Островий О. В. Інструменти державної політики забезпечення кібернетичної безпеки // Електронне наукове видання "Публічне адміністрування та національна безпека". — 2019. — №1. https://doi.org/10.25313/2617-572X-2019-1-5010
Практичні аспекти економічної безпеки держави
УДК 323:351
Островий Олексій Володимирович
здобувач кафедри управління персоналом та економіки підприємства
Донецький державний університет управління
Островой Алексей Владимирович
соискатель кафедры управления персоналом и экономики предприятия
Донецкий государственный университет управления
Ostrovoy Alexey
Applicant at the
Department of Personnel Management and Enterprise Economics
Donetsk State University of Management
ІНСТРУМЕНТИ ДЕРЖАВНОЇ ПОЛІТИКИ ЗАБЕЗПЕЧЕННЯ КІБЕРНЕТИЧНОЇ БЕЗПЕКИ
ИНСТРУМЕНТЫ ГОСУДАРСТВЕННОЙ ПОЛИТИКИ ОБЕСПЕЧЕНИЯ КИБЕРНЕТИЧЕСКОЙ БЕЗОПАСНОСТИ
INSTRUMENTS OF THE STATE POLICY TO ENSURE KIBERNETIC SECURITY
Анотація. В статті обґрунтовано доцільність незалежного аудиту, а також пов’язаних з ним процесів стандартизації та сертифікації як складових національної системи кібербезпеки України та інструментів формування ефективної державної політики в сфері кіберзахисту.
Сформовано поняття аудиту в сфері інформаційної безпеки та визначено його об’єкти.
З метою підвищення ефективності аудиту та пов’язаних з ним процесів, виокремлено різні групи оцінки об’єктів системи інформаційної безпеки в залежності від періоду, за який проводиться аналіз, оцінивши їх стан в минулому, теперішньому та майбутньому часі. Виокремлено основні види аудиту: галузевий аудит, аудит на відповідність вимогам конкретного стандарту і відповідної сертифікації та аудит кібербезпеки. Сфокусовано увагу на аудиті кібербезпеки.
Запропоновано методику проведення аудиту кібербезпеки підприємства (організації) за основними модулями.
В результаті проведеного дослідження визначено проблеми здійснення аудиту в сфері кібербезпеки. Акцентовано увагу на особливостях державної політики щодо стандартизації технічного захисту інформації, визначено основні недоліки. Досліджено сучасні напрацювання в сфері міжнародної стандартизації управління інформаційною безпекою. Проаналізовано особливості державної політики в сфері стандартизації кіберзбезпеки, яку сформовано у ряді країн світу у відповідь на зростаючий рівень кіберзагроз.
Актуалізовано формування комплексної галузевої системи кібербезпеки, яка зорієнтована на міжнародні норми та досвід. Сформовано рекомендації щодо здійснення аудиту в сфері інформаційної безпеки та розвитку державної політики стандартизації та сертифікації.
Ключові слова: державна політика, інформаційна безпека, кібербезпека, аудит, сертифікація, стандартизація.
Аннотация. В статье обоснована целесообразность независимого аудита, а также связанных с ним процессов стандартизации и сертификации как составляющих национальной системы кибербезопасности Украины и инструментов формирования эффективной государственной политики в сфере киберзащиты.
Сформировано понятие аудита в сфере информационной безопасности и определены его объекты.
С целью повышения эффективности аудита и связанных с ним процессов, выделены различные группы оценки объектов системы информационной безопасности в зависимости от периода, за который производится анализ, оценив их состояние в прошлом, настоящем и будущем времени. Выделены основные виды аудита: отраслевой аудит, аудит на соответствие требованиям конкретного стандарта и соответствующей сертификации и аудит кибербезопасности. Сфокусировано внимание на аудите кибербезопасности.
Предложена методика проведения аудита кибербезопасности предприятия (организации) по основным модулям.
