ТЕХНІЧНИЙ АУДИТ ЗАХИЩЕНОСТІ ІНФОРМАЦІЙНО - ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ПІДПРИЄМСТВ

Юрій Якименко; Дмитро Рабчун; Тетяна Мужанова; Михайло Запорожченко; Юрій Щавінський

doi:10.28925/2663-4023.2023.20.4561

Автор(и)

Юрій Якименко Державний університет телекомунікацій https://orcid.org/0000-0002-6848-852X
Дмитро Рабчун Державний університет телекомунікацій https://orcid.org/0000-0002-5555-0910
Тетяна Мужанова Державний університет телекомунікацій https://orcid.org/0000-0002-7435-0287
Михайло Запорожченко Державний університет телекомунікацій https://orcid.org/0000-0003-0182-9497
Юрій Щавінський Державний університет телекомунікацій https://orcid.org/0000-0002-2319-8983

DOI:

https://doi.org/10.28925/2663-4023.2023.20.4561

Ключові слова:

інформаційна безпека,інфраструктура,підприємство,інформаційно –телекомунікаційна система, тестування, вразливість

Анотація

Розглянуто зміст аудиту і тестування вразливості інформаційно - телекомунікаційної системи (ІТС) будь-якого підприємства. На основі результатів аудиту інформаційної безпеки оцінюється в цілому захищеність ІТС підприємства. Оцінку захищеності ІТС пропонується проводить, використовуючи тестування на проникнення за наступними напрямками: тестування на проникнення ззовні і зсередини інформаційної інфраструктури, тестування соціальною інженерією персоналу підприємства і тестування на стійкість до DDoS атакам; оцінка захищеності мобільного додатку, веб-ресурсу і бездротових мереж. Запропонований загальний алгоритм проведення тестування на проникнення IT-інфраструктури (аналіз вразливостей та захищеності інформаційних ресурсів) у вигляді етапів: ініціалізації, пасивної і активної розвідки, експлуатації і пост-експлуатації, систематизація і презентація результатів оцінки безпеки, оцінки ризиків та вразливостей, рекомендацій щодо їх усунення. На етапах всі операції проводяться без нанесення реальної шкоди ІТС.

Показано призначення технічного аудиту, який охоплює складові ІТС і можна розглядати як незалежну експертизу або процедуру по їх досліджуванню, щоб оцінити стан та виявити резерви. Технічний аудит в результаті перевірки програмної та технічної частини ресурсу надає можливість сформувати перелік ключових проблем і отримати вичерпні рекомендації щодо їх усунення. Зазначено, що відповідно до вимог сучасності технічний аудит може використовуватись як аудит у вигляді дистанційної технічної підтримки, а аудит інформаційної безпеки розглядатись як варіант технічного аудиту. Проведення аудиту інформаційної безпеки включає: аналіз ризиків, пов’язаних з можливістю здійснення інформаційних загроз безпеки щодо ресурсів; оцінку поточного рівня захищеності ІТС; локалізацію “вузьких місць” в системі захисту ІТС; оцінку відповідності ІТС існуючим стандартам в області безпеки; надання рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІТС. Розкрито зміст деталізованого звіту технічного аудиту захищеності ІТС підприємства.

Завантаження

Дані завантаження ще не доступні.

Посилання

Nemchenko, A., Nazarkina, V., Gubsky, S., Chernukha, V., Korzh, Yu. Sapsai, R. (2012). Audit Study guide for students of higher educational institutions. 10.13140/RG.2.1.1857.4561.

Information security audit. ProNET. https://www.pronet.ua/audit-informaczijnoi-bezpeki/

Korchenko, O. Hnatyuk, S., Kazmirchuk, S., Panchenko, V. Melnyk, S. (2014). Audit and management of information security incidents. Center of educational and scientific and scientific and practical publications of the National Academy of the Security of Ukraine. (The original was published in 2014).

Roy, Y. V., Mazur, N. P., Skladannyi, P. M. (2018). Information security audit is the basis of effective enterprise protection. Electronic specialized scientific publication "Cybersecurity: education, science, technology", 1(1), 86–93. https://doi.org/10.28925/2663-4023.2018.1.8693 .

Burlan, S., Rudenko, N. (2017). Audit organization and methodology. Mykolaiv: Publishing House of the ChNU named after Peter's Tomb.

7 good reasons for conducting a technological audit of the enterprise. https://aimarketing.info/uk/blog/technichal-audit/7-vagomyh-prychyn-provedennya-tehnologichnogo-audytu-pidpryemstva.

Zachek O., Senyk V., Magerovska, T. (2022). Information Technology. Tutorial. Lviv: Lviv State University of Internal Affairs. http://dspace.lvduvs.edu.ua/handle/1234567890/4778

Matyukha, M. (2018). Computer audit. SE "Personal Publishing House". https://maup.com.ua/assets/files/lib/book/komputer_audit.pdf.

Information security systems. Review. https://valtek.com.ua/ua/system-integration/security-control-system/integrated-security-systems/information-security-system-review.

Technical audit of equipment - SI BIS. SI BIS https://www.sibis.com.ua/services/technical-support-and-maintanance/technical-audit-of-equipment/

Remote technical support - SI BIS. SI BIS. https://www.sibis.com.ua/services/outsourcing/distantsijna-tehnichna-pidtrimka/

Yakymenko, Yu., Savchenko, V., Legominova, S. (2022). System analysis of information security: modern management methods. State University of Telecommunications.

Drahuntsov, R., Rabchun, D., & Brzhevska, Z. (2020). Architecture security principles of the android applications-based information system. Cybersecurity: Education, Science, Technique, 49–60. https://doi.org/10.28925/2663-4023.2020.8.4960.

Drahuntsov, R., Rabchun, D. (2021). Potential disguising attack vectors on security operation centers and siem systems. Cybersecurity: Education, Science, Technique, 2(14), 6–14. https://doi.org/10.28925/2663-4023.2021.14.614.

Pentest | IT Specialist. (b. d.). https://my-itspecialist.com/products/pentest

RESEARCH. ISECOM. https://www.isecom.org/research.html.

The Penetration Testing Execution Standard. (b. d.). The Penetration Testing Execution Standard. http://www.pentest-standard.org/index.php/Main_Page

SP 800-115, Technical Guide to Information Security Testing and Assessment | CSRC. (b. d.). NIST Computer Security Resource Center | CSRC. http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf.

OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. (b. d.). OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. https://www.owasp.org

State enterprise "Ukrainian research and training center for problems of standardization, certification and quality" (2019). Information Technology. Protection methods (DSTU ISO/IEC 27007:2018). http://online.budstandart.com/ua/catalog/doc-page?id_doc=80303 .

ISO/TMBG Technical Management Board - groups. (2018). Guidelines for auditing management systems (ISO 19011:2018). https://cdn.standards.iteh.ai/samples/70017/559078f9a2634aca84ff0a6aac1498f6/ISO-19011-2018.pdf