ОСОБЕННОСТИ ПРОВЕДЕНИЯ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

Под аудитом информационной безопасности следует понимать форму независимой оценки состояния информационной безопасности объекта аудита (информационная система, автоматизированная система, организация как объект защиты в целом и т.п.) на соответствие заданным критериям (требованиям действующего законодательства, принятых корпоративных стандартов, отсутствия уязвимостей, способности обеспечить защиту при проведении компьютерной атаки и т.п.). В данной статье рассматриваются вопросы проведения аудита информационной безопасности в отношении объектов критической информационной инфраструктуры: чем регламентирован, кто, как и когда проводит, каковы особенности.

В журнале "Information Security/ Информационная безопасность" №3 за 2019 год в статье с одноименным наименованием автор рассматривал общие вопросы связанные с тем, что такое аудит информационной безопасности, зачем он нужен, какие бывают виды аудита и как он может быть использован по отношению к объектам критической информационной инфраструктуры (далее – ОКИИ).

Прошел год, накоплен определенный опыт в данном вопросе, многие субъекты КИИ провели категорирование своих объектов и начали создание систем их безопасности. На этапе создания систем безопасности значимых объектов КИИ (далее – СБЗОКИИ) необходимо получить понимание того, какие меры безопасности уже приняты (приняты ли вообще), какие требования по защите информации выполнены. Если СБЗОКИИ уже создана, то необходимо контролировать ее функционирование и проводить улучшения (совершенствовать).

Таким образом, с точки зрения обеспечения безопасности значимых ОКИИ можно выделить два направления в аудите информационной безопасности - аудит на этапе создания СБЗОКИИ и периодический аудит.

Следует отметить, что в рамках данной статьи будут рассматриваться вопросы, связанные с проведением аудита значимых объектов КИИ, однако изложенные в ней постулаты могут применяться и по отношению к объектам КИИ, не имеющим категории значимости.

Аудит на этапе создания СБЗОКИИ

После завершения процедуры категорирования и получения уведомления из ФСТЭК России о внесении ОКИИ в реестр значимых ОКИИ, субъекту КИИ необходимо понять, выполнены ли какие-то требования в части информационной безопасности касающиеся значимых ОКИИ, иными словами, получить свидетельства аудита и провести их оценку.

На практике, обычно не встречаются организации, которые не имели бы хоть какой-то системы защиты информационных ресурсов (например, антивирусные программные средства есть практически у всех) поэтому и нужно понять, что уже реализовано, а что требуется реализовать дополнительно в рамках новых требований.

В качестве критериев аудита следует использовать требования установленные приказами ФСТЭК России от 21 декабря 2017 г. № 235 и от 25 декабря 2017 г. № 239.

На что необходимо обращать внимание при проведении аудита, на какие вопросы необходимо получить ответы:

1. Силы обеспечения информационной безопасности, т.е. кто и как обеспечивает информационную безопасность в организации.
2. Средства обеспечения информационной безопасности ЗОКИИ, т.е. какие программные и (или) программно-аппаратные средства используются для обеспечения информационной безопасности ЗОКИИ.
3. Организационно-распорядительная документация, т.е. какая документация в части безопасности информации имеется в организации и какие вопросы она регламентирует.
4. Организация работ по обеспечению информационной безопасности:

• каким образом организован процесс планирования и разработки мероприятий по обеспечению информационной безопасности, чем он регламентирован;
• как осуществляется реализация мероприятий по информационной безопасности;
• каким образом осуществляется контроль за соблюдением требований в области информационной безопасности и контроль текущего уровня безопасности;
• как оценивается уровень зрелости процессов обеспечения информационной безопасности и осуществляется их совершенствование.

Вопросы 1,3,4 изучаются применительно ко всей организации, вопрос относительно средств обеспечения безопасности - применительно к каждому ЗОКИИ, т.е. необходимо, по сути, проанализировать какие меры безопасности реализуются подсистемами безопасности каждого из ЗОКИИ. При этом, указанный анализ должен проводится с учетом категории значимости ОКИИ.