В результате проведенного исследования определены проблемы аудита в сфере кибербезопасности. Акцентировано внимание на особенностях государственной политики по стандартизации технической защиты информации, определены основные недостатки. Исследованы современные наработки в сфере международной стандартизации управления информационной безопасностью. Проанализированы особенности государственной политики в сфере стандартизации киберзбезопасности, сформированной в ряде стран мира в ответ на растущий уровень киберугроз.
Актуализировано формирование комплексной отраслевой системы кибербезопасности, ориентированной на международные нормы и опыт. Сформированы рекомендации по аудиту в сфере информационной безопасности и развития государственной политики стандартизации и сертификации.
Ключевые слова: государственная политика, информационная безопасность, кибербезопасность, аудит, сертификация, стандартизация.
Summary. The article substantiates the feasibility of an independent audit, as well as related standardization and certification processes as part of the national cyber security system of Ukraine, and tools for the formation of an effective state policy in the field of cyber defense.
The concept of audit in the field of information security has been formed and its objects have been defined.
In order to improve the efficiency of the audit and related processes, various groups for evaluating information security objects have been allocated, depending on the period for which the analysis has been made, assessing their condition in the past, present and future tense. The main types of audit (industry audit, audit for compliance with the requirements of a particular standard and relevant certification and cyber security audit) have been highlighted. Focus on cybersecurity audit has been made.
Methodology for conducting an audit of the enterprise (organization) cybersecurity for the main modules has been proposed.
As a result of the study, audit problems in the field of cyber security have been identified. The attention has been focused on the peculiarities of the state policy on the standardization of technical information protection, the main drawbacks have been identified. Modern developments in the field of international standardization for information security management have been researched. The features of the state policy in the field of cyber-security standardization, formed in a number of countries in response to the growing level of cyber threats, have been analyzed.
The formation of an integrated industry-wide cybersecurity system focused on international norms and experience has been updated. Recommendations for the audit in the field of information security and state policy standardization and certification development have been formed.
Key words: state policy, information security, cybersecurity, auditing, certification, standardization.
Постановка проблеми. Аналіз основних статистичних показників, які характеризують рівень використання інформаційно-комунікаційних технологій на підприємствах та в організаціях України, дозволив констатувати зростання кількості комп’ютерної техніки, підвищення доступу до мережі Інтернет та збільшення рівня використання інформаційно-комунікаційних технологій в своїй діяльності.
Але запровадження сучасних цифрових технологій створило не лише передумови для розвитку підприємств та національної економіки в цілому, але й спричинило посилення вразливості в комп’ютерних мережах, підвищення ризику виникнення кіберінцидентів та зростання рівня злочинності в сфері інформаційно-комунікаційних технологій.
Так, темп зростання кількості злочинів у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку за 2014-2017 роки склав 480,8%. За 8 місяців 2018 року цей показник вже перевищив рівень 2016 року на 117,9 % [1, с. 157].
Така ситуація потребує аналізу ситуації та формування обґрунтованої дієвої державної політики, яка спрямована на забезпечення інформаційної безпеки та використовує відповідні сучасні інструменти, що, в свою чергу, актуалізує проблеми аудиту, стандартизації та сертифікації в цій сфері.
Аналіз останніх досліджень і публікацій. Значний вклад у розвиток основних аспектів забезпечення інформаційної безпеки знайшли відображення у працях Л.Гнатюка [2], І. Діордіци [3], Д. Дубова [4], В. Ліпкана [5], В. Шеломенцева [6] та інших.
Однак в умовах формування ефективної державної політики в сфері кіберзахисту, питання незалежного аудиту та пов’язаних з ним проблем стандартизації та сертифікації потребують більш глибокого наукового вивчення. Це дозволить забезпечити належний рівень кібербезпеки, як однієї зі складових національної безпеки.
Формулювання цілей статті. Метою статті є формування інструментів державної політики забезпечення кібернетичної безпеки.
Виклад основного матеріалу. Стандартизація та сертифікація інформаційної безпеки, гармонізація з міжнародними стандартами, здійснення незалежного аудиту в цій сфері є інструментами державної політики та складовими національної системи кібербезпеки України, яка знаходиться на етапі формування.
