Вопросы внутреннего контроля на объектах критической информационной инфраструктуры (КИИ) не просто рекомендация — это прямая обязанность операторов КИИ, закрепленная законом № 187-ФЗ и подзаконными актами ФСТЭК России. Однако на практике многие сталкиваются с вопросом: как организовать процесс внутреннего контроля так, чтобы он был не «для отчёта», а действительно работал?
В этой статье разберем по шагам как выстроить систему внутреннего контроля на объекте КИИ и как оценить, насколько эффективно реализованы меры защиты.
Что такое внутренний контроль в контексте КИИ
Внутренний контроль — это систематическая деятельность по проверке выполнения требований безопасности информации на объектах КИИ.
Он охватывает соблюдение нормативных требований (187-ФЗ, приказы ФСТЭК №235, №239, №127 и др.), выполнение организационных и технических мер, документирование и реагирование на инциденты.
Важно понимать, внутренний контроль — это не разовая проверка, а непрерывный процесс, встроенный в систему управления безопасностью.
Как организовать процесс внутреннего контроля: по шагам
Определение перечня объектов КИИ
Перед тем как выстраивать контроль, нужно понимать, что именно вы защищаете. На практике это включает:
- составление перечня объектов КИИ;
- категорирование (в соответствии с постановлением Правительства РФ №127);
- утверждение перечня на уровне руководства.
Стоит также обратить внимание, что ошибки категорирования могут привести к неправильному выбору мер защиты и к претензиям со стороны регуляторов.
Разработка нормативной базы
Организация должна утвердить внутренние регламенты:
- порядок проведения внутреннего контроля;
- план-график проверок;
- методы оценки эффективности;
- форма актов и отчётов.
В российских госкорпорациях часто внедряется модель «трёх линий защиты», где первая линия — исполнители, вторая — ИБ-специалисты, третья — служба внутреннего контроля (аудита).
Проведение регулярных проверок
Проверки могут быть:
- плановыми (в соответствии с графиком, например, раз в квартал),
- внеплановыми (при внедрении новых ИТ-систем, после инцидента или по предписанию регулятора).
Они включают анализ выполнения организационных мер (обучение, контроль доступа, реагирование), аудит технических мер (актуальность настроек СЗИ, журналирование, сегментирование сети и др.), анализ журналов событий, в том числе средствами SIEM и SOC.
Фиксация результатов и оформление отчётности
По итогам каждой проверки составляется:
- акт внутреннего контроля,
- перечень нарушений и отклонений,
- рекомендации по устранению,
- срок исполнения и ответственные лица.
Результаты передаются в уполномоченные подразделения, а при необходимости — в службу ИБ и на уровень руководства.
Мониторинг устранения нарушений
Контроль не заканчивается на бумаге. Важно следить за устранением выявленных нарушений, повторно проверять «проблемные» участки и оценивать динамику, выясняя, снижается ли число нарушений от проверки к проверке.
Лучше автоматизировать учёт нарушений и контроль сроков исполнения через внутренние ИБ-системы или интеграцию с системой документооборота.
Как оценить эффективность реализованных мер защиты
Просто наличие средств защиты (СЗИ) ещё не гарантирует безопасность. ФСТЭК прямо указывает: важна эффективность применения этих мер. Вот как её можно оценить:
Соответствие реализованных мер модели угроз и модели нарушителя
- Актуальны ли меры защиты в контексте выявленных актуальных угроз?
- Учитывают ли они возможности типового нарушителя, определённого для КИИ?
В реальных проверках часто встречается несоответствие настроек межсетевого экранирования заявленной модели угроз.
Снижение числа инцидентов и нарушений
- Сравните статистику за квартал/год.
- Уменьшается ли число повторяющихся инцидентов?
- Есть ли положительная динамика по устранению замечаний?
Проверка устойчивости мер
- Проведите тестирование (например, моделирование вторжения или аудит конфигураций).
- Применяются ли меры постоянно, или только «на бумаге»?
Анализ результативности персонала
- Проходят ли сотрудники регулярное обучение?
- Знают ли они порядок реагирования на инциденты?
- Отрабатываются ли практические сценарии (учения, тренировки)?
Аудит логирования и реагирования
- Ведутся ли журналы событий?
- Обеспечено ли хранение и целостность?
- Реагируют ли операторы безопасности на срабатывания?
Заключение
Внутренний контроль на объектах КИИ — это не просто требование закона, а жизненно важная функция, позволяющая выявлять слабые места и повышать уровень защищенности. Организованный системно и грамотно, контроль помогает соответствовать требованиям ФСТЭК и 187-ФЗ, своевременно устранять уязвимости, готовиться к проверкам и снижать риски инцидентов.
А главное — он показывает, что безопасность не делается «для галочки», а становится частью культуры и процессов компании.
Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности.
Оригинал публикации на сайте CISOCLUB: "Внутренний контроль объектов КИИ: организация процесса и оценка эффективности мер".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.