CC BY
11
ИНФОРМАЦИОННЫЕ СИСТЕМЫ СОЗДАНИЯ ФУНКЦИОНАЛЬНЫХ НАНОМАТЕРИАЛОВ
INFORMATION SYSTEMS OF DEVELOPMENT OF FUNCTIONAL NANOMATERIALS
05.13.19 МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ,
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
INFORMATION SECURITY
DOI: 10.33693/2313-223X-2020-7-1-57-62
УДК 004.056
Определение весомости аудиторских свидетельств
методом бальных оценок при аудите информационной безопасности1
В.А. Воеводин3 ©, М.С. Маркина'3 ©, П.В. Маркин' ©
Научно-исследовательский университет «Московский институт электронной техники» (МИЭТ), г. Москва, Российская Федерация
a E-mail: vva541@mail.ru b E-mail: markina_mariya97@mail.ru c E-mail: mrkinp@mail.ru
Аннотация. Информационные системы высокотехнологичных предприятий, разрабатывающих и выпускающих наукоемкую продукцию, в том числе продукцию и услуги в основе которых лежат нанотехнологии, характеризуются большими объемами динамичных информационных потоков и требуют защиты конфиденциальности, доступности и целостности циркулирующей в них информации. Для защиты информации выделяется соответствующий ресурс, который распределяется по задачам и времени по решению соответствующего органа управления. Принятие такого решения, требует информацию о текущей обстановке информационной безопасности - достоверное и полное аудиторское заключение. Для формулирования заключения организуется и проводится аудит информационной безопасности.
Для исследования проблемы был проведен ретроспективный анализ развития целеполагания при управлении программой аудита выработан облик эталонной модели объекта аудита, как совокупности взаимоувязанных свойств объекта аудита, и выдвинута научная гипотеза о целесообразности при управлении программой аудита учитывать вес каждого свидетельства аудита и себестоимость его добывания, приводятся математические модели обработки экспертных суждений. Для доказательства гипотезы был спланирован и проведен эксперимент, в результате которого были получены данные, подтверждающие гипотезу. Приведен практический пример применения метода для определения весомости свидетельств аудита с учетом их себестоимости. Обозначено направление дальнейшего исследования.
Ключевые слова: аудит, информационная безопасность, аудиторское свидетельство, метод бальных оценок
f ^
ССЫЛКА НА СТАТЬЮ: Воеводин В.А., Маркина М.С., Маркин П.В. Определение весомости аудиторских свидетельств методом бальных оценок при аудите информационной безопасности // Computational nanotechnology. 2020. Т. 7. № 1. С. 57-62. DOI: 10.33693/2313-223X-2020-7-1-57-62
V J
1 Материалы публикации подготовлены с использованием гранта Благотворительного фонда Владимира Потанина.
ИНФОРМАЦИОННЫЕ СИСТЕМЫ СОЗДАНИЯ ФУНКЦИОНАЛЬНЫХ НАНОМАТЕРИАЛОВ МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 05.13.19
DOI: 10.33693/2313-223Х-2020-7-1-57-62
Determination of the weight of audit evidence by the method of point ratings in the information security audit
V.A. Voevodina ©, M.S. Markinab ©, P.V. Markinc ©
National Research University of Electronic Technology (MIET) Moscow, Russian Federation
a E-mail: vva541@mail.ru b E-mail: markina_mariya97@mail.ru c E-mail: mrkinp@mail.ru
Abstract. Information systems of high-tech enterprises that develop and produce high-tech products, including products and services based on nanotechnology, are characterized by large volumes of dynamic information flows and require protection of confidentiality, availability and integrity of information circulating in them. To protect information, an appropriate resource is allocated, which is distributed by tasks and time according to the decision of the appropriate management body. Making such a decision requires information about the current information security environment - a reliable and complete audit report. An information security audit is organized and conducted to formulate a conclusion.
