infosecurity032020

Page 8

Samatov 7/16/20 2:38 PM Page 6

В ФОКУСЕ

Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

В На этапе создания систем безопасности значимых объектов КИИ необходимо понимание того, какие меры безопасности уже приняты (и вообще были они приняты или нет), а также какие требования по защите информации уже выполнены.

Результатом периодического аудита является документ, подтверждающий или не подтверждающий соответствие текущего положения дел заданным критериям (в зависимости от вида аудита), а также содержащий рекомендации по устранению несоответствий либо по развитию текущего состояния информационной безопасности, если недостатки не выявлены.

этой статье рассматриваются вопросы проведения аудита информационной безопасности в отношении объектов критической информационной инфраструктуры, а именно кто, как и когда должен проводить проверку, чем она регламентируется и каковы ее особенности. Под аудитом в данном случае следует понимать форму независимой оценки состояния информационной безопасности объекта (информационной системы, автоматизированной системы, организации в качестве объекта защиты в целом и т.д.) на соответствие заданным критериям, таким как требования действующего законодательства, принятые корпоративные стандарты, отсутствие уязвимостей, способность обеспечить защиту при проведении компьютерной атаки и т.п.

В журнале "Информационная безопасность" № 31 за 2019 г. в одноименной статье я рассматривал общие вопросы, связанные с тем, что такое аудит информационной безопасности, зачем он нужен, какие бывают виды аудита и как он может быть использован по отношению к объектам критической информационной инфраструктуры (далее – ОКИИ). Прошел год, определенный опыт в данном вопросе накоплен, многие субъекты КИИ провели категорирование своих объектов и начали создание систем их безопасности. На этапе создания систем безопасности значимых объектов КИИ (далее – СБЗОКИИ) необходимо понимание того, какие меры безопасности уже приняты (и вообще были они приняты или нет), а также какие требования по защите информации

уже выполнены. Если СБЗОКИИ уже создана, то необходимо контролировать ее функционирование и проводить улучшения, то есть совершенствовать. С точки зрения обеспечения безопасности значимых ОКИИ можно выделить два направления в аудите информационной безопасности – аудит на этапе создания СБЗОКИИ и периодический аудит. Следует отметить, что в рамках данной статьи будут рассматриваться вопросы, связанные с проведением аудита значимых объектов КИИ, однако изложенные в ней тезисы могут применяться и по отношению к объектам КИИ, не имеющим категории значимости.

Аудит на этапе создания СБЗОКИИ После завершения процедуры категорирования и получения

уведомления из ФСТЭК России о внесении в реестр значимых ОКИИ субъекту КИИ необходимо понять, были ли выполнены какие-то требования в части информационной безопасности, касающиеся значимых ОКИИ. Иными словами, нужно получить свидетельства аудита2 и провести их оценку. На практике обычно не встречаются организации, у которых нет никакой системы защиты информационных ресурсов. Например, антивирусные программные средства есть практически у всех. Поэтому и нужно понять, что уже реализовано, а что требуется дополнительно реализовать с учетом новых требований. В качестве критериев аудита 3 следует использовать требования, установленные приказами ФСТЭК России от 21 декабря 2017 г.

1 Саматов К.М. Особенности проведения аудита информационной безопасности объектов КИИ // Information Security/ Информационная Безопасность. № 3. 2019. С. 8—10. 2 Под свидетельствами аудита понимаются записи, изложение фактов или другая информация, которые связаны с критериями аудита и могут быть проверены. 3 Критерии аудита – это совокупность политик, процедур или требований, используемых в качестве эталона, в соотношении с которыми сопоставляют свидетельства аудита, полученные при проведении аудита.

6 •


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.