Метод обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Созинова, Екатерина Николаевна

ВВЕДЕНИЕ

Настоящая диссертационная работа посвящена разработке метода обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода.

Диссертационное исследование выполнено в рамках Паспорта специальности: 05.13.19 - Методы и системы защиты информации, информационная безопасность и соответствует пунктам 7, 9, 10, 14,15.

В настоящее время, в связи с массовым развитием информационных технологий, кардинально поменялась вся наша жизнь. Информация в нашей жизни стала играть очень важную и даже ключевую роль. Информационная сфера меняется гораздо быстрее, чем мы можем это осознать и проконтролировать. В нашу повседневную жизнь плотно вошли такие термины, как: информационные технологии, информационные ресурсы, информационная безопасность, информационный терроризм, информационная война, защита информации, информационные риски, угрозы информационной безопасности, аудит информационной безопасности и так далее. С одной стороны, эти термины кажутся нам очень знакомыми и понятными. С другой стороны, это термины, которые описывают совершенно для нас новую и еще не полностью изученную сферу - информационную.

До недавнего времени, изучением данной сферы занимались только специализированные государственные службы. Разработки и исследования были узконаправленными и велись под грифом «секретно» или с пометкой «только для служебного пользования». В настоящее время, в связи с массовым распространением информационных технологий, данная сфера стала интересна всем. Последние десятилетия резко увеличилось количество исследований в данном направлении. Исследованиями стали заниматься ни только государственные структуры, но и частные организации. Обеспечение информационной безопасности - является одной из самых важных задач любой организации. И сейчас, в период нарастающей информатизации, глобализации и жёсткой конкуренции, этот вопрос становится особенно «острым» и актуальным.

Любая организация при осуществлении своей деятельности подвержена различным информационным рискам, которые, так или иначе, влияют на специфику ведения бизнес-процессов и могут негативным образом повлиять как на финансовые показатели, так и на возможность организации продолжать бизнес. Современные требования бизнеса диктуют настоятельную необходимость использовать в своей работе обоснованные технико-экономические методы и средства, позволяющие количественно и качественно измерять уровень обеспечения информационной безопасности, а также оценивать экономическую эффективность затрат на информационную безопасность. Для того, чтобы гарантировать эффективное обеспечение информационной безопасности организаций, нужен серьёзный, систематизированный и комплексный подход. Немаловажную роль в этом подходе играет аудит информационной безопасности. Необходимо помнить, что несмотря на свою «новизну», аудит информационной безопасности - это основа эффективной защиты организации.

Несмотря на то, что проведение аудита информационной безопасности -это очень новое и до конца не исследованное направление, в настоящее время данная услуга становится все более востребованной на рынке услуг информационной сферы. Как показывает практика, и заказчики, и поставщики, очень часто, понимают суть этой услуги по-разному. Кроме того, в стране отсутствует единая система взглядов на государственное регулирование процессов аудита информационной безопасности организаций.

Актуальность исследования. Основными факторами актуальности настоящей диссертационной работы являются:

1)В стране отсутствие единой системы взглядов на государственное регулирование процессов аудита информационной безопасности организаций. Федеральный закон "Об аудиторской деятельности" от 30.12.2008 N 307-Ф3, рассматривает аудит - только как независимую проверку бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности. В нем нет ни слова про аудит информационной

безопасности. А существующие стандарты и методические рекомендации -узконаправленные [118, 119, 126, 134, 135, 139].

2)В сфере информационной безопасности не сформировалась единая и общепризнанная терминология. В настоящее время специалистами используется большое количество достаточно разных определений одних и тех же терминов. Соответственно, и термин аудит информационной безопасности понимается по-разному, в зависимости от контекста и области применения.

3)В настоящее время практически нет «свежих» учебных пособий. Основная масса используемой литературы является устаревшей, а качество издаваемой, практически, не контролируется. Этим объясняется путаница в классификации, видах, типах и способах аудита информационной безопасности. Без четкой и научно-обоснованной систематизации невозможно развивать это направление [110, 111].

4)Обеспечение информационной безопасности организаций - это очень важный, сложный и многоуровневый процесс. В обязательном порядке он должен быть комплексным и систематизированным. Очень важную роль в обеспечении информационной безопасности играет аудит ИБ. На данный момент, нет универсальных, общепринятых и утвержденных методов проведения аудита информационной безопасности организаций. Существующие разработки по проведению аудита информационной безопасности являются узконаправленными и «закрытыми» для общего пользования. Они предназначены для банковских организаций, государственных и стратегических объектов РФ [118, 119, 126].

5)Обеспечение информационной безопасности организаций напрямую зависит от уязвимостей, угроз и рисков ИБ. Поэтому необходимо рассматривать аудит ИБ с точки зрения риск-ориентированного подхода. Это достаточно новое и широко нераспространенное понятие. Оно существенно отличается от привычного словосочетания «риск-ориентированный аудит». Благодаря риск-ориентированному подходу, аудит ИБ может выйти на новый уровень и стать более эффективным инструментом обеспечения информационной безопасности организаций.

