Журнал "Information Security/ Информационная безопасность" #3, 2020

№ 235 и от 25 декабря 2017 г. № 239. На что необходимо обращать внимание при про- ведении аудита, на какие вопросы необходимо полу- чить ответы: 1. Силы обеспечения инфор- мационной безопасности. То есть кто и как обеспечивает информационную безопасность в организации? 2. Средства обеспечения информационной безопасности ЗОКИИ. Другими словами, какие программные и/или про- граммно-аппаратные средства используются для обеспечения информационной безопасности ЗОКИИ? 3. Организационно-распоря- дительная документация. Какая документация в части безопас- ности информации имеется в организации и какие вопросы она регламентирует? 4. Организация работ по обес- печению информационной без- опасности. l Каким образом организован процесс планирования и разра- ботки мероприятий по обес- печению информационной без- опасности, чем он регламенти- рован? l Как осуществляется реали- зация мероприятий по инфор- мационной безопасности? l Каким образом осуществ- ляется контроль за соблюдени- ем требований в области информационной безопасности и контроль текущего уровня безопасности? l Как оценивается уровень зре- лости процессов обеспечения информационной безопасности и осуществляется их совершен- ствование? Вопросы 1, 3, 4 изучаются применительно ко всей органи- зации, а вопрос относительно средств обеспечения безопас- ности – применительно к каждо- му ЗОКИИ. По сути, необходимо проанализировать, какие меры реализуются подсистемами без- опасности каждого из ЗОКИИ. При этом указанный анализ дол- жен проводиться с учетом кате- гории значимости ОКИИ. Я рекомендую подготовить для данного анализа таблицу, основанную на Составе мер по обеспечению безопасности для значимого объекта соответ- ствующей категории значимо- сти (утв. приказом ФСТЭК Рос- сии от 25 декабря 2017 г. № 239), например, как на рис. 1. Результатом вышеописанного анализа будет понимание: l какая часть обязательных мер по обеспечению безопас- ности ЗОКИИ уже реализова- на; l какая часть мер потребует претворения в жизнь в процессе создания СБЗОКИИ; l какие меры могут быть забло- кированы встроенными сред- ствами защиты и для каких потребуется применение нало- женных. Периодический аудит Проведение периодического аудита регламентируется п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической инфор- мационной инфраструктуры Российской Федерации и обес- печению их функционирования (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) и п. 22 Требований по обес- печению безопасности значи- мых объектов критической информационной инфраструк- туры Российской Федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239). Периодический аудит можно подразделить на три вида (см. рис. 2). Правила и про- цедуры аудита безопасности должны быть регламентирова- ны в локальных нормативных актах. Мониторинг безопасности и внутренний аудит являются базовыми мерами для всех ЗОКИИ. Внешний аудит можно использовать в качестве ком- пенсирующей меры или в каче- стве дополнения; при прове- дении внешнего аудита внут- ренний проводить необязатель- но. Так, по моему мнению, для своевременного получения объективной картины состоя- ния дел в части безопасности ЗОКИИ следует проводить ежегодный внутренний аудит, а внешний аудит с привлече- нием лицензиата, обладающе- го реальной экспертизой в части безопасности ЗОКИИ и проведения аудита, – раз в три года. Результатом периодического аудита является документ, под- тверждающий или не подтвер- ждающий соответствие текуще- го положения дел заданным критериям (в зависимости от вида аудита), а также содержа- щий рекомендации по устране- нию несоответствий либо по развитию текущего состояния информационной безопасности, если недостатки не выявлены. • 7 КИИ www.itsec.ru Реклама

RkJQdWJsaXNoZXIy Mzk4NzYw