Журнал "Information Security/ Информационная безопасность" #4, 2019

Результаты второго и третьего этапов целесообразно отразить в так называемом паспорте (опи- сании) ИС предприятия. Схемы и таблицы рекомендуется при- общить в виде приложения. Итог третьего этапа: наличие полной информации в отноше- нии ИС и ПО, используемых в организации (рис. 3). Четвертый этап Цель: определить и класси- фицировать состав информации, циркулирующей в информацион- ных системах организации. Задачи этапа – получить и систематизировать сведения о: l информации, циркулирующей в ИС организации (производ- ственная – задание на про- изводственные установки, стан- ки ЧПУ, передача 3D-моделей и т.д., планово-экономической, кадровой, бухгалтерской и т.д.); l маршрутах движения инфор- мации; l подразделениях, которые являются пользователями тех или иных информационных ресурсов; l принципы взаимодействия информационных ресурсов. В ходе проведения мероприя- тий данного этапа также необхо- димо установить, каким обра- зом классифицирована обра- батываемая информация (кон- фиденциальная/открытая). Итог четвертого этапа: нали- чие полных данных относитель- но информационных ресурсов организации (рис. 4). Пятый этап Цель: установить качество выполнения требований обес- печения информационной без- опасности, предусмотренных федеральным законодатель- ством, и требований, предусмот- ренных организационно-распоря- дительной документацией феде- ральных органов исполнительной власти, которые реализуют госу- дарственную политику в области обеспечения безопасности. Задачи этапа – установить: l выполнение требований, предусмотренных Федеральным законом "О персональных дан- ных" от 27.07.2006 № 152-ФЗ, и других подзаконных актов, обес- печивающих защиту персональ- ных данных сотрудников орга- низации; l выполнение требований Феде- рального закона "О безопасно- сти критической информацион- ной инфраструктуры Российской Федерации" от 26.07.2017 №187-ФЗ и других подзаконных актов, обеспечивающих защиту критической информационной инфраструктуры (если органи- зация является субъектом кри- тической информационной инфраструктуры); l выполнение требований Федерального закона "О ком- мерческой тайне" от 29.07.2004 № 98-ФЗ (при условии введения в организации режима коммер- ческой тайны); l выполнение требований по обеспечению информационной безопасности государственных информационных систем. Итог пятого этапа: наличие полной информации о выпол- нении требований обеспечения информационной безопасности, предусмотренных федеральным законодательством. Шестой этап Цель: установить введенные в действие требования по обес- печению безопасности в орга- низации. Задача – получить и обобщить нижеследующую информацию: l возможно, имеющиеся меры по обеспечению ИБ. Они должны включать: порядок подключения различных устройств к ЛВС орга- низации, регламенты использо- вания ПО, обеспечение безопас- ных настроек аппаратного и про- граммного обеспечения для сер- веров, рабочих станций и ноутбу- ков, поиск и устранение уязви- 20 • УПРАВЛЕНИЕ Рис. 3. Третий этап аудита Рис. 4. Четвертый этап аудита