To study the problem, a retrospective analysis of the development of goal-setting in the management of the audit program was conducted. The appearance of the reference model of the audit object as a set of interrelated properties of the audit object was developed, and a scientific hypothesis was put forward about the expediency of taking into account the weight of each audit certificate and the cost of obtaining it, mathematical models for processing expert judgments are given. To prove the hypothesis, an experiment was planned and conducted, which resulted in data confirming the hypothesis. A practical example of using the method to determine the weight of audit evidence, taking into account their cost, is given. The direction of further research is indicated.
Key words: audit, information security, audit certificate, the method of score assessments
FOR CITATION: Voevodin V.A., Markina M.S., Markin P.V. Determination of the weight of audit evidence by the method of point ratings in the information security audit. Computational nanotechnology. 2020. Vol. 7. No. 1. Pp. 57-62. (In Russ.) DOI: 10.33693/2313-223X-2020-7-1-57-62
ВВЕДЕНИЕ
Лицу, принимающему решение в той или иной области деятельности необходима управленческая информация, которая достоверно отображает состояние объекта управления и окружающей среды. Однако, на момент принятия решения, лицо, принимающее решения, находится в состоянии информационной неопределенности, так как он такой информацией не располагает и может строить свою стратегию только на догадках и интуиции, что приводит к необоснованному решению и, чаще, неэффективному. Для того чтобы обосновать свое решение данное лицо вынуждено принимать меры по добыванию недостающей информации, на что расходуется управленческий ресурс.
Проблема - в каком соотношении распределить управленческий ресурс между процессами добывания требуемой информации и реализацией принятого решения. На данный момент эта проблема не решена и ждет своего исследователя. Таким образом, лицо, принимающее решения, в силу интуиции и опыта, осознает проблему и готово выделить ресурс для добывания недостающей информации для принятия решения об эффективном применении ресурса.
Особую актуальность эта задача приобретает в высокотехнологичных областях, когда подготовку аудиторских групп
возможно провести только на модели соответствующей информационной системы.
Таким образом, для принятия решения по применению сил и средств информационной безопасности органам управления защитой информации требуются достоверные и полные сведения о сложившейся обстановке и о прогнозе ее развития. Цель и перечень мероприятий по управлению защитой информации приведен в [1]. Для добывания таких сведений организуется аудит информационной безопасности [2, ст. 3.1], рекомендации по его организации содержатся в [1; 2; 3]. В соответствии с [2: 5, 10, 11] важным и самостоятельным этапом организации аудита информационной безопасности является разработка, сопровождение (управление) программы аудита [2, ст. 3.4]. Целью исследования является описание принципов оценки весомости аудиторских свидетельств на основе обработки бальных оценок.
МЕТОДОЛОГИЯ
В основе проведения аудита информационной безопасности лежат экспертные методы, к которым относятся: метод ассоциаций, метод парных сравнений, метод векторов предпочтений, метод бальных оценок, метод средней точки и так далее. К преимуществам метода бальных оценок,
Воеводин В.А., Маркина М.С., Маркин П.В.
рассматриваемого в данной статье, относятся доступность для экспертов, универсальность применения и удобство обработки полученных оценок.
СВИДЕТЕЛЬСТВА АУДИТА,
ИХ ЗНАЧИМОСТЬ И КЛАССИФИКАЦИЯ
Объект аудита проявляет себя через бесконечное множество свойств, среди которых есть существенные, которые адекватно характеризуют объект аудита [4] и потенциально могут наблюдаться (измеряться) аудиторами и отображаться в виде объективных свидетельств аудита [2, ст. 3.8]. Результаты наблюдений обрабатываются и на их основе выводится заключение аудита [2, ст. 10, 11], которое используется при принятии решения по обеспечению защиты информации. Учитывая ограничения на ресурсы, выделенные для аудита информационной безопасности следует, что все множество существенных свойств не может быть обследовано, поэтому перед органами управления аудита информационной безопасности возникает проблема выбора из множества существенных наиболее информативных (полезных для вывода заключения аудита) и вместе с тем, с низкой себестоимостью их добывания [2: 4]. Задача сводится к обоснованию области аудита информационной безопасности [2, ст. 3.5, 9, 10].
