info@ksb-soft.ru
8 800 3333-872
Задать вопрос
/ Как провести идеальный аудит

Как провести идеальный аудит


Угроза крупных оборотных штрафов за утечку ПДн, которые начнут действовать с 30 мая 2025 года, привела к тому, что российские компании стали вдвое чаще проводить аудит своих систем информационной безопасности. По информации юридической компании ЭБР, спрос на аудит систем хранения и защиты данных вырос более чем в два раза по сравнению с весной 2024 года.

Спрос на услуги ИБ в России

Все больше компаний, работающих с персональными данными, начинает проверять свои информационные системы. Зачем? Во-первых, чтобы избежать проблем с контролирующими органами. Во-вторых, чтобы в случае утечки иметь шанс уменьшить сумму штрафа. Сейчас бизнес хочет не просто формально следовать правилам, но и реально подготовиться к возможным проблемам.

Аудит помогает найти слабые места в защите данных. Но только провести проверку мало – компания должна исправить найденные проблемы. В этой статье мы расскажем, какие цели преследует аудит, а также как эффективно провести проверку и избежать штрафов.

Зачем нужен аудит?

История аудита уходит корнями в далёкое прошлое. Когда человечество начало накапливать имущество, возникла необходимость вести учет. Это касалось всего: от финансов до запасов еды. С развитием общества учет становился все сложнее и масштабнее. В 1285 году один европейский монарх даже издал закон, регулирующий работу аудиторов — специалистов, ведущих учет, ревизию или инвентаризацию.

Теперь аудит применяется практически везде:

  • Финансовый или бухгалтерский аудит: проверка финансовой отчетности компании, чаще всего независимыми специалистами (аудиторскими фирмами);

  • Аудит в области экологии: оценка воздействия на окружающую среду и соответствие экологическим нормам и стандартам;

  • Аудит в области юриспруденции (правовая экспертиза документов): проверка договоров, внутренних регламентов и других юридических актов на предмет соответствия законодательству;

  • Аудит качества менеджмента и бизнес-процессов: проверка соответствия стандартам ISO 9001 и другим международным стандартам;

  • Аудит ИТ-инфраструктуры: оценка серверов, сети, баз данных и программного обеспечения на предмет производительности, надёжности и безопасности;

  • Аудит информационной безопасности: оценка соответствия законодательным требованиям и нормативным актам в сфере информационной безопасности.

Именно про аудит информационной безопасности в сегодняшней статье пойдет речь. 

Что такое информационная безопасность и с чего она начинается?

Как мы знаем, безопасность информации — это состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность. Но как это состояние достичь и с чего нужно начать? Чтобы ответить на этот вопрос, необходимо понять, какую именно информацию мы будем защищать. Именно здесь вступает в игру аудит.

Аудит информационной безопасности – это самый первый шаг на пути к безопасности, так как он ответит на вопросы, с чем организация имеет дело и каким требованиям законодательства она должна соответствовать. Аудит предполагает обследование, сбор информации об объекте информатизации, анализ полученных данных на предмет соответствия требованиям нормативных правовых актов и план дальнейших действий. 

Цель проведения аудита – получение информации о текущем состоянии информационной безопасности в обследуемой организации в соответствии с требованиями законодательства РФ.  

По результатам аудита проводится оценка соответствия организации требованиям законодательства РФ, разрабатываются различные рекомендации, а также формируется организационно-распорядительная, техническая и проектная документация.

Аудит предполагает:

  • проведение инвентаризации информационных, технических и программных ресурсов, участвующих в обработке информации и подлежащих защите;
  • оценку достаточности действующих организационно-технических мер по защите информации;
  • определение наиболее уязвимых мест в защите ИС и ОКИИ;
  • получение рекомендаций и/или готовых технических решений по принятию дополнительных мер в части ИБ. Качественный аудит очень важен для всего последующего построения системы защиты информации.
С учётом сегодняшних реалий особенно актуальна инвентаризация. Когда многие зарубежные компании заявили о своем уходе с рынка РФ, важно понимать, какие ресурсы в организации следует импортозаместить. Инвентаризация как раз помогает решить данный вопрос.