Степень разработанности темы исследования. Проблемы обеспечения информационной безопасности, оценки уровня обеспечения ИБ и аудита ИБ организаций - являются предметом исследования многих ученых мира. Различные аспекты информационной безопасности рассмотрены в трудах известных российских ученых: A.M. Астахов, H.H. Безруков, Я.В. Бузанова, А. С. Бузинов, A.B. Воронцовский, В.А. Галатенко, В.А. Герасименко, В.В. Домарев, Г.П. Жигулин, П.Д. Зегжда, A.M. Ивашко, А.И. Костогрызов, В.И. Курбатов, A.A. Молдовян, H.A. Молдовян, А.А.Малюк, С.А. Петренко, А. Ю. Щеглов, В.И. Ярочкин и другие.

Существуют различные подходы к оценке и управлению рисками такие как: статистический метод, подход на основе экспертных оценок и оценки субъективной вероятности, вероятностно-статистический подход, теоретико-вероятностный метод, метод расчета и управления рисками. Эти методы и подходы нашли свое отражение в работах российских ученых: A.M. Астахов, П.А. Балашов, В.П. Буянов, A.A. Варфоломеев, A.B. Воронцовский, A.B. Дорожкин, Г.П. Жигулин, К.А. Кирсанов, В.И. Максимов, JI.A. Михайлов, B.C. Неженец, О.И. Никонов, О.В. Силютина, Б.А. Шиянов

Научных работ, посвященных исследованию теоретико-методологических основ аудита ИБ в отечественной литературе имеется незначительное количество. Например работы таких ученых, как: A.M. Астахов, Я.В. Бузанова, Н.Е. Васильева, В.Б. Голованов, Н. Данилкина, C.J1. Зефиров, А.П. Курило, А. А. Петренко, С. А. Петренко, М.Н. Черных, Г.А. Юдина, В.И. Ярочкин. Следует отметить, что существуют серьезные различия между позициями российских авторов при определении содержания аудита ИБ и методах его проведения. Теоретический и методологический подходы к аудиту информационной безопасности находятся в стадии становления, а методы обеспечения и проведения аудита информационной безопасности на основе риск-ориентированного подхода отсутствуют. Важность и актуальность проблемы, ее недостаточная теоретическая и практическая разработанность, применительно к

сфере информационной безопасности, послужили основанием для определения темы исследования.

Целью исследования является разработка, обоснование и оценка эффективности метода обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода.

Для достижение данной цели необходимо решить следующие задачи:

1)Сформулировать уточненное определение понятия «аудит ИБ».

2)Определить цели и задачи аудита ИБ, выделить методы проведения аудита ИБ.

3)Обозначить достоинства и недостатки существующих направлений и методов аудита ИБ.

4)Раскрыть содержание риск-ориентированного подхода к аудиту ИБ.

5)Разработать концептуальную модель информационной безопасности.

6)Разработать метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода.

7)Провести анализ и оценку эффективности разработанного метода аудита ИБ. Объектом исследования является аудит информационной безопасности. Предметом исследования является обеспечение и проведение внутреннего

аудита информационной безопасности на основе риск-ориентированного подхода.

Научная новизна исследования заключается в следующем: 1 )Сформулировано уточненное определение понятия «аудит информационной безопасности»;

2)Разработана концептуальная модель информационной безопасности организаций;

3)Раскрыто понятие и определено содержание риск-ориентированного подхода к аудиту ИБ;

4)Проведен анализ существующих направлений и методов аудита ИБ;

5)Разработана модель оценки риска информационной безопасности;

6)Разработан метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода и создана модель проведения аудита на каждом разработанном этапе.

Теоретическая значимость работы заключается в том, что сформулированные в работе теоретические положения и выводы развивают и дополняют разделы теории информационной безопасности, а полученные результаты вносят вклад в её дальнейшие развитие. Исследование способствует более глубокому осмыслению важности проведения аудита информационной безопасности на основе риск-ориентированного подхода.

Практическая значимость работы определяется тем, что разработанный метод может применяться в государственных и коммерческих организациях при проведении внутреннего аудита ИБ. Результаты и выводы, полученные в данном исследовании, могут использоваться при создании нормативно-правовых документов, написании методических рекомендаций и учебных пособий и служить основой при принятии организационно-управленческих решений в организациях различной структуры. Материалы диссертационной работы будут иметь широкое практическое применение в сфере образования, при чтении учебных курсов для студентов по направлению 090900 - Информационная безопасность [124].

Методология исследования. Методологическую основу исследования составляют общенаучные и специальные методы познания, труды ученых и специалистов по теории информационной безопасности и аудиту ИБ, нормативно-правовые документы, энциклопедическая и справочная литература, материалы конференций и исследований, опубликованных в периодических изданиях.

Методы исследования. Основным методом исследования является математическое моделирование, базирующееся на использовании аппарата теории игр, теории вероятности, теории принятия решений, теории информационной безопасности и математической статистики. При решении поставленных задач исследования использовались методы экспертных оценок, эмпирического

исследования, систематизации, дедуктивных и индуктивных умозаключений, формализации, моделирования, системного и структурного анализа, экспертного и комплексного аудита, анализа и управления информационными рисками, а также документальные, расчетно-аналитические и общелогические методы [6, 9, 43, 63]. Основным подходом к исследованию является риск-ориентированный подход. В качестве второстепенных подходов в процессе исследования применялись: системный, комплексный и информационный подходы. Положения, выносимые на защиту:

1)Уточненное определение понятия: «риск-ориентированный подход к аудиту информационной безопасности»

2)Модель оценки риска информационной безопасности

3)Метод обеспечения и проведения внутреннего аудита информационной безопасности организации на основе риск-ориентированного подхода

4)Оценка эффективности разработанного метода проведения аудита ИБ Степень достоверности результатов. Обоснованность и достоверность

научных положений, выводов и результатов, полученных в диссертационном исследовании, обеспечивается: использованием аналитических и экспериментальных методов проверки и доказательства достоверности результатов; методологической основой научного задела по рассматриваемой тематике; опорой на положения теории информационной безопасности; использованием комплекса надежных и проверенных на практике методов; обработкой полученных данных с помощью математического аппарата; высокими результатами внедрения разработок, полученных в данном исследовании; широким апробированием основных результатов работы на конференциях и семинарах с положительной оценкой результатов; публикациями по теме диссертационной работы.

