Правовые основы и функции ФСТЭК РФ по обеспечению информационной безопасности

Выводы аудита информационной безопасности включаютрезультаты оценки собранной информациив рамках проведенного аудита информационной безопасности на соответствие критериям аудита информационной безопасности.Выводы, полученные в рамках проведенного аудита информационной безопасности,показывают уровень соответствия имеющейся системыинформационной безопасности критериям проводимого аудита.Экспертиза и аудит системы информационной безопасности осуществляетсяв целяхопределения недостатков и уязвимостей мест в системе защиты информации организации, а также для оценки результативности ее функционирования. Аудит системы информационной безопасности проводится с целью оценки соответствия установленным регламентам, аттестации или сертификации и представляет собой анализ системы информационной защиты предприятия, имеющей следующие цели:Оценку соответствия системы установленным нормативным требованиям.Определение степени обоснованности и правомерности локальных нормативных актов в области безопасности.В рамках подготовки к проведению аудита необходимо определить возможности по его проведению, а также согласовать и заключить договор на проведение работ по аудиту информационной безопасности. Далее проводится формирование аудиторской группы с включением сертифицированных специалистов.В договоре на проведение аудита прописываются вопросы: — область аудита информационной безопасности;— определение степени ответственности руководителей проверяемой компании за подготовку и предоставлениенеобходимых данных для проведения аудита ИБ;— требования к отчетности по итогам проведенного аудита ИБ;— уровеньвзаимодействия сотрудников проверяемой организации и аудиторов;— вопросы по порядку сбора необходимых данных и свидетельств для аудита;— стоимость услуги;— возможность привлечения к проведению аудита ИБ других проверяющихорганизаций и(или) узких специалистов;— наличие ограничений в области ответственности аудиторов.Источники информации для формирования выводов о состоянии информационной безопасности компании включают:— документацию проверяемой компании и третьих лиц, курирующих вопросы обеспечения ИБ организации, а также контрагентов компании;— анализ устных высказываний и письменных ответов сотрудников проверяемой компании в рамках проводимых опросов;— данные о результатах аудиторских наблюдений за деятельностью компании в области защиты информации.Для формирования выводов по результатам аудита используются методы:— проведение проверки и анализа документации, касающейся вопросов обеспечения ИБ в компании;— наблюдение за работой компании по вопросам, относящимся к информационной безопасности;— проведение опросов работников проверяемой компании и независимой (третьей) стороны.Оценка достоверности выводов по результатам аудита информационной безопасности проводится по критериям:— наличие свидетельств, полученных от третьей стороны в письменной форме;— оценка свидетельств, полученных от проверяемой компании и подтвержденных третьей стороной в письменной форме;— оценка свидетельств, полученных при проведении аудиторских процедур (связанных с наблюдением за работой компании, анализом информации с систем мониторинга ИБ и т.д.);— оценка свидетельств, полученных в формах документов;— оценка свидетельств, полученных в устной форме.Выводы о степени защищенности информационной системы формируются на основании анализа протоколов работы сертифицированных программ, осуществляющих мониторинг состояния защиты информации.При проведении сбора свидетельств аудита ИБ необходимо исходить из того, что работа проверяемой компании в области ИБ производится в соответствии с требованиями соответствующих стандартов. Аудиторы должны иметь навыки экспертизы предоставляемой свидетельской информации, принимать во внимание вероятность наличия различных нарушений при обеспечении ИБ в проверяемой компании. Проверка и анализ документации проводится на всех стадиях аудиторской проверки.Проверка и анализ документов позволяют аудитору получить свидетельства аудита ИБ, обладающие наибольшей полнотой и удобством восприятия и использования по сравнению с другими методами получения свидетельств аудита ИБ. Однако данные свидетельства аудита ИБ могут иметь разный уровень достоверности, что определяется их характером и источником, а также эффективностью организации внутреннего контроля компании за подготовкой и обработкой представляемой документации.Выводы аудита ИБ и подтверждающие их свидетельства аудита ИБ должны рассматриваться и анализироваться аудиторами вместе с представителями проверяемой компании для получения подтверждений того, что свидетельства, полученные в рамках проведенного аудита, являются верными и понятными. При наличии нерешенных вопросов необходима их фиксация в протоколах совещаний с отражением в отчете по итогам проведенного аудита ИБ.ЗаключениеВ рамках данной работы проведен анализ требований ФСТЭК в области обеспечения информационной безопасности, рассмотрены теоретические основыпроведения аудита информационной безопасности,рассмотрены теоретические аспекты и математические модели проведения аудита системы информационной безопасности. Также проведен анализ применимости существующих стандартов по обеспечению информационной безопасности. Показано, что проведение аудита системы информационной безопасности с использованием специализированных программных средств позволит выявить узкие места в системе защиты информации и дать рекомендации по их устранению.В ходе проведения анализа нормативной базы, регулирующей вопросы соблюдения требований информационной безопасности было установлено, что при проектировании архитектуры защиты информации на предприятиях необходимо проводить аудит системы в соответствии с рекомендациями ФСТЭК, что позволяет избегать санкций вплоть до остановки деятельности компании.Список использованных источниковФедеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗПостановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"Чесноков Н. А. Информационная безопасность: (защита информации и защита от информации): словарь-справочник : нормативные правовые акты : [учебное пособие] / Н. А. Чесноков. - Москва: [б. и.], 2014. - 390 с. Загородников С. Н., Загородникова Т. Н., Максимов Д. А. Безопасность информации в деятельности фирмы, организации, предприятия: (правовой аспект) / С.Н. Загородников, Т.Н. Загородникова, Д.А. Максимов. - Москва : Гриф и К, 2014. - 239 с.Гольтяпина И.Ю. Правовое обеспечение информационной безопасности: учебное пособие / [И. Ю. Гольтяпина]. - Омск: Омскбланкиздат, 2016. - 107 с.Родичев Ю. А. Информационная безопасность: национальные стандарты Российской Федерации: учебное пособие / Юрий Андреевич Родичев. - [2-е изд.]. - Санкт-Петербург: Питер, 2019. - 304 с.Белобородова Н. А. Информационная безопасность и защита информации : учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. Смычёк М.А. Информационная безопасность и защита информации : учебное / М.А. Смычёк. - Нижний Новгород : Нижегородский государственный технический университет, 2016. – 125с.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров; Министерство образования и науки Российской Федерации, Санкт-Петербургский государственный архитектурно-строительный университет. - Санкт-Петербург :СПбГАСУ, 2017. – 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных : учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург :СПбГАСУ, 2017. - 107 с.