Прежде чем перейти к более подробному рассмотрению порядка проведения аудита и основных его этапов, необходимо определиться, каким требованиям нужно соответствовать.

Защита персональных данных регламентирована 152-ФЗ, требования к государственным информационным системам отражены в 149-ФЗ, а к объектам критической информационной инфраструктуры – в 187-ФЗ.

Этапы аудита

Теперь, когда мы определились с нормами законодательства, можно приступить к аудиту информационной безопасности. Рассмотрим его подробнее на примере аудита в области защиты персональных данных.

Аудит в области информационной безопасности предполагает 5 этапов:

  1. Предварительный этап.

  2. Сбор данных.

  3. Анализ и структурирование собранных данных.

  4. Разработка отчетных материалов по результатам проведенного аудита.

  5. Разработка документации.

Рассмотрим их подробнее.

1.       Предварительный этап

Обеспечение информационной безопасности организации – это комплексный процесс, требующий четкой организации и дисциплины. В ходе специально организованного интервью аудитор с ответственным за проведение работ со стороны обследуемой организации определяет область аудита: местонахождение, организационную структуру, виды деятельности организации.

Этап предполагает налаживание контактов с лицом, ответственным за проведение аудита со стороны организации. Контактное лицо осуществляет сопровождение аудиторов на всех последующих этапах проведения аудита.

До выезда специалистов к заказчику в организацию контактное лицо предоставляет начальную информацию аудиторам. Как правило, это устав организации и любая другая документация, которую будет полезно проанализировать аудиторам до выезда к заказчику, чтобы при проведении аудита специалисты были готовы задавать предметные вопросы сотрудникам заказчика. Также аудиторы запрашивают схему сети организации, если она имеется, или уже при проведении аудита зарисовывают её совместно с контактным лицом. Это поможет аудитору понять, как построена сеть, какие используются средства защиты информации, имеются ли взаимодействия с внешними информационными системами.

На предварительном этапе также происходит сбор информации о заказчике в общедоступных источниках – это, в первую очередь, официальный сайт организации, а также сведения о видах деятельности.

 Такая подготовка поможет аудиторам адаптировать опросные листы под специфику деятельности организации и позволит сделать некоторые предположения и выводы о протекающих бизнес-процессах в организации заказчика.

Как правило, на предварительном этапе выполняются следующие действия:

  • сбор данных о заказчике в открытых источниках;

  • запрос необходимой информации;

  • определение области аудита и границ проведения работ;

  • подготовка и предварительное заполнение опросных листов.

2.       Сбор данных

После проведения всех необходимых подготовительных мероприятий мы, наконец, можем перейти к основному этапу аудита ИБ – сбору данных, проходящему, как правило, в очном формате.

Чтобы выполнить требования законодательства в отношении ПДн и устранить возможные угрозы безопасности, необходимо реализовать комплекс организационных и технических мероприятий, трудоёмкость которых зависит от специфики деятельности организации.

Выполнение требований нормативно-правовых актов в сфере ИБ подразумевает организационные и технические меры по защите информации. Поэтому и этапы аудита ИБ условно можно разделить на две части:

Организационная (сбор данных, позволяющих подготовить организационно-распорядительную документацию в соответствии с требованиями законодательства в сфере обработки ПДн):

  • Определение бизнес-процессов организации.

  • Определение ответственных лиц по вопросам организации обработки и безопасности ПДн. Они могут быть уже назначены в организации, либо руководителю потребуется определиться с их назначением на начальном этапе аудита;

  • Особенности обработки ПДн. Здесь выясняются основные нюансы по обработке информации в организации. Например, введён ли пропускной режим в организации, ведется ли видеонаблюдение, как организован доступ работников в помещения, ведутся ли журналы сдачи/выдачи ключей и т.д.;

  • Сбор информации по обработке ПДн в каждом структурном подразделении (отделе) организации. Включает в себя сбор информации о целях и основаниях обработки ПДн, характеристиках программных комплексов, в которых обрабатываются ПДн, определение категорий субъектов ПДн и условий обработки ПДн, определение перечня ПДн, обрабатываемых в программных комплексах и на бумажных носителях, составление перечня сотрудников, осуществляющих обработку ПДн, определение мест хранения материальных носителей и т.д.

