9.3. Аудит (обследование) обеспечения безопасности информации
9.3. Аудит (обследование) обеспечения
безопасности информации
Аудит (обследование) обеспечения безопасности информации на объектах налоговых органов проводится сторонними организациями, имеющими опыт проведения аудита безопасности информации (исполнителями аудита). Аудит проводится по инициативе руководства ФНС России. Поддержка руководством ФНС России является необходимым условием для проведения аудита.
Аудит (обследование) представляет собой комплекс мероприятий, в которых помимо аудитора, задействованы сотрудники структурных подразделений ФНС России. Действия всех участников этого процесса должны быть скоординированы.
На этапе инициирования процедуры аудита (обследования) должны быть решены следующие организационные вопросы:
права и обязанности аудитора должны быть четко определены и документально закреплены;
аудитором должен быть подготовлен и согласован с руководством ФНС России план проведения аудита;
руководством ФНС России должны быть определены общие границы объекта обследования (аудита);
аудитором совместно с руководством ФНС России должен быть произведен выбор критериев оценки состояния ИБ;
сотрудники ФНС России должны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.
Объектами аудита (обследования) в ФНС России могут быть:
организационно-распорядительная, эксплуатационная и конструкторская документация, регламентирующая организацию и порядок обеспечения ИБ в ФНС России;
ИС налоговых органов и телекоммуникационная инфраструктура ФНС России;
сотрудники ФНС России, привлекаемые к обработке защищаемых ИР ФНС России и обслуживанию технических средств обработки информации налоговых органов.
При определении границ объекта аудита (обследования) должны быть четко зафиксированы:
территориальное расположение обследуемого объекта и его частей (подразделений налоговых органов);
точки разграничения ответственности с провайдерами телематических услуг при передаче информации между удаленными элементами ИС и объектами информатизации налоговых органов;
разграничение ответственности по обслуживанию коммуникационного оборудования телекоммуникационной инфраструктуры ФНС России;
разграничение ответственности в обеспечении физической охраны объектов информатизации налоговых органов.
Для решения конкретных задач аудита (обследования) применяются специальные методики и установленные критерии. В качестве критериев оценки определяются стандарты (национальные и международные), либо требования ФНС России.
Программа аудита (обследования), должна предусматривать (не ограничиваясь):
анализ документов по использованию ИС налоговых органов и обеспечению ИБ в ФНС России;
анализ структуры, состава и принципов работы ИС налоговых органов и существующей СиЗИ;
оценка порядка и правильности классификации ИР ФНС России, определение (уточнение) требуемого уровня защищенности ИС налоговых органов;
анализ деятельности должностных лиц и сотрудников ФНС России по обеспечению ИБ;
оценка подготовки сотрудников ФНС России к поддержанию установленного режима защиты ИР ФНС России;
оценка порядка и достаточности администрирования ИС налоговых органов и управления доступом к ИР ФНС России;
оценка (тестовые испытания) эффективности существующей СиЗИ ИС налоговых органов;
оценка обеспечения безопасности сотрудников ФНС России и физической безопасности объектов информатизации налоговых органов;
оценка достаточности планирования бесперебойной работы ИС налоговых органов;
проведение проверки выполнения установленных правил (политики) ИБ, порядка применения СЗИ, порядка копирования защищаемого авторским правом программного обеспечения, порядка уведомления о случаях нарушения защиты информации.
Результатом проведения аудита (обследования) является отчет о состоянии защищенности ИС налоговых органов, в котором на основе анализа достигнутого уровня и динамики развития информационных технологий, ожидаемых угроз, источников этих угроз и уязвимостей (факторов), даются развернутые рекомендации по повышению уровня защищенности ИС налоговых органов, на основе совершенствования механизмов (исполнительных и поддержки) СОБИ ФНС России.
В ходе аудита (обследования) анализируется возможность причинения ущерба интересам субъектов правоотношений при активизации возможных уязвимостей ИС налоговых органов.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875