Журнал "Information Security/ Информационная безопасность" #3, 2020

На этапе создания систем безопасности значимых объ- ектов КИИ необходимо понимание того, какие меры безопасности уже приняты (и вообще были они приняты или нет), а также какие тре- бования по защите инфор- мации уже выполнены. Результатом периодиче- ского аудита является доку- мент, подтверждающий или не подтверждающий соот- ветствие текущего положе- ния дел заданным крите- риям (в зависимости от вида аудита), а также содержа- щий рекомендации по устра- нению несоответствий либо по развитию текущего состояния информационной безопасности, если недо- статки не выявлены. В журнале "Информационная безопасность" № 3 1 за 2019 г. в одноименной статье я рассмат- ривал общие вопросы, связан- ные с тем, что такое аудит информационной безопасности, зачем он нужен, какие бывают виды аудита и как он может быть использован по отноше- нию к объектам критической информационной инфраструк- туры (далее – ОКИИ). Прошел год, определенный опыт в данном вопросе накоп- лен, многие субъекты КИИ про- вели категорирование своих объектов и начали создание систем их безопасности. На этапе создания систем безопас- ности значимых объектов КИИ (далее – СБЗОКИИ) необходимо понимание того, какие меры безопасности уже приняты (и вообще были они приняты или нет), а также какие требо- вания по защите информации уже выполнены. Если СБЗОКИИ уже создана, то необходимо контролировать ее функциони- рование и проводить улучшения, то есть совершенствовать. С точки зрения обеспечения безопасности значимых ОКИИ можно выделить два направле- ния в аудите информационной безопасности – аудит на этапе создания СБЗОКИИ и перио- дический аудит. Следует отметить, что в рам- ках данной статьи будут рас- сматриваться вопросы, связан- ные с проведением аудита значимых объектов КИИ, однако изложенные в ней тезисы могут применяться и по отношению к объектам КИИ, не имеющим категории значимости. Аудит на этапе создания СБЗОКИИ После завершения процедуры категорирования и получения уведомления из ФСТЭК России о внесении в реестр значимых ОКИИ субъекту КИИ необходи- мо понять, были ли выполнены какие-то требования в части информационной безопасности, касающиеся значимых ОКИИ. Иными словами, нужно полу- чить свидетельства аудита 2 и провести их оценку. На практике обычно не встре- чаются организации, у которых нет никакой системы защиты информационных ресурсов. Например, антивирусные про- граммные средства есть прак- тически у всех. Поэтому и нужно понять, что уже реализовано, а что требуется дополнительно реализовать с учетом новых требований. В качестве критериев аудита 3 следует использо- вать требования, установ- ленные приказами ФСТЭК России от 21 декабря 2017 г. 6 • В ФОКУСЕ Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры этой статье рассматриваются вопросы проведения аудита информационной безопасности в отношении объектов критической информационной инфраструктуры, а именно кто, как и когда должен проводить проверку, чем она регламентируется и каковы ее особенности. Под аудитом в данном случае следует понимать форму независимой оценки состояния информационной безопасности объекта (информационной системы, автоматизированной системы, организации в качестве объекта защиты в целом и т.д.) на соответствие заданным критериям, таким как требования действующего законодательства, принятые корпоративные стандарты, отсутствие уязвимостей, способность обеспечить защиту при проведении компьютерной атаки и т.п. В Константин Саматов , эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова 1 Саматов К.М. Особенности проведения аудита информационной безопасности объектов КИИ // Information Security/ Информационная Безопасность. № 3. 2019. С. 8—10. 2 Под свидетельствами аудита понимаются записи, изложение фактов или другая информация, которые связаны с критериями аудита и могут быть проверены. 3 Критерии аудита – это совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которыми сопоставляют свидетельства аудита, полученные при проведении аудита.