Оптимизация мероприятий аудита системы менеджмента информационной безопасности
Abstract
Эффективность аудита систем менеджмента информационной безопасности определяется отношением достигнутых показателей качества к затраченным ресурсам. Разработка методов и методик, позволяющих повысить эффективность аудита, является актуальной задачей. Предложенная авторами методика на основе модели динамики показателя качества системы позволяет оптимально распределять временные (материальные) ресурсыпо этапам аудита. Достоинство методики заключается в снижении временных (стоимостных) затрат аудита на 10–15% или в повышении качества оценивания.
Keywords:
информационная безопасность – information security; аудит систем менеджмента информационной безопасности – ISMS audit, audit planning; оптимальное планирование мероприятий аудита – optimum scheduling of audit measures.
References
1. ISO/IEC 27000:2013. Information security management systems. Overview and vocabulary (Система менеджмента информационной безопасности. Общий обзор и терминология). Международный Стандарт. Первое издание. 2013-01-14. – 25 с.
2. ISO/IEC 19011:2011. Руководство по аудиту систем менеджмента. Международный Стандарт. Второе издание. 2011-11-11. – 44 с.
3. Аксенов В.В. Аудит системы менеджмента информационной безопасности. Руководство. 2012 г. [Электронный ресурс]. – Режим доступа: http://itsec.by/, свободный. – Загл. с экрана.
4. ISO/IEC 27007:2011. Информационные технологии. Методы и средства обеспечения безопасности. Руководящие указания по аудиту систем менеджмента информационной безопасности. Международный Стандарт. Первое издание. 2011-11-14. – 27 с.
5. Мартыщенко Л.А., Ивченко В.П., Монастырский М.Л. Теоретические основы информационно-статистического анализа сложных систем. – СПб: Лань, 1997. – 320 с.
6. Астахов А.М. Искусство управления информационными рисками. – М.: ДМК-Пресс, 2010. – 314 с.
7. ГОСТ Р 51897–2011. Руководство ИСО 73:2009 Менеджмент риска. Термины и определения. Введ. 01.12.2012. М.: Госстандарт России. – 16 с.
8. ISO/IEC 31000:2009 Риск Менеджмент – Принципы и руководства. Международный Стандарт. Первое издание. 2009-11-15. – 32 с.
9. ГОСТ Р ИСО/МЭК 27005–2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Введ. 30.11.2011. – М.: Госстандарт России. – 51 с.
10. Гвоздев А.В., Зикратов И.А., Лебедев И.С., Лапшин С.В., Соловьев И.Н. Прогнозная оценка защищенности архитектур программного обеспечения // Научно-технический вестник информационных технологий, механики и оптики. – 2012. – № 4 (80). – С. 126–130.
11. Лебедев А.Н., Куприянов М.С., Недосекин Д.Д., Чернявский Е.А. Вероятностные методы в инженерных задачах: Справочник. – СПб: Энергоатомиздат. Санкт-Петербургское отделение, 2000. – 333 с.
12. Зикратов И.А., Одегов С.В. Оценка информационной безопасности в облачных вычислениях на основе байесовского подхода // Научно-технический вестник информационных технологий, механики и оптики. – 2012. – № 4 (80). – С. 121–126.
13. ISO/IEC 27001:2013. Information security management systems. Requirements. Система менеджмента информационной безопасности. Требования. Международный Стандарт. Первое издание. 2013-09-25. – 23 с.
14. ГОСТ Р ИСО/МЭК 27004–2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Введ. 01.01.2012. – М.: Госстандарт России. – 62 с.
15. ГОСТ Р ИСО/МЭК 27006–2008. Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Введ. 30.09.2009. – М.: Госстандарт России. – 40 с.