Рассмотрим процедуру аудита (проверки) информационной безопасности с точки зрения исполнителя. Самое важное отличие от проверки государственной – наемный аудитор действует исключительно в интересах заказчика. Начинается все, разумеется, с договора на оказание услуг. В договоре в обязательном порядке прописывается ответственность за сохранение конфиденциальности данных клиента. Далее устанавливается форма проверки – выездная или дистанционная. Суть от этого не меняется, и выездная проверка проводится, только если заказчик по каким-то причинам не может предоставить данные удаленно. В остальных случаях достаточно данных переданных по защищенным каналам связи.

Непосредственно сама проверка начинается, и часто ограничивается, проверкой организационно распорядительной документации в области ИБ принятой на предприятии. Специалисты проверяют наличие требуемых по законодательству документов и вычитывают их содержание. Проверка содержания может оказаться даже важнее проверки наличия. Приведем пример. Одним из требуемых документов для обработки персональных данных является бланк согласия субъекта персональных данных на обработку его данных. Все с этим сталкивались, все такой бланк так или иначе заполняли. Требования к форме бланка не предъявляются, но согласие в обязательном порядке должно содержать:

• ФИО, адрес физлица, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

• ФИО, адрес представителя гражданина, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или другого документа, подтверждающего полномочия этого представителя (при получении согласия от представителя гражданина);

• название или ФИО, адрес оператора, получающего согласие на обработку данных;

• цель обработки сведений;

• перечень персональных данных, на обработку которых дается согласие;

• название или ФИО, адрес лица, осуществляющего обработку сведений по поручению оператора, если обработка будет поручена такому лицу;

• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки данных;

• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено законом;

• подпись физлица-субъекта персональных данных или его представителя.

Требования к содержанию выдвигает 152-ФЗ «О персональных данных». Стоит забыть в согласии один из вышеперечисленных пунктов и согласие можно признать недействительным, и соответственно подвести к административному штрафу за обработку ПДн без согласия субъекта. К очень крупному штрафу. И это только один из множества примеров. Достаточно будет сказать, что пакет ОРД на обработку только ПДн содержит около сорока обязательных документов.

Отечественное законодательство часто расплывчато и требует чтения между строк, а понимание требований может отличаться даже у разных проверяющих. Самому разобраться в требованиях законодательства сложно, но аудиторы разбираются в них хорошо и на первом этапе проверки определят все недочеты. Проверка вовсе не обязательно должна касаться ПДн или требований законодательства. Специалисты могут проверить и просто внутренние документы и распоряжения организации в области ИБ на полноту и достаточность принятых мер, таких как распределение ответственности, оформление инструкций, парольную политику, и т.д. Хорошо и правильно оформленная документация способствует организованности и порядку не только в области ИБ, но и в работе предприятия в целом.

Следующим этапом исполнитель выдает отчет о проделанной работе, в котором указывает обнаруженные нарушения и приводит обоснованные рекомендации. Если это входит в услуги по договору – разрабатывает недостающие документы и правит существующие сам.

Полноценный аудит ИБ этим не ограничивается. Специалисты, по профилю организации заказчика, определяют требования к технической защите информации к этой организации предъявляемые. Это может быть 17 или 21 Приказы ФСТЭК России, требования к защите объектов критической информационной инфраструктуры и прочее. Проводится проверка на фактическое соответствие этим требованиям. Результаты этой проверки либо включаются в общий отчет, либо оформляются отдельным отчетом. Разумеется, в отчете будут все рекомендации, а при необходимости даже составляется техническое задание на систему защиты информации, отвечающую требованиям нормативных документов. По желанию заказчика точно также проводится проверка защиты коммерческой тайны.

Ну и в качестве еще одного вида аудита можно провести тестирование на проникновение. Специалисты имитируют действия нарушителя и пытаются «сломать» или проникнуть в систему заказчика. Вреда при этом, конечно, не наносится, а все результаты и обнаруженные слабые места также передаются заказчику в конфиденциальном отчете. Опять же, специалисты обязательно представят отчет и, по желанию заказчика, помогут ему с устранением обнаруженных уязвимостей.