8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Экспертиза документов в области информационной безопасности

В рамках подхода RTM Group выделяются три основных случая, в которых может понадобиться провести независимую судебную или внесудебную экспертизу по информационной безопасности:

  • Экспертиза в рамках договора
  • Экспертиза в судебных процессах
  • Экспертиза в холдинговых структурах
Экспертиза документов в области информационной безопасности
Узнать стоимость?

Эксперты по экспертизе документов в области информационной безопасности

Эксперт по экспертизе документов в области информационной безопасности Царев Евгений Олегович

Царев Евгений Олегович

Эксперт по информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по экспертизе документов в области информационной безопасности Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по экспертизе документов в области информационной безопасности Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по экспертизе документов в области информационной безопасности Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по экспертизе документов в области информационной безопасности Чайковский Андрей Сергеевич

Чайковский Андрей Сергеевич

Эксперт компьютерно-технического направления

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2012 года

Профиль >>

Все эксперты

Экспертиза проектной документации по информационной безопасности в рамках договора

Экспертиза проектного решения, или результата выполненных работ в целом, может быть предусмотрена самим договором. По факту завершения работ, в соответствии с договором Исполнитель заказывает производство независимой экспертизы, либо независимую экспертизу заказывает Заказчик работ на этапе приемки. Другими словами, после того, как будут произведены работы, разработана проектная документация, в частности, техническое задание, технический проект, организационно-распорядительная документация и прочее, весь комплект документов передается в экспертную организацию для проведения экспертизы. В этом случае в задачи экспертизы будет входить:

Задачи экспертизы документов в области ИБ

  • Установление факта разработки необходимых документов
  • Установление факта соответствия результата выполненных работ требованиям договора
  • Установление факта соответствия проектной документации требованиям законодательства или регуляторов (ФСТЭК России, ФСБ России и пр.)

Область информационной безопасности в Российской Федерации сильно зарегулирована. Существует большое количество регулятивных документов и требований:

  • Нормативные и методические документы ФСТЭК России (руководящие и методические документы, приказы, регламенты и пр.)
  • Нормативные и методические документы ФСБ России (приказы, рекомендации, инструкции и пр.)
  • Ведомственные документы Центрального банка Российской Федерации (положения, указания, письма и пр.)
  • Документы Роскомнадзора, Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации и многие другие
  • Имеются десятки законов, подзаконных актов, ГОСТов, а также иных значимых требований и рекомендаций по информационной безопасности и защите информации

Как правило, в договоре и/или техническом задании имеются ссылки на требования, в соответствии с которыми должна разрабатываться проектная документация. Данные требования будут являться критериями экспертизы.

Проводить экспертизу документов по защите информации может лицо, которое не участвовало в разработке этой документации.

Крайне желательно, чтобы производство экспертизы было поручено профильной экспертной организации, которая занимается экспертизами информационной безопасности профессионально, имеет необходимые лицензии и может назначить эксперта, квалификация которого не вызывает сомнений.

    Нужна консультация?

    Экспертиза проектной документации по информационной безопасности в рамках судебного спора

    В случае судебного разбирательства необходимость проведения экспертизы проектной документации появляется практически всегда. Экспертиза проектной документации по ИБ может быть произведена как в досудебном/внесудебном порядке, так и по решению суда.

    Самой распространенной ситуацией, которая приводит к спору, является несогласие Заказчика принимать результат выполненных работ. Например, после разработки проекта по информационной безопасности Исполнитель работ направляет в адрес Заказчика полный комплект документов вместе с актом выполненных работ, однако Заказчик отказывается подписывать акты.

    В этом случае необходимо привлекать стороннюю организацию или стороннего эксперта для производства независимой экспертизы. Проведение независимой экспертизы проекта по ИБ во внесудебном порядке может помочь сторонам прийти к компромиссу.

    Важно, что в случае судебного разбирательства независимая судебная экспертиза потребуется в любом случае, т.к. вынести решение по делу суд самостоятельно не может, так как у суда отсутствуют необходимые для оценки проектных документов по информационной безопасности специальные знания. По крайне мере, удовлетворить такой иск суду будет сложно.

    Особенно важным является формулировка корректных вопросов к экспертизе. Лучшим способом определения перечня вопросов является привлечение в судебное заседание специалиста по информационной безопасности. Специалист может дать суду консультацию относительно специфики проведения работ по информационной безопасности и поможет сформулировать корректные вопросы к экспертизе.

    Практически всегда судебная экспертиза назначается после внесения на депозит суда сторонами по делу денежных средств для оплаты работы эксперта. В дальнейшем по результатам рассмотрения судебного разбирательства деньги будут удержаны с проигравшей стороны.

    Экспертиза проектной документации по информационной безопасности в холдингах

    Следующий вариант, когда может потребоваться экспертиза документов по защите информации – это при необходимости согласования разработанной документации внутри компании с холдинговой структурой. Для унификации проектного решения могут использоваться экспертизы. Если одна из компаний, входящая в группу, создает собственную систему информационной безопасности, то в рамках головной организации может быть проведена экспертиза, которая должна установить возможность функционирования разработанной СОИБ в общей СОИБ холдинга.

