АНАЛІЗ ІСНУЮЧОЇ МЕТОДИКИ ПРОВЕДЕННЯ АУДИТУ БЕЗПЕКИ КОМП’ЮТЕРНИХ СИСТЕМ В ДЕРЖАВНИХ ОРГАНАХ

  • V. Kalchenko
Ключові слова: тестування на проникнення, пентестінг, кібербезпека, кіберзахист

Анотація

Предметом статті є аналіз існуючих методик проведення аудиту безпеки, які нормативно закріплені в Україні та використовуються посадовими особами Державної служби спеціального зв’язку та захисту інформації України. Результати. Проаналізовано існуючу методику проведення перевірок захищеності інформації в інформаційнотелекомунікаційних системах державних органів, органів місцевого самоврядування, підприємств установ та організацій. Враховуючи недоліки існуючої системи проведення перевірок з захисту інформації та введенням в дію Закону України «Про основні засади забезпечення кібербезпеки України» від 05.10.2017 року № 2163-VIII запропоновано підходи до проведення перевірок кіберзахисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлено законодавством. Висновок. Обґрунтована необхідність розробки методології визначення реального стану захищеності інформаційних систем, в яких циркулює інформація, що потребує захисту згідно вимог законодавства України.

Завантаження

Дані про завантаження поки що недоступні.

Посилання

1. Конституція України: офіц. .текст. Київ: КМ, 2013.93 с.
2. Певнев В.Я., Цуранов М.В. Математическая модель информационной безопасности. Системи обробки інформації. 2010. №3. С. 62-64
3. Верескун М. В. Методичне забезпечення системи інформаційної безпеки промислових підприємств. Економiка i органiзацiя управлiння 2014. № 1-2. С. 54-60
4. Певнев В.Я. Методы обеспечения целостности информации в инфокоммуникационных системах. Вісник Національного технічного університету ХПІ. Серія: Техніка та електрофізика високих напруг. Харків, 2015. № 51. С. 74-77
5. Про основні засади забезпечення кібербезпеки України: Закон України від 05.10.2017 р. № 2469-VIII від 21.06.2018, ВВР, 2018, № 31, ст.241
6. Про захист інформації в інформаційно-телекомунікаційних системах: Закон України» від 05.07.1994. № 1170-VII ( 1170-18 ) від 27.03.2014, ВВР, 2014, N 22, ст.816
7. Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційнотелекомунікаційних системах». Постанова Кабінету Міністрів України від 29.03.2006 р. №373 Офіційний вісник України 2006 р., № 13, стор. 164
8. Про Державну службу спеціального зв’язку та захисту інформації України. Закон України» №3475-IV від 23.02.2006 № 2163-VIII від 05.10.2017, ВВР, 2017, № 45, ст.403
9. Про затвердження Положення про державний контроль за станом ТЗІ. Наказ Адміністрації Держспецзв’язку від 16.05.2007 №87
10. Про затвердження Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційнотелекомунікаційних системах. Наказ Адміністрації Держспецзв’язку від 02.12.2014 №660
11. Кальченко В.В. Огляд методів проведення тестування на проникнення для оцінки захищеності комп’ютерних систем. Системи управління, навігації та зв’язку. 2018. №4 . С. 109-114
12. The Open Source Security Testing Methodology Manual (OSSTMM). [Електронний ресурс]. – Режим доступу: http://www.isecom.org/mirror/OSSTMM.3.pdf (дата звернення: 27.03.2019)
13. Technical Guide to Information Security Testing and Assessment. Recommendations of the National Institute of Standards and Technology. Special Publication 800-115. [Електронний ресурс]. – Режим доступу: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf (дата звернення: 27.03.2019)
14. OWASP Testing Guide v4. [Електронний ресурс]. – Режим доступу: https://www.owasp.org/index.php/ OWASP_Testing_Project (дата звернення: 27.03.2019)
15. The Penetration Testing Execution Standard (PTES). [Електронний ресурс]. – Режим доступу: http://www.penteststandard.org/index.php/Main_Page (дата звернення: 27.03.2019)
16. Information Systems Security Assessment Framework (ISSAF). [Електронний ресурс]. – Режим доступу: http://www.oissg.org/files/issaf0.2.1.pdf (дата звернення: 27.03.2019)
17. Kuchuk G., Nechausov S., Kharchenko, V. Two-stage optimization of resource allocation for hybrid cloud data store. International Conference on Information and Digital Technologies. Zilina, 2015. P. 266-271. DOI: http://dx.doi.org/10.1109/DT.2015.7222982
18. Kuchuk G.A. An Approach To Development Of Complex Metric For Multiservice Network Security Assessment / G.A. Kuchuk, A.A. Kovalenko, A.A. Mozhaev // Statistical Methods Of Signal and Data Processing (SMSDP – 2010): Proc. Int. Conf., October 13-14, 2010.– Kiev: NAU, RED, IEEE Ukraine section joint SP, 2010. – P. 158 – 160.
19. «Про затвердження Положення про інформаційно-телекомунікаційну систему прикордонного контролю «Гарт-1» Державної прикордонної служби України. Наказ Адміністрації Державної прикордонної служби України від 20.09.2008 №810
20. Про введення в експлуатацію інформаційної системи «Податковий блок». Наказ ДПС України № 1197 від 24.12.2012
21. Про затвердження Положення про єдину інформаційну систему Міністерства внутрішніх справ та переліку її пріоритетних інформаційних ресурсів. Постанова Кабінету Міністрів України від 14.11.2018 р. №1024 Урядовий кур'єр офіц.. видання. 2018. 12 (№ 235)
Опубліковано
2019-06-21
Як цитувати
Kalchenko V. Аналіз існуючої методики проведення аудиту безпеки комп’ютерних систем в державних органах / V. Kalchenko // Системи управління, навігації та зв’язку. Збірник наукових праць. – Полтава: ПНТУ, 2019. – Т. 3 (55). – С. 110-114. – doi:https://doi.org/10.26906/SUNZ.2019.3.110.
Розділ
Інформаційні технології