Кібербезпека: освіта, наука, техніка (Jun 2023)

ТЕХНІЧНИЙ АУДИТ ЗАХИЩЕНОСТІ ІНФОРМАЦІЙНО - ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ПІДПРИЄМСТВ

  • Юрій Якименко,
  • Дмитро Рабчун,
  • Тетяна Мужанова,
  • Михайло Запорожченко,
  • Юрій Щавінський

DOI
https://doi.org/10.28925/2663-4023.2023.20.4561
Journal volume & issue
Vol. 4, no. 20
pp. 45 – 61

Abstract

Read online

Розглянуто зміст аудиту і тестування вразливості інформаційно - телекомунікаційної системи (ІТС) будь-якого підприємства. На основі результатів аудиту інформаційної безпеки оцінюється в цілому захищеність ІТС підприємства. Оцінку захищеності ІТС пропонується проводить, використовуючи тестування на проникнення за наступними напрямками: тестування на проникнення ззовні і зсередини інформаційної інфраструктури, тестування соціальною інженерією персоналу підприємства і тестування на стійкість до DDoS атакам; оцінка захищеності мобільного додатку, веб-ресурсу і бездротових мереж. Запропонований загальний алгоритм проведення тестування на проникнення IT-інфраструктури (аналіз вразливостей та захищеності інформаційних ресурсів) у вигляді етапів: ініціалізації, пасивної і активної розвідки, експлуатації і пост-експлуатації, систематизація і презентація результатів оцінки безпеки, оцінки ризиків та вразливостей, рекомендацій щодо їх усунення. На етапах всі операції проводяться без нанесення реальної шкоди ІТС. Показано призначення технічного аудиту, який охоплює складові ІТС і можна розглядати як незалежну експертизу або процедуру по їх досліджуванню, щоб оцінити стан та виявити резерви. Технічний аудит в результаті перевірки програмної та технічної частини ресурсу надає можливість сформувати перелік ключових проблем і отримати вичерпні рекомендації щодо їх усунення. Зазначено, що відповідно до вимог сучасності технічний аудит може використовуватись як аудит у вигляді дистанційної технічної підтримки, а аудит інформаційної безпеки розглядатись як варіант технічного аудиту. Проведення аудиту інформаційної безпеки включає: аналіз ризиків, пов’язаних з можливістю здійснення інформаційних загроз безпеки щодо ресурсів; оцінку поточного рівня захищеності ІТС; локалізацію “вузьких місць” в системі захисту ІТС; оцінку відповідності ІТС існуючим стандартам в області безпеки; надання рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІТС. Розкрито зміст деталізованого звіту технічного аудиту захищеності ІТС підприємства.

Keywords