THE MODERN PRACTICES OF IMPLEMENTATION OF THE INFORMATION SECURITY AUDIT SYSTEM ON THE CRITICAL INFRASTRUCTURE OBJECTS
Наукові журнали НАУ
Переглянути архів ІнформаціяПоле | Співвідношення | |
Title |
THE MODERN PRACTICES OF IMPLEMENTATION OF THE INFORMATION SECURITY AUDIT SYSTEM ON THE CRITICAL INFRASTRUCTURE OBJECTS
СОВРЕМЕННЫЕ ПРАКТИКИ ВНЕДРЕНИЯ СИСТЕМЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОБЪЕКТАХ КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ Сучасні практики впровадження системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури |
|
Creator |
Юдін, О. К.; Київський національний університет імені Тараса Шевченка
Зюбіна, Р. В.; Київський національний університет імені Тараса Шевченка Матвійчук-Юдіна, О. В.; Національний авіаційний університет |
|
Subject |
Information Technology
Information Security Management System; government information resources; standard; system’s audit; information processing system 366.56(075.8) Информационные технологии система менеджмента информационной безопасности; государственные информационные ресурсы; стандарт; аудит системы; система обработки информации 366.56(075.8) Інформаційні технології система менеджменту інформаційної безпеки; державні інформаційні ресурси; стандарт; аудит системи; система обробки інформації 366.56(075.8) |
|
Description |
An integrated approach to the justification and implementation of the system of domestic and international standards, as well as regulatory and legal aspects of the formation of the information security audit system at critical infrastructure facilities and in the systems of state information resources is presented. It is determined that the information security management system is part of the overall management system of the enterprise and is designed to improve the state of information security. System "processing" and "risk-oriented" approach, which means that the main idea and the main task of the information security management system are the processes of analysis and management of information risks in the creation, implementation, operation, monitoring and support of the state of security of information resources of the company. The European approach to the audit system is based on a comparative analysis of the current state of the information system and ensuring the desired level of its effectiveness. In our country, is determined by the analysis and control of the information security management system of the enterprise on the model requirements of ISO 27001 \ ISO 270xx and a set of state standards of Ukraine ISO / IEC. Thus, a variety of standards in the field of information technology and information security management provides organizations with the opportunity to choose the methodology, the approach that best suits the features of business processes and the service market. Current criteria of quality assessment, as a set of requirements assessment of the effectiveness of the security features information; the methods and models of assessing the effectiveness of security features information as well as the presentation of the results of the processes of audit and control of information security are defined the methodology of the system of processing and analysis of information audit of information security in the critical infrastructure and treatment systems of the state information resources.
Представлен комплексный подход к обоснованию и внедрению системы отечественных и международных стандартов, а также нормативно-правовых аспектов формирования системы аудита информационной безопасности на объектах критической инфраструктуры и в системах государственных информационных ресурсов. Определено, что система менеджмента информационной безопасности является частью общей системы менеджмента предприятия и создана для совершенствования состояния информационной безопасности. Система «процессинговый» и «риск-ориентированный» подход, что означает, что главной идеей и главной задачей СМИБ являются процессы анализа и управления информационными рисками при создании, внедрении, функционировании, мониторинге и поддержке состояния защищенности информационных ресурсов компании. Европейский подход к системе аудита, основывается на сравнительном анализе текущего состояния информационной системы и обеспечении желаемого уровня ее эффективности. В нашей стране, определяется по итогам анализа и контроля системы менеджмента информационной безопасности предприятия по модели требований стандартов ISO 27001 \ ISO 270хх и комплекса ГОСТУ ISO / IEC. Таким образом, разнообразие стандартов в области управления информационными технологиями и информационной безопасностью предоставляет организациям возможность выбрать именно ту методику, тот подход, который наилучшим образом подходит к особенностям бизнес процессов и рынка услуг. Показано современные критерии оценки качества, как совокупности требований оценки эффективности функций защиты информации; приведены методы и модели оценки эффективности функций защиты информации, а также форму представления результатов обеспечения процессов аудита и контроля системы ИБ, определено методологии построения системы обработки и анализа информации по аудиту информационной безопасности на объектах критической инфраструктуры и в системах обработки ГИР. Представлено комплексний підхід до обґрунтування і впровадження системи вітчизняних та міжнародних стандартів, а також нормативно-правових аспектів формування системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури та в системах державних інформаційних ресурсів. Визначено, що система менеджменту інформаційної безпеки є частиною загальної системи менеджменту підприємства та створена для вдосконалення стану інформаційної безпеки. Система має «процесінговий» та «ризик-орієнтований» підхід, що означає, що головною ідеєю та головним завданням СМІБ є процеси аналізу та управління інформаційними ризиками при створенні, впровадженні, функціонуванні, моніторингу та підтримці стану захищеності інформаційних ресурсів компанії. Європейський підхід до системи аудиту, ґрунтується на порівняльному аналізі поточного стану інформаційної системи та забезпеченні бажаного рівня її ефективності. В нашій країні, визначається за підсумками аналізу та контролю системи менеджменту інформаційної безпеки підприємства за моделлю вимог стандартів ISO 27001\ISO 270хх та комплексу ДСТУ ISO/IEC. Таким чином, різноманітність стандартів у сфері управління інформаційними технологіями та інформаційною безпекою надає організаціям змогу обрати саме ту методику, той підхід, який найкращим чином підходить до особливостей бізнес процесів і ринку послуг. Показано сучасні критерії оцінки якості, як сукупності вимог оцінювання ефективності функцій захисту інформації; наведено методи та моделі оцінювання ефективності функцій захисту інформації, а також форму подання результатів забезпечення процесів аудиту і контролю системи ІБ; визначено методології побудови системи обробки та аналізу інформації з аудиту інформаційної безпеки на об’єктах критичної інфраструктури та в системах обробки ДІР. |
|
Publisher |
National Aviation University
|
|
Contributor |
—
— — |
|
Date |
2019-04-30
|
|
Type |
—
— — |
|
Format |
application/pdf
|
|
Identifier |
http://jrnl.nau.edu.ua/index.php/SBT/article/view/13527
10.18372/2310-5461.41.13527 |
|
Source |
Наукоємні технології; Том 41, № 1 (2019); 36-43
Science-based technologies; Том 41, № 1 (2019); 36-43 Наукоемкие технологии; Том 41, № 1 (2019); 36-43 |
|
Language |
uk
|
|