Любую большую работу с чего-то нужно начинать. Работы по созданию системы защиты информации в ГИС всегда начинаются с аудита государственной информационной системы и процессов обработки информации.
Аудит ГИС позволяет дать ответы на следующие вопросы:
— наличие/отсутствие ответственных за функционирование ГИС, перечень приказов о назначении ответственных за функционирование ГИС и за защиту информации в ней;
— цели создания ГИС и задачи, решаемые этой ГИС;
— перечень данных (наименование полей в базах данных, или электронных таблицах, содержание документов), в совокупности позволяющих отнести информацию к определенному уровню значимости;
— места хранения информации;
— технологические процессы обработки информации в ГИС и используемые для этого информационные технологии;
— состав программного обеспечения, используемого при обработке информации в ГИС;
— общесистемные и прикладные программные средства, используемые (планируемые к использованию) в ГИС;
— наличие утвержденной и реализованной технически системы разграничения прав доступа к информации у пользователей ГИС;
— физические и логические связи между компонентами ГИС, другими информационными системами, в том числе с сетями связи общего пользования;
— функциональные и технологические связи, как внутри информационной системы, так и с другими системами различного уровня и назначения;
— степень ущерба в результате нарушения каждого из свойств безопасности (конфиденциальность, целостность, доступность) в отдельности;
— категории субъектов персональных данных (при обработке персональных данных в ГИС);
— количество субъектов персональных данных (при обработке персональных данных в ГИС);
— наличие и состав документов, регламентирующих процесс обработки данных в ГИС (регламенты, соглашения по организации информационного взаимодействия, положения о конфиденциальности и т.п.) в соответствии с требованиями нормативных правовых актов в зависимости от класса защищенности ГИС;
— наличие и содержание должностных инструкций и оценка уровня подготовки лиц, администрирующих средства защиты информации в информационной системе;
— наличие и содержание должностных инструкций персонала и оценка уровня подготовки персонала, допущенного к работе в ГИС;
— правильность определения класса защищенности ГИС (если класс уже установлен);
— наличие сертифицированных средств защиты информации в ГИС, в соответствии с требованиями документов в зависимости от уровня защищенности персональных данных;
— другие данные.
Помимо указанных данных в процессе аудита ГИС собираются данные, необходимые для разработки технического паспорта ГИС: производитель, модель, серийный номер для всех технических средств, входящих в состав ГИС; список программного обеспечения, используемого в ГИС с указанием версии и производителя; список средств защиты информации, используемых в ГИС с указанием серийных номеров и голографических знаков соответствия; схемы с указанием расположения основных технических средств и систем относительно границ контролируемой зоны.
Результаты аудита могут быть оформлены как в виде отдельного отчета, так и внесены в документацию, в дальнейшем разрабатываемую для ГИС.