<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">inform</journal-id><journal-title-group><journal-title xml:lang="ru">Информатика</journal-title><trans-title-group xml:lang="en"><trans-title>Informatics</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">1816-0301</issn><issn pub-type="epub">2617-6963</issn><publisher><publisher-name>UIIP NASB</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.37661/1816-0301-2022-19-4-42-52</article-id><article-id custom-type="elpub" pub-id-type="custom">inform-1227</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ЗАЩИТА ИНФОРМАЦИИ И НАДЕЖНОСТЬ СИСТЕМ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION PROTECTION AND SYSTEM RELIABILITY</subject></subj-group></article-categories><title-group><article-title>Методика и программное средство для проведения аудита систем менеджмента информационной безопасности</article-title><trans-title-group xml:lang="en"><trans-title>Methodology and software development for auditing information security management systems</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Бойправ</surname><given-names>В. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Boiprav</surname><given-names>V. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Бойправ Владимир Андреевич, заместитель директора по общим вопросам</p><p>ул. Некрасова, 3, Минск, 220040</p></bio><bio xml:lang="en"><p>Vladimir A. Boiprav, Deputy Director for General Affairs</p><p>st. Nekrasova, 3, Minsk, 220040</p></bio><email xlink:type="simple">name_abs@rambler.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Утин</surname><given-names>Л. Л.</given-names></name><name name-style="western" xml:lang="en"><surname>Utin</surname><given-names>L. L.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Утин Леонид Львович, кандидат технических наук, до-цент, заместитель начальника военного факультета по учебной и научной работе – первый заместитель начальника</p><p>ул. П. Бровки, 6, Минск, 220013</p></bio><bio xml:lang="en"><p>Leonid L. Utin, Ph. D. (Eng.), Associate Professor, Deputy Head of the Military Faculty for Educational and Scientific Work – First Deputy Head</p><p>st. P. Brovki, 6, Minsk, 220013</p></bio><email xlink:type="simple">utin@bsuir.by</email><xref ref-type="aff" rid="aff-2"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Национальный центр современных искусств Республики Беларусь</institution></aff><aff xml:lang="en"><institution>National Center for Contemporary Arts of the Republic of Belarus</institution></aff></aff-alternatives><aff-alternatives id="aff-2"><aff xml:lang="ru"><institution>Белорусский государственный университет информатики и радиоэлектроники</institution></aff><aff xml:lang="en"><institution>Belarusian State University of Informatics and Radioelectronics</institution></aff></aff-alternatives><pub-date pub-type="collection"><year>2022</year></pub-date><pub-date pub-type="epub"><day>03</day><month>11</month><year>2022</year></pub-date><volume>19</volume><issue>4</issue><fpage>42</fpage><lpage>52</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Бойправ В.А., Утин Л.Л., 2022</copyright-statement><copyright-year>2022</copyright-year><copyright-holder xml:lang="ru">Бойправ В.А., Утин Л.Л.</copyright-holder><copyright-holder xml:lang="en">Boiprav V.A., Utin L.L.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://inf.grid.by/jour/article/view/1227">https://inf.grid.by/jour/article/view/1227</self-uri><abstract><p>Цели. Исследование проводилось с целью классификации показателей безопасности информационных систем (ИС) и создания на основе полученных результатов методики усовершенствования ранее разработанного программного средства для проведения аудита систем менеджмента информационной безопасности в организациях Республики Беларусь.Методы. В ходе разработки и усовершенствования программного средства с помощью метода системно-информационного анализа были определены подходы к его реализации с использованием следующих возможностей: организации анкетирования руководителей подразделений и служб, специалисты которых работают с ИС, предназначенными для обработки не отнесенной к государственным секретам информации, распространение и (или) предоставление которой ограничено; оценки уровня соответствия системы защиты информации ИС организации требованиям, установленным законодательством Республики Беларусь и другими национальными нормативными правовыми актами; систематизации рекомендаций по повышению уровня соответствия системы защиты информации ИС организации установленным требованиям.Результаты. По результатам апробации разработанного и усовершенствованного программного средства установлено, что его использование позволяет на 20–30 % сократить финансирование затрат на реализацию процесса проведения аудита систем менеджмента информационной безопасности организации.Заключение. Разработанное и усовершенствованное программное средство по сравнению с аналогами характеризуется пониженной стоимостью ввиду следующих его свойств: простоты запуска и настройки; независимости от типа операционной системы; возможности организации как локального, так и удаленного доступа к нему. Разработанное и усовершенствованное программное средство было апробировано в филиале «Междугородная связь» РУП «Белтелеком».