Аудит подсистем защиты конфиденциальной информации информационных систем

В современном, динамично развивающемся в цифровом направлении мире эффективность информационных систем основывается, в том числе, на непрерывном следовании за передовыми технологиями и лучшими практиками в своей области. Такой подход приводит к необходимости практически постоянной модернизации решений, использующихся в информационной системе. В процессе модернизации информационная система меняется, обрастает новыми компонентами, связями и возможностями, при этом она должна продолжать выполнять заданные функции. Устойчивость информационной системы на любой стадии своего жизненного цикла, в том числе при модернизации, достигается обеспечением последовательных, точных, строго ограниченных и легитимных управляющих воздействий на нее со стороны работающих с ней лиц.

Зоной риска любой информационной системы является то, что на нее оказываются не только легитимные и осознанные воздействия, но и воздействия, являющиеся опасными, вредными и ошибочными. Вредоносные атаки осуществляются, как правило, с внешней стороны – из смежных информационных инфраструктур, сопряженных информационных систем, общедоступных информационно-телекоммуникационных сетей. Фактически информационная система постоянно подвергается различным атакующим деструктивным воздействиям, выполняющимся как в ручном, так и в автоматическом режиме. Для нейтрализации подобных воздействий и следующих за ними рисков для защищаемой информационной системы необходимо одновременно с ней поддерживать (модернизировать) и ее подсистему защиты информации. Распространена ситуация, в которой «вооруженность» подсистемы защиты информации отстает от реальных угроз безопасности, актуальных для защищаемой системы, по причине того, что подсистеме защиты информации уделяют внимание по остаточному принципу. Другой тип ситуаций, приводящих к возможности реализации угроз, связан с естественным устареванием методов и средств подсистемы защиты информации, особенно часто это бывает в тех случаях, когда сама защищаемая система статична, давно находится в эксплуатации и не проходит модернизаций. Для того чтобы снизить потенциальные риски для эффективности и устойчивости информационной системы, необходимо проводить аудит подсистем защиты информации.

Аудит подсистем защиты информации может выполняться как для информационных систем, не имеющих подсистему защиты информации, так и для информационных систем, которые имеют подсистему защиты информации (или какие-либо ее компоненты). Аудит может проводиться периодически либо при наличии планов модернизации информационной системы, изменения ее функционала, состава, условий эксплуатации, изменения нормативных требований, задаваемых регуляторами и в других аналогичных случаях.

Для каких систем может быть актуален аудит подсистем защиты конфиденциальной информации информационных систем:

• автоматизированные системы управления технологическими процессами (АСУ ТП);
• системы управления производственными процессами (MES);
• информационные системы персональных данных (ИСПДн);
• государственные информационные системы (ГИС);
• иные автоматизированных системы (АС);
• информационные системы, являющиеся объектами критической информационной инфраструктуры (ОКИИ).

Цель аудита подсистем защиты конфиденциальной информации информационных систем:

• анализ текущего уровня защищенности информационной системы;
• формирование рекомендаций по обеспечению защиты конфиденциальной информации в соответствии с определенным уровнем защищенности.

Процесс аудита подсистем защиты конфиденциальной информации информационных систем:

• анализ текущего состояния системы информационной безопасности (включая программно-технические средства из состава информационной системы, средства защиты информации, организационно-распорядительные документы);
• выявление потребностей в уровне защиты конфиденциальной информации на основе учета целевых характеристик защищаемой информационной системы;
• определение нормативной базы, на основе которой рекомендуется обеспечивать защиту информации в информационной системе;
• определение рекомендуемых мер для организации защиты конфиденциальной информации в защищаемой информационной системе;
• определение рекомендуемых мер для модернизации подсистемы защиты конфиденциальной информации в защищаемой информационной системе (при наличии подсистемы защиты конфиденциальной информации) для приведения уровня защищенности информационной системы к определенным требованиям;
• формирование отчетных документов, содержащих в себе результат аудита и необходимые рекомендации для приведения уровня защищенности информационной системы к заданным требованиям.

Целевой результат аудита подсистем защиты конфиденциальной информации информационных систем:

• анализ и оценка текущего уровня защищенности информационной системы;
• формирование рекомендаций по обеспечению оптимального уровня защищенности информации информационной системы;
• формирование рекомендаций по мерам, необходимым для приведения подсистемы защиты информации к определенному уровню защищенности (при наличии подсистемы защиты конфиденциальной информации).

Компания «Сумма технологий» обладает необходимыми разрешениями, условиями и опытом в проведении работ по аудиту подсистем защиты конфиденциальной информации информационных систем по требованиям безопасности конфиденциальной информации.

1. «Сумма технологий» имеет лицензию ФСТЭК на техническую защиту конфиденциальной информации.
2. «Сумма технологий» обладает ресурсами для выполнения работ по информационной безопасности:

• создано и функционирует подразделение, укомплектованное сотрудниками с профильным образованием и опытом работы в области информационной безопасности;
• имеются необходимые технические условия для проведения работ – САПР, аттестованные по требованиям безопасности автоматизированное рабочее место и защищаемое помещение;
• налажены рабочие контакты с производителями телекоммуникационного оборудования и средств защиты информации.

Специалисты «Сумма технологий» обладают глубоким пониманием специфики основных процессов в АСУ ТП и MES системах и значительным опытом в создании подсистем ИБ информационных систем, что позволяет им проводить аудит подсистем защиты конфиденциальной информации на высочайшем уровне.

Основание для проведения работ по аудиту подсистем защиты конфиденциальной информации информационных систем:

• Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
• Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
• Постановление Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
• Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
• Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
• Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
• Приказ ФСТЭК России от 25.12.2017 №21 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
• Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».