Услуги Создание магазина Доработка Интеграция 1С О компании FAQ Блог Кейсы Отзывы Контакты
А
Автор статьи

Аудит информационной безопасности: что он включает на самом деле

Аудит информационной безопасности — это независимая оценка того, насколько защищены данные, системы и процессы компании. Он отвечает на несколько простых вопросов: где у нас слабые места, какие угрозы реальны, выполняем ли мы требования регуляторов и что чинить в первую очередь. На выходе — приоритизированный список проблем с рекомендациями, а не абстрактное «всё плохо».

Когда я работаю с владельцами интернет-магазинов на OpenCart, которые обрабатывают персональные данные клиентов и принимают онлайн-оплату, вопрос безопасности встаёт рано или поздно. Кто-то узнаёт о проблеме от Роскомнадзора, кто-то — от клиента, который заметил списание, а кто-то — из новости про утёкшую базу. Аудит ИБ — это попытка поменять порядок и найти слабые места первыми, пока их не нашли за вас.

В этом материале я разбираю, что входит в аудит информационной безопасности, какие виды бывают, как проходит процесс и какие требования российского законодательства обязательны для вашего типа данных. Не как теоретик, а как человек, который видит, как устроены реальные системы изнутри — и знает, где обычно лежат проблемы.

Что такое аудит ИБ и чем он отличается от пентеста

Здесь важно не путать аудит с пентестом, потому что их постоянно смешивают. Пентест — это попытка взлома: специалисты действуют как злоумышленники и проверяют, можно ли пробить защиту технически. Аудит шире: он смотрит и на технику, и на процессы, документы и живых людей. Можно идеально настроить сервер, но если сотрудник отправляет пароль в ответ на фишинговое письмо, технические меры не спасут.

По данным Wikipedia, информационный аудит безопасности охватывает технические, физические и административные контроли — от безопасности дата-центра до логической безопасности баз данных. Пентест — это часть аудита, а не его замена. Аудит отвечает на вопрос «насколько мы защищены в целом», пентест — на вопрос «можно ли нас взломать вот этим конкретным способом».

Виды аудита: какой бывает и когда нужен

Под словом «аудит» прячется несколько разных по цели и глубине работ. Путаница начинается, когда заказчик просит «аудит», имея в виду одно, а получает другое.

Вид аудитаЦельКто проводитЧто на выходе
ВнутреннийРегулярный самоконтрольСвоя служба ИБОтчёт для руководства
Внешний (независимый)Объективная оценка со стороныСторонняя организацияНезависимое заключение
На соответствие (комплаенс)Проверка требований закона/стандартаЛицензированный аудиторЗаключение о соответствии
Технический / пентестПоиск технических уязвимостейПрофильные специалистыСписок уязвимостей

Чаще всего эти форматы комбинируют: внешний аудит на соответствие закону включает в себя и технические проверки, и анализ процессов. Главное — заранее договориться об объёме, иначе легко заплатить за поверхностный осмотр, ожидая глубокого разбора.

Как проходит аудит и что входит в его объём

Хотя детали отличаются от компании к компании, скелет процесса почти всегда один и тот же. Понимать его полезно даже заказчику: так проще контролировать подрядчика и видеть, на каком этапе вы находитесь.

1. Подготовка и согласование объёма

Определяют, что именно проверяют, по каким критериям и каким стандартам. На этом шаге фиксируют границы: какие системы, данные и подразделения попадают в аудит.

2. Инвентаризация активов

Аудитор составляет карту того, что вообще нужно защищать: серверы, базы данных, приложения, сетевое оборудование, потоки персональных данных. Защитить нельзя то, о существовании чего вы не знаете, а «забытые» системы — самая частая точка входа.

3. Анализ защищённости

Здесь смотрят и технику (настройки, уязвимости, права доступа, обновления), и процессы с документами (политики, регламенты, как реально работают сотрудники). Часто сюда входит и техническое тестирование.

4. Оценка рисков

Найденные проблемы взвешивают: какова вероятность, что уязвимостью воспользуются, и сколько это будет стоить бизнесу. Без этого шага отчёт превращается в свалку из сотни замечаний без приоритетов.

5. Отчёт с рекомендациями

Итоговый документ — главная ценность аудита. В нормальном заключении есть резюме для руководства человеческим языком, перечень проблем с уровнем критичности, привязка к требованиям закона и дорожная карта: что делать в первую очередь, что потом. Если вместо этого приносят выгрузку из сканера уязвимостей на двести строк без приоритетов — работу сделали наполовину.