</p></abstract><trans-abstract xml:lang="en"><p>Objectives. Classification of information systems (IS) security indicators and the creation of the method of improved software tool based on its results (in comparison with similar software tool developed earlier by the authors) for auditing information security management systems of organizations in the Republic of Belarus.Methods. During the development and improvement of the software tool using the method of systeminformation analysis and the approaches to its implementation were identified based on following capabilities: organization of questionnaires of heads of departments and services whose specialists work with IS designed to information processing not classified as state secrets or IS with limited dissemination; assessment of the level of compliance of the organization's IS information protection system with the requirements established by the legislation of the Republic of Belarus and other national regulatory legal acts; systematization of recommendations for improving the level of compliance of the organization's IS protection system with the established requirements.Results. Based on the results of the developed improved software tool approbation, it was found that the use of this tool makes it possible to reduce by 20–30 % the financing of costs for the implementation of the auditing the information security management systems of an organization.Conclusion. The developed improved software tool, compared to analogues, is characterized by reduced cost due to the following properties: ease of launch and configuration; independence from the type of operating system; the possibility of organizing both local and remote access. The developed improved software tool was tested in the branch "Long-Distance Communication Branch" of RUE "Beletelecom".</p></trans-abstract><kwd-group xml:lang="ru"><kwd>аудит системы менеджмента</kwd><kwd>информационная безопасность</kwd><kwd>информационная система</kwd><kwd>показатели безопасности</kwd><kwd>программное средство</kwd></kwd-group><kwd-group xml:lang="en"><kwd>management system audit</kwd><kwd>information security</kwd><kwd>information system</kwd><kwd>security indicator</kwd><kwd>software tool</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Бойправ, В. А. Программное средство для проведения аудита системы защиты информации организации / В. А. Бойправ, В. В. Ковалев, Л. Л. Утин // Доклады БГУИР. – 2018. – № 5(115). – С. 44–49.</mixed-citation><mixed-citation xml:lang="en">Boiprav V. A., Kovalev V. V., Utin L. L. Software for audit of information protection system of the organization. Doklady Belorusskogo gosudarstvennogo universiteta informatiki i radioèlektroniki [Reports of the Belarusian State University of Informatics and Radioelectronics], 2018, № 5(115), рр. 44–49 (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Pandey, S. K. A comparative study of risk assessment methodologies for information systems / S. K. Pandey, K. Mustafa // Bulletin of Electrical Engineering and Informatics. – 2012. – Vol. 1, no. 2. – P. 111–122.</mixed-citation><mixed-citation xml:lang="en">Pandey S. K., Mustafa K. A comparative study of risk assessment methodologies for information systems. Bulletin of Electrical Engineering and Informatics, 2012, vol. 1, no. 2, рр. 111–122.</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Сагитова, В. В. Применение метода экспертных оценок для автоматизации аудита информационных систем персональных данных / В. В. Сагитова, В. И. Васильев // Вестник УГАТУ. – 2017. – Т. 21, № 3(73). – С. 105–112.</mixed-citation><mixed-citation xml:lang="en">Sagitova V. V., Vasil'ev V. I. Application of the method of expert assessments to automate the audit of personal data information systems. Vestnik Ufimskogo gosudarstvennogo aviacionnogo tehnicheskogo universiteta [Bulletin of the Ufa State Aviation Technical University], 2017, vol. 21, no. 3(73), рр. 105–112 (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Якимова, З. В. Динамика уровня вовлеченности персонала в зависимости от стажа работы в организации / З. В. Якимова, А. С. Пушкина // АНИ: экономика и управление. – 2018. – № 1(22). – С. 283–286.</mixed-citation><mixed-citation xml:lang="en">Yakimova Z. V., Pushkina A. S. Dynamics of the level of personnel involvement depending on the length of service in the organization. Azimut nauchnyh issledovanij: jekonomika i upravlenie [Azimuth of Scientific Research: Economics and Management], 2018, no. 1(22), рp. 283–286 (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Information security risk assessment / I. Kuzminykh [et al.] // Encyclopedia. – 2021. – Vol. 1(3). – P. 602–617.</mixed-citation><mixed-citation xml:lang="en">Kuzminykh I., Ghita B., Sokolov V., Bakhshi T. Information security risk assessment. Encyclopedia, 2021, vol. 1(3), рр. 602–617.</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Nest, D. P. van der. The use of generalised audit software by internal audit functions in a developing country: a maturity level assessment / D. P. van der Nest, L. Smidt, D. Lubbe // Risk Governance and Control: Financial Markets &amp; Institutions. – 2017. – Vol. 7(4–2). – P. 189–202.</mixed-citation><mixed-citation xml:lang="en">Nest D. P. van der, Smidt L., Lubbe D. The use of generalised audit software by internal audit functions in a developing country: a maturity level assessment. Risk Governance and Control: Financial Markets &amp; Institutions, 2017, vol. 7(4–2), рр. 189–202.</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Lehmann C. M. Integrating generalized audit software and teaching fraud detection in information systems auditing courses / C. M. Lehmann // J. of Forensic &amp; Investigative Accounting. – 2012. – Vol. 4, iss. 1. – P. 319–368.</mixed-citation><mixed-citation xml:lang="en">Lehmann C. M. Integrating generalized audit software and teaching fraud detection in information systems auditing courses. Journal of Forensic &amp; Investigative Accounting, 2012, vol. 4, iss. 1, рр. 319–368.</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">SECURQUAL: An instrument for evaluating the effectiveness of enterprise information security programs / P. J. Steinbart [et al.] // J. of Information Systems. – 2015. – Vol. 30(1). – P. 71–92.</mixed-citation><mixed-citation xml:lang="en">Steinbart P. J., Gal G., Dilla W. N., Raschke R. L. SECURQUAL: An instrument for evaluating the effectiveness of enterprise information security programs. Journal of Information Systems, 2015, vol. 30(1), рр. 71–92.</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
