Методика и программное средство для проведения аудита систем менеджмента информационной безопасности

Цели. Исследование проводилось с целью классификации показателей безопасности информационных систем (ИС) и создания на основе полученных результатов методики усовершенствования ранее разработанного программного средства для проведения аудита систем менеджмента информационной безопасности в организациях Республики Беларусь.
Методы. В ходе разработки и усовершенствования программного средства с помощью метода системно-информационного анализа были определены подходы к его реализации с использованием следующих возможностей: организации анкетирования руководителей подразделений и служб, специалисты которых работают с ИС, предназначенными для обработки не отнесенной к государственным секретам информации, распространение и (или) предоставление которой ограничено; оценки уровня соответствия системы защиты информации ИС организации требованиям, установленным законодательством Республики Беларусь и другими национальными нормативными правовыми актами; систематизации рекомендаций по повышению уровня соответствия системы защиты информации ИС организации установленным требованиям.
Результаты. По результатам апробации разработанного и усовершенствованного программного средства установлено, что его использование позволяет на 20–30 % сократить финансирование затрат на реализацию процесса проведения аудита систем менеджмента информационной безопасности организации.
Заключение. Разработанное и усовершенствованное программное средство по сравнению с аналогами характеризуется пониженной стоимостью ввиду следующих его свойств: простоты запуска и настройки; независимости от типа операционной системы; возможности организации как локального, так и удаленного доступа к нему. Разработанное и усовершенствованное программное средство было апробировано в филиале «Междугородная связь» РУП «Белтелеком».

1. Бойправ, В. А. Программное средство для проведения аудита системы защиты информации организации / В. А. Бойправ, В. В. Ковалев, Л. Л. Утин // Доклады БГУИР. - 2018. - № 5(115). - С. 44-49.

2. Pandey, S. K. A comparative study of risk assessment methodologies for information systems / S. K. Pandey, K. Mustafa // Bulletin of Electrical Engineering and Informatics. - 2012. - Vol. 1, no. 2. - P. 111-122.

3. Сагитова, В. В. Применение метода экспертных оценок для автоматизации аудита информационных систем персональных данных / В. В. Сагитова, В. И. Васильев // Вестник УГАТУ. - 2017. - Т. 21, № 3(73). - С. 105-112.

4. Якимова, З. В. Динамика уровня вовлеченности персонала в зависимости от стажа работы в организации / З. В. Якимова, А. С. Пушкина // АНИ: экономика и управление. - 2018. - № 1(22). - С. 283-286.

5. Information security risk assessment / I. Kuzminykh [et al.] // Encyclopedia. - 2021. - Vol. 1(3). - P. 602-617.

6. Nest, D. P. van der. The use of generalised audit software by internal audit functions in a developing country: a maturity level assessment / D. P. van der Nest, L. Smidt, D. Lubbe // Risk Governance and Control: Financial Markets & Institutions. - 2017. - Vol. 7(4-2). - P. 189-202.

7. Lehmann C. M. Integrating generalized audit software and teaching fraud detection in information systems auditing courses / C. M. Lehmann // J. of Forensic & Investigative Accounting. - 2012. - Vol. 4, iss. 1. - P. 319-368.

8. SECURQUAL: An instrument for evaluating the effectiveness of enterprise information security programs / P. J. Steinbart [et al.] // J. of Information Systems. - 2015. - Vol. 30(1). - P. 71-92.