Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Тренды и управление
Правильная ссылка на статью:

Шелков А.Б., Шульц В.Л., Кульба В.В. Аудит информационной безопасности автоматизированных систем управления

Аннотация: Работа посвящена анализу технологий и разработке методов и моделей повышения эффективности аудита информационной безопасности автоматизированных систем. Приведены методы организации аудита рассматриваемого типа, анализ основных этапов аудита системы управления информационной безопасностью, включающих комплексное обследования системы, анализ существующих рисков и выработку рекомендаций по совершенствованию системы защиты информационных ресурсов. Поставлена и решена задача повышения эффективности организации проведения аудита информационной безопасности по критерию минимиза-ции аудиторского риска. Процесс аудита представлен как совокупность взаимосвязанных по информации и времени аудиторских процедур. Для анализа и оценки аудиторского риска введено понятие "стандартной схемы обработки аудиторских данных", в рамках которого цикл обработки данных аудита распадается на непосредственно обработку, контроль и исправление ошибочных данных либо запрос дополнительной исходной информации, не-обходимой для реализации аудиторской процедуры. Методологическую основу исследования составляют системный, структурно-функциональный, сравнительный подходы, методы анализа, синтеза, индукции, дедукции, моделирования, наблюдения. Задача оптимизации процесса аудита состоит при этом в выборе такой технологии обработки аудиторских данных, которая обеспечивает максимум безошибочности получаемых результатов. Приведены модели и методика анализа эффективности, обоснования и выбора проектных решений по повышению уровня информационной безо-пасности из множества возможных альтернативных вариантов с использова-нием метода векторной стратификации.


Ключевые слова:

информационная безопасность, автоматизированная система, аудит, аудиторский риск, стандартная схема, контроль, проектное решение, комплексная оценка, целенаправленный выбор, векторная стратификация

Abstract: This work focuses on analyzing technologies and development of models and methods for increasing the efficiency of information security audit of automated systems. The authors list the methods for information security audit, as well as describe the major stages of information security control system audit, including comprehensive examination of the system, analysis of existing risks and developing recommendations list for improving information resource security systems. The authors raised and solved the problem of increasing efficiency of organizing information security audit while minimizing audit risks. The audit process is presented as a set of audit procedures, interrelated via time and information. To analyze and evaluate audit risk, the authors introduce the definition of “standard pattern of audit data processing”, according to which the audit data processing is divided into processing itself, error control and correction, or, failing that, requesting additional base information necessary for the completion of the audit. The article’s methodology basis consists of the systematic method, the structural and functional method, the comparative approach, analysis, synthesis, induction, deduction, modeling and observation approaches. The task of optimizing the audit process involves making the right choices regarding information processing technologies for audit data, which would ensure minimal errors in results. The authors offer models and methods of efficiency analysis, substantiation and choice for design solutions to enhance information security, using vector stratification to pick the right solution out of the multitude of alternatives.


Keywords:

information security, automated system, audit, audit risk, standard pattern, control, design solution, comprehensive evaluation, targeted selection, vector stratification


Эта статья может быть бесплатно загружена в формате PDF для чтения. Обращаем ваше внимание на необходимость соблюдения авторских прав, указания библиографической ссылки на статью при цитировании.

