СДЕЛАТЬ ЗАКАЗ

Заказать экспертизу Получить письмо для суда

Экспертиза документов в области информационной безопасности

В рамках подхода RTM Group выделяются три основных случая, в которых может понадобиться провести независимую судебную или внесудебную экспертизу по информационной безопасности:

  • Экспертиза в рамках договора;
  • Экспертиза в судебных процессах;
  • Экспертиза в холдинговых структурах.

Экспертиза проектной документации по информационной безопасности в рамках договора

Экспертиза проектного решения, или результата выполненных работ в целом, может быть предусмотрена самим договором. По факту завершения работ, в соответствии с договором Исполнитель заказывает производство независимой экспертизы, либо независимую экспертизу заказывает Заказчик работ на этапе приемки. Другими словами, после того, как будут произведены работы, разработана проектная документация, в частности, техническое задание, технический проект, организационно-распорядительная документация и прочее, весь комплект документов передаются в экспертную организацию для проведения экспертизы. В этом случае в задачи экспертизы будет входить:

  • Установление факта разработки необходимых документов;
  • Установление факта соответствия результата выполненных работ требованиям договора;
  • Установление факта соответствия проектной документации требованиям законодательства или регуляторов (ФСТЭК России, ФСБ России и пр.).

Область информационной безопасности в Российской Федерации сильно зарегулирована. Существует большое количество регулятивных документов и требований:

  • Нормативные и методические документы ФСТЭК России (руководящие и методические документы, приказы, регламенты и пр.)
  • Нормативные и методические документы ФСБ России (приказы, рекомендации, инструкции и пр.)
  • Ведомственные документы Центрального банка Российской Федерации (положения, указания, письма и пр.)
  • Документы Роскомнадзора, Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации и многие другие.
  • Имеются десятки законов, подзаконных актов, ГОСТов, а также иных значимых требований и рекомендаций по информационной безопасности и защите информации.

Как правило, в договоре и/или техническом задании имеются ссылки на требования, в соответствии с которыми должна разрабатываться проектная документация. Данные требования будут являться критериями экспертизы.

Поводить экспертизу документов по защите информации может лицо, которое не участвовало в разработке этой документации.

Крайне желательно, чтобы производство экспертизы было поручено профильной экспертной организации, которая занимается экспертизами информационной безопасности профессионально, имеет необходимые лицензии и может назначить эксперта, квалификация которого, не вызывает сомнений.

Экспертиза проектной документации по информационной безопасности в рамках судебного спора

В случае судебного разбирательства необходимость проведения экспертизы проектной документации появляется практически всегда. Экспертиза проектной документации по ИБ может быть произведена как в досудебном/внесудебном порядке, так и по решению суда.

Самой распространенной ситуацией, которая приводит к спору, является несогласие заказчика работа принимать результат выполненных работ. Например, после разработки проекта по информационной безопасности Исполнитель работ направляет в адрес Заказчика полный комплект документов вместе с актом выполненных работ, однако Заказчик отказывается подписывать акты.

В этом случае необходимо привлекать стороннюю организацию или стороннего эксперта для производства независимой экспертизы. Проведение независимой экспертизы проекта по ИБ во внесудебном порядке может помочь сторонам прийти к компромиссу.

Важно, что в случае судебного разбирательства независимая судебная экспертиза потребуется в любом случае, т.к. вынести решение по делу суд самостоятельно не может, так как у суда отсутствую необходимые для оценки проектных документов по информационной безопасности специальные знания. По крайне мере, удовлетворить такой иск суду будет сложно.

Особенно важным является формулировка корректных вопросов к экспертизе. Лучшим способом определения перечня вопрос является привлечение в судебное заседание специалиста по информационной безопасности. Специалист может дать суду консультацию относительно специфики проведения работ по информационно безопасности и поможет сформулировать корректные вопросы к экспертизе.

Практически всегда судебная экспертиза назначается после внесения на депозит суда сторонами по делу денежных средств для оплаты работы эксперта. В дальнейшем по результатам рассмотрения судебного разбирательства деньги будут удержаны с проигравшей стороны.

Экспертиза проектной документации по информационной безопасности в холдингах

Следующий вариант, когда может потребоваться экспертиза документов по защите информации – это при необходимости согласования разработанной документации внутри компании с холдинговой структурой. Для унификации проектного решения могут использоваться экспертизы. Если одна из компаний, входящей в группу создается собственную систему информационной безопасности, то в рамках головной организации может быть проведена экспертиза, которая должна установить возможность функционирования разработанной СОИБ в общей СОИБ холдинга.

Что проверяет эксперт при производстве экспертизы? Перед началом экспертизы необходимо определиться с кругом вопросов. Перед экспертом могут быть поставлены следующие вопросы:

  • Соответствует ли разработанная СОИБ требованиям внутрикорпоративного стандарта? Соответствует ли оформление проектных документов требованиям внутрикорпоративного стандарта?
  • Соответствует ли разработанная СОИБ требованиям Федеральной службы по техническому и экспортному контролю РФ?
  • Соответствует ли разработанная СОИБ требованиям законодательства? (Далее причисляются законодательные акты)
  • Возможно ли осуществить внедрение спроектированной системы в ПАО «Компания 1» без изменений СОИБ ПАО «Компания 2»? Оцените затраты на доработку СОИБ ПАО «Компания 2» в случае отрицательного ответа.

Какие нарушения выявляются в ходе экспертизы проектной документации по информационной безопасности?

По опыту экспертов RTM Group, типичными нарушениями/ошибками в проектах по информационной безопасности являются:

  • Частичное выполнение Технического задания
  • Ошибки в определении защищаемой информации (не вся защищаемая информация определена и пописана)
  • Ошибки в разработанной модели угроз и модели нарушителя (несоответствие требованиям)
  • Несоблюдение требований ГОСТ 34.ХХХ-ХХ (когда его требования обязательны в проекте)
  • Отклонение от методики определения актуальных угроз
  • Несоответствие технического решения заявленным показателям или ошибки в подборе технических решений
  • Несоответствие предлагаемых технических решений требованиям Технического задания
  • Технические ошибки оформления
  • И пр.

Любой проект должен соответствовать принципам применимости на территории РФ и принципам должного уровня информационной безопасности и защиты интересов граждан РФ.

Эксперты RTM Group обладают необходимой квалификацией и опытом оценки документации в области информбезопасности, могут привлекаться для проведения узкопрофильных и общих экспертиз.

Цены

Наименование экспертизы Стоимость*
 

Экспертиза документации в области ИБ

 

от 20 000 рублей

Заказать экспертизу документов по информационной безопасности

Для уточнения стоимости и сроков экспертизы заполните форму ниже. Срок реакции на запрос от 1 до 7 часов. Заявки принимаются круглосуточно.