<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">accounting</journal-id><journal-title-group><journal-title xml:lang="ru">Учет. Анализ. Аудит</journal-title><trans-title-group xml:lang="en"><trans-title>Accounting. Analysis. Auditing</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2408-9303</issn><issn pub-type="epub">2619-130X</issn><publisher><publisher-name>Financial University under The Government of Russian Federation</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.26794/2408-9303-2019-6-6-24-3</article-id><article-id custom-type="elpub" pub-id-type="custom">accounting-286</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ТЕОРИЯ УЧЕТНО-КОНТРОЛЬНЫХ И АНАЛИТИЧЕСКИХ ПРОЦЕССОВ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>THEORY OF ACCOUNTING AND CONTROL</subject></subj-group></article-categories><title-group><article-title>О концепции проведения аудита информационной   безопасности в вузе </article-title><trans-title-group xml:lang="en"><trans-title> Draft concept of Information Security Auditing at a university</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><contrib-id contrib-id-type="orcid">https://orcid.org/0000-0003-0306-2680</contrib-id><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Ясенев</surname><given-names>В. Н. </given-names></name><name name-style="western" xml:lang="en"><surname>Yasenev</surname><given-names>V. N.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Вячеслав Николаевич Ясенев —  кандидат экономических наук, профессор кафедры информационных технологий и инструментальных методов в экономике Института экономики и предпринимательства</p></bio><bio xml:lang="en"><p>Vyacheslav N. Yasenev —  Cand. Sci. (Econ.), Professor of the Department of Information Technology and Instrumental Methods of Economics оf the Institute of Economics and Entrepreneurship, Lobachevsky State University</p></bio><email xlink:type="simple">yasenev@fnf.unn.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><contrib-id contrib-id-type="orcid">https://orcid.org/0000-0003-3578-6421</contrib-id><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Дорожкин</surname><given-names>А. В.</given-names></name><name name-style="western" xml:lang="en"><surname>Dorozhkin</surname><given-names>A. V.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Артем Владиславович Дорожкин —  кандидат экономических наук, доцент кафедры информационных технологий и инструментальных методов в экономике Института экономики и предпринимательства</p></bio><bio xml:lang="en"><p>Artem V. Dorozhkin —  Cand. Sci. (Econ.), Associate Professor of the Department of Information Technology and Instrumental Methods of Economics оf the Institute of Economics and Entrepreneurship, Lobachevsky State University</p></bio><email xlink:type="simple">dorozhkin_av@mail.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><contrib-id contrib-id-type="orcid">https://orcid.org/0000-0001-8389-9493</contrib-id><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Сочков</surname><given-names>А. Л.</given-names></name><name name-style="western" xml:lang="en"><surname>Sochkov</surname><given-names>A. L.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Андрей Львович Сочков —  кандидат технических наук, доцент кафедры информационных технологий и инструментальных методов в экономике Института экономики и предпринимательства</p></bio><bio xml:lang="en"><p>Andrei L. Sochkov —  Cand. Sci. (Tech.), Associate Professor of the Department of Information Technology and Instrumental Methods of Economics of the Institute of Economics and Entrepreneurship, Lobachevsky State University</p></bio><email xlink:type="simple">an.so2009@yandex.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Нижегородский государственный университет им. Н. И. Лобачевского</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Lobachevsky State University of Nizhny Novgorod</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2019</year></pub-date><pub-date pub-type="epub"><day>23</day><month>01</month><year>2020</year></pub-date><volume>6</volume><issue>6</issue><fpage>24</fpage><lpage>33</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Ясенев В.Н., Дорожкин А.В., Сочков А.Л., 2020</copyright-statement><copyright-year>2020</copyright-year><copyright-holder xml:lang="ru">Ясенев В.Н., Дорожкин А.В., Сочков А.Л.</copyright-holder><copyright-holder xml:lang="en">Yasenev V.N., Dorozhkin A.V., Sochkov A.L.