Сучасні практики впровадження системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури

Юдін, О. К.; Зюбіна, Р. В.; Матвійчук-Юдіна, О. В.

Представлено комплексний підхід до обгрунтування і впровадження системи вітчизняних та міжнародних стандартів, а також нормативно-правових аспектів формування системи аудиту інформаційної безпеки на об'єктах критичної інфраструктури та в системах державних інформаційних ресурсів. Визначено, що система менеджменту інформаційної безпеки є частиною загальної системи менеджменту підприємства та створена для вдосконалення стану інформаційної безпеки. Система має "процесінговий" та "ризик-орієнтований" підхід, що означає, що головною ідеєю та головним завданням СМІБ є процеси аналізу та управління інформаційними ризиками при створенні, впровадженні, функціонуванні, моніторингу та підтримці стану захищеності інформаційних ресурсів компанії. Європейський підхід до системи аудиту, грунтується на порівняльному аналізі поточного стану інформаційної системи та забезпеченні бажаного рівня її ефективності. В нашій країні, визначається за підсумками аналізу та контролю системи менеджменту інформаційної безпеки підприємства за моделлю вимог стандартів ISO 27001\ISO 270хх та комплексу ДСТУ ISO/IEC. Таким чином, різноманітність стандартів у сфері управління інформаційними технологіями та інформаційною безпекою надає організаціям змогу обрати саме ту методику, той підхід, який найкращим чином підходить до особливостей бізнес процесів і ринку послуг. Показано сучасні критерії оцінки якості, як сукупності вимог оцінювання ефективності функцій захисту інформації; наведено методи та моделі оцінювання ефективності функцій захисту інформації, а також форму подання результатів забезпечення процесів аудиту і контролю системи ІБ; визначено методології побудови системи обробки та аналізу інформації з аудиту інформаційної безпеки на об'єктах критичної інфраструктури та в системах обробки ДІР.


	Наукова періодика України		Наукоємні технології