В основе выбора лежит гипотеза о том, что свидетельства аудита обладают разной весомостью (полезностью) для вывода заключения аудита, что в общих чертах отражено в [2: 5.1] - «Приоритет при аудите должен быть отдан выделению ресурсов и выбору методов для элементов системы менеджмента с более высоким уровнем риска и более низким уровнем показателей деятельности». Однако, как осуществлять такой выбор в [2] ничего не говорится.
В развитии подходов аудита информационной безопасности можно выделить три исторических этапа, суть которых отражена в редакциях стандарта ISO 19011 - редакции 2003, 2012 и 2018 гг., причем ISO 19011-2018 к моменту написания статьи не имеет официального перевода и не принят в качестве национального стандарта. Стандарты по организации аудита информационной безопасности [3; 5], в них в большей мере содержатся рекомендации «что необходимо сделать?», ответ на вопрос «как это сделать?» остается за рамками содержания.
Ретроспективный анализ развития целеполагания аудита, позволяет утверждать, что целеполагание аудита развивалось от оценки соответствия объекта аудита неким, наперед заданным требованиям, к оценке способности обеспечить
результативность системы управления защитой информации. В новой редакции ISO 19011 вводится понятие риска, и необходимость оценки обстановки по защите информации через оценку риска и соответствия его, наперед заданному, пороговому риску (рискаппетиту).
Для оценки рисков информационной безопасности требуется адекватная оценка весомости свидетельств аудита и себестоимости их добывания, что еще раз подтверждает актуальность темы исследования.
В соответствии с [1] представляется возможным выделить три группы свидетельств аудита, которые в комплексе адекватно характеризуют объект аудита: мероприятия по защите информации, условия функционирования, способы применения сил и средств информационной безопасности.
Таким образом, для организации и проведения аудита информационной безопасности выделяются соответствующие силы и средства, которые применяются в соответствии с программой аудита. Программа аудита представляет собой совокупность, увязанных единой целью, свидетельств аудита, каналов их измерения (наблюдения), критериев аудита [2, ст. 3.7, 8, 9].
Свидетельства аудита по типу неопределенности классифицируются как детерминированные, которые можно объективно измерить средствами измерений, имеющие стохастическую природу, для которых имеется репрезентативная статистика и принципиально возможно определение статистических закономерностей и с неопределенностью нестохастической, в том числе поведенческой природы неопределенности. Классификация свидетельств аудита приведена по типу неопределенности на рис. 1.
Для работы с гипотезой, которая была сформулирована выше, приняты исходные утверждения.
Утверждение 1. Полезность того или иного свидетельства аудита прямо пропорциональна информативности и обратно пропорциональна себестоимости его добывания.
Утверждение 2. При разработке программы аудита необходимо учитывать полезность (вес) того или иного свидетельства аудита и себестоимость его добывания.
Для разработки программы аудита и эффективного управления ей необходимо не только обоснованно сформировать множество существенных свойств объекта аудита, но и оценить вес каждого из них и отобразить множество свидетельств аудита в кортеж. Для этого требуется методика оценки весомости свойств объекта аудита, их полезности с учетом себестоимости каждой аудиторской процедуры по их добыванию.
Рис. 1. Классификация свидетельств аудита по типу неопределенности Pic. 1. Classification of audit evidence by type of uncertainty
Т. VII. № 1. 2020
Computational nanotechnology
59
МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Ранее подобные задачи решались в рамках теории управления качеством, которая была востребована и развивалась при плановой экономике, неопределенность носила стохастический характер, и задачи позиционировались как «игры с природой». Поэтому в полной мере было возможным применять методы теории вероятности и математической статистики без риска получить ошибочный результат.