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://accounting.fa.ru/jour/article/view/286">https://accounting.fa.ru/jour/article/view/286</self-uri><abstract><p>В статье рассмотрены теоретические и практические основы аудита информационной безопасности (ИБ) образовательных учреждений, высказаны предложения по основным составляющим его концепции с учетом специфики учебных организаций, проведен поиск путей обеспечения эффективного функционирования вузов. Методологической основой исследования явилась система анализа и синтеза подходов к проведению внутреннего аудита ИБ. Сделаны предложения по разработке проекта комплексной концепции проведения аудита ИБ вуза, включающей семь составляющих: объекты аудита; его цели и задачи; подвид аудита, учитывающий особенности учебного заведения; подходы к проведению аудита и методы анализа данных, полученных в процессе проверки; этапность аудита; его организационно-технические основы; состав и содержание результирующих документов. Рекомендована к применению комбинация анализа рисков и стандартов в области ИБ, а также экспериментальное изучение системы безопасности объектов для ее реальной проверки. Среди оснований теоретических подходов, которые могли бы создать базу для аудита ИБ высшего учебного заведения, предпочтительно выглядят модели оценки и «серого» ящика. Практическая реализация предложенной концепции аудита ИБ позволит повысить эффективность мониторинга исполнения федеральных законов и программ в образовательном заведении, усилить уровень ИБ организации.</p></abstract><trans-abstract xml:lang="en"><p>The article examines the theoretical and practical basis of auditing the information security of educational institutions. The article gives proposals on the main components of its concept, taking into account the specifics of educational organizations, the article also searches for the ways of ensuring the effective functioning of universities on a considered basis. Proposals have been made to develop a comprehensive concept for the auditing of the information security of the university. The project includes seven components: the objects of auditing; its goals and objectives; the subtype of auditing that takes into account the specifics of the school; how to conduct audits and how to analyze data from the auditing process; the auditing phasing; its organizational and technical foundations; the composition and content of the resulting documents. A combination of risk analysis and information security standards is recommended as a practical approach to auditing. It is recommended that an experimental examination of the object security system should beused for real verification. Among the reasons for theoretical approaches that could create the basis for auditing the information security of a higher educational institution, the most preferable are the models of evaluation and the “grey” box. Practical implementation of the proposed information security auditing concept will improve the effectiveness of monitoring the implementation of Federal Laws and Programs in the educational institutions, and it will eventually strengthen the level of information security of the organization.</p></trans-abstract><kwd-group xml:lang="ru"><kwd>высшее учебное заведение</kwd><kwd>информационная безопасность</kwd><kwd>аудит информационной безопасности</kwd><kwd>этапы аудита</kwd><kwd>риски и стандарты</kwd><kwd>документы</kwd></kwd-group><kwd-group xml:lang="en"><kwd>university</kwd><kwd>information security</kwd><kwd>information security auditing</kwd><kwd>audit stages</kwd><kwd>risks and standards</kwd><kwd>documents</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Завгородний В. И. Комплексная защита информации в компьютерных системах. М.: Логос; 2001. 264 с.</mixed-citation><mixed-citation xml:lang="en">Zavgorognii V. I. Comprehensive protection of information in computer systems. Moscow: Logos; 2001. 264 p. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Беззубов А. Ф., Синицын И. В. Применение вычислительных систем отечественного производства как средство повышения информационной безопасности вуза. Вестник Российской таможенной академии. 2017;(2):106–110.</mixed-citation><mixed-citation xml:lang="en">Bezzubov A. F., Sinitsyn I. V. The use of computer systems of domestic production as a means of improving a University information security. Vestnik Rossiiskoi tamozhennoi akademii = The Russian Customs Academy Messenger. 2017;(2):106–110. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Козачок А. И., Левицкая Ю. А. Методы оценки информационных рисков в сетях учебного назначения. Методические вопросы преподавания инфокоммуникаций в высшей школе. 2012;1(4):27–29.