Журнал "Information Security/ Информационная безопасность" #2, 2025

В профессиональных группах, публикациях и даже некоторых учебных пособиях понятия "аудит" и "оценка соответствия" дей- ствительно используются как синонимы. При опреде- ленных обстоятельствах это справедливо. Стоит отметить, что аудит является неотъемле- мой частью процессов обес- печения информационной безопасности компании – субъекта КИИ. В профессиональных группах, публикациях и даже некоторых учебных пособиях понятия "аудит" и "оценка соот- ветствия" действительно используются как сино- нимы. При определенных обстоятельствах это справед- ливо. В ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых орга- низаций. Методика оценки соот- ветствия" термин "оценка соот- ветствия" подменяет термин "аудит", но это скорее исключе- ние из правил. Исходя из положений Феде- рального закона от 27.12.2002 № 184–ФЗ "О техническом регу- лировании", к оценке соответ- ствия прибегают, когда необхо- димо подтвердить выполнение требований, предъявляемых к продукции или системе. При этом подтверждение соответ- ствия может носить обязатель- ный или добровольный харак- тер. Последнее может осу- ществляться для установления соответствия документам по стандартизации, системам доб- ровольной сертификации. Иными словами, одним из способов подтверждения соот- ветствия может быть сертифи- кационный аудит. Критериями аудита, своего рода эталоном, с которым сравниваются сви- детельства аудита, в таком слу- чае могут выступать требования стандартов. В качестве приме- ров можно вспомнить: l ГОСТ Р 57580.1–2017 "Без- опасность финансовых (бан- ковских) операций. Защита информации финансовых орга- низаций. Базовый состав орга- низационных и технических мер"; l ГОСТ Р ИСО/МЭК 27001– 2021 "Информационная техно- логия. Методы и средства обес- печения безопасности. Системы менеджмента информационной безопасности. Требования"; l стандарты серии ISO 15408. Независимая организация ("третья сторона"), выполняя оценку соответствия в форме сертификационного аудита, гарантирует, что система или продукция соответствует уста- новленным требованиям. Давайте еще на одном при- мере рассмотрим, как связаны понятия "аудит" и "оценка соот- ветствия". Меры по обеспечению без- опасности, приведенные в при- ложении к приказу ФСТЭК Рос- сии от 25 декабря 2017 г. № 239 "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструк- туры Российской Федерации", могут быть реализованы как встроенными в программное обеспечение или программно- аппаратные средства механиз- мами, так и наложенными сред- ствами защиты информации. В соответствии с требова- ниями приказа ФСТЭК России № 239 для обеспечения без- опасности значимых объектов критической информационной инфраструктуры должны при- меняться СЗИ, прошедшие оценку на соответствие тре- бованиям по безопасности в формах обязательной серти- фикации, испытаний или при- емки. Казалось бы, выполнить это требование можно, используя сертифицированные наложен- ные средства защиты инфор- мации. Однако реализовать все требования приказа ФСТЭК России № 239 с использовани- ем такого подхода зачастую бывает сложно, так как в настоящий момент на рынке далеко не все СЗИ имеют соот- ветствующие сертификаты. Кроме этого, подтвердить соот- ветствие встроенных механиз- мов таким способом невоз- можно. Для решения данной задачи наши заказчики часто идут по пути приемки подсистемы без- опасности значимого объекта КИИ. Для подтверждения реализа- ции мер обеспечивается сбор свидетельств выполнения и объ- ективное оценивание степени их соответствия отдельным тре- бованиям приказа ФСТЭК Рос- сии № 239. Другими словами, проводится аудит мер обеспече- ния безопасности, критериями которого являются требования приказа ФСТЭК России № 239. Таким образом, аудит являет- ся частным случаем оценки соответствия. Что дает аудит безопасности? Аудит является частным слу- чаем оценки соответствия. Тре- бованиями приказа ФСТЭК Рос- сии № 239 и приказа ФСТЭК России от 21 декабря 2017 г. № 235 "Об утверждении требо- ваний к созданию систем без- опасности значимых объектов критической информационной инфраструктуры Российской 50 • СПЕЦПРОЕКТ Роль аудита в оценке соответствия нормативным требованиям и обеспечении безопасности ермины “аудит” и “оценка соответствия” иногда используют- ся как взаимозаменяемые. Но насколько допустимо такое сме- шение понятий? И главное – какую роль действительно игра- ет аудит в обеспечении информационной безопасности и выполнении требований законодательства? Т Екатерина Степанова, начальник отдела аудита и консалтинга АМТ-ГРУП Фото: АМТ-ГРУП