К вопросу реализации аудитов информационной безопасности для средних и малых предприятий

Описывается проблема реализации системы аудитов информационной безопасности (ИБ) применительно к средним и малым предприятиям (СМП). Предложены результаты сравнения нескольких методов для проведения аудитов ИБ для СМП, основанных на требованиях нормативных документов ФСТЭК России, и известных международных стандартов ISO/IEC серии 27001 (национальных стандартов ГОСТ Р ИСО/МЭК), стандартов NIST и собственных методов аудита. Предложены критерии для оценивания различных методов аудитов ИБ и сравнения различных нормативных документов для целей аудитов ИБ применительно к потребностям СМП. Полученные результаты могут быть интересны специалистам, выполняющим аудиты ИБ и заинтересованным в реализации принципов «практической безопасности» в соответствии с требованиями национальных и международных стандартов при известных ресурсных ограничениях.