Аудит подсистем защиты конфиденциальной информации информационных систем
В современном, динамично развивающемся в цифровом направлении мире эффективность информационных систем основывается, в том числе, на непрерывном следовании за передовыми технологиями и лучшими практиками в своей области. Такой подход приводит к необходимости практически постоянной модернизации решений, использующихся в информационной системе. В процессе модернизации информационная система меняется, обрастает новыми компонентами, связями и возможностями, при этом она должна продолжать выполнять заданные функции. Устойчивость информационной системы на любой стадии своего жизненного цикла, в том числе при модернизации, достигается обеспечением последовательных, точных, строго ограниченных и легитимных управляющих воздействий на нее со стороны работающих с ней лиц.
Зоной риска любой информационной системы является то, что на нее оказываются не только легитимные и осознанные воздействия, но и воздействия, являющиеся опасными, вредными и ошибочными. Вредоносные атаки осуществляются, как правило, с внешней стороны – из смежных информационных инфраструктур, сопряженных информационных систем, общедоступных информационно-телекоммуникационных сетей. Фактически информационная система постоянно подвергается различным атакующим деструктивным воздействиям, выполняющимся как в ручном, так и в автоматическом режиме. Для нейтрализации подобных воздействий и следующих за ними рисков для защищаемой информационной системы необходимо одновременно с ней поддерживать (модернизировать) и ее подсистему защиты информации. Распространена ситуация, в которой «вооруженность» подсистемы защиты информации отстает от реальных угроз безопасности, актуальных для защищаемой системы, по причине того, что подсистеме защиты информации уделяют внимание по остаточному принципу. Другой тип ситуаций, приводящих к возможности реализации угроз, связан с естественным устареванием методов и средств подсистемы защиты информации, особенно часто это бывает в тех случаях, когда сама защищаемая система статична, давно находится в эксплуатации и не проходит модернизаций. Для того чтобы снизить потенциальные риски для эффективности и устойчивости информационной системы, необходимо проводить аудит подсистем защиты информации.
Аудит подсистем защиты информации может выполняться как для информационных систем, не имеющих подсистему защиты информации, так и для информационных систем, которые имеют подсистему защиты информации (или какие-либо ее компоненты). Аудит может проводиться периодически либо при наличии планов модернизации информационной системы, изменения ее функционала, состава, условий эксплуатации, изменения нормативных требований, задаваемых регуляторами и в других аналогичных случаях.
Для каких систем может быть актуален аудит подсистем защиты конфиденциальной информации информационных систем:
Основание для проведения работ по аудиту подсистем защиты конфиденциальной информации информационных систем:
Зоной риска любой информационной системы является то, что на нее оказываются не только легитимные и осознанные воздействия, но и воздействия, являющиеся опасными, вредными и ошибочными. Вредоносные атаки осуществляются, как правило, с внешней стороны – из смежных информационных инфраструктур, сопряженных информационных систем, общедоступных информационно-телекоммуникационных сетей. Фактически информационная система постоянно подвергается различным атакующим деструктивным воздействиям, выполняющимся как в ручном, так и в автоматическом режиме. Для нейтрализации подобных воздействий и следующих за ними рисков для защищаемой информационной системы необходимо одновременно с ней поддерживать (модернизировать) и ее подсистему защиты информации. Распространена ситуация, в которой «вооруженность» подсистемы защиты информации отстает от реальных угроз безопасности, актуальных для защищаемой системы, по причине того, что подсистеме защиты информации уделяют внимание по остаточному принципу. Другой тип ситуаций, приводящих к возможности реализации угроз, связан с естественным устареванием методов и средств подсистемы защиты информации, особенно часто это бывает в тех случаях, когда сама защищаемая система статична, давно находится в эксплуатации и не проходит модернизаций. Для того чтобы снизить потенциальные риски для эффективности и устойчивости информационной системы, необходимо проводить аудит подсистем защиты информации.
Аудит подсистем защиты информации может выполняться как для информационных систем, не имеющих подсистему защиты информации, так и для информационных систем, которые имеют подсистему защиты информации (или какие-либо ее компоненты). Аудит может проводиться периодически либо при наличии планов модернизации информационной системы, изменения ее функционала, состава, условий эксплуатации, изменения нормативных требований, задаваемых регуляторами и в других аналогичных случаях.
Для каких систем может быть актуален аудит подсистем защиты конфиденциальной информации информационных систем:
- автоматизированные системы управления технологическими процессами (АСУ ТП);
- системы управления производственными процессами (MES);
- информационные системы персональных данных (ИСПДн);
- государственные информационные системы (ГИС);
- иные автоматизированных системы (АС);
- информационные системы, являющиеся объектами критической информационной инфраструктуры (ОКИИ).
- анализ текущего уровня защищенности информационной системы;
- формирование рекомендаций по обеспечению защиты конфиденциальной информации в соответствии с определенным уровнем защищенности.
- анализ текущего состояния системы информационной безопасности (включая программно-технические средства из состава информационной системы, средства защиты информации, организационно-распорядительные документы);
- выявление потребностей в уровне защиты конфиденциальной информации на основе учета целевых характеристик защищаемой информационной системы;
- определение нормативной базы, на основе которой рекомендуется обеспечивать защиту информации в информационной системе;
- определение рекомендуемых мер для организации защиты конфиденциальной информации в защищаемой информационной системе;
- определение рекомендуемых мер для модернизации подсистемы защиты конфиденциальной информации в защищаемой информационной системе (при наличии подсистемы защиты конфиденциальной информации) для приведения уровня защищенности информационной системы к определенным требованиям;
- формирование отчетных документов, содержащих в себе результат аудита и необходимые рекомендации для приведения уровня защищенности информационной системы к заданным требованиям.
- анализ и оценка текущего уровня защищенности информационной системы;
- формирование рекомендаций по обеспечению оптимального уровня защищенности информации информационной системы;
- формирование рекомендаций по мерам, необходимым для приведения подсистемы защиты информации к определенному уровню защищенности (при наличии подсистемы защиты конфиденциальной информации).
- «Сумма технологий» имеет лицензию ФСТЭК на техническую защиту конфиденциальной информации.
- «Сумма технологий» обладает ресурсами для выполнения работ по информационной безопасности:
- создано и функционирует подразделение, укомплектованное сотрудниками с профильным образованием и опытом работы в области информационной безопасности;
- имеются необходимые технические условия для проведения работ – САПР, аттестованные по требованиям безопасности автоматизированное рабочее место и защищаемое помещение;
- налажены рабочие контакты с производителями телекоммуникационного оборудования и средств защиты информации.
Основание для проведения работ по аудиту подсистем защиты конфиденциальной информации информационных систем:
- Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
- Постановление Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
- Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
- Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
- Приказ ФСТЭК России от 25.12.2017 №21 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Будьте в курсе новостей!