Техническая (сбор сведений для проведения технических мероприятий и разработки технической документации):

  • Инвентаризация технических средств. Предполагает сбор данных со всех средств вычислительной техники, задействованных в обработке информации. Может осуществляться с применением автоматизированных средств. Инвентаризация проходит также в отношении СЗИ, рассматривается имеющаяся документация – формуляры, лицензии, выясняются места установок СЗИ.

  • Определение пользователей СКЗИ.

  • Оценка принятых организационно-технических мер по защите информации.

  • Описание ИТ-инфраструктуры заказчика, зарисовка схемы сети.

  • Описание используемых технологий.

3.        Анализ и структурирование собранных данных

После проведения основной части аудита и сбора всей необходимой информации происходит анализ полученной информации в ходе аудита. Мы получим целостную картину текущего состояния ИБ в организации. Шаги в рамках анализа и структурирования:

  • Оценка полноты собранных данных;

  • Дополнительные запросы информации.

Но и на этом аудит не заканчивается.

4.       Разработка отчётных материалов по результатам проведенного аудита

На основе собранной информации после проведения анализа можно оценить достаточность действующих организационно-технических мер по защите информации в организации, а также предоставить различные рекомендации по повышению уровня защищённости информации, импортозамещения ПО, технических средств иностранного производства. Выявляются средства защиты, сертификаты соответствия которых были отозваны.

Проведение аудита информационной безопасности в компаниях помогает выявить текущие проблемы и уязвимости в защите данных. Это, в свою очередь, позволяет организации оценить текущее состояние информационной безопасности; определить, какие меры необходимо предпринять для соответствия законодательным требованиям; повысить общий уровень защищённости информации.

Отчёт по результатам проведённого аудита содержит:

  • текущее состояние ИБ;

  • оценку выполнения требований НПА;

  • рекомендации по улучшению уровня ИБ компании.

5.       Разработка документации

Состав разрабатываемой документации можно условно разделить на три вида:

  • Организационно-распорядительная документация. Это различные приказы, инструкции, акты, а также один из основных документов оператора ПДн – политика в отношении обработки ПДн. В этом документе содержится информация о категориях ПДн, которые обрабатываются в организации, субъектах ПДн внутри организации и т.д.

  • Техническая. К технической документации относятся модель угроз безопасности информации, техническое задание на создание системы защиты информации, технический паспорт информационной системы и т.д. Эти документы касаются технических мер по защите информации. Модель угроз безопасности информации определяет актуальные угрозы ПДн, техническое задание на создание системы защиты информации определяет необходимые к реализации меры по защите ПДн в соответствии с 21 приказом ФСТЭК, технический паспорт описывает состав ИСПДн;

  • Проектная документация. Под данным видом документации подразумевается технический проект, и это не один документ, а целый комплект документов, который в зависимости от сложности информационной системы и её объема, может иметь различный состав документов. В состав технического проекта чаще всего включают следующие документы: ведомость покупных изделий, структурная схема комплекса технических средств, пояснительная записка к техническому проекту, схема функциональной структуры и другие. В техническом проекте описывается проектное решение для системы защиты.

В результате разработки документации у организации появится комплект документов, который полностью отвечает требованиям нормативно-правовых актов (152-ФЗ, 1119-ПП, 21 приказ ФСТЭК и т.д.), позволит внедрить СЗИ и обеспечить тем самым безопасность информации. После этого можно приступить к другим этапам, например, к аттестации. Её итогом будет подтверждение, что система защиты построена верно, учитывает все необходимые требования, позволяет нейтрализовать все актуальные угрозы безопасности информации, иными словами, справляется со своими функциями.

Проблемы, которые могут возникнуть при аудите. Взгляд со стороны аудитора информационной безопасности

Первоочередной проблемой, с которой аудитор сталкивается чаще всего, это область обследования или границы проведения аудита. Представьте ситуацию: заключается договор на проведение аудита, где четко прописано, сколько информационных систем используется у заказчика, сколько АРМ и серверов входит в состав этих ИС. Аудиторы тут же направляются к вам на проведение работ по аудиту. Они приезжают к заказчику заряженные на идеальное исполнение условий договора, но в процессе проведения работ выясняется, что информационных систем у заказчика гораздо больше, чем заявлено в договоре, соответственно вырастает и количество обследуемых АРМ и серверов. Также, нередки ситуации, когда заказчик говорит: «У нас ничего не обрабатывается, зачем прилетели?» Но в процессе интервьюирования руководителей подразделений организации – заказчика, наши инженеры-аудиторы чаще всего выявляют обработку ПДн, что также влияет на итоговый объем работ.

