Аудит информационной безопасности: что он включает на самом деле
Аудит информационной безопасности — это независимая оценка того, насколько защищены данные, системы и процессы компании. Он отвечает на несколько простых вопросов: где у нас слабые места, какие угрозы реальны, выполняем ли мы требования регуляторов и что чинить в первую очередь. На выходе — приоритизированный список проблем с рекомендациями, а не абстрактное «всё плохо».
Когда я работаю с владельцами интернет-магазинов на OpenCart, которые обрабатывают персональные данные клиентов и принимают онлайн-оплату, вопрос безопасности встаёт рано или поздно. Кто-то узнаёт о проблеме от Роскомнадзора, кто-то — от клиента, который заметил списание, а кто-то — из новости про утёкшую базу. Аудит ИБ — это попытка поменять порядок и найти слабые места первыми, пока их не нашли за вас.
В этом материале я разбираю, что входит в аудит информационной безопасности, какие виды бывают, как проходит процесс и какие требования российского законодательства обязательны для вашего типа данных. Не как теоретик, а как человек, который видит, как устроены реальные системы изнутри — и знает, где обычно лежат проблемы.
Что такое аудит ИБ и чем он отличается от пентеста
Здесь важно не путать аудит с пентестом, потому что их постоянно смешивают. Пентест — это попытка взлома: специалисты действуют как злоумышленники и проверяют, можно ли пробить защиту технически. Аудит шире: он смотрит и на технику, и на процессы, документы и живых людей. Можно идеально настроить сервер, но если сотрудник отправляет пароль в ответ на фишинговое письмо, технические меры не спасут.
По данным Wikipedia, информационный аудит безопасности охватывает технические, физические и административные контроли — от безопасности дата-центра до логической безопасности баз данных. Пентест — это часть аудита, а не его замена. Аудит отвечает на вопрос «насколько мы защищены в целом», пентест — на вопрос «можно ли нас взломать вот этим конкретным способом».
Виды аудита: какой бывает и когда нужен
Под словом «аудит» прячется несколько разных по цели и глубине работ. Путаница начинается, когда заказчик просит «аудит», имея в виду одно, а получает другое.
| Вид аудита | Цель | Кто проводит | Что на выходе |
|---|---|---|---|
| Внутренний | Регулярный самоконтроль | Своя служба ИБ | Отчёт для руководства |
| Внешний (независимый) | Объективная оценка со стороны | Сторонняя организация | Независимое заключение |
| На соответствие (комплаенс) | Проверка требований закона/стандарта | Лицензированный аудитор | Заключение о соответствии |
| Технический / пентест | Поиск технических уязвимостей | Профильные специалисты | Список уязвимостей |
Чаще всего эти форматы комбинируют: внешний аудит на соответствие закону включает в себя и технические проверки, и анализ процессов. Главное — заранее договориться об объёме, иначе легко заплатить за поверхностный осмотр, ожидая глубокого разбора.
Как проходит аудит и что входит в его объём
Хотя детали отличаются от компании к компании, скелет процесса почти всегда один и тот же. Понимать его полезно даже заказчику: так проще контролировать подрядчика и видеть, на каком этапе вы находитесь.
1. Подготовка и согласование объёма
Определяют, что именно проверяют, по каким критериям и каким стандартам. На этом шаге фиксируют границы: какие системы, данные и подразделения попадают в аудит.
2. Инвентаризация активов
Аудитор составляет карту того, что вообще нужно защищать: серверы, базы данных, приложения, сетевое оборудование, потоки персональных данных. Защитить нельзя то, о существовании чего вы не знаете, а «забытые» системы — самая частая точка входа.
3. Анализ защищённости
Здесь смотрят и технику (настройки, уязвимости, права доступа, обновления), и процессы с документами (политики, регламенты, как реально работают сотрудники). Часто сюда входит и техническое тестирование.
4. Оценка рисков
Найденные проблемы взвешивают: какова вероятность, что уязвимостью воспользуются, и сколько это будет стоить бизнесу. Без этого шага отчёт превращается в свалку из сотни замечаний без приоритетов.
5. Отчёт с рекомендациями
Итоговый документ — главная ценность аудита. В нормальном заключении есть резюме для руководства человеческим языком, перечень проблем с уровнем критичности, привязка к требованиям закона и дорожная карта: что делать в первую очередь, что потом. Если вместо этого приносят выгрузку из сканера уязвимостей на двести строк без приоритетов — работу сделали наполовину.
6. Контроль устранения
Хороший аудит не заканчивается отчётом: через какое-то время проверяют, что нашли, починили, а не положили заключение в стол.
Требования закона: какой аудит кому обязателен в 2025–2026
В России нет одного закона «об аудите ИБ» — есть набор требований, и они зависят от того, с какими данными и системами вы работаете. Ниже — карта основных норм.
| Тип данных/систем | Закон/стандарт | Что проверяется | Регулятор |
|---|---|---|---|
| Персональные данные | 152-ФЗ, приказ ФСТЭК №21 | Меры защиты ПДн в ИС | Роскомнадзор, ФСТЭК, ФСБ |
| Государственная ИС | Приказ ФСТЭК №17 | Защита информации в ГИС | ФСТЭК |
| Объект критинфраструктуры | 187-ФЗ, приказ ФСТЭК №239 | Категорирование, защита, ГосСОПКА | ФСТЭК, ФСБ (НКЦКИ) |
| АСУ ТП | Приказ ФСТЭК №31 | Безопасность промышленных систем | ФСТЭК |
| Финансовые операции | ГОСТ Р 57580.1, требования ЦБ | Защита информации финорганизаций | Банк России |
| Данные платёжных карт | PCI DSS | Защита данных держателей карт | Платёжные системы |
Поверх отраслевых требований работает общая система управления ИБ — ей соответствует ГОСТ Р ИСО/МЭК 27001, российский аналог международного ISO 27001. И есть один сдвиг, который в 2025–2026 годах изменил отношение бизнеса к теме сильнее любых стандартов: за утечки персональных данных ввели оборотные штрафы, привязанные к выручке, а об инцидентах теперь обязательно уведомлять Роскомнадзор в сжатый срок.
Раньше утечка била по репутации, теперь — напрямую по деньгам, и это сделало аудит ПДн не пожеланием, а способом снизить вполне конкретный финансовый риск. Стоит держать в голове и курс на импортозамещение средств защиты: продукты из реестров ФСТЭК и Минцифры всё чаще становятся требованием, а не выбором.
Подробнее о том, как изменения в российском e-commerce влияют на владельцев магазинов, я разбирал в отдельной статье о изменениях в e-commerce для OpenCart — там про 289-ФЗ, маркировку и СБП.
Как подготовиться к аудиту: чек-лист
Аудит проходит быстрее и дешевле, когда компания приходит к нему не с чистого листа. Этот короткий чек-лист помогает понять, к чему вы готовы, а где провалитесь на первом же вопросе аудитора.
| Пункт | Что проверить | Статус |
|---|---|---|
| Перечень активов | Список систем, баз, приложений и того, где хранятся персональные данные | Есть / Нет |
| Политики ИБ | Рабочие: как выдаются доступы, что делать при инциденте, как увольняют с отзывом прав | Есть / Нет |
| Понимание данных | Какие данные обрабатываете: персональные, платёжные, коммерческая тайна | Есть / Нет |
| Разграничение доступа | У каждого сотрудника — только те права, которые нужны для работы | Есть / Нет |
| Журналирование | Логи, по которым можно понять, что произошло | Есть / Нет |
| Резервные копии | Бэкапы, из которых реально восстановиться | Есть / Нет |
| Ответственный за ИБ | Человек, с которым аудитор будет говорить и который отвечает за устранение | Есть / Нет |
Если на половину пунктов ответ «нет» — это не повод откладывать аудит, а как раз повод его провести: чем раньше вы увидите эти пробелы, тем дешевле их закрыть.
Что проверяют в интернет-магазине: практическая сторона
Когда у компании есть интернет-магазин — на OpenCart или другой платформе — отдельная и важная часть аудита касается безопасности самого продукта и данных в нём. Это та область, где разработчик и владелец магазина пересекаются с аудитором.
На одном из проектов — миграция с самописной CMS на OpenCart — мы столкнулись с тем, что разработчик ушёл, код устарел, а безопасность была под серьёзным вопросом. Пришлось не просто перенести данные, но и устранить уязвимости: перевести на современный стек (PHP 8.1, MySQL 8), настроить защиту админки, закрыть точки входа. Безопасность здесь не отдельная опция, прикрученная в конце, а часть того, как продукт спроектирован.
Подробнее о защите админки OpenCart я разбирал в отдельной статье о защите админки от взлома — там про смену пути, IP-фильтры, двухфакторную аутентификацию и другие практические меры.
Если вам нужна техническая проверка вашего магазина — мы проверяем техническую реализацию, скорость загрузки и юзабилити, даём конкретный план действий. Полноценный аудит ИБ проводят профильные лицензированные организации, но техническая проверка — уже первый шаг к пониманию, где проблема.
Типичные ошибки заказчика
Аудит чаще обесценивается не из-за слабого подрядчика, а из-за того, как к нему относится сам заказчик. Вот что я вижу чаще всего.
| Ошибка | Почему это проблема | Что делать |
|---|---|---|
| Аудит ради бумажки | Заключение получают, кладут в стол и ничего не чинят | Фиксируйте план устранения и назначьте ответственного |
| Размытый объём | «Проверьте безопасность» без границ заканчивается проверкой не того | Объём фиксируют до старта |
| Пентест вместо аудита | Найдут технические дыры, а дырявые процессы останутся | Пентест — часть аудита, а не его замена |
| Одноразовость | Данные, системы и угрозы меняются, прошлогоднее заключение быстро устаревает | Аудит — регулярная гигиена, а не разовая проверка |
Главное
- Аудит ИБ — независимая оценка защищённости данных, систем и процессов; на выходе — приоритизированный список проблем, а не «всё плохо».
- Аудит шире пентеста: пентест проверяет технику, аудит — ещё процессы, документы и людей.
- Виды различаются по цели и глубине: внутренний, внешний, на соответствие, технический; их обычно комбинируют.
- В России нет единого закона об аудите ИБ — требования зависят от ваших данных и систем (152-ФЗ, КИИ по 187-ФЗ, ГИС, финсектор, платёжные карты); с 2025 года за утечки ПДн действуют оборотные штрафы.
- Подготовка экономит деньги: перечень активов, рабочие политики, разграничение доступа и ответственный за ИБ снимают половину вопросов ещё до прихода аудитора.
Аудит информационной безопасности — это не разовая проверка для регулятора, а способ увидеть свои слабые места раньше, чем их увидит кто-то другой. Сегодня цена утечки — это уже не репутация, а живые деньги: оборотные штрафы и ушедшие клиенты. Поэтому дешевле найти и закрыть дыру самому, чем потом объяснять клиентам и регулятору, как она привела к инциденту.
Часто задаваемые вопросы
Чем аудит ИБ отличается от пентеста?
Пентест — это попытка взлома: специалисты проверяют, можно ли пробить защиту технически. Аудит шире: он смотрит на технику, процессы, документы и людей. Пентест — часть аудита, а не его замена. Аудит отвечает на вопрос «насколько мы защищены в целом», пентест — на вопрос «можно ли нас взломать вот этим конкретным способом».
Кому обязателен аудит ИБ в России?
Зависит от типа данных и систем. Обработчики персональных данных подпадают под 152-ФЗ и приказ ФСТЭК №21. Объекты критической инфраструктуры — под 187-ФЗ. Финансовые организации — под ГОСТ Р 57580.1 и требования ЦБ. Данные платёжных карт — под PCI DSS. С 2025 года за утечки ПДн введены оборотные штрафы.
Как часто нужно проводить аудит ИБ?
Раз в год — минимум для большинства компаний. Для организаций, обрабатывающих особо ценные данные или работающих в сферах с высокими требованиями регуляторов — чаще. ИБ — это не разовое мероприятие, а регулярная гигиена: данные, системы и угрозы меняются, и прошлогоднее заключение быстро устаревает.
Сколько стоит аудит ИБ?
Стоимость зависит от объёма: количество систем, подразделений, типов данных. Базовый аудит небольшой компании начинается от 200 000–500 000 ₽. Для крупных организаций с несколькими ИС и филиалами — от 1 000 000 ₽. Техническая проверка отдельного продукта (сайта, приложения) — дешевле, от 100 000 ₽.
Можно ли провести аудит ИБ самостоятельно?
Внутренний аудит — да, это регулярный самоконтроль. Но внешний независимый аудит проводят сторонние организации: объективность оценки — главная ценность. Для интернет-магазина на OpenCart начните с базовых мер защиты админки и технической проверки сайта — это уже даст понимание, где уязвимости.
Комментарии (0)
Пока нет комментариев. Будьте первым!
Оставить комментарий