International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
500
производительности и
стабильности
работы системы, а также проверки
системы на устойчивость к DoS-
атакам.
Возможности
Угрозы
Высокий спрос на рынке;
Аудит может быть осуществлен
сотрудниками подразделения
информационной безопасности
предприятия;
Большое количество программных
продуктов различных организаций;
Автоматизация большей части
работы
экспертов.
Высокая стоимость необходимого
программного обеспечения;
Для
каждой системы необходимо
подбирать программное обеспечение
для проведения аудита;
Отсутствие нормативной базы для
проведения аудита;
Возможны ошибки в используемом
программном обеспечении.
ТАБЛИЦА 2. SWOT-матрица экспертного аудита
Сильные стороны
Слабые стороны
Не требуется дополнительного
программного обеспечения;
Не требуется
прекращение работы
системы на время проведения
аудита;
Частота проведения аудита не
регламентируется;
Аудит исходит из угроз
информационной безопасности, тем
самым позволяет покрыть большое
число уязвимостей;
Необходимо участие сотрудников
организации в процессе проведения
аудита;
Высокие требования к качеству
информации, предоставляемой
компанией заказчиком;
Длительные
подготовительные
работы;
Процесс аудита может занять
большое количество времени.
Возможности
Угрозы
Накопленный большой опыт
экспертных знаний в сфере
информационной безопасности;
Наличие необходимых нормативно
правовых документов;
Аудит может быть осуществлен
сотрудниками подразделения
информационной безопасности
предприятия;
Возможность автоматизации
процесса аудита.
Отсутствуют средства
автоматизации процесса;
Необходимость доверия оценкам
экспертов;
Высокие требования к
компетентности экспертов;
Возможны противоречия во мнениях
экспертов.
ТАБЛИЦА 3. SWOT-матрица аудита на соответствие стандартам
Сильные стороны
Слабые стороны
Порядок проведения аудита
Необходимо участие сотрудников
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
501
i 1
регламентируется нормативными
документами;
В нормативных документах
присутствует описание отчетных
документов;
Не требуется дополнительного
программного обеспечения;
Не требуется прекращение работы
системы во время проведения
аудита.
организации в процессе проведения
аудита;
Аудит необходимо проводить
каждый раз при изменении системы;
Высокие требования к качеству
информации, предоставляемой
компанией заказчиком;
Процесс аудита может занять
большое количество времени.
Возможности
Угрозы
Сертификат безопасности,
выдаваемый в
результате проведения аудита,
повышает престиж организации;
В требованиях нормативных
документов находят отражение
лучшие практические выводы
экспертов;
Высокий спрос на рынке.
Большое количество нормативно
правовых документов;
Нормативная база постоянно
дорабатывается;
Противоречия в нормативно-
правовых документах;
Невозможно выполнить аудит
силами самой организации, т. к.
сертификат
соответствия выдает
только аккредитованная
организация.
Чтобы перейти от качественных оценок к количественным для
приведенных в таблицах 1, 2 и 3 факторов были определены следующие
значения:
коэффициент важности фактора
(
𝐹
_i
𝑝
i
)
;
наблюдаемое значение влияния фактора
(
𝐹
_i
𝑛ƒ
i
)
;
степень неопределенности суждения
(
𝐹
_
𝑝
o
𝑏
i
)
.
Значимость каждого фактора вычисляется по формуле:
𝐹
_
𝑣
𝑙
i
=
𝐹
_i
𝑛ƒ
i
∗
𝐹
_
𝑝
o
𝑏
i
Тогда общая сумма значимости всех факторов для каждого параметра
имеет вид:
𝑉
𝑙
=
∑
𝑛
𝐹
_i
𝑝
i
∗
𝐹
_
𝑣
𝑙
i
.
Результаты вычисления значимости параметров для каждого метода
аудита кибербезопасности представлены в таблице 4.
ТАБЛИЦА 4. Значение параметров
Достоинства и
недостатки
параметров
Аудит на основе
анализа рисков
Экспертный
аудит
Аудит на
соответствие
стандартам
Сильные стороны
112,75
137,15
98,70
International scientific conference "INFORMATION TECHNOLOGIES, NETWORKS AND
TELECOMMUNICATIONS" ITN&T-2022 Urgench, 2022y April 29-30
502
Слабые стороны
147,20
147,00
154,35
Возможности
174,80
184,95
163,80
Угрозы
165,45
181,70
184,40
Как видно из таблицы 4, лучшие показатели у экспертного аудита.
Следовательно, именно этот метод является наиболее перспективным
методом аудита кибербезопасности. [3]
Но проведение экспертного аудита кибербезопасности требует хорошей
подготовки экспертов, а специалистов такого уровня очень мало. Кроме того,
решение задачи плохо формализуется и в
большей степени строится на
личном опыте и интуиции. Значит можно сделать вывод о том, что для
решения таких задач следует использовать системы, основанные на знаниях.
Do'stlaringiz bilan baham: 