6. Контроль устранения

Хороший аудит не заканчивается отчётом: через какое-то время проверяют, что нашли, починили, а не положили заключение в стол.

Требования закона: какой аудит кому обязателен в 2025–2026

В России нет одного закона «об аудите ИБ» — есть набор требований, и они зависят от того, с какими данными и системами вы работаете. Ниже — карта основных норм.

Тип данных/системЗакон/стандартЧто проверяетсяРегулятор
Персональные данные152-ФЗ, приказ ФСТЭК №21Меры защиты ПДн в ИСРоскомнадзор, ФСТЭК, ФСБ
Государственная ИСПриказ ФСТЭК №17Защита информации в ГИСФСТЭК
Объект критинфраструктуры187-ФЗ, приказ ФСТЭК №239Категорирование, защита, ГосСОПКАФСТЭК, ФСБ (НКЦКИ)
АСУ ТППриказ ФСТЭК №31Безопасность промышленных системФСТЭК
Финансовые операцииГОСТ Р 57580.1, требования ЦБЗащита информации финорганизацийБанк России
Данные платёжных картPCI DSSЗащита данных держателей картПлатёжные системы

Поверх отраслевых требований работает общая система управления ИБ — ей соответствует ГОСТ Р ИСО/МЭК 27001, российский аналог международного ISO 27001. И есть один сдвиг, который в 2025–2026 годах изменил отношение бизнеса к теме сильнее любых стандартов: за утечки персональных данных ввели оборотные штрафы, привязанные к выручке, а об инцидентах теперь обязательно уведомлять Роскомнадзор в сжатый срок.

Раньше утечка била по репутации, теперь — напрямую по деньгам, и это сделало аудит ПДн не пожеланием, а способом снизить вполне конкретный финансовый риск. Стоит держать в голове и курс на импортозамещение средств защиты: продукты из реестров ФСТЭК и Минцифры всё чаще становятся требованием, а не выбором.

Подробнее о том, как изменения в российском e-commerce влияют на владельцев магазинов, я разбирал в отдельной статье о изменениях в e-commerce для OpenCart — там про 289-ФЗ, маркировку и СБП.

Как подготовиться к аудиту: чек-лист

Аудит проходит быстрее и дешевле, когда компания приходит к нему не с чистого листа. Этот короткий чек-лист помогает понять, к чему вы готовы, а где провалитесь на первом же вопросе аудитора.

ПунктЧто проверитьСтатус
Перечень активовСписок систем, баз, приложений и того, где хранятся персональные данныеЕсть / Нет
Политики ИБРабочие: как выдаются доступы, что делать при инциденте, как увольняют с отзывом правЕсть / Нет
Понимание данныхКакие данные обрабатываете: персональные, платёжные, коммерческая тайнаЕсть / Нет
Разграничение доступаУ каждого сотрудника — только те права, которые нужны для работыЕсть / Нет
ЖурналированиеЛоги, по которым можно понять, что произошлоЕсть / Нет
Резервные копииБэкапы, из которых реально восстановитьсяЕсть / Нет
Ответственный за ИБЧеловек, с которым аудитор будет говорить и который отвечает за устранениеЕсть / Нет

Если на половину пунктов ответ «нет» — это не повод откладывать аудит, а как раз повод его провести: чем раньше вы увидите эти пробелы, тем дешевле их закрыть.

Что проверяют в интернет-магазине: практическая сторона

Когда у компании есть интернет-магазин — на OpenCart или другой платформе — отдельная и важная часть аудита касается безопасности самого продукта и данных в нём. Это та область, где разработчик и владелец магазина пересекаются с аудитором.

На одном из проектов — миграция с самописной CMS на OpenCart — мы столкнулись с тем, что разработчик ушёл, код устарел, а безопасность была под серьёзным вопросом. Пришлось не просто перенести данные, но и устранить уязвимости: перевести на современный стек (PHP 8.1, MySQL 8), настроить защиту админки, закрыть точки входа. Безопасность здесь не отдельная опция, прикрученная в конце, а часть того, как продукт спроектирован.

Подробнее о защите админки OpenCart я разбирал в отдельной статье о защите админки от взлома — там про смену пути, IP-фильтры, двухфакторную аутентификацию и другие практические меры.