Апробация результатов. Основные и промежуточные результаты диссертационного исследования были представлены на 7 различных конференциях и конгрессах [54, 110, 111, 116-126]:

• VIII Всероссийская межвузовская конференция молодых ученых (Санкт-Петербург 2011). Диссертант был награжден дипломом за лучший доклад на конференции;

• II Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2011);

• 1 Всероссийский конгресс молодых ученых. (Санкт-Петербург 2012). Диссертант был награжден дипломом за лучший доклад на конференции;

• III Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2012);

• 4-я научно-практическая конференция «Информационная безопасность. Невский диалог-2012» (Санкт-Петербург 2012);

• II Всероссийский конгресс молодых ученых. (Санкт-Петербург 2013);

• IV Всероссийская научно-техническая конференция «Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур» (Санкт-Петербург 2013);

Основные и промежуточные результаты диссертационного исследования были представлены на различных конкурсах:

• Конкурс грантов для студентов, аспирантов вузов и академических институтов, расположенных на территории Санкт-Петербурга (Санкт-Петербург, 2011, 2012, 2013)

® Конкурс «Аспирант года» (Санкт-Петербург, 2011, 2012). По результатам обучения в аспирантуре, за достижения в научно-исследовательской и педагогической деятельности в 2012 году диссертант выиграл данный конкурс, заняв второе место, и был награжден дипломом.

• Полученные результаты были внедрены и используются в НИУ ИТМО, в ОАО «НПП «Сигнал» и ТЭК «ИП Медведев A.A.», что подтверждается актами о внедрении.

Публикации. Основные и промежуточные результаты диссертационного исследования представлены в 11 статьях, в том числе две работы в российских журналах, входящих в Перечень ВАК. Остальные работы опубликованы в материалах научно-практических конференций, конгрессов и иных научных изданиях.

Личный вклад. Содержание диссертации и положения, выносимые на защиту, отражают персональный вклад автора в данную работу.

Структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка сокращений и списка литературы, состоящего из 147 наименований, включая труды автора. Материал изложен на 145 страницах машинописного текста, содержит 7 рисунков и 23 таблицы.

ГЛАВА 1. ОСНОВЫ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ

1.1.Аудит информационной безопасности организаций

1.1.1.0пределение термина «аудит информационной безопасности»

На данный момент, в сфере информационной безопасности не сформировалось единое и общепризнанное определение термина аудит информационной безопасности. Согласно Федеральному закону №307-Ф3 «Об аудиторской деятельности», аудит — это «независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности» [139]. К информационной безопасности данный термин отношения не имеет, но так уж сложилось, что специалисты по информационной безопасности достаточно активно его используют в своей речи. В этом случае, под аудитом понимается процесс независимой оценки деятельности организации, системы, процесса, проекта или продукта [20, 22, 23].

В то же время надо понимать, что в различных нормативных актах термин «аудит информационной безопасности» применяется не всегда. Его часто заменяют, либо, термин «оценка соответствия», либо, немного устаревший, но все еще употребляемый термин «аттестация». Иногда еще применяется термин «сертификация», но применительно к международным зарубежным нормативным актам [48, 73, 135, 139].

В настоящее время специалистами используется большое количество достаточно разных определений аудита, но наиболее часто применяется следующие:

1)Аудит информационной безопасности - системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности [10, 93, 95].

2)Аудит ИБ - это систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита [145].

3)Аудит ИБ - процесс сбора сведений, позволяющих установить, поддерживается ли безопасность ресурсов организации (включая данные); обеспечиваются ли необходимые параметры целостности и доступности данных; достигаются ли цели организации в части эффективности информационных технологий [10].

4)Аудит информационной безопасности - специальная проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам [20].

5)Аудит информационной безопасности представляет собой всестороннее обследование, позволяющее оценить текущее состояние информационной безопасности организации и спланировать дальнейшие шаги по повышению уровня защищенности.

6)Аудит информационной безопасности - это систематический, независимый и документируемый процесс получения свидетельств аудита деятельности организации по обеспечению ИБ и установления степени выполнения в организации установленных критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией [130].

В связи с тем, что такое большое количество разных определений, считаю необходимым сформулировать и уточнить определение понятия «аудит информационной безопасности». В своей работе я буду понимать под аудитом информационной безопасности организации следующее [116, 117]: Аудит информационной безопасности организации - это систематический, комплексный, экспертный и документированный процесс исследования всех аспектов информационной безопасности в контексте всей хозяйственной деятельности организации или отдельных элементов организации, с учетом действующей политики информационной безопасности, установленных критериев, показателей, требований, норм безопасности, нормативных актов и объективных потребностей предприятия, позволяющий получить объективные

качественные и количественные оценки о текущем состоянии информационной безопасности организации, с представлением результатов в виде рекомендаций, позволяющих спланировать дальнейшие шаги по повышению уровня защищенности организации [122].

