Контакты
Подписка 2026

Стратегия аудита информационной безопасности в пяти шагах

Константин Саматов, 11/12/24

В условиях стремительного развития технологий и увеличения числа угроз регулярный аудит становится необходимым инструментом для обеспечения надежной защиты данных, предотвращения утечек информации и обеспечения непрерывного функционирования информационных ресурсов.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

ris2-Dec-11-2024-07-50-37-0434-AM

Аудит информационной безопасности представляет собой важный процесс, направленный на оценку уровня защищенности информационной инфраструктуры организаций.

На практике под аудитом обычно понимают форму независимой оценки состояния объекта ИБ (информационной системы, автоматизированной системы, организации в качестве объекта защиты в целом и т.д.) на соответствие заданным критериям, таким как требования действующего законодательства, принятые корпоративные стандарты, отсутствие уязвимостей, способность обеспечить защиту при проведении компьютерной атаки и т.п.

Каждый из видов аудита имеет свои особенности и цели, но все они направлены на обеспечение надежной защиты информации и минимизацию рисков (см. табл. 1).

t1-Dec-11-2024-07-47-52-6229-AM

Существует несколько подходов к проведению аудита ИБ (см. табл. 2).

t2-Dec-11-2024-07-48-04-5087-AM

Указанные моменты необходимо учитывать при формировании стратегии аудита в рамках организации. Стратегия – это общий план, направленный на достижение одной или нескольких долгосрочных целей в условиях неопределенности.

Создание стратегии аудита ИБ в рамках организации требует системного подхода и учета множества факторов.

Пять шагов разработки эффективной стратегии аудита

Шаг 1. Определение целей аудита

Для начала необходимо определить цель аудита. Целью может быть:

  • оценка текущего уровня безопасности;
  • проверка соответствия нормативным требованиям;
  • выявление уязвимостей и рисков;
  • улучшение процессов ИБ: управление уязвимостями, управление инцидентами и т.п.

Как это может выглядеть на практике? Допустим [1], у вас есть несколько дочерних обществ, в которых никогда не занимались ИБ, или вы только что "пришли" в организацию. В этом случае целью аудита будет оценка текущего уровня безопасности и выявление уязвимостей и рисков. Если у вас зрелая организация, то целью будет оценка текущего уровня безопасности и улучшение процессов ИБ.

Аудит с целью проверки соответствия нормативным требованиям обычно предшествует контрольно-надзорным мероприятиям, которые проводят соответствующие уполномоченные органы (так называемые проверки регуляторов), или совпадает с указанными мероприятиями.

Шаг 2. Определение объема аудита

Необходимо определить, какие системы, процессы и данные будут охвачены аудитом. Они могут включать в себя:

  • ИТ-инфраструктуру (серверы, сети, приложения и т.п.);
  • политики и процедуры безопасности;
  • физическую безопасность (доступ к рабочим местам пользователей и серверным помещениям);
  • осведомленность персонала и т.п.

Как это может выглядеть на практике? Исходя из целей аудита определяется объем мероприятий. Например, если целью является оценка текущего уровня безопасности и выявление уязвимостей и рисков, то нужно включить в стратегию инвентаризацию ИТ-инфраструктуры, выявление уязвимостей и оценку рисков. Если целью является комплаенс-аудит для подготовки к проверке, то нужно предусмотреть анализ внутренней нормативной документации и ее корректировку, выявление и устранение уязвимостей.

Шаг 3. Сбор информации

Соберите все необходимые данные о текущих процессах и системах безопасности. Они могут включать в себя:

  • локальные нормативные документы (приказы, распоряжения, указания) по информационной безопасности;
  • отчеты о предыдущих аудитах;
  • журналы событий и инцидентов и т.п.;
  • интервью с сотрудниками.

Как это может выглядеть на практике? Перед формированием стратегии не будет лишним освежить в памяти результаты прошлых аудитов. Если таковых нет или вы недавно работаете в организации, то следует собрать и изучить имеющиеся локальные нормативные документы, посвященные вопросам информационной безопасности, посмотреть (выборочно) настройки информационных ресурсов. Основная задача – получить общий объем знаний о предмете аудита.

Не будет лишним провести короткие интервью с несколькими ключевыми сотрудниками, чтобы понять, как на практике реализуются политики безопасности.

Шаг 4. Разработка стратегии аудита

На данном этапе происходит разработка стратегии аудита. Сама стратегия – это план, который состоит из нескольких пунктов, перечисленных ниже.

  • Таймлайн проведения аудита (в частности, различных его видов).
  • Ресурсы, необходимые для выполнения аудита (команда, инструменты).
  • Методы и инструменты, которые будут использоваться (например опросные листы, сканеры уязвимостей, системы управления событиями безопасности и т.п.).

