Дослідження методів аудиту систем управління інформаційною безпекою - Статья

Цілями проведення аудиту можуть бути [1]: • Визначення ступеня відповідності системи менеджменту обєкту до критеріїв аудиту. У [2] надається визначення: аудит - це систематичний, незалежний та документований процес отримання доказів (свідоцтв) аудиту та обєктивного їх оцінювання, для визначення ступеня їх відповідності критеріям аудиту. Також у [2] визначаються деякі додаткові терміни, необхідні, на думку авторів, для розуміння цього процесу, а саме: • Критерії аудиту - сукупність політик, методик або вимог, що використовуються як еталон, який порівнюється з свідоцтвами (доказами) аудиту. • Свідоцтва аудиту - протоколи, факти або інша інформація, яка стосується критеріїв аудиту і може бути перевірена. Окрім цього [4] визначає п’ять цілей аудиту стосовно безпеки компютерної системи: інформаційний безпека аудитДля досягнення цієї мети використовуються різноманітні методи, їх можна розділити на три групи - методи тестування, експертизи та інтервю. Методи інтервю охоплюють область, яка стосується персоналу організації і дозволяють визначити рівень кваліфікації персоналу та отримати додаткову інформацію, яка може бути критично важливою для процесу аудиту.

В процесі вивчення документів [2, 5-8], стає зрозумілим, що незалежно від різної термінології, яка в них використовується, основна мета аудиту СУІБ - систематичне та якомога більш повне визначення актуального стану СУІБ та його відповідності вимогам. Для досягнення цієї мети використовуються різноманітні методи, їх можна розділити на три групи - методи тестування, експертизи та інтерв’ю. Методи інтерв’ю охоплюють область, яка стосується персоналу організації і дозволяють визначити рівень кваліфікації персоналу та отримати додаткову інформацію, яка може бути критично важливою для процесу аудиту. Методи експертизи дозволяють сформувати загальну картину стану СУІБ, знайти критично важливі вузли системи. Методи тестування дозволяють ефективно перевірити адекватність системи, здатність її працювати як в рамках штатного режиму, так і в режимі атак. Методи тестування дають змогу визначити прогалини у СУІБ, про які не було зазначено в документації, а персонал про них міг і не здогадуватись. Така класифікація методів аудиту дає змогу більш чітко визначати ті роботи, які необхідно провести в рамках певного аудиту. До того ж такий підхід до класифікації методів аудиту дає змогу розглядати способи автоматизації процесу аудиту системи управління інформаційною безпекою, визначити джерела інформації для системи автоматизації та джерела зворотного зв’язку, а також області впливу системи автоматизації.

1. Teck-Heang L. The evolution of auditing: An analysis of the historical development / L. Teck-Heang, A. Azham. // Journal OFMODERN Acc. and Auditing. - 2008. - №12. - P. 1-8.

2. ISO 19011:2011 Guidelines for auditing management systems (Міжнародний стандарт)

3. Scarfone K. Technical Guide to Information Security Testing and Assessment: Recommendations of the National Institute of Standards and Technology (NIST Special Publication 800-115) / K. Scarfone, M. Souppaya, A. Cody, A. Orebaugh. - Gaithensburg: NIST, 2008. - 80 p.

4. A Guide to Understanding Audit in Trusted Systems - Fort Feorge G. Meade: Nat. comp. security center, 1987.- 25p.

5. ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements (Міжнародний стандарт).

6. ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management (Міжнародний стандарт)

7. ISMS Auditing Guideline // ISO27k Forum. - 2008. - №1. [Електр. ресурс]. - Режим доступу: http:// www.iso 27001security. com/ISO2 7k_Guideline_on_FSMS_audit_y1. docx.

8. Trusted computer system evaluation criteria, 1985. - (Department of defense standard).

9. Bacudio A. An overview of penetration testing / A. Bacudio, Y. Xiaohon, C. Bei-Tseng. // Int. Journal of Network Security & Its Appl. (IJNSA). - 2011. - №6. - P. 19-38.

10. Tewai A. Evaluation and Taxonomy of Penetration Testing / A. Tewai, K. M. Arun. // International Journal on Recent and Innovation Trends in Computing and Communication. - 2015. -№3. -P. 5297-5302.

11. Greavu-ferban V. Social Engineering a General Approach / V. Greavu-FERBAN, O. ferban. // Informatica Economica. - 2014. - №18. - P. 5-14.

12. Conteh N.Y. Cybersecurity: risks, vulnerabilities and countermeasures to prevent social engineering attacks / N. Y. Conteh, P.J. Schmick. // International Journal of Advanced Computer Research. - 2016. - №6. - P. 31-38.

13. Бармен С. Разработка правил информационной безопасности / Скотт Бармен // М.: Издательский дом "Вильямс", 2002. - 208 с.

14. Tuyikeze T. An Information Security Policy Development Life Cycle / T. Tuyikeze, D. Pottas. // Proceedings of the South African Information Security. - 2010. - P. 165-176.

15. Tsudik G. AUDES - An Expert System for Security Auditing / G. Tsudik, R. Summers. // IAAI-90 Proceedings. - 1990. - P. 221-232.

16. Sodiya A. S. An Expert System-based Site Security Officer / A. S. Sodiya, O. Adeniran, R. Ikuomola. // Journal of Computing and Information Technology - CIT. - 2007. - №15. - P. 227-235.

17. Karen K. Guide to Computer Security Log Management / K. Karen, M. Souppaya. // Computer Security Division Information Technology Laboratory National Institute of Standards and Technology. - 2006.

18. Montesino R. Information security automation: how far can we go? / R. Montesino, S. Fenz. // Sixth Int. Conf. on Availability, Reliability and Security. - 2011. - P. 280-285.

19. Guttman B. An Introduction to Computer Security: The NIST Handbook / B. Guttman, R. A. Edward. - Gaithersburg, MD 20899-0001: National Institute of Standards and Technology, 1995. - (U.S. Government printing office).

Размещено на .ru