О концепции проведения аудита информационной безопасности в вузе // Draft concept of Information Security Auditing at a university

The article examines the theoretical and practical basis of auditing the information security of educational institutions. The article gives proposals on the main components of its concept, taking into account the specifics of educational organizations, the article also searches for the ways of ensuring the effective functioning of universities on a considered basis. Proposals have been made to develop a comprehensive concept for the auditing of the information security of the university. The project includes seven components: the objects of auditing; its goals and objectives; the subtype of auditing that takes into account the specifics of the school; how to conduct audits and how to analyze data from the auditing process; the auditing phasing; its organizational and technical foundations; the composition and content of the resulting documents. A combination of risk analysis and information security standards is recommended as a practical approach to auditing. It is recommended that an experimental examination of the object security system should beused for real verification. Among the reasons for theoretical approaches that could create the basis for auditing the information security of a higher educational institution, the most preferable are the models of evaluation and the “grey” box. Practical implementation of the proposed information security auditing concept will improve the effectiveness of monitoring the implementation of Federal Laws and Programs in the educational institutions, and it will eventually strengthen the level of information security of the organization. В статье рассмотрены теоретические и практические основы аудита информационной безопасности (ИБ) образовательных учреждений, высказаны предложения по основным составляющим его концепции с учетом специфики учебных организаций, проведен поиск путей обеспечения эффективного функционирования вузов. Методологической основой исследования явилась система анализа и синтеза подходов к проведению внутреннего аудита ИБ. Сделаны предложения по разработке проекта комплексной концепции проведения аудита ИБ вуза, включающей семь составляющих: объекты аудита; его цели и задачи; подвид аудита, учитывающий особенности учебного заведения; подходы к проведению аудита и методы анализа данных, полученных в процессе проверки; этапность аудита; его организационно-технические основы; состав и содержание результирующих документов. Рекомендована к применению комбинация анализа рисков и стандартов в области ИБ, а также экспериментальное изучение системы безопасности объектов для ее реальной проверки. Среди оснований теоретических подходов, которые могли бы создать базу для аудита ИБ высшего учебного заведения, предпочтительно выглядят модели оценки и «серого» ящика. Практическая реализация предложенной концепции аудита ИБ позволит повысить эффективность мониторинга исполнения федеральных законов и программ в образовательном заведении, усилить уровень ИБ организации.