Экспертиза документов в области информационной безопасности

Мы предлагаем:

  • Экспертное исследование проведенных работ в области ИБ и составленных по результатам документов;
  • Проверка разработанной документации на соответствие требованиям законодательства РФ.

Почему мы:

  • Более 7 лет занимаемся аудитами ИБ;
  • Занимаемся разработкой документации и подготовкой рекомендаций для соответствия требованиям ИБ.
Экспертиза документов в области информационной безопасности - услуги RTM Group
Экспертиза документов в области информационной безопасности - от RTM Group
Узнать стоимость?

Эксперты по экспертизе документов в области информационной безопасности

Эксперт по экспертизе документов в области информационной безопасности Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по экспертизе документов в области информационной безопасности Баркалов Юрий Михайлович

Баркалов Юрий Михайлович

Эксперт компьютерно-технического направления

Опыт: Экспертная работа с 1993 года. Педагогический стаж с 2011 года.

Профиль >>

Все эксперты
Эксперт по экспертизе документов в области информационной безопасности Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по экспертизе документов в области информационной безопасности Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по экспертизе документов в области информационной безопасности Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по экспертизе документов в области информационной безопасности Мещеряков Владимир Алексеевич

Мещеряков Владимир Алексеевич

Опыт: Научно-педагогический стаж работы в сфере информационных технологий и компьютерной экспертизы более 35 лет. Профессор кафедры криминалистики. Доктор юридических наук. Кандидат технических наук.

Профиль >>

Все эксперты

В рамках подхода RTM Group выделяются три основных случая, в которых может понадобиться провести независимую судебную или внесудебную экспертизу по информационной безопасности:

  • Экспертиза в рамках договора;
  • Экспертиза в судебных процессах;
  • Экспертиза в холдинговых структурах.

Экспертиза проектной документации по информационной безопасности в рамках договора

Экспертиза проектного решения, или результата выполненных работ в целом, может быть предусмотрена самим договором. По факту завершения работ, в соответствии с договором Исполнитель заказывает производство независимой экспертизы, либо независимую экспертизу заказывает Заказчик работ на этапе приемки. Другими словами, после того, как будут произведены работы, разработана проектная документация, в частности, техническое задание, технический проект, организационно-распорядительная документация и прочее, весь комплект документов передается в экспертную организацию для проведения экспертизы. В этом случае в задачи экспертизы будет входить:

Задачи экспертизы документов в области ИБ

  • Установление факта разработки необходимых документов;
  • Установление факта соответствия результата выполненных работ требованиям договора;
  • Установление факта соответствия проектной документации требованиям законодательства или регуляторов (ФСТЭК России, ФСБ России и пр.).

Область информационной безопасности в Российской Федерации сильно зарегулирована. Существует большое количество регулятивных документов и требований:

  • Нормативные и методические документы ФСТЭК России (руководящие и методические документы, приказы, регламенты и пр.);
  • Нормативные и методические документы ФСБ России (приказы, рекомендации, инструкции и пр.);
  • Ведомственные документы Центрального банка Российской Федерации (положения, указания, письма и пр.);
  • Документы Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации;
  • Иные законы, подзаконные акты, ГОСТы, иные значимые требования и рекомендации по информационной безопасности и защите информации.

Как правило, в договоре и/или техническом задании имеются ссылки на требования, в соответствии с которыми должна разрабатываться проектная документация. Данные требования будут являться критериями экспертизы.

Проводить экспертизу документов по защите информации может лицо, которое не участвовало в разработке этой документации.

Крайне желательно, чтобы производство экспертизы было поручено профильной экспертной организации, которая занимается экспертизами информационной безопасности профессионально, имеет необходимые лицензии и может назначить эксперта, квалификация которого не вызывает сомнений.

    Нужна консультация?

    Экспертиза проектной документации по информационной безопасности в рамках судебного спора

    В случае судебного разбирательства необходимость проведения экспертизы проектной документации появляется практически всегда. Экспертиза проектной документации по ИБ может быть произведена как в досудебном/внесудебном порядке, так и по решению суда.

    Самой распространенной ситуацией, которая приводит к спору, является несогласие Заказчика принимать результат выполненных работ. Например, после разработки проекта по информационной безопасности Исполнитель работ направляет в адрес Заказчика полный комплект документов вместе с актом выполненных работ, однако Заказчик отказывается подписывать акты.

    В этом случае необходимо привлекать стороннюю организацию или стороннего эксперта для производства независимой экспертизы. Проведение независимой экспертизы проекта по ИБ во внесудебном порядке может помочь сторонам прийти к компромиссу.

    Важно, что в случае судебного разбирательства независимая судебная экспертиза потребуется в любом случае, т.к. вынести решение по делу суд самостоятельно не может, так как у суда отсутствуют необходимые для оценки проектных документов по информационной безопасности специальные знания. По крайне мере, удовлетворить такой иск суду будет сложно.

    Особенно важным является формулировка корректных вопросов к экспертизе. Лучшим способом определения перечня вопросов является привлечение в судебное заседание специалиста по информационной безопасности. Специалист может дать суду консультацию относительно специфики проведения работ по информационной безопасности и поможет сформулировать корректные вопросы к экспертизе.

    Практически всегда судебная экспертиза назначается после внесения на депозит суда сторонами по делу денежных средств для оплаты работы эксперта. В дальнейшем по результатам рассмотрения судебного разбирательства деньги будут удержаны с проигравшей стороны.