Однако в случае аудита информационной безопасности не представляется возможным принципиально получить репрезентативную статистику для свидетельства аудита в виду того, что и сами свидетельства аудита, и текущая обстановка по защите информации изменяются во времени быстрее чем мы получаем заключение аудита, что не позволяет зафиксировать условия эксперимента. К тому же при проведении аудита информационной безопасности существенную роль играет поведенческая неопределенность, которая подразумевает при принятии решений необходимость учитывать индивидуальные предпочтения лиц, принимающих решение и других участников, в том числе антагонистических, процесса управления защитой информации. Принятие решений в условиях поведенческой неопределенности характеризующуюся тем, что объект аудита не может быть корректно отражен адекватной статистической моделью, как в случае природной неопределенности.
Таким образом, методы теории управления качеством не могут быть применены в полной мере для решения задач по организации аудита информационной безопасности [6] и оперативного управления программой аудита. Задача относится к не формализуемым, для которых не существует фиксированного алгоритмического решения, а цель не может быть сформулирована в терминах четкой целевой функции. В основе решения такого типа задач лежит применение экспертных методов [7]. Одним из методов ее решения, применяемым в смежных областях [7] является метод бальных оценок. Авторская группа взялась за исследование возможности адекватного применения метода бальных оценок для определения весомости свидетельств аудита при проведении аудита информационной безопасности.
Исследовалась возможность применения бальных оценок для определения:
• коэффициентов весомости единичных и комплексных свидетельств аудита, входящих в исходную модель объекта аудита [8];
• зависимости между количественными или качественными значениями единичных свидетельств аудита и значениями их оценок в баллах методом главных точек.
Математические модели для обработки результатов бальных оценок строились на основе постановок задач, приведенных в [7] с адаптаций их для предметной области аудита информационной безопасности.
При определении коэффициента весомости группы свидетельства аудита, определяющих то или иное аудиторское доказательство, находящееся на верхнем уровне иерархии исходной модели объекта аудита, наиболее важному свидетельству аудита этой группы эксперты присваивают максимальное значение коэффициентов весомости в балльной шкале. Коэффициент весомости следующего по важности свидетельства аудита эксперты определяют, как долю весомости первого свидетельства аудита, использую ряд значений от 0 до 1. Коэффициент весомости каждого последующего свидетельства аудита находят, сопоставляя его с коэффициентом весомости первого свидетельства аудита, либо с предыдущими, коэффициент весомости которых уже назначены [8].
05.13.19
ОБРАБОТКА БАЛЬНЫХ ОЦЕНОК
Например, в результате экспертного опроса на основе бальных оценок были получены следующие значения свидетельств аудита: СА1 = 10,0; СА2 = 8,0; СА3 = 4,0. Эксперт считает, что четвертое СА4 имеет важность в четыре раза меньше, чем первое, и в два раза меньше, чем третье, которые эксперт выбрал для сравнения. Тогда значение коэффициента весомости для четвертого свидетельства аудита будут равны:
М1 = 10,0 4 = 2,5 балла;
43 (1) М43 = 4,0 2 = 2,5 балла.
Так как полученные коэффициенты весомости совпали, значение коэффициента весомости для четвертого свидетельства аудита будет составлять 2,5.
Если полученные значения коэффициента весомости оцениваемого свидетельства аудита различаются не более, чем на 0,1 максимального коэффициента весомости, то индивидуальным коэффициентом весомости этого свидетельства аудита является среднее арифметическое полученных коэффициентов весомости:
Mj = 1 (( + МI), (2)
где М . - индивидуальный коэффициент весомости у-го оцениваемого свидетельства аудита; М. и М. - коэффициент весомости -го свидетельства аудита, определенные путем сравнения с к-м и 1-м предыдущими свидетельствами аудита.
Если коэффициент весомости -го свидетельства аудита у данного эксперта различаются более чем на 0,1 максимального коэффициента весомости, то эксперт должен изменить коэффициент весомости одного из предыдущих свидетельств аудита, с которым происходит сравнение и затем вновь определить коэффициент весомости оцениваемого свидетельства аудита.
