Методика и программное средство для проведения аудита систем менеджмента информационной безопасности

Цели. Исследование проводилось с целью классификации показателей безопасности информационных систем (ИС) и создания на основе полученных результатов методики усовершенствования ранее разработанного программного средства для проведения аудита систем менеджмента информационной безопасности в организациях Республики Беларусь.
Методы. В ходе разработки и усовершенствования программного средства с помощью метода системно-информационного анализа были определены подходы к его реализации с использованием следующих возможностей: организации анкетирования руководителей подразделений и служб, специалисты которых работают с ИС, предназначенными для обработки не отнесенной к государственным секретам информации, распространение и (или) предоставление которой ограничено; оценки уровня соответствия системы защиты информации ИС организации требованиям, установленным законодательством Республики Беларусь и другими национальными нормативными правовыми актами; систематизации рекомендаций по повышению уровня соответствия системы защиты информации ИС организации установленным требованиям.
Результаты. По результатам апробации разработанного и усовершенствованного программного средства установлено, что его использование позволяет на 20–30 % сократить финансирование затрат на реализацию процесса проведения аудита систем менеджмента информационной безопасности организации.
Заключение. Разработанное и усовершенствованное программное средство по сравнению с аналогами характеризуется пониженной стоимостью ввиду следующих его свойств: простоты запуска и настройки; независимости от типа операционной системы; возможности организации как локального, так и удаленного доступа к нему. Разработанное и усовершенствованное программное средство было апробировано в филиале «Междугородная связь» РУП «Белтелеком».

1. Бойправ, В. А. Программное средство для проведения аудита системы защиты информации организации / В. А. Бойправ, В. В. Ковалев, Л. Л. Утин // Доклады БГУИР. – 2018. – № 5(115). – С. 44–49.

2. Pandey, S. K. A comparative study of risk assessment methodologies for information systems / S. K. Pandey, K. Mustafa // Bulletin of Electrical Engineering and Informatics. – 2012. – Vol. 1, no. 2. – P. 111–122.

3. Сагитова, В. В. Применение метода экспертных оценок для автоматизации аудита информационных систем персональных данных / В. В. Сагитова, В. И. Васильев // Вестник УГАТУ. – 2017. – Т. 21, № 3(73). – С. 105–112.

4. Якимова, З. В. Динамика уровня вовлеченности персонала в зависимости от стажа работы в организации / З. В. Якимова, А. С. Пушкина // АНИ: экономика и управление. – 2018. – № 1(22). – С. 283–286.

5. Information security risk assessment / I. Kuzminykh [et al.] // Encyclopedia. – 2021. – Vol. 1(3). – P. 602–617.

6. Nest, D. P. van der. The use of generalised audit software by internal audit functions in a developing country: a maturity level assessment / D. P. van der Nest, L. Smidt, D. Lubbe // Risk Governance and Control: Financial Markets & Institutions. – 2017. – Vol. 7(4–2). – P. 189–202.

7. Lehmann C. M. Integrating generalized audit software and teaching fraud detection in information systems auditing courses / C. M. Lehmann // J. of Forensic & Investigative Accounting. – 2012. – Vol. 4, iss. 1. – P. 319–368.

8. SECURQUAL: An instrument for evaluating the effectiveness of enterprise information security programs / P. J. Steinbart [et al.] // J. of Information Systems. – 2015. – Vol. 30(1). – P. 71–92.