CC BY
16
С.А. Аристов // Вестник Оренбургского Государственного Университета, 2006, №8, с.70-76.
2. Афоничкин, А.И. Управленческие решения в экономических системах /
A.И. Афоничкин, Д.Г. Михаленко. - Санкт-Петербург: Питер, 2009. - 480 с. - ISBN 978-5-388-00405-5.
З.Омельченко, П.Н. Повышение эффективности деятельности агропромышленного предприятия на основе диверсификации / П.Н. Омельченко, Т.В. Омельченко // Сборник научных трудов SWorld. - Выпуск 2. Том 29. - 2013. - С. 40-42.
4. Резникова, О. С. Анализ и оценка основных экономических показателей деятельности агропромышленных предприятий / О.С. Резникова,
B.С. Семененко // Бизнес Информ. - 2014. - № 3. - С. 77-82.
УДК 004.056.5
Останина Е.В. старший преподаватель кафедра управленческого учета и анализа
Паксеев О.Г.
Студент 4 курс, институт экономики и управления Кузбасский государственный технический университет имени Т. Ф. Горбачева Россия, г. Кемерово АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В данной статье рассматривается аудит информационной безопасности (ИБ). Дается описание видов, этапов и целей ИБ. В статье приведена обобщенная информация об аудите информационной безопасности в целом. Изложенная информация позволит оценить текущую информационную безопасность своего предприятия и принять решение о проведении аудита.
Ключевые слова: аудит информационной безопасности, аудит, информационная система, этапы аудита, виды аудита, цели аудита.
INFORMATION SECURITY AUDIT This article discusses the audit of information security (IS). A description of types, stages and objectives of IS. From an article by the customer can find summarized information on the audit of information security as a whole. Below is presented information will assess the current information security of the enterprise and decide on an audit.
Keywords: audit, information security audit, audit stages, types of audit, audit objectives.
Сегодня информационные системы (ИС) занимают одно из главных мест в работе предприятий. Их применяют для сбора, хранения, обработки и передачи информации. Для того чтобы защитить ИС от информационных атак, которые несут в себе материальные и финансовые потери, используют аудит информационной безопасности [4].
Аудит Информационной Безопасности (ИБ) - это исследование и оценка текущего состояния безопасности и защищенности информационных ресурсов и ИС предприятия, на соответствие действующим стандартам и требованиям, а также возможность формирования профессионального аудиторского суждения о состоянии ИБ предприятия [2].
При помощи аудита ИБ можно найти решение следующим задачам, например, получить независимую оценку защищённости предприятия в сфере информационной безопасности, узнать об угрозах, которые актуальны для предприятия в данный момент, а так же сформировать стратегию по усилению безопасности предприятия, при помощи разработки новых мер и средств защиты [5] ,[1].
Целями аудита информационной безопасности являются анализ возможных угроз безопасности ИС предприятия; определение текущего уровня защищенности ИС; оценка соответствия ИС законодательным требования, нормативным документам и стандартам; выработка рекомендаций по повышению эффективности существующих механизмов безопасности ИС [5].
Аудит ИБ подразделяется на следующие виды [3],[4]:
• Экспертный аудит защищенности ИС - вид аудита, в ходе которого проводится подробное исследование системы защиты ИС предприятия и сравнение её с идеальной моделью, а так же на основе опыта экспертов выявляются недостатки в системе мер защиты информации.
• Оценка соответствия рекомендациям, требованиям документов и стандартов (например, международного стандарта ISO 17799, критериям оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408-2002).
• Инструментальный анализ защищенности ИС - вид аудита направленный на исследование защищённости ИС, обнаружение и ликвидация угроз и уязвимостей программного и аппаратного обеспечения системы.
• Комплексный аудит - вид аудита, включающий в себя все формы проведения исследования ИС предприятия, перечисленные выше.
В зависимости от задач и целей, которые ставит перед собой предприятие, могут применяться любые из выше перечисленных видов аудита как по отдельности так и в комплексе.