Далее выполняется нормирование полученных индивидуальных коэффициентов весомости по формуле:
М,
, (3)
IМ,
1=1
где М'.' - нормированный индивидуальный коэффициент весомости -го свидетельства аудита; М - индивидуальный коэффициент весомости у-го свидетельства аудита; п - число свидетельств аудита, входящих в состав группового свидетельства аудита более высокого уровня иерархии, т.е. относящийся к данной группе свидетельств аудита.
В результате нормирования сумма коэффициентов весомости свидетельств аудита, относящихся к одной группе, будет равна единице для каждого эксперта.
Характеристикой рассеивания индивидуальных коэффициентов весомости у-го свидетельства аудита служит коэффициент вариации, вычисляемый по формуле:
5.
, (4)
М]
где Б. - среднеквадратичное отклонение, вычисляемое по формуле:
Воеводин В.А., Маркина М.С., Маркин П.В.
где т - число экспертов; М' - нормированный индивидуальный коэффициент весомости у-го свидетельства аудита для /-го эксперта; Му' - среднее арифметическое нормированных индивидуальных коэффициентов весомости у-го свидетельства аудита всех экспертов (обобщенный нормированный коэффициент весомости)
1 т
М =-Х М. (6)
т 1~1
Если к < 0,25, то согласованность назначенных экспертами индивидуальных коэффициентов весомости считается достаточной. В этом случае вычисляют согласованное среднее (обобщенный нормированный коэффициент весомости у-го свидетельства аудита) как среднее арифметическое нормированных индивидуальных коэффициентов весомости у-го свидетельства аудита.
Если к > 0,25, то согласованность назначенных экспертами индивидуальных коэффициентов весомости считается недостаточной. В этом случае проводят повторное определение коэффициентов весомости свидетельств аудита путем опроса экспертов с использованием группового метода с взаимодействием.
Если, после повторного определения индивидуальных коэффициентов весомости их согласованность остается недостаточной, то производят исключение того коэффициента весомости, который наиболее отличается от среднего арифметического, и вновь вычисляют коэффициент вариации по (4) для оставшихся индивидуальных коэффициентов весомости. Процедуру повторяют до тех пор, пока не будет достигнута достаточная согласованность оставшихся коэффициентов весомости, т.е. к < 0,25. При этом число согласованных значений коэффициентов весомости в оставшейся группе должно составлять не менее 2/3 от общего числа коэффициентов весомости. После этого по (6) вычисляют согласованное среднее для у'-го свидетельства аудита.
Если число исключенных индивидуальных коэффициентов весомости меньше или больше найденного обобщенного коэффициента превышает три, то должна быть проверена согласованность этих коэффициентов весомости вычисление коэффициента вариации по (4). Достаточная согласованность означает, что в экспертной группе существует подгруппа экспертов, суждения которых близки между собой, но резко отличаются от суждений другой группы. В этом случае рекомендуется принять одно из решений:
• вычислить обобщенный нормированный коэффициент весомости, используя индивидуальные коэффициенты весомости только основной группы, мнения экспертов которой согласованы в большей мере;
• вычислить два обобщенных нормированных коэффициента весомости у-го свидетельства аудита, по основной группе и подгруппе;
• заново сформировать группу и сценарий экспертного опроса.
Если относительно найденного обобщенного коэффициента весомости находятся один или два свидетельства аудита с неудовлетворительными индивидуальными коэффициентами весомости, или если при наличии трех и более неудовлетворительных коэффициентов весомости они исключены, а общий коэффициент остается неудовлетворительным, то это означает, что в экспертной группе имеются эксперты, суждения которых резко отличается от основной группы, так и между собой. В этом случае рекомендуются следующие решения:
• принять в качестве окончательного обобщенный нормированный коэффициент весомости у-го свидетельства аудита, вычисленного по (6) для всех экспертов группы, мнения которых находятся в относительном согласии;
• провести совещание, на котором ознакомить экспертов с результатами обработки и принять соответствующее решение;
• заново сформировать экспертную группу и(или) сценарий экспертного опроса.
