Аудит информационной безопасности органов исполнительной власти

В.И. АВЕРЧЕНКОВ, М.Ю. РЫТОВ, 
А.В. КУВЫКЛИН, М.В. РУДАНОВСКИЙ 

Аудит информационной
безопасности органов 
исполнительной власти 

Учебное пособие 

5-е издание, стереотипное

Москва 
Издательство «ФЛИНТА» 
2021 

УДК 347.775(075.8)
ББК 16.84 
        А19

Р е ц е н з е н т ы: 
кафедра программного обеспечения 
вычислительной техники и систем информационной безопасности  
Курганского государственного университета; 
доктор технических наук, профессор Еременко В.Т. 

А19      
Аверченков В.И. 
Аудит информационной безопасности органов исполнитель-          
ной власти : учебное пособие / В.И. Аверченков, М.Ю. Рытов, А.В. 
Кувыклин, М.В. Рудановский. – 5-е изд., стер. – Москва : ФЛИНТА, 
2021. – 100 с. – (Серия «Организация и технология защиты 
информации»). – ISBN 978-5-9765-1277-1. – Текст : электронный.

Рассматриваются 
общие 
вопросы 
теории 
информационной 
безопасности, 
понятие 
аудита 
информационной 
безопасности, 
нормативно-правовая база России в области информационной безопасности, 
предложена 
методика 
аудита 
информационной 
безопасности 
органов 
исполнительной власти и органов местного самоуправления 
субъектов 
Российской Федерации. Кроме того, рассмотрены вопросы лицензирования 
деятельности по защите информации и сертификации средств защиты 
информации. 
Руководящие 
технические 
материалы 
предназначены 
для 
руководителей и сотрудников служб безопасности и служб защиты 
информации 
органов 
исполнительной 
власти 
и 
органов 
местного 
самоуправления для подготовки и проведения внутреннего и обоснования 
необходимости 
проведения 
внешнего 
аудита 
информационной 
безопасности, 
а 
также 
могут быть 
полезны преподавателям 
и 
студентам, обучающимся по специальностям, связанным с информационной 
безопасностью. 

УДК 347.775(075.8)
ББК 16.84  

ISBN 978-5-9765-1277-1 
© Коллектив авторов, 2016 
© Издательство «ФЛИНТА», 2016 

Оглавление 

Предисловие…………………………………………................
  5 

1. Основы информационной безопасности…………….. 
 7 

        1.1.Основные положения, понятия и определения 
теории информационной безопасности……………………...
  8 
        1.2. Аудит информационной безопасности…………... 
22 
        1.3.Анализ рисков информационной безопасности и 
управление ими…………………………………………………..
27 

2.
Нормативная 
база 
аудита 
информационной
безопасности 
исполнительных 
органов
государственной 
власти 
и 
органов 
местного
самоуправления субъектов Российской Федерации… 
31 

2.1. Система нормативно-правовых документов в 
области информационной безопасности…………………… 
31 
2.2. Нормативные 
документы, 
регулирующие 
вопросы информационной безопасности…………………… 34 
2.3. Руководящие 
и 
нормативно-методические 
документы в сфере информационной безопасности…….. 
40 
2.4. Государственные 
стандарты 
Российской 
Федерации в сфере обеспечения ИБ………………………...
46 

3. Методика аудита информационной  безопасности
исполнительных органов государственной власти и
органов 
местного 
самоуправления 
субъектов
Российской Федерации………………………………………. 52 

3.1. Назначение и цели аудита информационной 
безопасности исполнительных органов государственной 
власти и органов местного самоуправления субъектов 

Российской Федерации………………………………………… 
52 
 
3.2. Планирование и организация работ по аудиту 
информационной безопасности исполнительных органов 
государственной 
власти 
и 
органов 
местного 
самоуправления субъектов Российской Федерации……… 
53 
 
3.3. Процедура проведения аудита информационной 
безопасности органов исполнительной власти и органов 
местного 
самоуправления 
субъектов 
Российской 
Федерации………………………………………………………... 
58 

4. Лицензирование и сертификация деятельности в
области защиты информации……………………………… 
69 

4.1. Правовая основа системы лицензирования,  
сертификации и аттестации объектов информатизации  в 
Российской Федерации………………………………………….
70 
4.2. 
Лицензирование 
деятельности 
по 
защите 
информации……………………………………………………… 
73 
4.3. Сертификация средств защиты информации……..
78 

Заключение……………………………………………………… 82 

Список литературы…………………………………………….
83 

Глоссарий………………………………………………………… 85 

Предисловие 
 
“Безопасность есть предотвращение зла” 
Платон, определения, стих 415 
 
В соответствии со ст.10  Конституции  в нашей стране существуют 
три вида власти – законодательная, исполнительная и судебная. В 
субъектах Российской Федерации исполнительная власть представлена 
государственными органами исполнительной власти, а также органами 
местного 
самоуправления, 
которые 
не 
входят 
в 
систему 
государственной власти (ст.. 12 Конституции России). 
 
