Проведение аудита информационной безопасности

Действующим законодательством Российской Федерации установлены требования к организации деятельности по обработке конфиденциальной информации и ее организационной и технической защите.

Организационные меры представляют собой утвержденный и принятый в работу комплект нормативно-распорядительной документации, регламентирующей деятельность организации в сфере обработки конфиденциальной информации. Для разработки данного комплекта документации необходимо проведение аудита, направленного на сбор сведений о порядке обработки конфиденциальной информации.

Технические меры по защите конфиденциальной информации представляют собой комплекс мероприятий, включающий в себя внедрение системы защиты информации и проведение аттестационных испытаний, необходимых для документального подтверждения соответствия созданной системы защиты информации требованиям действующего законодательства.

Эффективность примененной организационной и технической защиты конфиденциальной информации определяется уполномоченными регулирующими органами посредством проведения плановых и внеплановых проверок. Выявлением нарушений в области порядка обработки конфиденциальной информации занимается Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – РКН); выявлением нарушений в области эксплуатации технических средств (в том числе и средств защиты информации) занимается Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК России), контроль и надзор в сфере эксплуатации средств криптографической защиты информации осуществляет Федеральная служба безопасности (далее – ФСБ России).

Аудит информационной безопасности проводится для:

• оценки эффективности и достаточности принятых мер по обеспечению безопасности конфиденциальной информации;
• выявления несоответствий информационных систем требованиям законодательством Российской Федерации в сфере защиты информации;
• разработки актуальной организационно-распорядительной документации в соответствии с законодательством Российской Федерации.

Аудит информационной безопасности включают в себя следующий комплекс работ:

• опрос сотрудников Заказчика. Опрос заключается в проведении интервьюирования всех сотрудников организации для выяснения всех аспектов обработки и защиты конфиденциальной информации;
• непосредственный осмотр объектов информационной инфраструктуры, который позволяет собрать информацию о физическом размещении элементов, проверить правильность сведений, принятых со слов сотрудников Заказчика;
• выявление информационных систем, подлежащих защите, а также технологических процессов передачи защищаемой информации в другие информационные системы, в том числе принадлежащие сторонним организациям;
• классификация и установление уровня защищенности информационных систем, в которых ведется обработка конфиденциальной информации, моделирование угроз и нарушителей.

После сбора необходимых данных осуществляется оценка достаточности принятых в организации мер по защите конфиденциальной информации. При наличии замечаний к полноте принятых мер формируются рекомендации по их устранению, предоставляются технические решения.

Вся информация, собранная в процессе аудита, вносится в сводный отчет о состоянии информационной безопасности организации и используется в дальнейшем для проектирования системы защиты.