Если вам нужна техническая проверка вашего магазина — мы проверяем техническую реализацию, скорость загрузки и юзабилити, даём конкретный план действий. Полноценный аудит ИБ проводят профильные лицензированные организации, но техническая проверка — уже первый шаг к пониманию, где проблема.

Типичные ошибки заказчика

Аудит чаще обесценивается не из-за слабого подрядчика, а из-за того, как к нему относится сам заказчик. Вот что я вижу чаще всего.

ОшибкаПочему это проблемаЧто делать
Аудит ради бумажкиЗаключение получают, кладут в стол и ничего не чинятФиксируйте план устранения и назначьте ответственного
Размытый объём«Проверьте безопасность» без границ заканчивается проверкой не тогоОбъём фиксируют до старта
Пентест вместо аудитаНайдут технические дыры, а дырявые процессы останутсяПентест — часть аудита, а не его замена
ОдноразовостьДанные, системы и угрозы меняются, прошлогоднее заключение быстро устареваетАудит — регулярная гигиена, а не разовая проверка

Главное

  • Аудит ИБ — независимая оценка защищённости данных, систем и процессов; на выходе — приоритизированный список проблем, а не «всё плохо».
  • Аудит шире пентеста: пентест проверяет технику, аудит — ещё процессы, документы и людей.
  • Виды различаются по цели и глубине: внутренний, внешний, на соответствие, технический; их обычно комбинируют.
  • В России нет единого закона об аудите ИБ — требования зависят от ваших данных и систем (152-ФЗ, КИИ по 187-ФЗ, ГИС, финсектор, платёжные карты); с 2025 года за утечки ПДн действуют оборотные штрафы.
  • Подготовка экономит деньги: перечень активов, рабочие политики, разграничение доступа и ответственный за ИБ снимают половину вопросов ещё до прихода аудитора.

Аудит информационной безопасности — это не разовая проверка для регулятора, а способ увидеть свои слабые места раньше, чем их увидит кто-то другой. Сегодня цена утечки — это уже не репутация, а живые деньги: оборотные штрафы и ушедшие клиенты. Поэтому дешевле найти и закрыть дыру самому, чем потом объяснять клиентам и регулятору, как она привела к инциденту.

Часто задаваемые вопросы

Чем аудит ИБ отличается от пентеста?

Пентест — это попытка взлома: специалисты проверяют, можно ли пробить защиту технически. Аудит шире: он смотрит на технику, процессы, документы и людей. Пентест — часть аудита, а не его замена. Аудит отвечает на вопрос «насколько мы защищены в целом», пентест — на вопрос «можно ли нас взломать вот этим конкретным способом».

Кому обязателен аудит ИБ в России?

Зависит от типа данных и систем. Обработчики персональных данных подпадают под 152-ФЗ и приказ ФСТЭК №21. Объекты критической инфраструктуры — под 187-ФЗ. Финансовые организации — под ГОСТ Р 57580.1 и требования ЦБ. Данные платёжных карт — под PCI DSS. С 2025 года за утечки ПДн введены оборотные штрафы.

Как часто нужно проводить аудит ИБ?

Раз в год — минимум для большинства компаний. Для организаций, обрабатывающих особо ценные данные или работающих в сферах с высокими требованиями регуляторов — чаще. ИБ — это не разовое мероприятие, а регулярная гигиена: данные, системы и угрозы меняются, и прошлогоднее заключение быстро устаревает.

Сколько стоит аудит ИБ?

Стоимость зависит от объёма: количество систем, подразделений, типов данных. Базовый аудит небольшой компании начинается от 200 000–500 000 ₽. Для крупных организаций с несколькими ИС и филиалами — от 1 000 000 ₽. Техническая проверка отдельного продукта (сайта, приложения) — дешевле, от 100 000 ₽.

Можно ли провести аудит ИБ самостоятельно?

Внутренний аудит — да, это регулярный самоконтроль. Но внешний независимый аудит проводят сторонние организации: объективность оценки — главная ценность. Для интернет-магазина на OpenCart начните с базовых мер защиты админки и технической проверки сайта — это уже даст понимание, где уязвимости.

← Предыдущая Avito в 2026 году: как бизнесу получать клиентов и не сливать бюджет Следующая → Разработка CRM: когда стоит писать свою, а когда это переплата и «недоделанный Битрикс»

Комментарии (0)

Пока нет комментариев. Будьте первым!

Оставить комментарий

Ваш комментарий появится после проверки модератором.