    Экспертиза проектной документации по информационной безопасности в холдингах

    Следующий вариант, когда может потребоваться экспертиза документов по защите информации – это необходимость согласования разработанной документации внутри компании с холдинговой структурой. Для унификации проектного решения могут использоваться экспертизы. Если одна из компаний, входящих в группу, создает собственную систему информационной безопасности, то в рамках головной организации может быть проведена экспертиза, которая должна установить возможность функционирования разработанной СОИБ в общей СОИБ холдинга.

    Что проверяет эксперт при производстве экспертизы? Перед началом экспертизы необходимо определиться с кругом вопросов. Перед экспертом могут быть поставлены следующие вопросы:

    • Соответствует ли разработанная СОИБ требованиям внутрикорпоративного стандарта? Соответствует ли оформление проектных документов требованиям внутрикорпоративного стандарта;
    • Соответствует ли разработанная СОИБ требованиям Федеральной службы по техническому и экспортному контролю РФ;
    • Соответствует ли разработанная СОИБ требованиям законодательства? (Далее причисляются законодательные акты);
    • Возможно ли осуществить внедрение спроектированной системы в ПАО «Компания 1» без изменений СОИБ ПАО «Компания 2»? Оцените затраты на доработку СОИБ ПАО «Компания 2» в случае отрицательного ответа.

    Классы обрабатываемой в Банке информации

    № п/п

    Категория информации

    Характеристика информации

    Примеры информации

    1 Класс «Конфиденциальная информация»

    1.1 Банковская тайна

    Информация, содержащая сведения, относящиеся к финансовым аспектам деятельности клиентов, полученные в результате банковского обслуживания клиентов.

    информация, содержащаяся в кассовых документах Банка

    информация об операциях, о счетах и вкладах Банка и его клиентов

    1.2 Персональные данные

    Информация, не относящаяся к банковской тайне и содержащая сведения, позволяющие идентифицировать субъекта.

    персональные данные партнёров и клиентов Банка

    персональные данные работников Банка

    1.3 Коммерческая тайна

     

    Информация, не относящаяся банковской тайне, персональным данным и содержащая сведения, позволяющие увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке и получить иную коммерческую выгоду.

    информация об управлении, финансовом состоянии, планировании коммерческой деятельности Банка

    информация об автоматизации деятельности и обеспечении безопасности и защиты информации

    информация о деятельности на рынке ценных бумаг

    информация о штатной структуре Банка

    1.4 Инсайдерская информация

    Информация, не относящаяся к банковской тайне, персональным данным, коммерческой тайне и содержащая сведения о внутрибанковских бизнес-процессах.

    информация о переговорах с клиентами и партнерами, претензиях и исках в отношении Банка

    информация о составе и результатах внешних и внутренних проверок Банка

    1.5 Информация, входящая в состав кредитной истории

    кредитные дела клиентов Банка

    2 Класс «Открытая информация»

    Информация, опубликованная (может быть опубликованной) в открытых источниках, раскрытие которой не наносит ущерба Банку

    Сведения о бухгалтерском и налоговом учете

    Информация о принимаемых рисках, процедурах их оценки, управления рисками и капиталом

    Внутренние документы общего доступа

    Какие нарушения выявляются в ходе экспертизы проектной документации по информационной безопасности?

    По опыту экспертов RTM Group, типичными нарушениями/ошибками в проектах по информационной безопасности являются:

    Основные нарушения экспертизы в области ИБ

    • Частичное выполнение Технического задания;
    • Ошибки в определении защищаемой информации (не вся защищаемая информация определена и прописана);
    • Ошибки в разработанной модели угроз и модели нарушителя (несоответствие требованиям);
    • Несоблюдение требований ГОСТ 34.ХХХ-ХХ (когда его требования обязательны в проекте);
    • Отклонение от методики определения актуальных угроз;
    • Несоответствие технического решения заявленным показателям или ошибки в подборе технических решений;
    • Несоответствие предлагаемых технических решений требованиям Технического задания;
    • Технические ошибки оформления;
    • И пр.

    Любой проект должен соответствовать принципам применимости на территории РФ и принципам должного уровня информационной безопасности и защиты интересов граждан РФ.

    Эксперты RTM Group обладают необходимой квалификацией и опытом оценки документации в области информбезопасности, могут привлекаться для проведения узкопрофильных и общих экспертиз.

    Верхнеуровневый перечень типов угроз безопасности информационных активов Банка

    № п/п УГРОЗА БЕЗОПАСНОСТИ
    1 Нарушение конфиденциальности
    2 Нарушение целостности
    3 Нарушение доступности

    Заказать услуги по экспертизе документов в области информационной безопасности

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:






    Видео по экспертизе документов в области информационной безопасности

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по экспертизе документов в области информационной безопасности

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Экспертиза документации в области ИБ

    Может быть предоставлена на бумажных носителям (в заверенном виде), либо в электронной форме (с электронной подписью).

    от 90 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    3 лицензии

    ФСТЭК России и ФСБ России

    Судебные ИТ-эксперты, ИТ-юристы и аудиторы ИБ

    В штате нашей компании

    9 лет

    Минимальный стаж экспертной работы

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    FAQ: Часто задаваемые вопросы

    Сколько стоит экспертиза соответствия требованиям ПКЗ 2005?

    Добрый день.
    Стандартная процедура проверки соответствия требованиям ПКЗ 2005 стоит 150 000 рублей и занимает 20 рабочих дней.
    Стоимость может быть выше при большом количестве применяемых технологий или штате органа криптографической защиты.