Враховуючи тематику дослідження, вважаємо за доцільне визначитися з поняттям аудиту в сфері інформаційної безпеки.
Пропонуємо під аудитом розуміти процес, під час якого компетентна, незалежна особа оцінює кількісну інформацію, яка стосується діяльності певної системи інформаційної безпеки з метою формування висновків про відповідність цієї інформації встановленим критеріям та розробки заходів щодо виправлення викритих недоліків і попередження загроз.
До об’єктів аудиту в сфері інформаційної безпеки слід віднести окремі і взаємопов’язані управлінські, організаційні, інформаційні та інші форми функціонування відповідної системи, що визначаються, стан яких може бути оцінено кількісно та якісно.
Слід зазначити, що з метою підвищення ефективності аудиту та пов’язаних з ним процесів, представляється доцільним виокремлення різних груп оцінки об’єктів системи інформаційної безпеки в залежності від періоду, за який проводиться аналіз, оцінивши їх стан у часі (рис.1).
Рис. 1. Групи оцінки об’єктів системи інформаційної безпеки в залежності від часу
Джерело: сформовано автором
Звертаючи увагу на аудит в сфері інформаційної безпеки, слід виокремити такі його основні види: галузевий аудит, аудит на відповідність вимогам конкретного стандарту і відповідної сертифікації та аудит кібербезпеки (рис. 2).
Рис. 2. Основні види аудиту в сфері інформаційної безпеки
Джерело: сформовано автором
Однак, слід вказати на той факт, що перші два види аудиту суворо обмежені певною галуззю та сферою дії (охопленням) конкретного стандарту і не можуть відображати повної картини захищеності організації.
Аудит кібербезпеки є набагато ширшим та являє собою комплексну оцінку ступеню захищеності організації, яка складається з певних модулів, що виконуються цілком, або вибірково, в залежності від поставленої цілі, здійснюється перевірка відповідності регуляторним нормам, оцінка безпеки роботи з контрагентами та за результатами якої формуються рекомендації практичного і методичного характеру.
Методика проведення аудиту кібербезпеки підприємства (організації) за основними модулями наведена у табл.1.
Таблиця 1
Методика проведення аудиту кібербезпеки
Джерело: розроблено автором
Однак, в контексті дослідження аудиту в сфері кібербезпеки, слід вказати на ряд проблем, які потребують уваги. Серед основних з них слід виокремити такі:
У цьому контексті слід погодитись з Л.С. Гнатюком [2], який звертає увагу на той факт, що під дію цієї норми потрапляють практично всі об’єкти критичної інформаційної інфраструктури, значна кількість яких знаходиться в недержавному секторі (наприклад, в енергетиці, транспортній системі, телеком-індустрії, фармацевтиці тощо).
Однак, Комплексна система захисту інформації (КСЗІ), яка базується на вітчизняному стандарті КСЗІ НД ТЗІ 2.5- 004-99, а також вимога її обов’язкового застосування на об’єктах часто критикується як спеціалістами, так і представниками сфери бізнесу [8; 9; 10].
Зазначимо, що в Україні в сфері державної стандартизації технічного захисту інформації діє єдина серія нормативних документів (виключенням є лише банківський сектор), де основним є НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» [11], розроблений на основі Канадських критеріїв безпеки комп’ютерних систем, з урахуванням прийнятих у 2005 році міжнародних «Загальних критеріїв» (ISO 15408), що є методологічною базою для визначення вимог захисту комп'ютерних систем від несанкціонованого доступу, створення захисних систем та оцінки ступені захищеності.
Однак, критерієм захищеності інформації в цьому документі виступає відповідність архітектури та параметрів програмно-апаратних засобів об’єкта чіткому регламенту – КСЗІ, що відрізняє його від серії ISO/IEC 27000, яка концентрується, переважно, на менеджменті інформаційної безпеки і є найпоширенішою в світі.