После получения окончательных обобщенных нормированных коэффициентов весомости требуется вычислить нормированные коэффициенты весомости все единичных свидетельств аудита нижнего уровня относительно группового свидетельства аудита нулевого уровня по формуле:
М,. к = М, к ■ Мр, к - ! . Мр, к - ......М' (7)
где М. - нормированный коэффициент весомости у-го единичного свидетельства аудита, находящегося на к-м уровне относительно группового свидетельства аудита нулевого уровня; р, q, ..., I- индексы комплексных свидетельств аудита к - 1, к - 2-го, ... , 1-го уровней, в который входит у-е единичное свидетельство аудита.
Ранжирование позволяет выбрать из исследуемой совокупности факторов наиболее существенный. Так, предложенный метод оценки весомости свидетельств аудита, позволяет ранжировать их по важности. Групповая оценка может считаться достаточно надежной только при условии хорошей согласованности ответов отдельных специалистов.
ВЫВОДЫ
Предложенная методика была апробирована в ходе деловой игры по дисциплине «Аудит информационной безопасности автоматизированных систем» в составе учебно-методического комплекса по подготовке аудиторской группы к практическому аудиту информационной безопасности. Суть эксперимента заключалась в реализации и оценке двух программ аудита информационной безопасности. При разработке первой программы свидетельства аудита выбирались равновероятно из множества существенных, а во второй учитывались весомость и себестоимость аудиторской процедуры. Вторая программа аудита была эффективнее -при заданном уровне аудиторского риска для реализации потребовался ресурс (силы и средства) меньше на 18%, время реализации программы аудита было сокращено на 10%.
Таким образом, опытным путем:
• была подтверждена гипотеза целесообразности учета коэффициента весомости свидетельств аудита при разработке программы аудита и календарного планирования применения сил и средств аудита информационной безопасности;
• целесообразность и возможность применения метода бальных оценок с учетом особенностей предметной области - аудит информационной безопасности.
ЗАКЛЮЧЕНИЕ
Полученные результаты будут использованы для разработки учебно-методического комплекса, структура которого приведена в [9], создаваемого с привлечением средств по гранту Благотворительного фонда Владимира Потанина.
Направление для дальнейшего исследования - разработка методики оценки аудиторского риска с учетом коэффициентов весомости свидетельств аудита и их себестоимости, в том числе методом парных сравнений.
Т. VII. № 1. 2020
Computational nanotechnology
61
МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 05.13.19
Авторский вклад в подготовку публикации распределился следующим образом: общетеоретическая и резюмирующая части подготовлены В.А. Воеводиным, пример и ре-
комендации по применению метода балльных оценок для решения практической задачи аудита информационной безопасности - М.С. Маркиной и П.В. Маркиным.
Литература
1. ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Утв. и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 375-ст. М.: Стандартинформ, 2019. 62 с.
2. ГОСТ Р ИСО 19011-2018 «Руководящие указания по аудиту систем менеджмента» / пер. А. Горбунов. Номер для ссылки ISO 19011:2018, 2018. 51 с.
3. ГОСТ Р ИСО/МЭК 27006-2008 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности». Введ. 18.12.2008. № 524-ст. М.: Стандартинформ, 2010. 35 с.
4. Воеводин В.А. Концептуальная модель объекта аудита информационной безопасности // Computational Nanotechnology. 2019. Т. 6. № 3. С. 92-94.
5. ГОСТ Р ИСО/МЭК 27007-2014 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности». Введ. 06.01.2005.
6. Воеводин В.А. Учебно-методический комплекс для подготовки к практическому аудиту информационной безопасности // Современная наука: актуальные проблемы теории и практик. Серия: Естественные науки. 2019. № 10. С. 82-88.
7. Коробов В.Б. Теория и практика экспертных методов: монография. М.: ИНФРА-М, 2019. 281 с.
