Константин Саматов, 08/10/25
Проанализируем роль аудита как ключевого инструмента в оценке соответствия нормативным требованиям. Более того, рассмотрим и сравним его с другими мероприятиями по оценке, такими как самооценка, непрерывный мониторинг и проверки регуляторов, чтобы выявить их сильные и слабые стороны. Уделим особое внимание роли искусственного интеллекта в этом процессе, включая применение внешних и локальных больших языковых моделей.
Автор: Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
Несоответствие постоянно меняющимся и ужесточающимся нормативным требованиям, будь то законодательство или стандарты, влечет за собой целый комплекс рисков. Среди них – финансовые потери от крупных штрафов, операционные сбои, вызванные нарушениями, и, что не менее важно, серьезный ущерб репутации, который может привести к потере доверия со стороны клиентов и партнеров. Современные реалии, включая требования 152-ФЗ "О персональных данных", положения 187-ФЗ "О безопасности критической информационной инфраструктуры", требования Банка России, большое количество подзаконных нормативных актов и нормативно-методических документов, делают соответствие требованиям обязательным условием для ведения бизнеса.
Чтобы эффективно управлять этими рисками, организации нуждаются в надежном и объективном инструменте оценки, который не только выявляет проблемы, но и помогает их устранить. Таким инструментом является аудит информационной безопасности – независимый и систематический процесс проверки на соответствие требованиям.
Внутренний и внешний аудит
На практике существует много различных видов аудита (подробнее см. Журнал "Information Security\Информационная безопасность" №3, 2019 С. 8–10). Напомню лишь про то, что аудит может быть как внутренним, так и внешним.
Внутренний аудит является инструментом самоконтроля и постоянного улучшения. Он помогает организации самостоятельно выявлять недостатки и уязвимости для их своевременного устранения. Это своего рода генеральная репетиция перед более серьезными внешними проверками, позволяющая исправить ошибки до того, как они будут обнаружены третьей стороной, в том числе контрольно-надзорными органами (регуляторами).
Внешний аудит, проводимый сторонней организацией, служит для подтверждения соответствия. Он дает независимое заключение, которое имеет высокий авторитет для клиентов, партнеров и иногда регуляторов, часто являясь обязательным условием для получения сертификатов, таких как ГОСТ/ISO 9001 (менеджмент качества), или для участия в тендерах.
Хотя внутренний аудит проводится сотрудниками самой организации, но его независимость достигается за счет отделения аудиторской функции от операционной деятельности. То есть специалисты, проводящие аудит, не должны быть напрямую ответственны за информационную безопасность. С ролью аудитора на соответствие требованиям вполне справляются юристы и/или операционные менеджеры. Это позволяет минимизировать предвзятость и обеспечить беспристрастный, экспертный взгляд на существующие проблемы. В свою очередь, внешний аудит, проводимый сторонней аудиторской компанией, по определению обладает независимостью и беспристрастностью.
Методика аудита представляет собой структурированный процесс, состоящий из нескольких ключевых этапов (подробнее см. Журнал "Information Security\Информационная безопасность" № 3, 2019 С. 8–10).
Помимо аудита, организации используют и другие методы для оценки соответствия нормативным требованиям, каждый из которых имеет свои особенности.
Самооценка
Одним из наиболее распространенных является самооценка, когда компания самостоятельно проверяет себя, используя внутренние ресурсы и чек-листы. Этот метод отличается гибкостью и низкими затратами, что делает его привлекательным для малого и среднего бизнеса. Однако его главный недостаток – это потенциальная необъективность, поскольку оценка проводится теми же людьми, которые отвечают за ИБ. Кроме того, внутренние специалисты могут не обладать достаточной квалификацией или быть ограничены в ресурсах, что снижает качество оценки. Тем не менее самооценка эффективна для предварительной проверки и систематического контроля, помогая поддерживать его минимальный уровень.
Аудит отличается от самооценки независимым и беспристрастным подходом. Аудиторы привносят сторонний, экспертный взгляд, который позволяет обнаруживать риски, неочевидные для внутренней команды. Глубина экспертизы аудиторов является ключевым преимуществом. Внутренняя команда даже при высокой квалификации может не заметить пробелы в силу привычки или отсутствия опыта работы с подобными процессами в других организациях.
Непрерывный мониторинг
Еще один важный метод – непрерывный мониторинг. Он реализуется через использование автоматизированных систем (например, SIEM, DLP, IDS/IPS и т.п.), которые в режиме реального времени отслеживают состояние безопасности и инциденты. Данные мониторинга являются свидетельствами при проверке соответствия. Например, логи активности, отчеты об инцидентах и показатели работы средств защиты могут использоваться аудитором для подтверждения выполнения требований таких стандартов, как ГОСТ/ISO 27001, требований 152-ФЗ, 187-ФЗ, требований нормативно-правовых актов Банка России. Таким образом, мониторинг не просто дополняет аудит, а становится его неотъемлемой частью, предоставляя объективные и актуальные данные, необходимые для верификации.
Аудит и непрерывный мониторинг – взаимодополняющие инструменты. Аудит дает качественную и точечную оценку, анализируя не только данные, но и процессы, политики. Мониторинг же дает количественные данные и обеспечивает непрерывный, но поверхностный контроль.
Проверки регуляторов
Наконец, существуют проверки регуляторов (например, Роскомнадзора, ФСТЭК России, ФСБ России), включая отраслевых (например, Центральный Банк). Эти проверки носят обязательный и зачастую принудительный характер. Их основная цель – выявление нарушений, а не помощь в их устранении. Аудит на соответствие требованиям помогает не только выявить формальные несоответствия до прихода регуляторов, но и оперативно их устранить. Это минимизирует замечания в ходе официальных проверок и снижает риски финансовых и репутационных потерь.
Аудит имеет консультативный и партнерский характер, направленный на помощь в устранении недостатков и улучшение системы ИБ. Он помогает выявить первопричины несоответствий, а не только их симптомы. В отличие от этого, проверки регуляторов направлены на фиксацию нарушений и применение санкций. Аудит позволяет не только подготовиться к таким проверкам, но и выстроить доверительные отношения с партнерами и клиентами, демонстрируя свою приверженность высоким стандартам безопасности.
Искусственный интеллект
С развитием технологий, в особенности сервисов больших языковых моделей (БЯМ), в сфере аудита наметился новый, революционный этап.
К таким сервисам относятся широко известные платформы, такие как ChatGPT и его аналоги. Их ключевое преимущество – доступность и высокая производительность без необходимости развертывания собственной инфраструктуры. Они позволяют автоматизировать рутинные задачи, не связанные с обработкой конфиденциальных данных.
Примеры применения БЯМ для аудита – генерация типовых аудиторских чек-листов на основе нормативно-правовых актов и публичных стандартов (ГОСТ/ISO 27001), написание шаблонов отчетов. Их можно использовать для создания проектов политик и регламентов (на этапе выполнения рекомендации аудита), которые затем будут доработаны вручную.
Ключевой риск таких внешних сервисов – это нарушение конфиденциальности. Категорически запрещено загружать в такие сервисы любую чувствительную информацию: внутренние нормативные документы, персональные данные, логи систем и т.п. Например, попытка анализа локальных нормативно-правовых актов или внутренних логов информационных систем с помощью ChatGPT может привести к утечке данных.
Локальные модели – это системы, которые разворачиваются в собственной инфраструктуре организации. Это могут быть как коммерческие продукты, так и Open Source-решения, которые адаптируются под нужды компании.
Главное преимущество локальных моделей – полный контроль над данными. Они подходят для анализа конфиденциальной информации (при условии выполнения типового комплекса мер защиты). С их помощью можно проводить глубокий анализ внутренних политик на соответствие требованиям законодательства или стандартов, анализировать журналы доступа к системам, выявлять аномалии в поведении пользователей, обрабатывать данные из систем безопасности (например, SIEM, DLP и т.п.).
Недостатком такого подхода, как правило, является то, что развернутые локально модели обучены на более старых (в сравнении с постоянно дообучающимися онлайн-моделями) данных, что может давать не столь точные ответы и требует определенных навыков формирования запросов (промптинга) либо дополнительного обучения на специфичных для компании данных, что достаточно трудоемко и ресурсозатратно.
Наиболее эффективной стратегией является комбинирование обоих подходов. Внешние сервисы можно использовать для первичного анализа общедоступной информации, а локальные модели – для глубокого и безопасного анализа внутренних данных. Это позволяет снизить затраты на ИИ-инфраструктуру, одновременно обеспечивая высокий уровень конфиденциальности и эффективности аудиторских процессов.
Заключение
Обеспечение соответствия нормативным требованиям – это не выбор одного инструмента, а построение комплексной системы, где каждый метод выполняет свою уникальную функцию. Наиболее эффективный подход – это синергия аудита, самооценки и непрерывного мониторинга. Самооценка используется для рутинного контроля и подготовки к проверкам, мониторинг обеспечивает оперативное реагирование на угрозы, а аудит выступает как главная, независимая проверка эффективности всей системы безопасности.
В конечном счете аудит для сотрудника подразделения ИБ – это не формальная процедура, а важнейший инструмент для повышения эффективности своей работы. Это возможность получить объективную оценку, выявить реальные риски и представить руководству аргументированный план действий. Аудит, будь то внутренний или внешний, позволяет увидеть слабые места в защите и показать, что сделано правильно. Внедрение ИИ-инструментов, в свою очередь, превращает рутинные задачи по сбору и анализу данных в высокоскоростные процессы, позволяя специалисту сосредоточиться на стратегическом планировании и принятии решений. Таким образом, аудит становится основой для построения надежной, постоянно развивающейся системы ИБ, а не только способом подтвердить соответствие требованиям.
