Опубликовано в журнале "Тренды и управление" в № 4 за 2014 год в рубрике "Теория и методология управления" на страницах 319-334.

Аннотация: Работа посвящена анализу технологий и разработке методов и моделей повышения эффективности аудита информационной безопасности автоматизированных систем.
Приведены методы организации аудита рассматриваемого типа, анализ основных этапов аудита системы управления информационной безопасностью, включающих комплексное обследования системы, анализ существующих рисков и выработку рекомендаций по совершенствованию системы защиты информационных ресурсов.
Поставлена и решена задача повышения эффективности организации проведения аудита информационной безопасности по критерию минимиза-ции аудиторского риска. Процесс аудита представлен как совокупность взаимосвязанных по информации и времени аудиторских процедур. Для анализа и оценки аудиторского риска введено понятие "стандартной схемы обработки аудиторских данных", в рамках которого цикл обработки данных аудита распадается на непосредственно обработку, контроль и исправление ошибочных данных либо запрос дополнительной исходной информации, не-обходимой для реализации аудиторской процедуры.
Методологическую основу исследования составляют системный, структурно-функциональный, сравнительный подходы, методы анализа, синтеза, индукции, дедукции, моделирования, наблюдения. Задача оптимизации процесса аудита состоит при этом в выборе такой технологии обработки аудиторских данных, которая обеспечивает максимум безошибочности получаемых результатов.
Приведены модели и методика анализа эффективности, обоснования и выбора проектных решений по повышению уровня информационной безо-пасности из множества возможных альтернативных вариантов с использова-нием метода векторной стратификации.

Ключевые слова: информационная безопасность, автоматизированная система, аудит, аудиторский риск, стандартная схема, контроль, проектное решение, комплексная оценка, целенаправленный выбор, векторная стратификация

DOI: 10.7256/2307-9118.2014.4.10281

Статья опубликована с лицензией Creative Commons Attribution-NonCommercial 4.0 International License (CC BY-NC 4.0) – Лицензия «С указанием авторства – Некоммерческая».

Библиография:
Левинталь А.Б. и др. Комплексное оценивание и планирование развития региона. – М.: 2006.
Павельев В.В. Формирование системы критериальных свойств при комплексной оценке сложных объектов / В кн.: Механизмы функционирования организационных систем. Вып. 29. – М.: ИПУ РАН, 1982.
Лопухин М.М. ПАТТЕРН-метод планирования и прогнозирования научных работ. – М.: Сов. Радио, 1981.
Глотов В.А., Павельев В.В. Векторная стратификация. – М.: Наука, 1984.
Подиновский В.В., Ногин В Д. Парето-оптимальные решения многокритериальных задач. – М.: Наука, 1992.
Саати Т. Принятие решений. Метод анализа иерархий.-М.: Радио и связь. 1993.
Macecrimmon K.P. Improving the system design and evaluation process by the use of trade of information: an application fourth last corridor transporta-tion planning RM 5877 – Dot // The Rand corporation. Cal.: Santa Monica. 1969.
Айзерман М.А., Малишевский А.В. Проблемы логического обоснования в общей теории выбора. Общая теория выбора и его классическо-рациональное основание. – М.: ИПУ РАН, 1980.
Управление рисками: обзор употребительных подходов. Часть II // «Jet Info», №12 (163), 2006.
Управление рисками: обзор употребительных подходов. Часть I. // «Jet Info», №11 (162), 2006.
Гладков Ю.М., Микрин Е.А., Шелков А.Б. Анализ и синтез механизмов минимизации аудиторского риска // Проблемы управления, № 2, 2007.
Шеремет А.Д., Суйц В.П. Аудит. – М.: Инфра-М, 2005.
Астахов А. Анализ защищенности корпоративных систем. // Открытые системы, №07-08, 2002.
Калашников А.О., Котухов М.М., Личманов И.А. Практические вопросы аудита состояния информационной безопасности корпоративных информационных систем. // Information Security, №3, 2004.
Павельев С.В. Методы и критерии комплексной оценки интегрального уровня безопасности информационных активов компании. // Труды XI Международной конференции по проблемам управления безопасностью сложных систем. Часть 1.-М.: ИПУ РАН, 2003.
Галатенко В. Стандарты информационной безопасности.-М.: Интуит.Ру, 2004.
Информационная безопасность систем организационного управления. Теоретические основы: в 2 т. // под ред. Н.А. Кузнецова, В.В. Кульбы. – М.: Наука 2006.
Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты.-М.: ООО «ТИД «ДС»», 2002.
Кульба В.В., Ковалевский С.С., Шелков А.Б. Достоверность и сохранность информации в АСУ. Издание второе. Серия «Информационные технологии». – М.: СИНТЕГ, 2003.

Правильная ссылка на статью:
просто выделите текст ссылки и скопируйте в буфер обмена
Шелков А.Б., Шульц В.Л., Кульба В.В. Аудит информационной безопасности автоматизированных систем управления. // Тренды и управление. - 2014. - № 4. - C. 319-334. DOI: 10.7256/2307-9118.2014.4.10281