Исходя из этого определения, можно сформулировать упрощенную версию: аудит информационной безопасности организации - это систематический процесс исследования аспектов информационной безопасности, позволяющий получить объективные качественные и количественные оценки о текущем состоянии информационной безопасности организации.

1.1.2.Цели аудита информационной безопасности

Цели и задачи аудита ИБ бывают разные, в зависимости от типа и вида аудита. Цели аудита ИБ определяет заказчик аудита ИБ, то есть, руководитель организации, руководитель службы ИБ или другое уполномоченное лицо на основе специфики, бизнес-целей и результатов деятельности организации. Все цели и задачи перечесть невозможно, но рассмотрим самые основные и наиболее часто встречаемые [1,3, 10, 145].

Целями проведения аудита информационной безопасности могут быть:

• оценка текущего состояния информационной безопасности организации;

• демонстрация надежности организации, способности выступать в качестве устойчивого партнера, способного обеспечить защиту информационных ресурсов и систем;

• выявление недостатков и определение направлений развития системы защиты информации;

• прогнозирование и минимизирование рисков, угроз и уязвимостей, а также управление их влиянием на бизнес-процессы организации [49, 50, 51, 54];

• оценка и установление степени соответствия ИБ организации выбранным критериям аудита ИБ;

• оценка соответствия ИБ организации существующим требованиям и стандартам в области информационной безопасности, нормативным документам или политике безопасности;

• контроль эффективности вложений в обеспечение информационной безопасности организации;

• оценка уровня эффективности системы защиты информации после ее внедрения;

• расследование произошедшего инцидента, связанного с нарушением информационной безопасности в организации;

• увеличение эффективности работы организации за счет сокращения времени простоя и количества нештатных ситуаций в информационной сфере;

• разработка рекомендаций по усовершенствованию ИБ;

• разработка рекомендаций по внедрению новых и повышению эффективности существующих методов обеспечения информационной безопасности;

1.1.3.3адачи аудита информационной безопасности

Задачи, которые могут решаться в ходе проведения аудита информационной

безопасности [1, 3, 10, 41, 56, 83, 145]:

• инвентаризация и категорирование активов;

• оценка критичности активов;

• идентификация и категорирование уязвимостей;

• классификация угроз ИБ;

• определение уровня защищенности ИБ организации;

• определение вероятности реализации угроз;

• определение реализуемости угроз;

• оценка опасности угроз;

• определение актуальности угроз;

• оценка рисков ИБ;

• выявление значимых уязвимостей, угроз и рисков информационной безопасности и путей их реализации;

• анализ структуры, функций и используемых технологий в организации;

• анализ бизнес-процессов,

• анализ текущего состояния информационной безопасности;

• разработка политик безопасности и других организационно— распорядительных документов по защите информации;

• разработка рекомендаций по итогам аудита ИБ организации;

1.2.Классификация аудита информационной безопасности

1.2.1.Типы аудита информационной безопасности

Аудит информационной безопасности различается по типам [1, 65, 90]. 1 .Следует различать обязательный аудит и инициативный аудит:

Обязательный аудит — подтверждение достоверности отчетности организации или индивидуального предпринимателя, проводится в случаях, прямо установленными законодательством РФ [139]. Обязательный аудит - это контроль со стороны регулирующих органов, наделенных правом осуществлять соответствующие надзорные мероприятия. Этот тип аудита часто называют инспекционной проверкой.

Инициативный аудит - это аудит, проводимый по инициативе экономического субъекта (организации). 2.Следует различать внешний и внутренний аудит:

Внешний аудит — это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Он проводится независимым аудитором, не имеющим на аудируемой фирме никаких интересов. Клиентонезависимость эксперта-аудитора является главным отличительным качеством внешнего аудита. Внешний аудит ИБ обязателен для всех государственных или негосударственных организаций, являющихся собственником или пользователем конфиденциальной информации, требующей

защиты в соответствии с законодательством Российской Федерации, а также для всех организаций, эксплуатирующих объекты ключевых систем информационной и телекоммуникационной инфраструктуры Российской Федерации. Внешний аудит ИБ осуществляется в соответствии с Федеральными законами, стандартами и иными нормативными или правовыми актами по проведению аудита ИБ. Его рекомендуется проводить регулярно [3, 99, 104, 134, 135, 143].

Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании документа, обычно носящего название "Положение о внутреннем аудите", и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Внутренний аудит ИБ проводится самой организацией или от ее имени для внутренних целей и может служить основанием для принятия декларации о соответствии требованиям стандартов или нормативных документов по защите информации и обеспечению информационной безопасности. Внутренний аудит осуществляется специальным структурным подразделением предприятия или его работниками, непосредственно подчиненными руководству предприятия и работающие в его штате [3,11]. *

СПИСОК ЛИТЕРАТУРЫ

¡.Астахов A.M. Аудит безопасности ИС // Конфидент. - 2003. - № 1 (49). - С. 63 -67.

2.Астахов A.M. Искусство управления информационными рисками. - ДМК Пресс, 2010.-314 с.

3.Аудит информационной безопасности предприятий и систем. Учебное пособие. Московская академия комплексной безопасности, Тульский филиал. Тула, 2008.

