IDEAS home Printed from https://ideas.repec.org/a/scn/000ven/106368.html
   My bibliography  Save this article

Аудит ефективності IT-систем стратегічних об’єктів державного управління // Efficiency audit for IT-systems of state management strategic objects

Author

Listed:
  • Абасов, Віталій Акімович

    (ДВНЗ «Київський національний економічний університет імені Вадима Гетьмана»)

Abstract

Hackers’ attacks at the end of 2016 and at the beginning of 2017 р. on governmental information and telecommunication systems, including Ministry of Finance in Ukraine, and State Treasury Department, caused vast delays in budgetary payments. They showed «sensitiveness» and insecurity of governmental institutions for cyber-attacks because of control absence of three main security measures, such as technical limitations for downloading programs, limited use of rights for local administrators, systematical software renewals. International experience shows these security measures of governmental IT-systems have to be the audit subject of state financial control authorities.The base of information technology audit was initiated in the studies of І.К. Drozd, S.V. Іvachnenkova, М.М. Benko, Ju.А. Кuxminskiy, А.V. Мamyshev. Simultaneously, the issue of IT-system state audit was examined in theoretical researches partially because there is no practice of such audit in Ukraine.That is why it is necessary to learn international practice of efficiency audit for IT-systems and world standards for establishments of state management sector.The research allowed to propose the methodology of efficiency audit for IT-systems for state institutions; the methodology provides planning and conducting the main procedures on the base of risk estimation of security threats for information systems.The author determines the peculiarities in security risk management for IT-systems by means of risk estimation of security components of IT-systems while conducting efficiency audit. The author sets the method of descending step-by-step detailing for audit estimation of IT-system risk management efficiency at strategic enterprises belonging to state management sector by means of adaptation of ISSAI standard norms.The paper proposes three possible options of management solution concerning IT-system risk management efficiency on the base of information about the risk levels according to the results of efficiency audit. To document the IT-system efficiency audit results the author develops the standard forms of auditor’s working documents, that is, «Statement about information vulnerability and determining the category of protection», «Estimation of results and threats for activity».The further research of the issue of IT-system efficiency audit is to develop organizational actions as to carrying out the check-ups (by Account Chamber) of IT-system security at strategic enterprises belonging to state management sector. Хакерські атаки кінця 2016 р. та початку 2017 р. на урядові інформаційно-телекомунікаційні системи, серед яких Міністерство фінансів України, Державна казначейська служба, призвели до масштабних затримок бюджетних виплат. Вони засвідчили вразливість і відкритість урядових установ для кібератак через відсутність контрольованості трьох основних заходів безпеки, таких як: технічне обмеження на програми завантаження, обмежене використання прав локальних адміністраторів, систематичні оновлення програмного забезпечення. Як засвідчує міжнародний досвід, ці заходи безпеки урядових ІТ-систем мають бути предметом аудиту органів державного фінансового контролю.Базові засади аудиту інформаційних технологій започатковані в дослідженнях І.К. Дрозд, С.В. Івахненкова, М.М. Бенько, Ю.А. Кузьмінського, А.В. Мамишева. Водночас, питання державного аудиту ІТ-систем у теоретичних дослідженнях розглядалися обмежено, оскільки в Україні відсутня практика такого аудиту.Тому є необхідність вивчення міжнародної практики аудиту ефективності ІТ-систем та світових норм установ сектору державного управління.Дослідження дозволило запропонувати методологію аудиту ефективності ІТ-систем для державних установ, яка передбачає планування та проведення основних процедур на основі оцінки ризиків загроз безпеки інформаційних систем.Автором визначено особливості управління ризиками безпеки ІТ-систем шляхом оцінки ризиків складових безпеки ІТ-систем під час аудиту ефективності, запропоновано метод низхідної покрокової деталізації для аудиторської оцінки ефективності управління ризиками ІТ-систем на стратегічних об’єктах сектору державного управління шляхом адаптації норм стандартів ISSAI.Запропоновано три можливі варіанти рішень керівництва щодо управління ризиками безпеки ІТ-систем на основі інформації про рівні ризику за результатами аудиту ефективності. Для документування результатів аудиту ефективності ІТ-систем розроблено типові форми робочих документів аудитора, а саме: «Повідомлення про уразливість інформації і визначення категорії захисту», «Оцінка наслідків і загроз для діяльності».Подальші дослідження питання аудиту ефективності ІТ-систем вбачаються у розробці організаційних заходів щодо проведення Рахунковою палатою перевірок безпеки ІТ-систем стратегічних об’єктів сектору державного управління.

Suggested Citation

  • Абасов, Віталій Акімович, 2017. "Аудит ефективності IT-систем стратегічних об’єктів державного управління // Efficiency audit for IT-systems of state management strategic objects," Вісник Житомирського державного технологічного університету. Серія: Економічні науки // THE JOURNAL OF ZHYTOMYR STATE TECHNOLOGICAL UNIVERSITY. SERIES: ECONOMICS, Житомирський державний технологічний університет // ZHYTOMYR STATE TECHNOLOGICAL UNIVERSITY, vol. 80(2).
    • Handle: RePEc:scn:000ven:106368
    as

    Download full text from publisher

    File URL: http://ven.ztu.edu.ua/article/viewFile/106368/104687.pdf
    Download Restriction: no
    ---><---

    Corrections

    All material on this site has been provided by the respective publishers and authors. You can help correct errors and omissions. When requesting a correction, please mention this item's handle: RePEc:scn:000ven:106368. See general information about how to correct material in RePEc.

    If you have authored this item and are not yet registered with RePEc, we encourage you to do it here. This allows to link your profile to this item. It also allows you to accept potential citations to this item that we are uncertain about.

    We have no bibliographic references for this item. You can help adding them by using this form .

    If you know of missing items citing this one, you can help us creating those links by adding the relevant references in the same way as above, for each refering item. If you are a registered author of this item, you may also want to check the "citations" tab in your RePEc Author Service profile, as there may be some citations waiting for confirmation.

    For technical questions regarding this item, or to correct its authors, title, abstract, bibliographic or download information, contact: Ольга Могиленко (email available below). General contact details of provider: http://ven.ztu.edu.ua/ .

    Please note that corrections may take a couple of weeks to filter through the various RePEc services.

    IDEAS is a RePEc service. RePEc uses bibliographic data supplied by the respective publishers.