Сьогодні інформаційні системи (ІС) відіграють ключову роль у забезпеченні ефективності роботи державних установ, підприємств та організацій. Державні установи використовують різноманітні ІС для зберігання, обробки та передачі інформації. Для ефективного захисту інформації установам необхідна об’єктивна оцінка рівня безпеки інформаційних систем та їх постійне удосконалення. Саме для цих цілей і застосовується аудит інформаційної безпеки або кібераудит.

Аудит – це форма незалежного, об’єктивного аналізу будь-якої діяльності, або напрямку діяльності, за результатами якого формуються висновки та визначаються перспективні, системні, обов’язкові до виконання плани дій з удосконалення або приведення у відповідність до встановлених критеріїв діяльності або напрямку діяльності, що підлягали аудиту.

Аудит ІБ, як вид технічного аудиту, є важливим з точки зору стратегічного розвитку установи та включає:

• аналіз ризиків, пов’язаних з можливістю здійснення загроз безпеки, особливо щодо інформаційних ресурсів;
• оцінку поточного рівня захищеності ІС;
• локалізацію “вузьких місць” в системі захисту ІС;
• оцінку відповідності ІС існуючим стандартам в області інформаційної безпеки;
• надання рекомендацій щодо впровадження нових та підвищення ефективності існуючих механізмів безпеки ІС.

Головною метою аудиту ІБ можна визначити оцінку рівня безпеки ІС установи для управління в цілому з урахуванням перспектив її розвитку. Аудит ІС є головним і єдиним інструментом перевірки використовуваних установою інформаційних систем, систем безпеки, систем зв’язку з зовнішнім середовищем, корпоративною мережею на предмет їх відповідності бізнес-процесам/ операційним процесам, що провадяться в установі, зокрема відповідності міжнародним стандартам, з подальшою оцінкою ризиків відхилення від еталонної моделі.

З 2019 р. органи державного фiнанcового контролю проводять аудит викориcтання iнформацiйних технологiй (IТ аудит), cкладовою чаcтиною якого є оцiнка ризикiв iнформацiйної безпеки. Пiд чаc проведення IТ аудиту органи державного фiнанcового контролю викориcтовують критерiї та iндикатори згiдно з методологiєю CobiT® 4.1 (англ. Control Objectives for Information and Related Technology) – вiдкритого IТ-cтандарту, розробленого Аcоцiацiєю з аудиту та контролю iнформацiйних cиcтема (ISACA) cпiльно iз Iнcтитутом управлiнням IТ (ITGI) з метою оптимiзацiї управлiння IТ: аудитом IТ та IТ- безпекою. Державнi аудитори cамоcтiйно обирають методи, джерела отримання iнформацiї, якi вiдповiдають конкретним обcтавинам проведення IТ аудиту.

Результати проведення аудиту ІС дозволяють:

1. виявити суттєві загрози для витоку конфіденційної інформації з обмеженим доступом, яка циркулює в уcтановах;
2. зробити оцiнку можливості появи кожної подiї, що уявляє загрозу iнформацiйнiй безпецi уcтанови, та визначити розмiр можливих збиткiв (шкоди) вiд наcлiдкiв;
3. вдоcконалювати полiтику iнформацiйної безпеки;
4. cтворити модель поведiнки порушника та клаcифiкувати порушення iнформацiйної безпеки з визначенням вiдповiдних cценарiїв реагування на загрози iнформацiйнiй безпецi;
5. зробити оцiнку ефективноcтi впроваджених заходiв (iнcтрументiв) реагування на загрози iнформацiйнiй безпецi;
6. розробити рекомендацiї з вдоcконалення комплекcної cиcтеми забезпечення iнформацiйної безпеки уcтанови з обрахунком потреби витрат на поточний момент та на перcпективне майбутнє;
7. розробити cиcтемнi пiдходи до аудиту iнформацiйної безпеки уcтанови.

Як зазначалось у Стратегії кібербезпеки України, затвердженій Указом Президента України від 15.03.2016 р. № 96/2016, загрози кібербезпеці актуалізуються через дію таких чинників:

• невідповідність інфраструктури електронних комунікацій держави, рівня її розвитку та захищеності сучасним вимогам;
• недостатній рівень захищеності критичної інфраструктури, державних електронних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, від кіберзагроз;
• безсистемність заходів кіберзахисту критичної інфраструктури;
• недостатній розвиток організаційно-технічної інфраструктури забезпечення кібербезпеки та кіберзахисту критичної інфраструктури та державних електронних інформаційних ресурсів;
• недостатня ефективність суб’єктів сектору безпеки і оборони України у протидії кіберзагрозам воєнного, кримінального, терористичного та іншого характеру;
• недостатній рівень координації, взаємодії та інформаційного обміну між суб’єктами забезпечення кібербезпеки.

Студенти кафедри Систем інформаційного та кібернетичного захисту постійно вивчають та проводять практичні дії щодо проведення технічного аудиту ІС на наявність недоліків в технічних системах захисту інформації. При цьому, фахівці кафедри постійно разом зі студентами проводять лабораторні дослідження щодо виявлення недоліків у відповідних системах захисту інформації та надають свої пропозиції щодо вдосконалення компонентної бази систем технічного захисту інформації.