, № 48, p.650).
- Law of Ukraine “About Information Protection in Information and Telecommunication Systems” (Vidomosti Verkhovnoi Rady Ukrainy (VVR), 1994, № 31, p. 286).
- About the decision of the National Security and Defense Council of Ukraine of January 27, 2016 "About the Cyber Security Strategy of Ukraine" Decree of the President of Ukraine; Strategy from 15.03.2016 № 96/2016
- Law of Ukraine “About Basic Principles of Cyber Security of Ukraine” of October 5, 2017 № 2163-VIII. Electronic resource. Access point: https://zakon.rada.gov.ua/laws/show/2163-19 [electronic sourсe] https://zakon.rada.gov.ua/laws/show/2163-19
- Portal of the newspaper "Ukrainian Truth". [electronic source] https://www.epravda.com.ua/publications/2016/12/9/613957/
- Portal «Derzhkomzvʺyazok». Ways to solve the problem of information security in Ukraine.. [electronic source] http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article%3Bjsessionid=CE0C98AFB4AE2CF71790756873D292F6?art_id=38826&cat_id=38712
- Cherevko, O. V. (2020). Theoretical principles of the concept of information security and classification of threats to the information protection system. Efficient economy, 5.
- Kalchenko, V. V. (2018). An overview of penetration testing methods for assessing the security of computer systems. Control, navigation and communication systems, 4, 109-114.
- Sorokovskaja, A. A. (2010). Information security company: new threats and prospects. Available at: http://nbuv.gov.ua/portal/Soc_Gum/Vchnu_ekon/2010_2_2/032-035.pdf (Accessed 28 April 2014).
- Gaivoronsky, M. V., Novikov, O. M. (2009). Security of information and communication systems. K.: BHV Publishing Group, 608.
- Dron, M. M., Malaychuk, V. P., Petrenko, O. M. (2001). Fundamentals of information security theory: Textbook. manual. Dnipropetrovsk Publishing House. University, 312.
- Danyk, Yu. G. & Suprunov, Yu. M. (2011). Some approaches to the formation of the training system for the cybersecurity system of Ukraine. Collection of scientific works of ZhVI NAU "Information Systems, 5 – 22.
- Minochkin, A. I. (2011). Information struggle: the current state and experience of training. Defense Bulletin. K., Center for Military and Security Policy, 2, 12 – 14.
- Sysoev, V. (2018). Analysis of the level of education and training of specialists in IT management and information security in Ukraine. [electronic source] http://www.auditagency.com.ua/blog/ISACA_research_Education.pdf. Last access: 24 May 2018.
- “The first standard of higher education concerns cybersecurity” [electronic source] https://ligazakon.net/lawnews/doc/-nz173112-pershyy-standart-vyshchoyi-osvity-stosuyetsya-kiberbezpeky?type=ep. Data zvernennya: 24 May 2018
- Cybersecurity: A Generic Reference Curriculum (RC). (2016). Dear Partners/NATO Members, 4500-1 (OSEM PED), 73.
- “ISO/IEC 27032:2012. Information technology – Security techniques – Guidelines for cybersecurity”, 50.
- Center for Internet Security, CIS Controls Version 7 – What’s Old, What’s New [electronic source] https://www.cisecurity.org/cis-controls-version-7-whats-old-whats-new/. Last access: 24 May, 2019.
- Center for Internet Security. CIS Controls [electronic source] https://www.cisecurity.org/controls. Last access: 24 May, 2019.