Безопасность информационных технологий

Задача аудита информационной безопасности заключается в проверке соответствия системы защиты объекта совокупности критериев, определяющих требования к уровню защищенности. В этой связи необходимо определить и формализовать совокупность критериев, отражающих уровень защищенности объекта и выявление показателей, по которым можно провести объективные процедуры проверки. Аудит информационной безопасности проводиться на предмет соответствия требованиям любых стандартов в области информационной безопасности. В связи с отсутствием практико-ориентированных инструктивно-методических материалов аудиторской деятельности по оценке соответствия информационной безопасности организаций требованиям ключевых документов и стандартов, были проведены исследования содержательности и формализуемости требований на примере стандарта ГОСТ Р ИСО/МЭК 17799-2005 в части разработки метода проведения аудита ИБ на предмет соответствия данному стандарту и инструкции по его реализации. Целью работы является формирование формализованной методики при проведении аудита информационной безопасности на предмет соответствия стандартам и нормативным требованиям по информационной безопасности. В статье представлена формализованная модель аудита информационной безопасности организации, которая базируется на принципах независимости и объективности аудиторской деятельности. Предложен подход,  на основе системы объективных показателей, сопоставимых с функциями защиты, и заключающийся в формировании чек-листов с соответствующими критериями соотнесения показателей. В основу предлагаемого метода, и в целях повышения объективности результатов аудиторской работы, положен принцип подтверждения фактов, выявляемых в результате аудиторской проверки. В рамках метода предложена инструкция по разработке чек-листов, пригодная и адаптируемая для любого описательного стандарта, на предмет соответствия которому может проводиться процедура аудиторской проверки.

1. Сиротский А.А. Метрический подход к оценке информационной безопасности в организациях банковской сферы. Системы безопасности, 2016. №25. С. 126–129.
URL: https://www.elibrary.ru/item.asp?id=28884138 (дата обращения: 01.04.2021).

2. Курило А.П., Дураковский А.П., Зарубин В.С., Малышев А.А. Построение структуры показателей эффективности противодействия угрозам информационной безопасности в интересах оценки защищенности информационных // Безопасность информационных технологий, 2010. №2. С. 16–18.

3. Сиротский А.А. Технологии конкурентоспособного управления предприятиями машиностроения. Ученые записки РГСУ, 2013. №5. Т. 2. С. 177–181. URL: https://www.elibrary.ru/item.asp?id=21408309 (дата обращения: 01.04.2021).

4. Hajo A. Reijers. Business Process Management: The evolution of a discipline, Computers in Industry, Vol. 126, 2021, 103404, ISSN 0166-3615. DOI: https://doi.org/10.1016/j.compind.2021.103404.

5. Макаренко С.И. Аудит информационной безопасности: основные этапы, концептуальные основы, классификация мероприятий // Системы управления, связи и безопасности, 2018. №1. С. 1–29.
DOI: http://dx.doi.org/10.24411/2410-9916-2018-10101. URL: http://sccs.intelgr.com/archive/2018-01/01-Makarenko.pdf (дата обращения: 01.04.2021).

6. Stefan Bauer, Edward W.N. Bernroider, Katharina Chudzikowski, Prevention is better than cure! Designing information security awareness programs to overcome users' non-compliance with information security policies in banks, Computers & Security. Vol. 68, 2017. P. 145–159, ISSN 0167-4048. DOI: https://doi.org/10.1016/j.cose.2017.04.009.

7. Nelli V. Syreyshchikova, Danil Yu. Pimenov, Tadeusz Mikolajczyk, Liviu Moldovan, Information Safety Process Development According to ISО 27001 for an Industrial Enterprise, Procedia Manufacturing. Vol. 32, 2019. P. 278–285. ISSN 2351-9789. DOI: https://doi.org/10.1016/j.promfg.2019.02.215.

8. Oladko V.S The Model of Information Security Audit in the Information Systems of E-Commerce Type of B2E // Sochi Journal of Economy, 2016. Vol. 4, Issue 2. P. 117–126.
URL: https://www.elibrary.ru/item.asp?id=26747087 (дата обращения: 01.04.2021).

9. Воеводин В.А. Эталонная модель аудита информационной безопасности // Информатика, вычислительная техника и управление, серия «Естественные и технические науки», 2019. №9. С. 56–61. URL: http://www.nauteh-journal.ru/files/718b40fd-8a0d-4d9b-ace4-c9f2c25cbb98 (дата обращения: 12.08.2021).

10. Liudmila Liutsko, Josep Maria Tous, Aleksander Veraksa, Sergey Leonov, Proprioceptive Indicators (Precision, Speed and Personality) of Age-depended Differences for Traffic Security, Procedia - Social and Behavioral Sciences, Volume 187, 2015. P. 491–496. ISSN 1877-0428, https://doi.org/10.1016/j.sbspro.2015.03.092.

11. Dontsov A.I., Drozdova A.V., Gritskov Y.V. Visual Culture and Personality Psychological Security, Procedia - Social and Behavioral Sciences. Vol. 86, 2013. P. 70–75. ISSN 1877-0428.
DOI: https://doi.org/10.1016/j.sbspro.2013.08.527.

12. Дураковский А.П., Петров В.Р. О защите персональных данных в СКУД // Безопасность информационных технологий, 2012. №1. С. 95–97.

13. Сиротский А.А. Исследование угроз и организация менеджмента информационной безопасности в финансово-кредитных организациях // Информационные технологии. Радиоэлектроника. Телекоммуникации (ITRT-2016): сб. статей VI международной заочной научно-технической конференции. Ч.2. / Поволжский гос. ун-т сервиса. – Тольятти: Изд-во: ПВГУС, 2016. С. 213–221.

14. Бабуркина А.С., Широкова С.В., Ильяшенко О.Ю. Разработка процедуры проведения аудита безопасности информационной системы для ООО «Клиника современной косметологии» / Фундаментальные и прикладные исследования в области управления, экономики и торговли. Сборник трудов научной и учебно-практической конференции. СПб., 2017. С. 15–22.

15. Зефиров С.Л., Щербакова А.Ю. Оценка информационной безопасности объекта при проведении аудита информационной безопасности / Информационные системы и технологии ИСТ-2020. Сборник материалов XXVI Международной научно-технической конференции. Нижегородский государственный технический университет им. Р.Е. Алексеева. Н. Новгород, 2020. С. 517–522.

16. Лившиц И.И. Методика определения активов при внедрении и сертификации СМИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2 // Вопросы защиты информации, 2015. № 4(111). С. 43–51.

17. A.J. Burns, Clay Posey, Tom L. Roberts, Paul Benjamin Lowry, Examining the relationship of organizational insiders' psychological capital with information security threat and coping appraisals, Computers in Human Behavior. Vol. 68, 2017. P. 190–209. ISSN 0747-5632. DOI: https://doi.org/10.1016/j.chb.2016.11.018.

18. Ткачева А.Ю., Вигдорчик И.Э., Дубовик А.И. Аудит информационной безопасности и материально-техническое обеспечение ОВД как меры обеспечения информационной безопасности в ОВД // Успехи современной науки, 2016. №10. Т. 2. С. 102–104.