4.Афанасьев В.Н., Постников А.И. Информационные технологии в управлении предприятием. — М.: МИЭМ, 2003. — 143 с.

5.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008.

6.Балашов П.А. Оценка рисков информационной безопасности на основе нечеткой логики / Балашов П.А., Кислов Р.И., Безгузиков В.П. // Защита информации. Конфидент. - 2003. - №5

7.Баранов А.П. Математические основы информационной безопасности: Пособие / Баранов А.П., Борисенко Н.П., Зегжда П.Д., Корт С.С., Ростовцев А.Г. - Орел: ВИПС, 1997.-354 с.

8.Буянов В.П., Кирсанов К.А., Михайлов J1.A. Рискология: Управление рисками -М.: Экзамен, 2002 .- 382 с.

9.Буянов В.П., Хачатрян СР., Пинегина М.В. Методы и модели решения экономических задач. - М,: Издательство «Экзамен», 2008. - 383 с. Ю.Варфоломеев A.A. Управление информационными рисками. Учебное пособие. - Москва, 2008.

П.Васильева Н.Е. Внутренний аудит. Некоторые пути его развития» // Внутренний контроль в кредитной организации. - 2009. - №1. 12.Веитцель Е.С., Овчаров А. Теория вероятностей и ее инженерные приложения: Учебное пособие для вузов / Зе изд., перераб. и доп. - М. : Издательский центр «Академия», 2003.

13-Вентцель Е.С. Теория вероятностей. Учеб. для вузов М.: Высшая школа, 1999 г.

14.Вероятность и математическая статистика: Энциклопедия / Гл. ред. акад. РАН Ю. В. Прохоров. — М.: Большая Российская энциклопедия, 1999. — 910 с.

15.Вихорев C.B., Кобцев Р.Ю. Как узнать откуда напасть, или откуда исходит угроза безопасности информации СПб. : Конфидент, 2002.

16.Воронцовский A.B. Управление рисками: Учеб. пособие - СПб.: Изд-во -Петерб. ун-та, 2000 .- 206 с.

17.Галатенко В.А. Основы информационной безопасности. Курс лекций. Учебное пособие / Под ред. В.Б. Бетелина. - М.: ИНТУИТ, 2004. - 264 с.

18.Герасименко В.А., Малюк A.A. Основы защиты информации. М.: 1997 г.

19.Голованов В.Б. Аудит информационной безопасности / Голованов В.Б., Зефиров С.Л., Курило А.П. - М.: БДЦ-Пресс, 2006. - 305 с.

20.Государственный стандарт РФ ГОСТ Р 50922-2006 Защита информации. Основные термины и определения. М.: Стандартинформ, 2006.

21 .Государственный стандарт РФ ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: Стандартинформ, 2006.

22.Государственный стандарт РФ ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения. - М.: Стандартинформ, 2002.

23.Государственный стандарт РФ ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. М.: Стандартинформ, 2008.

24.Государственный стандарт РФ ГОСТ Р ИСО 19011 2003 Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента. - М.: Стандартинформ, 2003.

25.Государственный стандарт РФ ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепцияи модели менеджмента безопасности информационных и телекоммуникационных технологий». - М.: Стандартинформ, 2006.

2 6.Государственный стандарт РФ ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий». -М.: Стандартинформ, 2007.

2 7 .Государственный стандарт РФ ГОСТ Р ИСО/МЭК 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер». - М.: Стандартинформ, 2007.

28.Государственный стандарт РФ ГОСТ Р ИСО/МЭК 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети». - М.: Стандартинформ, 2006.

29.Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель». - М.: Стандартинформ, 2002.

30.Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности». - М.: Стандартинформ, 2002.

31.Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-3-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности». - М.: Стандартинформ, 2002.

32.Государственный стандарт РФ ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью. - М.: Стандартинформ, 2005.

33.Государственный стандарт РФ ГОСТ Р ИСО/МЭК 17799-2006 Информационная технология. Практические правила управления информационной безопасностью. - М.: Стандартинформ, 2006.

3 4 .Государственный стандарт РФ ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий». - М.: Стандартинформ, 2008.

35.Государственный стандарт РФ ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. - М.: Стандартинформ, 2006.

36.Государственный стандарт РФ ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности». - М.: Стандартинформ, 2007.

37.Гражданский кодекс Российской Федерации

38.Губенков A.A., Байбурин В.Б. Информационная безопасность. М.: ЗАО «Новый издательский дом», 2005.

39.Гузик С. Стандарты CobiT// Jet Info. - 2003. - №1.

40.Данилкина H. Использование риск-ориентированного подхода во внутреннем аудите: Иллюзия или реальность [Электронный ресурс]. Систем, требования: Adobe Acrobat Reader. URL: http://www.pwc.ru/enJRU/ru/events/2013/teammate/3-danilkina-rus.pdf (дата обращения: 11.06.2013).

41.Дворкина М.Я. Информационное обслуживание: социокультурный подход / МГУКИ. - М.: Профиздат, 2001. - 111 с.

42.Доктрина информационной безопасности Российской Федерации. Указ призедента РФ №1895 от 09.09.2000 г. // Российская газета. - 2000.

43.Долматов A.C. Математические методы риск-менеджмента: учебное пособие для студентов, обучающихся по специальности "Финансы и кредит" - М.: Экзамен, 2007.-319 с.

