Журнал "Information Security/ Информационная безопасность" #3, 2019

В ходе проведения конт- роля проверяется выполне- ние требований норматив- ных правовых актов в обла- сти обеспечения безопасно- сти КИИ, а также прове- ряются организационно-рас- порядительные документы по безопасности значимых объектов КИИ, иными сло- вами, проводится так назы- ваемый комплаенс-аудит. Контрольные мероприя- тия проводятся ежегодно комиссией, назначаемой субъектом КИИ. В случае проведения по решению руководителя субъекта КИИ внешней оценки (внешнего аудита) состояния безопас- ности значимых объектов КИИ внутренний контроль может не проводиться. например, если в рамки аудита попадают незначимые объекты КИИ, то при их оценке аудитор может не учитывать выполне- ние требований нормативно- правовых актов по обеспече- нию безопасности значимых объектов КИИ, но обязан оце- нить, насколько полно выпол- няются субъектом КИИ обя- занности, возложенные на него ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187- ФЗ "О безопасности критиче- ской информационной инфра- структуры Российской Феде- рации". По решению субъекта КИИ для обеспечения безопасности незначимого объекта КИИ также может быть создана система безопасности, бази- рующаяся на требованиях для значимых объектов КИИ. В этом случае в критерии аудита уже включаются все требования, характерные для безопасности значимых объектов КИИ. При организации и проведе- нии аудита ИБ значимых объ- ектов КИИ необходимо обра- тить внимание на моменты, ука- занные ниже. Обязательность проведения аудита ИБ Согласно п. 35 и п. 36 Требо- ваний к созданию систем без- опасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. прика- зом ФСТЭК России от 21 декаб- ря 2017 г. № 235) в рамках контроля состояния безопасно- сти значимых объектов КИИ должен осуществляться внут- ренний контроль организации работ по обеспечению их без- опасности и эффективности принимаемых организационных и технических мер. В ходе проведения контроля проверяется выполнение тре- бований нормативных правовых актов в области обеспечения безопасности КИИ, а также про- веряются организационно-рас- порядительные документы по безопасности значимых объ- ектов КИИ, иными словами, проводится так называемый комплаенс-аудит. Для оценки эффективности принятых организационных и технических мер по обеспече- нию безопасности значимых объектов КИИ могут применять- ся средства контроля (анализа) защищенности, так называемый инструментальный аудит (ана- лиз защищенности). Контрольные мероприятия проводятся ежегодно комисси- ей, назначаемой субъектом КИИ. В случае проведения по решению руководителя субъ- екта КИИ внешней оценки (внешнего аудита) состояния безопасности значимых объ- ектов КИИ внутренний контроль может не проводиться. Недостатки, выявленные по результатам внутреннего конт- роля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (уполномоченным лицом). Таким образом, законода- тельно предусмотрена обяза- тельность проведения аудита ИБ значимых объектов КИИ в форме внутреннего аудита, про- водимого силами работников субъекта КИИ, либо внешнего аудита, проводимого специали- зированной организацией. • 9 В ФОКУСЕ www.itsec.ru Рис. 1. Этапы проведения аудита ИБ