Аудит ИБ состоит из четырёх этапов, направленных на решение определенных задач.
Первый этап это разработка регламента проведения аудита. На данном этапе разрабатывается регламент, устанавливающий состав и порядок проведения работ; проводится определение границ проведения аудита; определение рабочей группы проекта; разработка календарного плана проведения аудита и др.
Второй этап это сбор исходных данных. На данном этапе осуществляется запрос необходимой информации; проведение анкетирования и интервьюирования сотрудников; анализ бизнес-процессов и целей компании; выделение основных информационных активов; идентификация основных информационных потоков; обследование ИТ-инфраструктуры и имеющихся механизмов защиты информации; инструментальное сканирование; осмотр помещений и пр.
Третий этап это анализ полученных данных. На данном этапе проводится анализ и сведение собранных данных с целью оценки текущего уровня защищённости и выявление проблем; формализация данных в виде отчета; обучение сотрудников при необходимости.
На четвертом этапе на основе проведенного анализа проводится разработка рекомендаций по повышению уровня защищённости автоматизированной системы от угроз информационной безопасности.
Для минимизацию выявленных рисков рекомендуется:
• уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё;
• уклонение от риска путём изменения схемы информационных потоков автоматизированной системы, что позволяет исключить возможность проведения той или иной атаки;
• изменение характера риска в результате принятия мер по страхованию;
• принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для автоматизированной системы.
Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию, включающую [4],:
• описание границ, в рамках которых был проведён аудит ИБ;
• описание структуры автоматизированной системы предприятия;
• методы и средства, которые использовались в процессе аудита;
• описание выявленных уязвимостей и недостатков, включая уровень их риска;
• рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
• предложения по плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.
Аудит ИБ является наиболее эффективным инструментом для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита составляют основу для формирования стратегии развития системы обеспечения информационной безопасности предприятия. Для того чтобы аудит приносил реальную отдачу и способствовал повышению уровня информационной безопасности предприятия он должен проводиться на регулярной основе. И тогда на основании результатов аудита
ИБ, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов [4].
Использованные источники:
1. Что такое аудит информационной безопасности [Электронный ресурс]. -Режим доступа: http://www.1csoft.ru/publications/8144/5280848.html (дата обращения 06.01.2016).
2. Аудит информационной безопасности [Электронный ресурс]. - Режим доступа: http://www.pointlane.ru/security_a.html (дата обращения 04.01.2016).
3. Аудит информационной безопасности - основа эффективной защиты предприятия [Электронный ресурс]. - Режим доступа: http://dialognauka.ru/press-center/article/4753/ (дата обращения 04.01.2016).
4. Аудит информационной безопасности [Электронный ресурс]. - Режим доступа:
http://www.sovit.net/articles/methodics/information_security_audit1.html (дата обращения 05.01.2016).
5. Аудит информационной безопасности [Электронный ресурс]. - Режим доступа: http://astrum-it.ru/service.php?id=12 .html (дата обращения 04.01.2016).
УДК 330.16
Павлова О.Ю. студент, 5 курс,
Псковский филиал Санкт-Петербургского государственного
экономического университета Россия, г. Псков
ОЦЕНКА ОБЪЕКТИВНЫХ И СУБЪЕКТИВНЫХ ФАКТОРОВ СИСТЕМЫ МОТИВАЦИИ ПЕРСОНАЛА
В статье рассматривается значение человеческих ресурсов для организации серы массового питания. Приводится краткая характеристика терминологической базы, касающейся мотивации персонала, а также перечисляются этапы построения системы мотивации. Рассмотрены аспекты оценки удовлетворенности персонала для целей построения эффективной системы мотивации. В качестве примера рассматривается кафе «Кофейный дворик», г. Псков.
Ключевые слова: персонал, человеческие ресурсы, мотивация, стимулирование персонала, оценка удовлетворенности, анализ системы мотивации.
Pavlova O. Student, 5th year,
Pskov branch of the St. Petersburg State University of Economics
Russia, Pskov