Скачать статью

Библиография
1. Левинталь А.Б. и др. Комплексное оценивание и планирование развития региона. – М.: 2006.
2. Павельев В.В. Формирование системы критериальных свойств при комплексной оценке сложных объектов / В кн.: Механизмы функционирования организационных систем. Вып. 29. – М.: ИПУ РАН, 1982.
3. Лопухин М.М. ПАТТЕРН-метод планирования и прогнозирования научных работ. – М.: Сов. Радио, 1981.
4. Глотов В.А., Павельев В.В. Векторная стратификация. – М.: Наука, 1984.
5. Подиновский В.В., Ногин В Д. Парето-оптимальные решения многокритериальных задач. – М.: Наука, 1992.
6. Саати Т. Принятие решений. Метод анализа иерархий.-М.: Радио и связь. 1993.
7. Macecrimmon K.P. Improving the system design and evaluation process by the use of trade of information: an application fourth last corridor transporta-tion planning RM 5877 – Dot // The Rand corporation. Cal.: Santa Monica. 1969.
8. Айзерман М.А., Малишевский А.В. Проблемы логического обоснования в общей теории выбора. Общая теория выбора и его классическо-рациональное основание. – М.: ИПУ РАН, 1980.
9. Управление рисками: обзор употребительных подходов. Часть II // «Jet Info», №12 (163), 2006.
10. Управление рисками: обзор употребительных подходов. Часть I. // «Jet Info», №11 (162), 2006.
11. Гладков Ю.М., Микрин Е.А., Шелков А.Б. Анализ и синтез механизмов минимизации аудиторского риска // Проблемы управления, № 2, 2007.
12. Шеремет А.Д., Суйц В.П. Аудит. – М.: Инфра-М, 2005.
13. Астахов А. Анализ защищенности корпоративных систем. // Открытые системы, №07-08, 2002.
14. Калашников А.О., Котухов М.М., Личманов И.А. Практические вопросы аудита состояния информационной безопасности корпоративных информационных систем. // Information Security, №3, 2004.
15. Павельев С.В. Методы и критерии комплексной оценки интегрального уровня безопасности информационных активов компании. // Труды XI Международной конференции по проблемам управления безопасностью сложных систем. Часть 1.-М.: ИПУ РАН, 2003.
16. Галатенко В. Стандарты информационной безопасности.-М.: Интуит.Ру, 2004.
17. Информационная безопасность систем организационного управления. Теоретические основы: в 2 т. // под ред. Н.А. Кузнецова, В.В. Кульбы. – М.: Наука 2006.
18. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты.-М.: ООО «ТИД «ДС»», 2002.
19. Кульба В.В., Ковалевский С.С., Шелков А.Б. Достоверность и сохранность информации в АСУ. Издание второе. Серия «Информационные технологии». – М.: СИНТЕГ, 2003.
References
1. Levintal' A.B. i dr. Kompleksnoe otsenivanie i planirovanie razvitiya regiona. – M.: 2006.
2. Pavel'ev V.V. Formirovanie sistemy kriterial'nykh svoystv pri kompleksnoy otsenke slozhnykh ob'ektov / V kn.: Mekhanizmy funktsionirovaniya organizatsionnykh sistem. Vyp. 29. – M.: IPU RAN, 1982.
3. Lopukhin M.M. PATTERN-metod planirovaniya i prognozirovaniya nauchnykh rabot. – M.: Sov. Radio, 1981.
4. Glotov V.A., Pavel'ev V.V. Vektornaya stratifikatsiya. – M.: Nauka, 1984.
5. Podinovskiy V.V., Nogin V D. Pareto-optimal'nye resheniya mnogokriterial'nykh zadach. – M.: Nauka, 1992.
6. Saati T. Prinyatie resheniy. Metod analiza ierarkhiy.-M.: Radio i svyaz'. 1993.
7. Macecrimmon K.P. Improving the system design and evaluation process by the use of trade of information: an application fourth last corridor transporta-tion planning RM 5877 – Dot // The Rand corporation. Cal.: Santa Monica. 1969.
8. Ayzerman M.A., Malishevskiy A.V. Problemy logicheskogo obosnovaniya v obshchey teorii vybora. Obshchaya teoriya vybora i ego klassichesko-ratsional'noe osnovanie. – M.: IPU RAN, 1980.
9. Upravlenie riskami: obzor upotrebitel'nykh podkhodov. Chast' II // «Jet Info», №12 (163), 2006.
10. Upravlenie riskami: obzor upotrebitel'nykh podkhodov. Chast' I. // «Jet Info», №11 (162), 2006.
11. Gladkov Yu.M., Mikrin E.A., Shelkov A.B. Analiz i sintez mekhanizmov minimizatsii auditorskogo riska // Problemy upravleniya, № 2, 2007.
12. Sheremet A.D., Suyts V.P. Audit. – M.: Infra-M, 2005.
13. Astakhov A. Analiz zashchishchennosti korporativnykh sistem. // Otkrytye sistemy, №07-08, 2002.
14. Kalashnikov A.O., Kotukhov M.M., Lichmanov I.A. Prakticheskie voprosy audita sostoyaniya informatsionnoy bezopasnosti korporativnykh informatsionnykh sistem. // Information Security, №3, 2004.
15. Pavel'ev S.V. Metody i kriterii kompleksnoy otsenki integral'nogo urovnya bezopasnosti informatsionnykh aktivov kompanii. // Trudy XI Mezhdunarodnoy konferentsii po problemam upravleniya bezopasnost'yu slozhnykh sistem. Chast' 1.-M.: IPU RAN, 2003.
16. Galatenko V. Standarty informatsionnoy bezopasnosti.-M.: Intuit.Ru, 2004.
17. Informatsionnaya bezopasnost' sistem organizatsionnogo upravleniya. Teoreticheskie osnovy: v 2 t. // pod red. N.A. Kuznetsova, V.V. Kul'by. – M.: Nauka 2006.
18. Domarev V.V. Bezopasnost' informatsionnykh tekhnologiy. Metodologiya sozdaniya sistem zashchity.-M.: OOO «TID «DS»», 2002.
19. Kul'ba V.V., Kovalevskiy S.S., Shelkov A.B. Dostovernost' i sokhrannost' informatsii v ASU. Izdanie vtoroe. Seriya «Informatsionnye tekhnologii». – M.: SINTEG, 2003.