44.Домарев В.В. Безопасность информационных технологий. Системный подход. -ТИД«ДС», 2004-212 с.

45.Дорожкин А.В. Комплексная система управления рисками — итоги внедрения в ОАО «ММК» // Управление рисками в России [Электронный ресурс]. URL: http :// www.risk-manage.ru/conference/files/dorojkin.ppt (дата обращения: 23.12.2011).

46.Дорофеев А. Аудит информационной безопасности: за что платит компания? // Журнал "Information Security. Информационная безопасность". - 2009. - №2.

47.Ефимов П. Концепция обеспечения безопасности информационных технологий. //Банковское дело. - 1995. - № 7.

48.Жигулин Г.П. Информационная война и информационная безопасность. СПб: СПб ГИТМО (ТУ), 2002.

49.Жигулин Т.П. Прогнозирование устойчивости субъекта информационного взаимодействия. -СПб.: СПбГУ ИТМО, 2006.

50.Жигулин Г.П. Теория и практика прогнозирования. СПб: НИУ ИТМО, 2011.

51.Жигулин Г.П., А.С. Бузинов, Р.И. Шабаев. Моделирование и прогнозирование информационных угроз. СПб: СПб ГУ ИТМО, 2011.

52.Жигулин Г.П., Новосадов С.Г., Яковлев А.Д. Информационная безопасность. СПб: СПб ГИТМО (ТУ), 2003. 340 с.

53.Жигулин Г.П., Серебров А.И., Яковлев А.Д. Прогнозирование устойчивости и функционирования объектов с использованием теории игр и исследования операций.. СПб.: СПбГУ ИТМО, 1994.

54.Жигулин Г.П., Созинова Е.Н. Метод прогнозирования в области информационной безопасности / Г.П. Жигулин, Е.Н. Созинова // В мире научных открытий.-2012. -№8.1.-С. 60-71.

55.Жигулин Георгий Петрович. Метод и модель ресурсов поля угроз системы защиты информации сетевых автоматизированных систем : диссертация ... кандидата технических наук : 05.13.19.- Санкт-Петербург, 2001.- 142 с. 56.3егжда Д.П., Ивашко А.М. Основы безопасности информационных систем.-М.: Горячая линия Телеком, 2000. - 452 с.

57.Зубик В.Б. и другие. Экономическая безопасность предприятия (фирмы). Минск: «Вышэйшая школа», 1998.

58.Ивлев В., Попова Т. Вип-костинг средство для функционально-стоимостного анализа бизнес-процессов// Менеджмент сегодня №5, 2002 г.

59.Информационные технологии в бизнесе / под ред. М. Желены. СПб: Питер, 2002.-1120 с

60.Карпеев Д.О. Распределенный риск-анализ систем // Материалы региональной научно-практической конференции «Информационные аспекты безопасности систем». Журнал «Информация и безопасность». - Воронеж: ВГТУ, 2007. - Вып. 2 - 357.

61.Карпеев Д.О., Остапенко O.A. Применение кластерного анализа в мониторинге рисков систем. // Журнал «Информация и безопасность». -Воронеж: ВГТУ, 2008. -Вып. 3 - 395-398.

62.Карпеев Д.О., Остапенко O.A. Управление информационными рисками социотехнических информационных систем. // Материалы пятой региональной конференции «ЮниорИнфоСофети». Журнал «Информация и безопасность». -Воронеж: ВГТУ, 2006. — Вып. 1 — 139.

63.Клини С. К. Математическая логика: Пер. с англ. / Под. ред. — Г. Е. Минца. Изд. 3-е, стереотипное. — М.: КомКнига, 2007. — 480 с.

64.Кмета А. Организация как объект менеджмента [Электронный ресурс]. URL: http://http://fb.ru/ (дата обращения: 17.03.2013).

65.Ко деке профессиональной этики аудиторов от 22.03.12 г.

66.Коноплянник Т.М., Мухарева H.A. Основы аудита: учеб. пособие. - М.: КноРус, 2012.

67.Конституция Российской Федерации

68.Корниенко A.A., Котенко А.Г. Метод построения модели оценки рисков информационной безопасности в автоматизированной системе. Проблемы информационной безопасности // Компьютерные системы. - 2003. - №4.

69.Косичкин Р. Аудит информационной безопасности компании // Финансовая газета. Региональный выпуск. - 2008. - №52.

70.Котлов И. Истомина JT. Перспективы развития внутреннего аудита // Финансовая газета. — 2010. — N 1.

71.Крупица B.B. Теоретико-методологические основы менеджмента персонала организации: монография. - Н. Новгород: ВГИПИ, 2000.

72.Курило А.П. Аудит информационной безопасности / БДЦ-пресс, 2006. - 304 с.

73.Лукацкий А. Аудит информационной безопасности: какой, кому, зачем? // Банковское обозрение. - 2012. - №10.

74.Максимов В.И., Никонов О.И. Моделирование риска и рисковых ситуаций: Учебное пособие / Екатеринбург: ГОУ ВПО УГТУ -УПИ, 2004.

75.Малюк A.A. Информационная безопасность: концептуальные и методологические основы защиты информации: Учеб. пособие для вузов. — М.: Горячая линия — Телеком, 2004. 280 с.

76.Международный стандарт ISO/IEC 17799:2005 Информационные технологии -практические правила управления информационной безопасностью.

77. Международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования».

