Журнал "Information Security/ Информационная безопасность" #5, 2018

Оценка сложности объ- екта оказывала влияние на определение численности аудиторской команды. Минимальной численностью аудиторской команды счита- лось два человека. Руково- дителем аудиторской коман- ды назначался специалист, имеющий статус сертифици- рованного ведущего аудито- ра по стандарту ISO 27001:2013. объекта. При отсутствии обяза- тельности выполнения на объ- екте рекомендуемых корректи- рующих мероприятий аудитору требовалось буквально "с поро- га" продемонстрировать высо- кую профессиональную квали- фикацию и конструктивный под- ход к вопросам обеспечения информационной безопасности объекта. Для оценки психоло- гической совместимости состав- лялся психологический портрет представителя объекта, для чего собиралась информация и отзы- вы сотрудников, контактировав- ших с представителями объекта ранее. Особенно ценную инфор- мацию для составления психо- логического портрета давали консультационные переговоры по заполнению техпаспорта объ- екта, разъяснения порядка про- ведения проверки объекта и т.д. Проводилась замена аудитора, если на подготовительном этапе проверки объекта он оценивал сложившиеся отношения с пред- ставителем объекта как напря- женные или неконструктивные. Проверяемые объекты дели- лись на нескольких крупных классов по типовыми условиям функционирования: стадионы, гостиницы, вокзалы. Глубоко вникнув в построение техноло- гических процессов на первом объекте, аудитор эффективнее проводил проверки последую- щих аналогичных объектов. Высокая психологическая нагрузка и плотный график про- верок вызывали серьезное утом- ление аудиторов и порождали проявление эффекта профессио- нального выгорания. Для устра- нения негативного воздействия подобного состояния аудиторов применялись меры по психофи- зиологическому восстановлению специалистов и проводилась оптимизация плана проверок. Оценка сложности объекта оказывала влияние на опреде- ление численности аудиторской команды. Минимальной числен- ностью аудиторской команды считалось два человека. Руко- водителем аудиторской коман- ды назначался специалист, имеющий статус сертифициро- ванного ведущего аудитора по стандарту ISO 27001:2013. Этап проведения проверки Основными методами прове- дения проверки были визуаль- ный осмотр объекта, опрос (интервью) работников объекта и технический (сканеры уязви- мостей, пентесты). Использо- вались методы социальной инженерии для проверки орга- низационных мер безопасности, заявленных представителями объекта на проверке. Опросный лист для проведе- ния интервью подготавливался с обязательным учетом квали- фикации персонала объекта в области защиты информации. Этап анализа и корректировки процесса аудита Аудиторы по окончании про- ведения проверки составляли отчеты с описанием деталей и нюансов аудита. Основное вни- мание в них уделялось выявлен- ным векторам атак на объекты, особенностям функционирова- ния информационной инфра- структуры объекта. Была соз- дана единая база знаний про- верки объектов. Ознакомление с отчетными материалами было обязательно для всех аудиторов. Проводились рабочие совеща- ния по обобщению опыта про- верок на регулярной основе. Выводы 1. В Москве необходим еди- ный центр компетенции в обла- сти обеспечения информацион- ной безопасности, позволяю- щий централизованно и на постоянной основе обеспечи- вать защиту информационных систем городских объектов от актуальных угроз. 2. Стоимость компьютерного инцидента сильно зависит от места и момента. Учет этой особенности наиболее актуален при обеспечении целостности информационного контента в рекламных устройствах, раз- мещенных на объектах. 3. Необходимо обеспечивать информационную безопасность городских объектов уже на этапе создания информацион- ной инфраструктуры. Злоумыш- ленники могут повлиять на сроки готовности объектов, а также подготовить плацдарм для реализации компьютерных атак на объект во время прове- дения массовых мероприятий. 4. Контроль защищенности городских объектов (пентесты) наиболее эффективны при ком- плексном применении, с увяз- кой с другими способами и методами аудита ИБ. Необхо- дим стратегический подход к организации контрольных мероприятий и координации действий при проведении про- верочных мероприятий. 5. Отсутствие ведомственного центра государственной систе- мы обнаружения, предупреж- дения и ликвидации послед- ствий компьютерных атак (Гос- СОПКА) Правительства Москвы снижает оперативность реаги- рования на компьютерные атаки, проводимые в отношении городской информационной инфраструктуры. 6. Целесообразно включить в образовательные программы высшего профессионального образования подготовку ауди- торов ИБ как отдельную специ- альность, по аналогии с специ- альностью 5.38.04.09 "Госу- дарственный аудит и контроль". В существующей ситуации по уровню квалификации специа- листов по информационной без- опасности наиболее соответ- ствуют масштабу задач ауди- торы, сертифицированные по стандарту ISO 27001:2013. 7. Требуется расширение области действия Федерального закона от 26.07.2018 № 187-ФЗ "О безопасности критической информационной инфраструк- туры Российской Федерации" на сферы деятельности, свя- занные с массовым нахожде- нием людей (спортивные объ- екты, гостиницы, фан-зоны) и средства массовой информа- ции, включая пресс-центры. l Литература [1] Комаров В. Обеспечение информационной безопасности на объектах города Москвы в период подготовки к проведе- нию чемпионата мира по фут- болу FIFA 2018. Часть 1. – Infor- mation Security. – № 4. – 2018. – С. 4–5. 6 • В ФОКУСЕ Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рис. 2. Оценка влияния факторов на подбор аудиторов