МЕТОДИКА ОПТИМИЗАЦИИ ПЛАНИРОВАНИЯ АУДИТА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Шаго Федор Николаевич, Зикратов Игорь Алексеевич

2014 , ТОМ 14, НОМЕР 2 ( МАРТ-АПРЕЛЬ )

ISSN 2226-1494 (print), ISSN 2500-0373 (online)

Меню

Публикации

Главный редактор

НИКИФОРОВ
Владимир Олегович
д.т.н., профессор

Партнеры

УДК 004.56

МЕТОДИКА ОПТИМИЗАЦИИ ПЛАНИРОВАНИЯ АУДИТА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Шаго Ф.Н., Зикратов И.А.

Читать статью полностью

Аннотация

Усложнение систем менеджмента информационной безопасности приводит к необходимости совершенствования научно-методического аппарата аудита данных систем. Планирование является важной и определяющей частью аудита систем менеджмента информационной безопасности. Эффективность аудита будет определяться отношением достигнутых показателей качества к затраченным ресурсам. Таким образом, возникает важная и актуальная задача разработки методов и методик оптимизации планирования аудита, позволяющая повысить его эффективность. Предложенная методика позволяет на основе модели динамики показателя качества системы менеджмента информационной безопасности осуществлять оптимальное планирование распределения временных и материальных ресурсов по этапам аудита. Особенностью подхода, предлагаемого авторами, является использование не только априорных, но и апостериорных данных при начальном планировании аудита, а также для корректировки плана после каждого мероприятия аудита. Это позволяет оптимизировать использование ресурса аудита в соответствии с выбранными критериями. Приведены примеры применения методики при планировании аудита системы менеджмента информационной безопасности организации. По результатам проведенного вычислительного эксперимента на основе предложенной методики возможно снижение временных (стоимостных) затрат аудита на 10–15% или соответственно повышение качества получаемых оценок за счет рационального распределения ресурса аудита по отношению к общеизвестным методикам планирования аудита.

Ключевые слова: информационная безопасность, аудит систем менеджмента информационной безопасности, планирование аудита

Список литературы

1. ISO/IEC 19011:2011 Guidelines for auditing management systems. 11.11.2011. Geneva, International Organization for Standardization. 44 p.

2. Аксенов В.В. Аудит системы менеджмента информационной безопасности. Руководство [Электронный ресурс]. Режим доступа: http://itsec.by/wp-content/uploads/2012/10/Auditors-Guide-ISO-27001-on-Russian.pdf, свободный. Яз. рус. (дата обращения 09.09.2013).

3. ISO/IEC 27007:2011. Information technology – Security techniques – Guidelines for information security management systems auditing. 14.11.2011. Geneva, International Organization for Standardization. 34 p.

4. Мартыщенко Л.А., Ивченко В.П., Монастырский М.Л. Теоретические основы информационно-статистического анализа сложных систем. СПб: Лань, 1997. 320 с.

5. Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс, 2010. 312 с.

6. ГОСТ Р 51897-2011. Руководство ИСО 73:2009. Менеджмент риска. Термины и определения. Введ. 01.12.2012. М.: Стандартинформ. 16 с.

7. ISO/IEC 31000:2009. Risk management – Principles and guidelines. 15.11.2009. Geneva, International Organization for Standardization. 32 p.

8. Гвоздев А.В., Зикратов И.А., Лебедев И.С., Лапшин С.В., Соловьев И.Н. Прогнозная оценка защищенности архитектур программного обеспечения // Научно-технический вестник информационных технологий, механики и оптики. 2012. № 4(80). С. 126–130.

9. Зикратов И.А., Одегов С.В. Оценка информационной безопасности в облачных вычислениях на основе байесовского подхода // Научно-технический вестник информационных технологий, механики и оптики. 2012. № 4(80). С. 121–126.

10. Лебедев А.Н., Куприянов М.С., Недосекин Д.Д., Чернявский Е.А. Вероятностные методы в инженерных задачах: Справочник. СПб.: Энергоатомиздат, 2000. 333 с.

11. ISO/IEC 27000:2013. Information security management systems – Overview and vocabulary. 14.01.2013. Geneva, International Organization for Standardization. 34 p.

12. ISO/IEC 27001:2013. Information security management systems – Requirements. 01.10.2013. Geneva, International Organization for Standardization. 29 p.

13. ГОСТРИСО/МЭК27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.Введ. 01.01.2012. М.: Стандартинформ. 55 с.

14. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Введ. 30.11.2011. М.: Стандартинформ. 51 с.

15. ГОСТ Р ИСО/МЭК 27006-2008. Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Введ. 30.09.2009. М.: Стандартинформ. 40 с.

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License