Экспертиза документов в области информационной безопасности

В рамках подхода RTM Group выделяются три основных случая, в которых может понадобиться провести независимую судебную или внесудебную экспертизу по информационной безопасности:

• Экспертиза в рамках договора;
• Экспертиза в судебных процессах;
• Экспертиза в холдинговых структурах.

Экспертиза проектной документации по информационной безопасности в рамках договора

Экспертиза проектного решения, или результата выполненных работ в целом, может быть предусмотрена самим договором. По факту завершения работ, в соответствии с договором Исполнитель заказывает производство независимой экспертизы, либо независимую экспертизу заказывает Заказчик работ на этапе приемки. Другими словами, после того, как будут произведены работы, разработана проектная документация, в частности, техническое задание, технический проект, организационно-распорядительная документация и прочее, весь комплект документов передается в экспертную организацию для проведения экспертизы. В этом случае в задачи экспертизы будет входить:

• Установление факта разработки необходимых документов;
• Установление факта соответствия результата выполненных работ требованиям договора;
• Установление факта соответствия проектной документации требованиям законодательства или регуляторов (ФСТЭК России, ФСБ России и пр.).

Область информационной безопасности в Российской Федерации сильно зарегулирована. Существует большое количество регулятивных документов и требований:

• Нормативные и методические документы ФСТЭК России (руководящие и методические документы, приказы, регламенты и пр.);
• Нормативные и методические документы ФСБ России (приказы, рекомендации, инструкции и пр.);
• Ведомственные документы Центрального банка Российской Федерации (положения, указания, письма и пр.);
• Документы Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации;
• Иные законы, подзаконные акты, ГОСТы, иные значимые требования и рекомендации по информационной безопасности и защите информации.

Как правило, в договоре и/или техническом задании имеются ссылки на требования, в соответствии с которыми должна разрабатываться проектная документация. Данные требования будут являться критериями экспертизы.

Проводить экспертизу документов по защите информации может лицо, которое не участвовало в разработке этой документации.

Крайне желательно, чтобы производство экспертизы было поручено профильной экспертной организации, которая занимается экспертизами информационной безопасности профессионально, имеет необходимые лицензии и может назначить эксперта, квалификация которого не вызывает сомнений.

Экспертиза проектной документации по информационной безопасности в рамках судебного спора

В случае судебного разбирательства необходимость проведения экспертизы проектной документации появляется практически всегда. Экспертиза проектной документации по ИБ может быть произведена как в досудебном/внесудебном порядке, так и по решению суда.

Самой распространенной ситуацией, которая приводит к спору, является несогласие Заказчика принимать результат выполненных работ. Например, после разработки проекта по информационной безопасности Исполнитель работ направляет в адрес Заказчика полный комплект документов вместе с актом выполненных работ, однако Заказчик отказывается подписывать акты.

В этом случае необходимо привлекать стороннюю организацию или стороннего эксперта для производства независимой экспертизы. Проведение независимой экспертизы проекта по ИБ во внесудебном порядке может помочь сторонам прийти к компромиссу.

Важно, что в случае судебного разбирательства независимая судебная экспертиза потребуется в любом случае, т.к. вынести решение по делу суд самостоятельно не может, так как у суда отсутствуют необходимые для оценки проектных документов по информационной безопасности специальные знания. По крайне мере, удовлетворить такой иск суду будет сложно.

Особенно важным является формулировка корректных вопросов к экспертизе. Лучшим способом определения перечня вопросов является привлечение в судебное заседание специалиста по информационной безопасности. Специалист может дать суду консультацию относительно специфики проведения работ по информационной безопасности и поможет сформулировать корректные вопросы к экспертизе.

Практически всегда судебная экспертиза назначается после внесения на депозит суда сторонами по делу денежных средств для оплаты работы эксперта. В дальнейшем по результатам рассмотрения судебного разбирательства деньги будут удержаны с проигравшей стороны.

Экспертиза проектной документации по информационной безопасности в холдингах

Следующий вариант, когда может потребоваться экспертиза документов по защите информации – это необходимость согласования разработанной документации внутри компании с холдинговой структурой. Для унификации проектного решения могут использоваться экспертизы. Если одна из компаний, входящих в группу, создает собственную систему информационной безопасности, то в рамках головной организации может быть проведена экспертиза, которая должна установить возможность функционирования разработанной СОИБ в общей СОИБ холдинга.

Что проверяет эксперт при производстве экспертизы? Перед началом экспертизы необходимо определиться с кругом вопросов. Перед экспертом могут быть поставлены следующие вопросы:

• Соответствует ли разработанная СОИБ требованиям внутрикорпоративного стандарта? Соответствует ли оформление проектных документов требованиям внутрикорпоративного стандарта;
• Соответствует ли разработанная СОИБ требованиям Федеральной службы по техническому и экспортному контролю РФ;
• Соответствует ли разработанная СОИБ требованиям законодательства? (Далее причисляются законодательные акты);
• Возможно ли осуществить внедрение спроектированной системы в ПАО «Компания 1» без изменений СОИБ ПАО «Компания 2»? Оцените затраты на доработку СОИБ ПАО «Компания 2» в случае отрицательного ответа.

Классы обрабатываемой в Банке информации

Какие нарушения выявляются в ходе экспертизы проектной документации по информационной безопасности?

По опыту экспертов RTM Group, типичными нарушениями/ошибками в проектах по информационной безопасности являются:

• Частичное выполнение Технического задания;
• Ошибки в определении защищаемой информации (не вся защищаемая информация определена и прописана);
• Ошибки в разработанной модели угроз и модели нарушителя (несоответствие требованиям);
• Несоблюдение требований ГОСТ 34.ХХХ-ХХ (когда его требования обязательны в проекте);
• Отклонение от методики определения актуальных угроз;
• Несоответствие технического решения заявленным показателям или ошибки в подборе технических решений;
• Несоответствие предлагаемых технических решений требованиям Технического задания;
• Технические ошибки оформления;
• И пр.

Любой проект должен соответствовать принципам применимости на территории РФ и принципам должного уровня информационной безопасности и защиты интересов граждан РФ.

Эксперты RTM Group обладают необходимой квалификацией и опытом оценки документации в области информбезопасности, могут привлекаться для проведения узкопрофильных и общих экспертиз.

Верхнеуровневый перечень типов угроз безопасности информационных активов Банка