8. Воеводин В.А., Заболотный А.С., Настинов Э.О. Модель объекта аудита информационной безопасности // Вестник Сыктывкарского университета. Серия 1: Математика. Механика. Информатика: сборник. Вып. 4 (29). Сыктывкар: Изд-во СГУ им. Питирима Сорокина, 2018. 98 с.
9. Воеводин В.А. Эталонная модель объекта аудита информационной безопасности // Современная наука: актуальные проблемы теории и практик. Серия: Естественные науки. 2019. № 9. С. 56 - 61.
References
1. GOST R ISO/IEC 27001-2006 "Information technology. Methods and means of ensuring security. Information security management systems. Requirements". Approved and put into effect by the Order of the Federal Agency for technical regulation and metrology of December 27, 2006. No. 375-st. Moscow: Standartinform, 2019. 62 p.
2. GOST R ISO 19011-2018 "Guidelines for audit of management systems". Trans. A. Gorbunov. Reference number ISO 19011: 2018, 2018, 51 p.
3. GOST R ISO/IEC 27006-2008 "Information technology (IT). Methods and means of ensuring safety. Requirements for bodies that audit and certify information security management systems". 18.12.2008. No. 524-art. Moscow: Standartinform, 2010. 35 p.
4. Voevodin V.A. Conceptual model of the object of information security audit. Computational Nanotechnology. 2019. Vol. 6. No. 3. Pp. 92-94.
5. GOST R ISO/IEC 27007-2014 "Information technology (IT). Methods and means of ensuring safety. Guidelines for the audit of information security management systems". 06.01.2005.
6. Voevodin V.A. Educational and methodological complex for preparing for the practical audit of information security. Modern Science: Actual Problems of Theory and Practice. Series: Natural Sciences. 2019. No. 10. Pp. 82-88.
7. Korobov V.B. Theory and practice of expert methods: monography. Moscow: INFRA-M, 2019. 281 p.
8. Voevodin V.A., Zabolotny A.S., Nastinov E.O. Model of the object of information security audit. Bulletin of Syktyvkar University. Series 1: Mathematics. Mechanics. Computer Science. Coll. Issue 4 (29). Syktyvkar: Publishing House of SSU after named of Pitirim Sorokin, 2018. 98 p.
9. Voevodin V.A. Reference model of the object of information security audit. Modern science: actual problems of theory and practice. Series: Natural Sciences. 2019. No. 9. Pp. 56-61.
Статья поступила в редакцию 20.02.2020, принята к публикации 06.03.2020 The article was received on 20.02.2020, accepted for publication 06.03.2020
СВЕДЕНИЯ ОБ АВТОРАХ
Воеводин Владислав Александрович, кандидат технических наук; доцент кафедры информационная безопасность Научно-исследовательского университета «Московский институт электронной техники» (МИЭТ). Москва, Российская Федерация. E-mail: vva541@mail.ru, SPIN 5137-8110
Маркина Мария Сергеевна, студент 1-го курса магистратуры кафедры информационная безопасность Научно-исследовательского университета «Московский институт электронной техники» (МИЭТ). Москва, Российская Федерация. E-mail: markina_mariya97@mail.ru Маркин Павел Владиславович, студент 1-го курса магистратуры кафедры информационная безопасность Научно-исследовательского университета «Московский институт электронной техники» (МИЭТ). Москва, Российская Федерация. E-mail: mrkinp@mail.ru
ABOUT THE AUTHORS
Vladislav A. Voevodin, Candidate of Engineering; associate professor of the Department of Information Security, National Research University of Electronic Technology (MIET). Moscow, Russian Federation. E-mail: vva541@ mail.ru, SPIN 5137-8110
Maria S. Markina, 1st year master's student of the Department of Information Security, National Research University of Electronic Technology (MIET). Moscow, Russian Federation. E-mail: markina_mariya97@mail.ru Pavel V. Markin, 1st year master's student of the Department of Information Security, National Research University of Electronic Technology (MIET). Moscow, Russian Federation. E-mail: mrkinp@mail.ru