    Что проверяет эксперт при производстве экспертизы? Перед началом экспертизы необходимо определиться с кругом вопросов. Перед экспертом могут быть поставлены следующие вопросы:

    • Соответствует ли разработанная СОИБ требованиям внутрикорпоративного стандарта? Соответствует ли оформление проектных документов требованиям внутрикорпоративного стандарта?
    • Соответствует ли разработанная СОИБ требованиям Федеральной службы по техническому и экспортному контролю РФ?
    • Соответствует ли разработанная СОИБ требованиям законодательства? (Далее причисляются законодательные акты)
    • Возможно ли осуществить внедрение спроектированной системы в ПАО «Компания 1» без изменений СОИБ ПАО «Компания 2»? Оцените затраты на доработку СОИБ ПАО «Компания 2» в случае отрицательного ответа.

    Классы обрабатываемой в Банке информации

    № п/п

    Категория информации

    Характеристика информации

    Примеры информации

    1 Класс «Конфиденциальная информация»

    1.1 Банковская тайна

    Информация, содержащая сведения, относящиеся к финансовым аспектам деятельности клиентов, полученные в результате банковского обслуживания клиентов.

    информация, содержащаяся в кассовых документах Банка

    информация об операциях, о счетах и вкладах Банка и его клиентов

    1.2 Персональные данные

    Информация, не относящаяся к банковской тайне и содержащая сведения, позволяющие идентифицировать субъекта.

    персональные данные партнёров и клиентов Банка

    персональные данные работников Банка

    1.3 Коммерческая тайна

     

    Информация, не относящаяся банковской тайне, персональным данным и содержащая сведения, позволяющие увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке и получить иную коммерческую выгоду.

    информация об управлении, финансовом состоянии, планировании коммерческой деятельности Банка

    информация об автоматизации деятельности и обеспечении безопасности и защиты информации

    информация о деятельности на рынке ценных бумаг

    информация о штатной структуре Банка

    1.4 Инсайдерская информация

    Информация, не относящаяся к банковской тайне, персональным данным, коммерческой тайне и содержащая сведения о внутрибанковских бизнес-процессах.

    информация о переговорах с клиентами и партнерами, претензиях и исках в отношении Банка

    информация о составе и результатах внешних и внутренних проверок Банка

    1.5 Информация, входящая в состав кредитной истории

    кредитные дела клиентов Банка

    2 Класс «Открытая информация»

    Информация, опубликованная (может быть опубликованной) в открытых источниках, раскрытие которой не наносит ущерба Банку

    Сведения о бухгалтерском и налоговом учете

    Информация о принимаемых рисках, процедурах их оценки, управления рисками и капиталом

    Внутренние документы общего доступа

    Какие нарушения выявляются в ходе экспертизы проектной документации по информационной безопасности?

    По опыту экспертов RTM Group, типичными нарушениями/ошибками в проектах по информационной безопасности являются:

    Основные нарушения экспертизы в области ИБ

    • Частичное выполнение Технического задания
    • Ошибки в определении защищаемой информации (не вся защищаемая информация определена и прописана)
    • Ошибки в разработанной модели угроз и модели нарушителя (несоответствие требованиям)
    • Несоблюдение требований ГОСТ 34.ХХХ-ХХ (когда его требования обязательны в проекте)
    • Отклонение от методики определения актуальных угроз
    • Несоответствие технического решения заявленным показателям или ошибки в подборе технических решений
    • Несоответствие предлагаемых технических решений требованиям Технического задания
    • Технические ошибки оформления
    • И пр.

    Любой проект должен соответствовать принципам применимости на территории РФ и принципам должного уровня информационной безопасности и защиты интересов граждан РФ.

    Эксперты RTM Group обладают необходимой квалификацией и опытом оценки документации в области информбезопасности, могут привлекаться для проведения узкопрофильных и общих экспертиз.

    Верхнеуровневый перечень типов угроз безопасности информационных активов Банка

    № п/п УГРОЗА БЕЗОПАСНОСТИ
    1 Нарушение конфиденциальности
    2 Нарушение целостности
    3 Нарушение доступности

    Заказать экспертизу документов по информационной безопасности

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: +7 (495) 197-64-95
    Время работы: пн-пт 10:00 — 17:00 (мск)
    email: info@rtmtech.ru

      Заказать





      Видео по экспертизе документов в области информационной безопасности

      Почему RTM Group

      В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

      В составе ТК №122

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Сайт RTM Group входит в пятерку лучших юридических сайтов России

      Цены на услуги по экспертизе документов в области информационной безопасности

      Наименование услуги Стоимость

      Консультация

      бесплатно

      Экспертиза документации в области ИБ

      Может быть предоставлена на бумажных носителям (в заверенном виде), либо в электронной форме (с электронной подписью).

      от 50 000 руб.

      Наши преимущества

      1800+ аудитов и экспертиз

      Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

      3 лицензии

      ФСТЭК России и ФСБ России

      Судебные ИТ-эксперты, ИТ-юристы и аудиторы ИБ

      В штате нашей компании

      8 лет

      Минимальный стаж экспертной работы

      FAQ: Часто задаваемые вопросы

      Сколько стоит экспертиза соответствия требованиям ПКЗ 2005?

      Добрый день.
      Стандартная процедура проверки соответствия требованиям ПКЗ 2005 стоит 150 000 рублей и занимает 20 рабочих дней.
      Стоимость может быть выше при большом количестве применяемых технологий или штате органа криптографической защиты.

      Полезные статьи

      НАМ ДОВЕРЯЮТ