В настоящее время особо важным с точки зрения защиты 
информации организаций системы исполнительной власти и органов 
местного самоуправления субъектов Российской Федерации является 
аудит информационной безопасности, который включает анализ рисков, 
связанных 
с 
возможностью 
осуществления 
угроз 
безопасности, 
особенно в отношении информационных ресурсов, оценку текущего 
уровня защищенности автоматизированных систем (АС), локализацию 
узких мест в системе их защиты, оценку соответствия ИС требованиям 
нормативных документов  и существующим стандартам в области 
информационной 
безопасности 
и 
выработку 
рекомендаций 
по 
внедрению 
новых 
и 
повышению 
эффективности 
существующих 
механизмов безопасности ИС. 
Аудит – форма независимого, нейтрального контроля какого-либо 
направления деятельности организации. 
Если 
говорить 
о 
главной 
цели 
аудита 
информационной 
безопасности, то можно ее определить как проведение оценки уровня 
безопасности 
автоматизированной 
системы 
организации 
для 
управления им в целом с учетом перспектив его развития. 
В 
современных 
условиях, 
когда 
информационные 
автоматизированные системы пронизывают все сферы деятельности 
системы государственной власти и органов местного самоуправления, а 
с учетом необходимости их связи с Интернет они оказываются 
открытыми для реализации внутренних и внешних угроз, проблема 

информационной безопасности становится не менее важной, чем 
экономическая или физическая безопасность. 
Несмотря 
на 
важность 
рассматриваемой 
проблемы, 
как 
показывает опыт, в настоящее время не уделяется достаточного 
внимания выполнению работ, связанных с аудитом информационной 
безопасности региональных органов исполнительной власти и органов 
местного самоуправления. Это было связано, прежде всего, с 
отсутствием необходимой нормативной базы, неподготовленностью 
специалистов и недостаточным практическим опытом в области 
проведения аудита информационной безопасности.  
Предлагаемая 
работа 
ориентирована 
преимущественно 
на 
рассмотрение методических и организационных основ проведения 
аудита 
информационной 
безопасности 
органов 
исполнительной 
государственной власти и органов местного самоуправления. Общая 
структура 
работы 
включает 
следующую 
последовательность 
рассматриваемых вопросов: 
 приводятся 
основные 
положения 
теории 
информационной 
безопасности; 
 излагаются 
базовые 
понятия 
аудита 
информационной 
безопасности и дается характеристика целей его проведения; 
 анализируются 
основные 
российские 
законы, 
нормативноправовые документы и стандарты, используемые при проведении 
аудита ИБ; 
 даются конкретные рекомендации по оценке базового уровня 
информационной безопасности по требованиям ФСТЭК России; 
 рассматриваются 
вопросы 
лицензирования 
деятельности 
по 
защите информации и сертификации средств защиты информации. 
Выбор описанной структуры был сделан с целью максимальной 
ориентации руководителей и специалистов по защите информации на 
практическое 
использование 
рассматриваемого 
материала 
при 
подготовке к проведению внутреннего и обоснования необходимости 
проведения 
внешнего 
аудита 
информационной 
безопасности 
исполнительных органов государственной власти и органов местного 
самоуправления субъектов Российской Федерации, а также при 
создании и модернизации комплексных систем защиты информации. 
Первое издание было выпущено в 2007 году. 

1. Основы информационной безопасности 
 

Наша эпоха знаменуется бурным развитием информационных 
технологий во всех сферах человеческой деятельности. Информация в 
современном мире стала важным стратегическим ресурсом государства, 
имеющим высокую стоимость. Этот факт вызывает стремление 
отдельных государств, ряда организаций и отдельных граждан получить 
личные выгоды за счет овладения информацией ограниченного доступа. 
Кроме того, успешное развитие государства, как, впрочем, и отдельной 
личности зависит от степени защиты собственных информационных 
ресурсов. 
Важность 
обеспечения 
безопасности 
государства 
в 
информационной сфере определяется  принятой 9 сентября 2000 года 
“Доктриной информационной безопасности Российской Федерации”: 
”Национальная безопасность Российской Федерации существенным 
образом зависит от обеспечения информационной безопасности, и в 
ходе технического прогресса эта зависимость будет возрастать”. 
Особо 
остро 
стоит 
вопрос 
обеспечения 
информационной 
безопасности в органах государственной власти и органах местного 
самоуправления 
субъектов 
Российской 
Федерации. 
Об 
этом 
свидетельствуют многочисленные попытки криминальных элементов 
получить контроль над информационными ресурсами государственной 
системы управления для извлечения материальной выгоды и нанесения 
финансового ущерба государству. Кроме того, в исполнительных 
органах государственной власти и органах местного самоуправления 
важно обеспечить конституционные права граждан России на получение 
достоверной 
информации, 
на 
ее 
использование 
в 
интересах 
осуществления законной деятельности, а также на защиту информации, 
обеспечивающую их личную безопасность. 
Противоборство 
государств 
в 
области 
информационных 
технологий, 
стремление 
криминальных 
структур 
противоправно 
использовать 
государственные 
ресурсы, 
наличие 
множества 
преднамеренных 
и 
случайных 
угроз 
информационным 
ресурсам 
вызывают необходимость создания комплексных систем защиты 

информации 
элементов 
системы 
государственного 
управления 
Российской Федерации.  
 