Как это может выглядеть на практике? При формировании стратегии следует учесть временные интервалы планирования. Обычно мероприятия по ИБ (не только аудит) планируются на один год. Однако за такой короткий промежуток времени при ограниченных ресурсах вряд ли можно комплексно проаудировать ИБ по всем аспектам, поэтому стратегию желательно формировать с учетом среднесрочных (горизонт планирования до трех лет), а в некоторых случаях и долгосрочных периодов (горизонт планирования до десяти лет).

Например, в первый год мы планируем комплаенс-аудит на соответствие требованиям; на второй год – технический аудит с тестированием на проникновение; на третий год – аудит с целью оценки текущего уровня безопасности и зрелости организации в части ИБ.

Ресурсами для проведения аудита в первую очередь являются имеющаяся команда специалистов по ИБ и смежные подразделения. Очень часто на практике при комплаенсаудите весомую помощь могут оказать отдельные имеющиеся в организации подразделения по аудиту (в рамках всей организации без специализации по ИБ) и юридические подразделения. В техническом аудите, безусловно, помогает ИТ-подразделение.

Отдельным вопросом становится привлечение внешних ресурсов. Привлекая внешние ресурсы, нужно учитывать, что ни один внешний аудитор не сможет провести аудит качественно самостоятельно, без привлечения внутренней команды.

В части методов и инструментов в рамках стратегии желательно предусмотреть разработку собственной методической основы (методик) для проведения аудитов в организации.

Шаг 5. Проведение аудитов и корректировка стратегии

На особенностях проведения аудитов, так как это не предмет данной статьи, заострять внимание я не буду. Отмечу лишь, что ранее эти вопросы уже рассматривались на страницах журнала, например в статьях "Особенности проведения аудита информационной безопасности объектов критической информационной инфраструктуры" № 3 за 2019 г. и № 3 за 2020 г.

Поскольку стратегия – это план, направленный на достижение целей в условиях неопределенности, то ее корректировка – нормальная практика.

Формирование стратегии аудита информационной безопасности требует тщательного планирования и системного подхода. Описанные выше шаги и приведенные примеры помогут в разработке эффективной стратегии аудита вашей организации.


  1. Здесь и далее приводятся лишь некоторые примеры
Темы:УправлениеАудитЖурнал "Информационная безопасность" №5, 2024
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Зрелость ИБ – в необходимости адаптироваться быстрее угроз
    Пока вы готовите отчет для аудита, инфраструктура успевает измениться, подрядчики ухитряются обновиться, а атакующие – освоить новые техники проникновения. И выигрывает не тот, у кого больше средств защиты, а тот, кто способен быстрее адаптироваться к изменениям. Зрелость ИБ измеряется не процентом защищенности, а скоростью реакции системы на новые угрозы.
  • Почему вы хотите одной кнопки безопасности?
    Ольга Попова, главный юрист продуктовой группы Контур.Эгида и Staffcop
    Киберугрозы становятся все изощреннее, и руководители мечтают о простом решении -- волшебной кнопке, которая одним нажатием обеспечит полную защиту компании. Возможно ли это в принципе?
  • Киберинцидент как юридический факт
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Для специалиста по ИБ киберинцидент – это аномалия в логах, срабатывание системы обнаружения вторжений или зашифрованные файлы на сервере. Для юриста – юридический факт. Разница в подходах часто становится причиной конфликтов внутри компаний: технари удаляют следы, чтобы восстановить бизнес-процессы, а юристы потом не могут доказать вину злоумышленника или обосновать страховой случай.
  • Как перейти на ущерб-ориентированный подход
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Многим компаниям кажется, что обеспечение кибербезопасности и непрерывности бизнеса требует больших инвестиций, оценить целесообразность которых трудно. Малый и средний бизнес часто считает, что защитные решения стоят дорого и не являются обязательными, ведь якобы основная цель злоумышленников – большие компании. Крупный бизнес с высоким уровнем зрелости сталкивается с другой сложностью: руководство не всегда понимает, как именно кибербезопасность влияет на устойчивость компании и как оценить эффективность инвестиций. У этих разных парадигм одна общая проблема: безопасность существует отдельно от бизнеса.
  • Система управления ИБ в интересах бизнеса: от теории к практике
    Ольга Папина, эксперт продуктовой команды R-Vision SGRC
    В 2025 г. информационная безопасность перестала быть исключительно технической функцией. Для бизнеса она теперь является фактором устойчивости – от того, как выстроено управление ИБ, напрямую зависят непрерывность процессов, выполнение обязательств перед клиентами и способность компании масштабироваться без потери контроля.
  • Управление кибербезопасностью в 2026 году: какие метрики нужны CISO и CEO
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Топ-менеджмент требует цифр, а команда кибербезопасности – осмысленных KPI. Давай посмотрим, какая система метрик закрывает запросы обеих сторон.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...