</mixed-citation><mixed-citation xml:lang="en">Kozachok A. I., Levitskaya Yu. A. Methods of assessing information risks in networks for educational purposes. Metodicheskie voprosy prepodavaniya infokommunikatsyi v vyschei schkole = Methodical Questions of Teaching of Information and Communication in High School. 2012;1(4):27–29. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Стукалова О. В., Боякова Е. В., Юдушкина О. В. Системный подход к обеспечению информационной безопасности в образовательных организациях (на примере вузов). Вестник НЦБЖД. 2017;32(2):104–109</mixed-citation><mixed-citation xml:lang="en">Stukalova O. V., Boyakova E. V., Yudushkina O. V. A systematic approach to ensuring information security in educational organizations (on the example of universities). Vestnik NTsBZhD = Journal of the Scientific Center for Life Safety. 2017;32(2):104–109. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Тюменев А. В., Панов Н. Н. Комплексная информационная безопасность в вузе. Экстремальная деятельность человека. 2018;47(1):65–68.</mixed-citation><mixed-citation xml:lang="en">Tyumenev A. V., Panov N. N. Comprehensive information security at the university. Ekstremal’naya deyatel’nost’ cheloveka = Extreme Human Activity. 2018;47(1):65–68. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Шабанов А. А. Предпосылки формирования системы информационной безопасности в вузах. Конкурентоспособность в глобальном мире: экономика, наука, технологии. 2017;5–2(44):177–180. 7. Ситнов А. А. Организация аудита информационной безопасности. Учет. Анализ. Аудит. 2016;3(6):102– 110.</mixed-citation><mixed-citation xml:lang="en">Shabanov A. A. Preconditions of formation of system of information security in universities. Konkurentosposobnost’ v global’nom mire: ekonomika, nauka, tekhnologii = Competitiveness in a Global World: Economics, Science, Technology. 2017;5–2(44):177–180. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">Курило А. П., Зефиров С. Л., Голованов В. Б. и др. Аудит информационной безопасности. М.: БДЦ-пресс; 2006. 304 с.</mixed-citation><mixed-citation xml:lang="en">Sitnov A. A. The Organization of Auditing of Information Security. Uchet. Analiz. Audit = Accounting. Analysis. Auditing. 2016;3(6):102–110. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Козьминых С. И., Козьминых П. С. Аудит информационной безопасности. Вестник Московского университета МВД России. 2016;(1):181–186.</mixed-citation><mixed-citation xml:lang="en">Kurilo A. P., Zefirov S. L., Golovanov V. B. et al. Audit of information security. Moscow: BDTs-press; 2006. 304 p. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Горюнов А. Г. Внутренний аудит информационной безопасности предприятия. Вестник Московского университета МВД России. 2012;(8):227–231.</mixed-citation><mixed-citation xml:lang="en">Koz’minykh S.I., Koz’minykh P. S. Information security auditing. Vestnik Moskovskogo universiteta MVD Rossii = Bulletin of the Moscow University of the Ministry of Internal Affairs of the Russian Federation. 2016;(1):181–186. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Макаренко С. И. Аудит информационной безопасности: основные этапы, концептуальные основы, классификация мероприятий. Системы управления, связи и безопасности. 2018;(1):1–29. 1</mixed-citation><mixed-citation xml:lang="en">Goryunov A. G. Internal auditing of the information security of the company. Vestnik Moskovskogo universiteta MVD Rossii = Bulletin of the Moscow University of the Ministry of Internal Affairs of the Russian Federation. 2012;(8):227–231. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Mahfuth A., Bakar A. A., Yussof S., Ali N. A systematic literature review: Information security culture. In: 2017 International Conference on Research and Innovation in Information Systems (ICRIIS). DOI: 10.1109/ ICRIIS.2017.8002442</mixed-citation><mixed-citation xml:lang="en">Makarenko S. I. Audit of information security: The main stages, conceptual framework, classification of types. Sistemy upravleniya, svyazi i bezopasnosti = Systems of Control, Communication and Security. 2018;(1):1–29. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Mahfuth A., Bakar A. A., Yussof S., Ali N. A systematic literature review: Information security culture. In: 2017 International Conference on Research and Innovation in Information Systems (ICRIIS). DOI: 10.1109/ ICRIIS.2017.8002442</mixed-citation><mixed-citation xml:lang="en">Mahfuth A., Bakar A. A., Yussof S., Ali N. A systematic literature review: Information security culture. In: 2017 International Conference on Research and Innovation in Information Systems (ICRIIS). DOI: 10.1109/ ICRIIS.2017.8002442</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