Совет – оценивайте объём предстоящих работ объективно. А в случае, если у вас большая и сложная распределенная инфраструктура организации, необходимо тщательно провести подготовку перед аудитом, то есть организовать предпроектный аудит. Это позволит в дальнейшем вести работы корректно.

Вторая, но не менее важная проблема, наиболее часто возникающая в процессе работ. Аудитор приехал к заказчику, провел обследование всего и вся, и уехал формировать отчёт. После получения отчёта заказчик говорит, что собранная информация не актуальна, что была произведена модернизация IT-ресурсов, куплены новые компьютеры и серверы.

Аудит – это процесс, который должен быть постоянным и непрерывным, но всё же проводиться периодически. Аудитор не может в режиме онлайн отслеживать все изменения в вашей инфраструктуре. Эта проблема встречается довольно часто, и хорошо, если сроки договора позволяют придумать механизмы по спасению возникшей ситуации. Благо сейчас доступны инструменты, позволяющие удаленно при совместных усилиях аудитора и заказчика повторно провести работы. Главный совет, чтобы данная ситуация не возникала – обеспечить неизменность инфраструктуры на период проведения работ по аудиту.

Третья и, наверное, последняя масштабная проблема – аудитор может получить только ту информацию, которую ему предоставил заказчик. Чем подробнее организация расскажет о «болячках», тем проще аудиторам поставить диагноз. Да, случается и такое, что сразу в голову все не приходит, что в процессе аудита специалисты организации могли что-то ненамеренно умолчать. Но есть инструменты, которые позволяют передать эту информацию аудитору по завершении этапа обследования.

Заключение

Аудит ИБ — это не просто формальная процедура, а стратегический инструмент для повышения уровня безопасности и снижения рисков. Благодаря ему компании могут не только избегать штрафов, но и создавать прочную основу для защиты своих данных.

Однако успешное проведение аудита и применение его результатов требует активного участия и осознания важности этих мероприятий руководством. Ведь именно грамотное использование рекомендаций аудиторов позволяет бизнесу не только продемонстрировать готовность к защите данных, но и реально укрепить свои позиции в условиях растущих киберугроз.


Команда КСБ-СОФТ помогает организациям провести аудит информационной безопасности.

Каждый год мы проводим более 120 проектов по аудиту:

  • в органах государственной власти различного уровня;

  • бюджетных учреждениях в сфере здравоохранения, образования;

  • коммерческих организациях: электроэнергетика, нефтепереработка, машиностроение, химическая промышленность, транспорт, агропромышленный комплекс.
География аудитов КСБ-СОФТ

Мы проводим аудит на соответствие требований защиты персональных данных в 152-ФЗ, требований к государственным информационным системам в соответствии с 149-ФЗ, а также к объектам критической информационной инфраструктуры в соответствии с 187-ФЗ.

Выберите, какой объём услуг подходит вам больше:

  1. Минимальный – оценка выполнения требований законодательства. Предполагает аудит и выдачу отчета с аналитикой по выполненным требованиям НПА, рекомендации по требованиям, которые необходимо выполнить.

  2. Средний – проведение аудита, разработка отчёта об обследовании, разработка организационно-распорядительной, технической документации.

  3. Полный – проведение аудита, разработка отчёта об обследовании, разработка организационно-распорядительной, технической документации, проектирование системы защиты информации – разработка технического проекта.

  4. Самый полный – проведение предпроектного аудита, аудит, разработка организационно-распорядительной, технической документации, проектирование системы защиты информации – разработка технического проекта.

Свяжитесь с нами! Проконсультироваться со специалистами КСБ-СОФТ можно по телефону 8 800 3333-872, по почте support@ksb-soft.ru.

8 апреля 2025
Поделиться
Категории
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация