TECHNIQUE OF OPTIMAL AUDIT PLANNING FOR INFORMATION SECURITY MANAGEMENT SYSTEM

Научно-технический вестник информационных технологий, механики и оптики Scientific and Technical Journal of Information Technologies, Mechanics and Optics 2014, No2 (90) 111 УДК 004.56 МЕТОДИКА ОПТИМИЗАЦИИ ПЛАНИРОВАНИЯ АУДИТА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Ф.Н. Шаго, И.А. Зикратов а Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики (Университет ИТМО), Санкт-Петербург, Россия, dreamcast73@yandex.ru Усложнение систем менеджмента информационной безопасности приводит к необходимости совершенствования научно-методического аппарата аудита данных систем. Планирование является важной и определяющей частью аудита систем менеджмента информационной безопасности. Эффективность аудита будет определяться отношением достигнутых показателей качества к затраченным ресурсам. Таким образом, возникает важная и актуальная задача разработки методов и методик оптимизации планирования аудита, позволяющая повысить его эффективность. Предложенная методика позволяет на основе модели динамики показателя качества системы менеджмента информационной безопасности осуществлять оптимальное планирование распределения временных и материальных ресурсов по этапам аудита. Особенностью подхода, предлагаемого авторами, является использование не только априорных, но и апостериорных данных при начальном планировании аудита, а также для корректировки плана после каждого мероприятия аудита. Это позволяет оптимизировать использование ресурса аудита в соответствии с выбранными критериями. Приведены примеры применения методики при планировании аудита системы менеджмента информационной безопасности организации. По результатам проведенного вычислительного эксперимента на основе предложенной методики возможно снижение временных (стоимостных) затрат аудита на 10–15% или соответственно повышение качества получаемых оценок за счет рационального распределения ресурса аудита по отношению к общеизвестным методикам планирования аудита. Ключевые слова: информационная безопасность, аудит систем менеджмента информационной безопасности, планирование аудита. TECHNIQUE OF OPTIMAL AUDIT PLANNING FOR INFORMATION SECURITY MANAGEMENT SYSTEM F.N. Shago, I.A. Zikratov а Saint Petersburg National Research University of Information Technologies, Mechanics and Optics (ITMO University), Saint Petersburg, Russia, dreamcast73@yandex.ru Complication of information security management systems leads to the necessity of improving the scientific and methodological apparatus for these systems auditing. Planning is an important and determining part of information security management systems auditing. Efficiency of audit will be defined by the relation of the reached quality indicators to the spent resources. Thus, there is an important and urgent task of developing methods and techniques for optimization of the audit planning, making it possible to increase its effectiveness. The proposed technique gives the possibility to implement optimal distribution for planning time and material resources on audit stages on the basis of dynamics model for the ISMS quality. Special feature of the proposed approach is the usage of a priori data as well as a posteriori data for the initial audit planning, and also the plan adjustment after each audit event. This gives the possibility to optimize the usage of audit resources in accordance with the selected criteria. Application examples of the technique are given while planning audit information security management system of the organization. The result of computational experiment based on the proposed technique showed that the time (cost) audit costs can be reduced by 10-15% and, consequently, quality assessments obtained through audit resources allocation can be improved with respect to well-known methods of audit planning.