78.Международный стандарт ISO/IEC 27002:2005 "Информационные технологии. Свод правил по управлению защитой информации".

79.Международный стандарт ISO/IEC 27005:2008 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности».

80.Международный стандарт ISO/IEC 27006:2007 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью».

81 .Международный стандарт аудита (MCА) 200 / Сборник Международных стандартов аудита, выражения уверенности и этики. Алматы, 2007. 1260 с. 82.Мельников В.П., Клейменов С. А., Петраков A.M. Информационная безопасность: Учеб. пособие для сред, профессионального образования / Под ред. С.А. Клейменова. - М.: Издательский центр «Академия», 2005 - 336 с.

83.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008.

84.Минцберг Г. Структура в кулаке: создание эффективной организации. Серия «Деловой бестселлер» // Перевод с англ. Д. Раевская. Под общей редакцией Ю. Н. Каптуревского, 2001.

85.Михайлов A.M. Риск-ориентированный внутренний контроль и аудит [Электронный ресурс]. URL: http://sibac.info/index.php/2009-07-01-10-21-16/609-2012-01-17-10-38-42 (дата обращения: 21.06.2012).

86.Новоселов И. В. Основанный на риске внутренний аудит - современное направление развития внутреннего аудита // Известия ИГЭА. - 2009. - №4.

87.Носаков. В. Создание комплексной системы управления информационной безопасностью // Jet Info. - 2006. - №7.

88.0сновы информационной безопасности: Учебное пособие / О.А.Акулов, Д.Н.Баданин, Е.И.Жук и др. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2008. - 161 с. 89.Официальный сайт «Лаборатории Касперского» [Электронный ресурс]. URL: http://www.kaspersky.ru/

90.0фициальный сайт Российской коллегии аудиторов. - [Электронный ресурс]. URL: http://www.rkanp.ru/

91 .Официальный сайт ФСТЭК России [Электронный ресурс]. URL: http://fstec.ru/

92.Партыка Т.Л., Попов И.И. Информационная безопасность: Учебное пособие для студентов учреждений среднего профессионального образования. - М.: ФОРУМ: ИНФА-М, 2005 - 368 с.

93.Петренко С. А., Петренко А. А. Аудит безопасности Intranet. M.: ДМК Пресс, 2002.-416 с.

94.Петренко С. А., Терехова Е. М. Оценка затрат на защиту информации// Защита информации. Инсайд №1 2005 г.

95.Петренко С.А. Аудит безопасности Intranet, 2002.-387 с.

96.Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность. М: ДМК Пресс, 2004. — 384с.

97.Петренко С.А., Попов Ю.И. Оценка затрат на информационную безопасность. // Конфидент. 2003. № 1 (49). - С. 68 - 73.

98.Постановление правительства Российской Федерации №696 от 23.09.02 г. "Об утверждении федеральных правил (стандартов) аудиторской деятельности (в ред. от 22.12.2011).

99.Постановление Правительства РФ от 06.02.2002 г. № 80 «О вопросах государственного регулирования аудиторской деятельности в Российской Федерации» // Собрание законодательства РФ. 11.02.2002. № 6. Ст.583. ЮО.Проскурняков A.M. Оценка аудиторского риска // Аудитор. - 2008. - № 12. — С. 16-25.

101.Просянников Р. Виды аудита информационной безопасности // Журнал «Connect!». - 2004. - №12.

102.Рекомендации в области стандартизации Банка России PC БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" N Р-1190 от 11.11.09 г.

ЮЗ.Роик В.Д. Профессиональный риск: оценка и управление. — М.: Анкил, 2004 . - 222 с.

104.Руденко И.В. Уровень существенности в аудите // Аудиторские ведомости. -2009.-№12.

105.Рябинин И.А., Парфенов Ю.М. Определение «веса» и «значимости» отдельных элементов при оценке надежности сложных систем // Энергия и транспорт, 1978. № 6 . С. 22-32.

Юб.Сайт - База ГОСТов РФ [Электронный ресурс]. URL:http://gostexpert.ru/

107.Сайт - Искусство управления информационной безопасностью [Электронный ресурс]. URL: http://www.iso27000.ru/

108.Сайт "SecurityLab" [Электронный ресурс]. URL: http://www.securitylab.ru/

109.Сайт "Хакер" [Электронный ресурс]. URL: http://www.xakep.ru/ ПО.Серебров А.И., Созинова E.H. Высшее образование в области информационной безопасности / А.И. Серебров, E.H. Созинова // Сборник тезисов

докладов III Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - СПб: НИУ ИТМО. - 2012. - Секция 1.

Ш.Серебров А.И., Созинова E.H. Высшее образование в области информационной безопасности /А.И. Серебров, E.H. Созинова // Материалы конференции: 4-я научно-практическая конференция «Информационная безопасность. Невский диалог-2012». - 2012. - С. 49-50.

112.Симонов С. В. Анализ рисков, управление рисками // Jet Info. - 2003. - №2. 11 З.Симонов С. В . Методология анализа рисков в информационных системах // Конфидент. Защита информации. - № 1. - 2001. - 72-76.

1 Н.Симонов С. В. Анализ рисков, управление рисками //Jet Info. - 1999. - № 1. -С.3-28.

115.Служба тематических толковых словарей - [Электронный ресурс]. URL: http://www.glossary.ru/index.htm

116.Созинова E.H. Аудит, как способ обеспечения информационной безопасности организаций / E.H. Созинова // Сборник тезисов докладов III Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - СПб: НИУ ИТМО. -2012. - Секция 1.

