В настоящей статье рассматривается проблема разработки методики аудита кибер-безопасности государственных информационных систем, относящихся к объектам критической информационной инфраструктуры Российской Федерации. В соответствии с требованиями законодательства государственный контроль в области обеспечения безопасности значимых объектов критической информационной инфраструктуры будет проводиться с 2021 года. Однако в настоящее время не существует утвержденной и/или общепринятой методики аудита кибербезопасности ГИС, относящихся к объектам КИИ, в ходе государственного (межведомственного) контроля, в связи с этим возникает проблема интерпретации его результатов. На данный момент существует множество международных и отечественных рекомендаций и практик по проведению аудита кибербезопасности информационных систем, но они не соответствуют существующим и вновь принимаемым документам в сфере обеспечения кибербезопасности значимых объектов критической информационной инфраструктуры Российской Федерации и не могут быть применимы без существенной доработки. Авторы рассматривают задачи, которые необходимо решить для разработки методики аудита, в том числе проводят анализ существующих законодательных, нормативных правовых актов Российской Федерации и уполномоченных в данной области федеральных органов исполнительной власти, методических документов и стандартов, а также возможных причин существующей ситуации. В результате исследования предложен алгоритм возможных действий при проведении аудита кибербезопасности в ходе проведения государственного контроля значимых объектов критической информационной инфраструктуры Российской Федерации, полученный в результате компиляции международных практик (стандартов) и требований, принятых в Российской Федерации, а также требования к необходимому инструментарию – к системам анализа уязвимостей и вспомогательному программному обеспечению (системам управления базами данных).

1. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ.

2. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (в редакции от 28 мая 2019 года).

3. Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».

4. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

5. Методический документ. Меры защиты в государственных информационных системах: утвержден ФСТЭК России 11 февраля 2014 г.

6. Методический документ. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении: утверждена ФСТЭК России 11 февраля 2019 г.

7. О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации: Указ Президента Российской Федерации от 22 декабря 2017 года № 620 // КонсультантПлюс: web-сайт. – URL: http://www.consultant.ru/document/cons_doc_LAW_285915/ (дата обращения: 18.11.2019).

8. О Национальном координационном центре по компьютерным инцидентам (вместе с Положением о Национальном координационном центре по компьютерным инцидентам): Приказ ФСБ России от 24 июля 2018 года № 366 // КонсультантПлюс: web-сайт. – URL: http://www.consultant.ru/document/cons_doc_LAW_306334/ (дата обращения: 18.11.2019).

9. Потапова Д.А., Журавлев С.И. Оценка ущерба от компьютерных инцидентов для критической информационной инфраструктуры // Материалы 45-й Международной научно-технической конференции молодых ученых, аспирантов и студентов: в 2 т. – Уфа, 2018. – Т. 1. – С. 447–454.

10. Будовских И.А., Загинайлов Ю.Н. Оценка применимости для аудита безопасности государственных ИС методики определения угроз безопасности информации, разработанной ФСТЭК России // Измерение, контроль, информатизация: материалы XVII международной научно-технической конференции. – Барнаул, 2016. – С. 240–243.

11. Гисматов А.Р., Байрушин Ф.Т. Особенности специфики применения документов ФСТЭК России в области защиты государственных информационных систем // Актуальные проблемы социального, экономического и информационного развития современного общества: Всероссийская научно-практическая конференция, посвященная 100-летию со дня рождения первого ректора Башкирского государственного университета Чанбарисова Шайхуллы Хабибулловича. – Уфа, 2016. – Ч. 1. – С. 53–55.

12. Сплюхин Д.В., Николаев Д.Б. Анализ новейших требований ФСТЭК и общие решения существующих проблем защиты информационных систем // Математика и математическое моделирование: сборник материалов X Всероссийской молодежной научно-инновационной школы. – Саров, 2016. – С. 28–29.

13. Портнова А.С. Анализ современных нормативно-методических документов ФСТЭК России в области систем обнаружения вторжений // Безопасные информационные технологии: Восьмая Всероссийская научно-техническая конференция: сборник трудов конференции / под ред. М.А. Басараба. – М., 2017. – С. 340–346.

14. Подход к созданию центров обработки персональных данных в организациях, обеспечивающих защиту государственных информационных ресурсов / В.Н. Труфанов, Д.А. Щевелев, И.В. Демидов, С.В. Совалин // Информатизация и связь. – 2018. – № 1. – С. 56–62.

15. Агеев В.О., Шилов А.К. Обеспечение защиты ГИС в зарубежных и отечественных системах // Информационное противодействие угрозам терроризма. – 2015. – № 24. – С. 312–315.

16. Горян Э.В. Ведущая роль Сингапура в обеспечении кибербезопасности в АСЕАН: промежуточные результаты и перспективы дальнейшего расширения // Территория новых возможностей. Вестник Владивостокского государственного университета экономики и сервиса. – 2018. – Т. 10, № 3. – С. 101–116.

17. Вопросы Федеральной службы по техническому и экспортному контролю: Указ Президента РФ от 16.08.2004 № 1085 (ред. от 08.05.2018) // КонсультантПлюс: web-сайт. – URL: www.consultant.ru/document/cons_doc_LAW_14031/ (дата обращения: 18.11.2019).