Так, субъекты к субъектам КИИ относятся информационные системы в сфере здравоохранения, науки, транспорта, связи, энергетики, сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.
Рассмотрим формирование выводов для объектов КИИ топливно-энергетического комплекса.
Критерии оценки выводов аудита
Программа аудита
На основании проверки общих ИТ-контролей объекта ТЭК и их соответствия требованиям Федерального закона №187 проводятся наблюдения и выявляются несоответствия требованиям законодательства и даются рекомендации по их устранению.
Проверка проводится в целях предупреждения возникновения нарушения требований законодательства, вступающих в действие с 01.01.2020.
План проверки:
проверить процесс учета и контроля состояния АСУ ТП на объекте;
проанализировать обоснованность отнесения АСУ ТП к значимым объектам критической информационной инфраструктуры;
проверить состояние процесса категорирования ЗО КИИ (срок завершения 01.01.2020, установлен государством);
проанализировать состояние процесса обеспечения непрерывности работы АСУ ТП;
проанализировать состояние системы управления ИБ АСУ ТП, включая процессы ИБ, установленные ФСТЭК для ЗО КИИ;
проверить связь процесса внедрения/модернизации АСУ ТП с процедурами отнесения к ЗО КИИ и включения в контур системы управления информационной безопасностью.
