Правильная ссылка на статью:
Шелков А.Б., Шульц В.Л., Кульба В.В..
Аудит информационной безопасности автоматизированных систем управления
// Тренды и управление.
2014. № 4.
С. 319-334.
DOI: 10.7256/2454-0730.2014.4.65509 URL: https://nbpublish.com/library_read_article.php?id=65509
Аннотация:
Работа посвящена анализу технологий и разработке методов и моделей повышения эффективности аудита информационной безопасности автоматизированных систем. Приведены методы организации аудита рассматриваемого типа, анализ основных этапов аудита системы управления информационной безопасностью, включающих комплексное обследования системы, анализ существующих рисков и выработку рекомендаций по совершенствованию системы защиты информационных ресурсов. Поставлена и решена задача повышения эффективности организации проведения аудита информационной безопасности по критерию минимиза-ции аудиторского риска. Процесс аудита представлен как совокупность взаимосвязанных по информации и времени аудиторских процедур. Для анализа и оценки аудиторского риска введено понятие "стандартной схемы обработки аудиторских данных", в рамках которого цикл обработки данных аудита распадается на непосредственно обработку, контроль и исправление ошибочных данных либо запрос дополнительной исходной информации, не-обходимой для реализации аудиторской процедуры. Методологическую основу исследования составляют системный, структурно-функциональный, сравнительный подходы, методы анализа, синтеза, индукции, дедукции, моделирования, наблюдения. Задача оптимизации процесса аудита состоит при этом в выборе такой технологии обработки аудиторских данных, которая обеспечивает максимум безошибочности получаемых результатов. Приведены модели и методика анализа эффективности, обоснования и выбора проектных решений по повышению уровня информационной безо-пасности из множества возможных альтернативных вариантов с использова-нием метода векторной стратификации.
Ключевые слова:
информационная безопасность, автоматизированная система, аудит, аудиторский риск, стандартная схема, контроль, проектное решение, комплексная оценка, целенаправленный выбор, векторная стратификация
Abstract:
This work focuses on analyzing technologies and development of models and methods for increasing the
efficiency of information security audit of automated systems. The authors list the methods for information security
audit, as well as describe the major stages of information security control system audit, including comprehensive
examination of the system, analysis of existing risks and developing recommendations list for improving information
resource security systems. The authors raised and solved the problem of increasing efficiency of organizing information
security audit while minimizing audit risks. The audit process is presented as a set of audit procedures, interrelated
via time and information. To analyze and evaluate audit risk, the authors introduce the definition of “standard pattern
of audit data processing”, according to which the audit data processing is divided into processing itself, error
control and correction, or, failing that, requesting additional base information necessary for the completion of the
audit. The article’s methodology basis consists of the systematic method, the structural and functional method, the
comparative approach, analysis, synthesis, induction, deduction, modeling and observation approaches. The task
of optimizing the audit process involves making the right choices regarding information processing technologies
for audit data, which would ensure minimal errors in results. The authors offer models and methods of efficiency
analysis, substantiation and choice for design solutions to enhance information security, using vector stratification
to pick the right solution out of the multitude of alternatives.
Keywords:
information security, automated system, audit, audit risk, standard pattern, control, design solution, comprehensive evaluation, targeted selection, vector stratification