Автор рекомендует подготовить для данного анализа таблицу, основанную на Составе мер по обеспечению безопасности для значимого объекта соответствующей категории значимости (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239), например, как на рисунке 1.

Рисунок 1. – Пример таблицы для проведения аудита на соответствие требованиям к подсистеме безопасности ЗОКИИ.

Результатом вышеописанного анализа будет являться понимание того, какая часть обязательных мер по обеспечению безопасности ЗОКИИ уже реализована, а какая требует реализации в процессе создания СБЗОКИИ, какая часть мер может быть «закрыта» встроенными средствами защита, а для какой потребуется применение наложенных.

Периодический аудит

Проведение периодического аудита регламентируется п. 35 и п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) и п. 22 Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (утв. приказом ФСТЭК России от 25 декабря 2017 г. № 239).

Периодический аудит можно подразделить на три вида (см. рисунок 2). Правила и процедуры аудита безопасности должны быть регламентированы в локальных нормативных актах.

Мониторинг безопасности и внутренний аудит являются базовыми мерами для всех ЗОКИИ. Внешний аудит можно использовать в качестве компенсирующей меры (при проведении внешнего аудита, внутренний проводить не обязательно) или в качестве дополнения. Так, по мнению автора, для своевременного получения объективной картины состояния дел в части безопасности ЗОКИИ следует проводить ежегодный внутренний аудит, а внешний аудит (с привлечением лицензиата, обладающего реальной экспертизой в части безопасности ЗОКИИ и проведения аудита) раз в три года.

Рисунок 2. – Виды периодического аудита

Результатом периодического аудита будет являться документ, подтверждающий или не подтверждающий соответствие текущего положения дел заданным критериям (в зависимости от вида аудита), а также содержащий рекомендации по устранению несоответствий, либо по совершенствованию (улучшению) текущего состояния информационной безопасности, если недостатки не выявлены.

На основании указанного документа целесообразно разработать план по устранению недостатков или совершенствованию информационной безопасности с указанием сроков проведения отраженных в нем мероприятий.

Следует отметить, что в соответствии с п. 36 Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (утв. приказом ФСТЭК России от 21 декабря 2017 г. № 235) замечания, выявленные по результатам внутреннего контроля или внешней оценки (внешнего аудита), подлежат устранению в порядке и сроки, установленные руководителем субъекта КИИ (уполномоченным лицом).

Отдельно хотелось бы остановиться на таком виде периодического аудита как мониторинг безопасности. Он должен осуществляться на регулярной основе и включать в себя:

• инвентаризацию информационных ресурсов;
• анализ уязвимостей и их устранение;
• регистрацию событий безопасности;
• контроль и анализ сетевого трафика;
• анализ действий отдельных пользователей и т.п.

Источниками мониторинга является большое количество журналов и систем:

• журналы операционных систем;
• журналы средств защиты информации;
• системы мониторинга и отслеживания статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования;
• системы мониторинга событий информационной безопасности;
• системы обнаружения (предотвращения) вторжений;
• системы контроля действий работников (предотвращения утечек) и т.п.

Таким образом, перечень источников и процедур входящих в мониторинг безопасности достаточно большой. Однако есть возможность агрегировать все эти источники и автоматизировать процедуры мониторинга информационной безопасности. В качестве такого решения может выступить система класса Security Governance, Risk, Compliance (SGRC) – программный продукт, основное назначение которого – управление процессами информационной безопасности компании, автоматизация системы менеджмента информационной безопасности.

В функционал указанной системы обязательно входят модули управления информационными активами, управления соответствием законодательству, стандартам и лучшим практикам (комплаенс), управления внутренним аудитом, коннекторы для взаимодействия с иными решениями, на основе которых можно настроить свидетельства аудита и критерии аудита, периодичность генерации отчетов.

Сведения об авторе: Константин Саматов, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности.
Сайт: https://ksamatov.ru

Источник: https://www.itsec.ru/articles/osobennosti-provedeniya-audita-informacionnoj-bezopasnosti-obektov-kriticheskoj-informacionnoj-infrastruktury

Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!