117.Созинова E.H. Аудит, как способ обеспечения информационной безопасности организаций / E.H. Созинова // Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур. Межвузовский сборник трудов III Всероссийской научно-технической конференции ИКВО НИУ ИТМО. -СПб : НИУ ИТМО. - 2013. - С. 74-77.

118.Созинова E.H. Защита персональных данных в кредитных организациях / E.H. Созинова // Научная перспектива. - 2011. - №9. - С. 75-77.

119.Созинова E.H. Защита персональных данных в кредитных организациях / E.H. Созинова // Сборник тезисов докладов конференции молодых ученых. Труды молодых ученых. - СПбГУ ИТМО. - 2011. - Выпуск 1. - С. 154-156.

120.Созинова E.H. Кибервойны - угроза 21 века / E.H. Созинова // Сборник тезисов докладов II Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - СПб: НИУ ИТМО. - 2011. - Секция 1.

121.Созинова E.H. Кибервойны - угроза XXI века / E.H. Созинова // Проблема комплексного обеспечения информационной безопасности и совершенствование образовательных технологий подготовки специалистов силовых структур. Межвузовский сборник трудов II Всероссийской научно-технической конференции ИКВО НИУ ИТМО. - СПб : НИУ ИТМО. - 2011. - С. 114-116.

122.Созинова E.H. Метод проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода / E.H. Созинова // В мире научных открытий. - 2013. - №10. - С. 11-24.

123.Созинова E.H. Модификация метода экспертных оценок / E.H. Созинова // Сборник тезисов докладов конгресса молодых ученых. - СПб: НИУ ИТМО. -2012.-Выпуск 1.-С. 137-138.

124.Созинова E.H. Применение экспертных систем для анализа и оценки информационной безопасности / E.H. Созинова // Молодой ученый. - 2011. - №10. - С. 64-66.

125.Созинова E.H. Универсальный метод оценки рисков в области информационной безопасности / E.H. Созинова // Сборник тезисов докладов конгресса молодых ученых. - СПб: НИУ ИТМО. - 2013. - Выпуск 1. - С. 174-175.

126.Созинова E.H. Федеральный закон «О персональных данных» и проблемы его реализации / E.H. Созинова // Современная наука. - 2011. - №3. - С. 47-50.

127.Соложенцев Е. Д. Сценарное логико-вероятностное управление риском в бизнесе и технике. СПб: Бизнес-пресса, 2004.

12 8. Стандарт Банка России. СТО БР ИББС-1.2-2010. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх" от 21.06.10 г.

129.Стандарт Банка России. СТО БР ИББС-1.0-2010. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения, от 21.06.2010 г.

130. Стандарт Банка России. СТО БР ИББС-1.1-2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности, от 01.05.2007 г.

131 .Уголовный кодекс Российской Федерации

13 2.У правление риском: Риск. Устойчивое развитие. Синергетика. — М.: Наука, 2000. —431 с.

133.Ушакова Д. Н., Даль В. И. Большой Энциклопедический словарь. - Москва, 2000.

134.Федеральный закон «О внесении изменений и дополнений в Федеральный Закон «Об аудиторской деятельности»» № 164-ФЗ от 14.12.01 г. // Российская газета. - 2001.

135.Федеральный закон «Об аудиторской деятельности» № 119-ФЗ от 07.08.01 г. // Российская газета. - 2001.

136.Федеральный закон Российской Федерации "О безопасности" №2446-1 от 05.03.92 г. (с изменениями от 26.06.2008 г.) // Российская газета. - 2008.

13 7. Федеральный закон Российской Федерации "Об информации, информатизации и защите информации" №24 - ФЗ от 20.02.95 г. // Российская газета. - 1995.

13 8. Федеральный закон Российской Федерации "Об информации, информационных технологиях и о защите информации" N 149-ФЗ от 27.07.06 г. // Российская газета. - 2006.

139.Федеральный закон Российской Федерации «Об аудиторской деятельности» № 307-Ф3 от 30.12.2008 г. // Российская газета. - 2008.

140.Шинкаренко И.Э. Риск-менеджмент-философия управления рисками корпорации // Упр.риском .— Б.м. — 2004. —N2. — 56-60.

141.Шиянов Б.А., Силютина О.В., Неженец B.C. Вероятностно-статистические методы количественной оценки рисков в системе регулирования неравновесными

состояниями экономических систем // Вестник Воронежского государственного университета.

142. Энциклопедия Экономиста [Электронный ресурс]. URL: http://www.grandars.ru/college/ekonomika-firmy/organizaciya.html (дата обращения: 11.02.2013).

143 .Юдина Г.А., Черных М.Н. Основы аудита: учеб. пособие. - М.: КноРус, 2012.

144.Юшкова С.Д. Система внутреннего контроля — механизм для снижения рисков // Аудиторские ведомости. — 2011. — N 2.

145.Язов Ю.К. Концепция аудита информационной безопасности систем информационных технологий и организаций (проект). - Воронеж, 2004

146.Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. -3-е изд. - М.: Академический Проект: Трикста, 2005. - 544 с.

147.Ярочкин, В.И., Бузанова, Я.В. Аудит безопасности фирмы: теория и практика : учеб. пособие для вузов. М.: Академический Проект; Королев: Парадигма, 2005. - 352 с.