Цілком слушною в цьому контексті є думка фахівців [2], які звертають увагу на той факт, що внутрішня структура і механізм впровадження концепції КСЗІ не відповідає вимогам сучасного кіберзахисту, особливо це стосується недержавного сектору. Така ситуація обумовлена рядом недоліків, основні з яких відзначено на рис. 3.
Рис. 3. Основні недоліки Комплексної системи захисту інформації
Джерело: сформовано автором на основі [2; 9]
Відзначаючи основні недоліки вітчизняної КСЗІ, слід звернути увагу на сучасні напрацювання в сфері міжнародної стандартизації управління інформаційною безпекою, які застосовуються в розвинутих країнах, не мають вищевказаних вад та є відкритими для використання (табл.2).
Таблиця 2
Міжнародні стандарти кібербезпеки
Джерело: складено автором на основі [2; 12; 13]
Однак, зупиняючись на серії міжнародних стандартів ISO/IEC 27001 слід констатувати, що в якості державного стандарту в Україні визнано лише перший варіант ISO/IEC 27001, який застосовано в банківській сфері у вигляді вимог СОУ Н НБУ 65.1 СУІБ 1.0: 201010 (відповідно до закону «Про основні засади забезпечення кібербезпеки України» Національний банк України - один з суб’єктів національної системи кібербезпеки) [14]. Нажаль, в інших галузях ці стандарти поки не використовуються, що обумовлено рядом причин, основною з яких відзначається правова неврегульованість. Хоча міжнародні стандарти з інформаційної безпеки ISA 099 та ІЕС 62443 є спеціалізованими відкритими стандартами, пристосованими для використання на об’єктах критичної інфраструктури приватної форми власності.
Як свідчать результати аналізу зарубіжного досвіду, з метою недопущення недоброчесної конкуренції та монополізації регуляторної діяльності в цій сфері, практикується формування та використання альтернативних стандартів та моделей з кібербезпеки, призначених для різних галузей, що знаходяться у недержавному секторі.
Так, наприклад, в США, наряду з використанням приватними структурами NIST Cybersecurity Framework, в галузі енергетики діють стандарти NERC CIP [15], розроблені неприбутковою недержавною організацією Північноамериканською корпорацією з забезпечення надійності електросистем (North American Electric Reliability Corporation). Слід вказати, що ці стандарти рекомендовані до використання експертами київського відділення ISACA (Міжнародна професійна неприбуткова асоціація, орієнтована на ІТ-менеджмент) у вітчизняному паливно-енергетичному комплексі.
Дослідження європейського досвіду в контексті даного питання дозволило зазначити, що країни ЄС працюють над створенням на основі існуючого Європейського агентства з питань мережевої та інформаційної безпеки (ENISA) Агентства ЄС із кібербезпеки та запровадженням сучасної європейської системи сертифікації, яка здатна забезпечити безпеку цифрових продуктів та послуг [16].
Зазначимо, що таке Агентство матиме постійний мандат та можливість надавати державам-членам ефективну допомогу та реагувати на кібератаки. А нові європейські сертифікати спрямовані на забезпечення кібербезпеки у сфері критичної інфраструктури (енергетичні та транспортні мережі). Прогнозується, що визнання цих сертифікатів державами-членами ЄС сприятиме зниженню адміністративних витрат та витрат окремих компаній.
Висновки з даного дослідження і перспективи подальших розвідок у даному напрямі. Формування державної політики забезпечення кібербезпеки, адекватної сучасним загрозам, потребує розробки та використання сучасних інструментів, серед яких доцільно виокремити аудит, процеси стандартизації та сертифікації. Зазначимо, шо для національної економіки актуалізується формування комплексної галузевої системи кібербезпеки, яка зорієнтована на міжнародні норми та досвід. Основні вітчизняні напрацювання у цьому напрямі пов’язані лише з певними практиками, які запроваджено окремими галузями та підприємствами різних форм власності.
У зв’язку з цим є необхідність у формуванні та вдосконаленні вже існуючої відповідної нормативної бази, спрямованої на забезпечення кібернетичної безпеки, що входить до основних задач і перспектив подальших досліджень.
Література
References