 
1.1. Основные положения, понятия и определения теории 
информационной безопасности 
 

Одной 
из 
приоритетных 
задач 
обеспечения 
суверенитета 

Российской Федерации является реализация и совершенствование 
системы обеспечения ее информационной безопасности. Сложность 
решения этой проблемы обусловлена необходимостью создания 
целостной системы комплексной защиты информации, базирующейся на 
стройной её организации и регулярном управлении. Комплексная 
система защиты информации – это организационно-техническая 
система, в которой действуют в единой совокупности правовые, 
организационные, 
технические, 
программно–аппаратные 
и 
другие 

нормы, 
методы, 
способы 
и 
средства, 
обеспечивающие 
защиту 

информации от всех потенциально возможных и выявленных угроз и 
каналов утечки. 
В соответствии с законодательством Российской Федерации 
информацию 
по 
режиму 
доступа 
подразделяют 
на 
открытую, 
конфиденциальную информацию и государственную тайну. 
 
Конфиденциальная 
информация 
- 
документированная 
информация, доступ к которой ограничивается в соответствии с 
законодательством 
Российской 
Федерации. 
По 
содержанию 
конфиденциальная информация может иметь профессиональный, 
личный, служебный, банковский и другой характер. 

Государственная 
тайна 
– 
защищаемые 
государством 

сведения в области его военной, внешнеполитической, экономической, 
разведывательной, контрразведывательной и оперативно-розыскной 
деятельности, 
распространение 
которых 
может 
нанести 
ущерб 

безопасности страны. Органы государственной власти, федеральные 
органы и органы местного самоуправления обеспечивают защиту 

сведений, составляющих государственную и служебную тайну, в 
соответствии с возложенными на них задачами и в пределах своей 
компетенции, ответственность за организацию защиты сведений, 
составляющих государственную тайну, непосредственно возлагается на 
их руководителей. 
 
Под 
защитой 
информации 
(ЗИ) 
понимают 
деятельность, 
направленная на предотвращение утечки защищаемой информации, 
несанкционированных и непреднамеренных воздействий на защищаемую 
информацию [2]. 
Структурно-типовая 
система 
защиты 
информации 
(рис.1.1) 
представляет 
собой 
совокупность 
отдельных 
взаимосвязанных 
элементов, реализующих следующие её виды: 

Правовая 
защита 
информации 
– 
защита 
информации, 

базирующаяся 
на 
применении 
статей 
конституции 
и 
законов 

государства, положений гражданского и уголовного кодексов и других 
нормативно-правовых 
документов 
в 
области 
информатики, 

информационных отношений и защиты информации. Правовая защита 
информации 
регламентирует 
права 
и 
обязанности 
субъектов 

информационных отношений, правовой статус органов, технических 
средств и способов защиты информации и является основой для 
морально – этических норм в области защиты информации [4]. 

Организационная 
защита 
информации 
– 
это 
комплекс 

направлений 
и 
методов 
управленческого, 
ограничительного 
и 

технологического характера, определяющих основы и содержание 
системы защиты, побуждающих персонал соблюдать правила защиты 
конфиденциальной информации. Организационные меры связаны с 
установлением режима конфиденциальности в организации [2]. 
 
Техническая или инженерно-техническая защита, основывается 
на использовании технических устройств, узлов, блоков, элементов, 
систем как в виде отдельных средств, так и встроенных в процессе 
единого 
технологического 
цикла 
создания 
средств 
обработки 
информации, сооружений и т.д.; 

Программно-аппаратная защита предполагает использование 
программного обеспечения информационных систем, комплексов и 
систем, а также аппаратных устройств, встроенных в состав технических 
средств и систем обработки информации. 
 

 
 
В качестве отдельного вида наиболее эффективных средств 
защиты 
информации 
выделяются 
 
математические 
или 
криптографические методы, которые могут быть реализованы в виде 
технических устройств, программ и программно-аппаратных средств. 
Рассмотренные виды в основном обеспечивают надежную защиту 
информации в различных системах ее обработки и различных условиях 
их 
функционирования. 
Однако 
опыт 
практического 
обеспечения 
безопасности информации в России и за рубежом показывает, что для 
надежной защиты в условиях обязательного участия человека, 
массовости решения задач защиты необходимо, прежде всего, 
реализовывать 
организационно-правовые 
направления 
защиты 
информации. 

 
ЗАЩИТА ИНФОРМАЦИИ 

Правовая  
 

Организационная  

Инженерно-техническая  
 

Программно-аппаратная   
 

Криптографическая  
 

Рис.1.1. Структура типовой системы защиты