УДК 004.94

МЕТОДИКА ОПТИМИЗАЦИИ ПРОГРАММЫ АУДИТА ИНТЕГРИРОВАННЫХ СИСТЕМ МЕНЕДЖМЕНТА

И.И. Лившиц

Аннотация


Применение интегрированных систем менеджмента (ИСМ) в настоящее время привлекает внимание высшего руководства самых разных организаций: нефтеперерабатывающих, приборостроительных, авиационных и оборонных. Однако, на данный момент остается важной проблемой выполнение аудита в ИСМ — реализация в полном объеме комплекса проверок различных стандартов ISO при ограничении или существенном сокращении доступных ресурсов.
В то же время постоянное совершенствование принципов управления, и в частности переход к мышлению, основанному на рисках, обеспечивают повышение интереса к рациональному применению стандартов ISO. В данном исследовании предлагается методика оптимизации программы аудита ИСМ, основанная на принципах непрерывной адаптации при поступлении данных в течение одного микроцикла аудита. Дополнительным преимуществом данной методики является применение численных метрик аудита информационной безопасности, способствующих постоянному повышению уровня обеспечения информационной безопасности организаций.

Ключевые слова


информационная безопасность; интегрированная система менеджмента; стандарт; аудит; система менеджмента информационной безопасности

Полный текст:

PDF

Литература


  1. ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems // Requirements, International Organization for Standardization. 2013. 23 p.
  2. ISO 55000:2014 Asset management – Overview, principles and terminology // International Organization for Standardization, 2014. – 19 pages.
  3. ISO 55001:2014 Asset management – Management systems – Requirements // International Organization for Standardization, 2014. – 14 pages.
  4. ISO 55002:2014 Asset management – Management systems – Guidelines for the application of ISO 55001 // International Organization for Standardization, 2014. – 32 pages.
  5. PAS-99:2012 «Specification of common management system requirements as a framework for integration»
  6. Шишкин В.М., Юсупов Р.М. Доктрина информационной безопасности Российской Федерации — опыт количественного моделирования // Труды СПИИРАН. Вып. 1, т. 1. - СПб: СПИИРАН, 2002.
  7. Юсупов Р. М., Шишкин В. М. О некоторых противоречиях в решении проблем информационной безопасности // Труды СПИИРАН. Вып. 6. — СПб.: Наука, 2008. С. 39–59.
  8. Котенко И.В., Саенко И.Б., Юсупов Р.М. Аналитический обзор докладов Международного семинара «Научный анализ и поддержка политик безопасности в киберпространстве» (SA&PS4CS 2010) // Труды СПИИРАН. 2010, Вып. 2, стр. 226 – 248
  9. Лившиц И.И. Практическая оценка результативности СМИБ в соответствии с требованиями различных систем стандартизации: ИСО 27001 и СТО Газпром / Лившиц И.И., Полещук А.В. // Труды СПИИРАН. – 2015. – № 3. – С. 33 – 44.
  10. Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1. С. 22–34.
  11. Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов – аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6. С. 72–94.
  12. Арзамазов М.А., Серов Г.П. Консолидация общих требований стандартов к отдельным системам менеджмента и инновации при разработке интегрированных систем менеджмента // Наука и технологии трубопроводного транспорта нефти и нефтепродуктов. – 2012. – № 1. – С. 52-55.
  13. Малышева Е.Ю., Бобровский С.М. Архитектура информационной системы оценки интегрированных систем менеджмента // Вектор науки Тольяттинского государственного университета. – 2012. – № 1. – С. 64-67.
  14. Ajam M., Alshawi M., Mezher T. Augmented process model for e-tendering: toward integrating object models with document management systems.
  15. Automation in Construction. 2010. V. 19. № 6. pp. 762-778.
  16. Шеверда В.В. Подходы к разработке интегрированных систем менеджмента на предприятиях электронной промышленности // Вопросы современной науки и практики. Университет им. В.И. Вернадского. – 2012. – № 3. – С. 250-254.
  17. Mengersen K., Whittle P.J.L., et al. Beyond compliance: Project on an Integrated system approach for PEST risl management in South East Asia. EPPO Bulletin. 2012. V. 42. № 1. pp. 109-116.
  18. Портянко Т.М. Тенденции создания интегрированных систем менеджмента на предприятиях промышленного комплекса // Восточно-Европейский журнал передовых технологий. – 2010. – Т. 2. № 8 (44). С. 40-43.
  19. ГОСТ Р ИСО 19011:2011. Руководящие указания по проведению аудитов систем менеджмента;
  20. Griffith A. Management systems for sustainable construction: Integrating Environmental, Quality and Safety management systems. International Journal of Environmental Technology & Management. 2002. V. 2. № 1-3. p. 114.
  21. RAROC and risk management: Quantifying the risks of business. Bankers Trust New York Corporation, 1995.
  22. Smith, Gordon E. (1992, ASQC) Massey University, Palmerston North, New Zealand, Auditing Statistical Methods for ISO 9001. Аnnual Quality Congress, Nashville TN Vol. 46 No. 0, QICID: 9905 May 1992 pp. 849-854
  23. ГОСТ Р ИСО/МЭК 17021:2011. Оценка соответствия. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента;
  24. ISO/IEC 27000:2014. Information technology. Security techniques. Information security management systems // Overview and vocabulary, International Organization for Standardization. 2014. 31 p.
  25. ISO/IEC 27004:2009. Information technology. Security techniques. Information security management systems // Measurement, International Organization for Standardization. 2009. 55p.


Илья Иосифович Лившиц - к-т техн. наук, ведущий аналитик, ООО "Газинформсервис".
Область научных интересов: системный анализ, защита информации, риск-менеджмент.
Число научных публикаций: 50.

Адрес (E-mail): Livshitz.il@yandex.ru
Почтовый адрес: 198188, Санкт-Петербург, а/я 35
Телефон: +7(812) 677-20-50
Факс: +7(812) 677-20-51




DOI: http://dx.doi.org/10.15622/sp.48.3