Статью я писал изначально для журнала Рубеж и можно будет увидеть её там в "колонках экспертов".
Как обычно для начала давайте обратимся к терминам, о которых не спорят. Что нам пишет Википедия?
Аудит — многозначный термин (на этом можно в принципе было и закончить). В общем смысле — отрасль экономической деятельности и учебная дисциплина, изучаемая в вузах. В узком смысле слова в соответствии с законодательством России под аудитом понимается исключительно деятельность по проведению проверки финансовой (бухгалтерской) отчётности и данных учёта, и выражение по результатам такой проверки обоснованного независимого мнения аудитора о достоверности такой отчётности в форме письменного аудиторского заключения.
В широком смысле слова и в соответствии с обычаями делового оборота, а также деловой лексики, аудит и как аудиторская проверка — процедура независимой проверки и оценки отчётности, данных учёта и деятельности организации, а также системы, процесса, проекта или продукта.
Зачем нужен аудит?
То, чем я занимаюсь больше подходит под определение "технический аудит". Процесс проверки документации, состояния, работоспособности и актуальности применяемых систем безопасности.
Многие компании (и даже те, которые подпадают под различные требования регулятора) считают, что наличие оборудования и базовых инструкций уже гарантирует безопасность объекта. Однако на практике такие системы нередко оказываются "мертвыми": они не работают в нужные моменты, не покрывают важные зоны или просто игнорируются персоналом.
Аудит позволяет ответить на ключевой вопрос: насколько система безопасности соответствует реальным угрозам и бизнес-задачам?
Для заказчика это способ:
- снизить риски простоев производства;
- защититься от внутренних и внешних угроз;
- получить независимую оценку эффективности существующих решений;
- выявить слабые места и заранее устранить уязвимости.
Особенно остро это чувствуется на промышленных объектах, где сбой безопасности может привести к травмам, экологическим авариям или остановке производства. Но и коммерческие объекты не остаются в стороне, хоть и больше всего грешат "MVP-отношением" (минимальные затраты) к системам, которые не прописаны в законе.
Моя задача как аудитора показать пробелы в системе безопасности начиная с построения её концепции. Я настаиваю на том, чтобы во время проведения моего аудита или после него такой документ появился вне зависимости от категории объекта. Потому как именно этот документ фокусирует, а значит с какой-то стороны упрощает, работу заказчика по решению задач безопасности, не разбрасываясь на маркетинговые завывания и рекламные бомбардировки от различных вендоров.
Почему требований закона недостаточно
Даже на предприятиях, где чётко и досконально соблюдаются 116-ФЗ о промышленной безопасности опасных производственных объектов, 16-ФЗ о транспортной безопасности, со всеми его дополнениями, или нормативы вроде ПП РФ № 272 от 25.03.2015 об утверждении требований к антитеррористической защищенности мест массового пребывания людей и объектов, реальный уровень защищенности может быть далек даже от удовлетворительного.
Причина, на мой взгляд, проста: законодательство устанавливает минимум или просто рекомендует, но никак не регламентирует факт пригодности системы к реальным угрозам. Эта задача должна решаться на местах, подготовленным, обученным, проактивным и профессиональным персоналом, хорошо замотивированным на качественное выполнение своих обязанностей и постоянное улучшение показателей эффективности.
*понимаете, да, что это практически невыполнимая задача?
Пример из жизни: согласно "нормам", на проходной завода требуется камера + турникет + охранник. Документ подписан. Оборудование установлено. Охрана есть. Но камера не пишет ночью — подсветка перегорела 3 месяца назад. Турникет отключается на «перекур» и никто не фиксирует время. Охранник просто машет рукой знакомым без проверки пропуска. И всё это — не нарушение закона. Потому что по документам всё есть. Но на деле — это профанация безопасности.
Закон, чаще всего, рассматривается как "карательный" документ, который указывает на виновных, чаще не в причине, а в формальном неисполнении этого самого закона. Но я говорю о безопасности, реальной, живой, настоящей!
Закон не знает специфику вашего объекта, даже если и говорит о его категории. Ни один ГОСТ или ФЗ не описывает: где у вас хранятся самые ценные компоненты, кто имеет к ним доступ, какие обходные тропы на складе, и кто из смены работает "по старой памяти". Без анализа внутренних процессов и модели угроз — вы защищаете не то и не от того. Закон не учитывает мораль, привычки и негласные договорённости (те самые составляющее культуры). Моральные нормы на местах часто важнее нормативных актов.
Примеры негласных правил:
«Не трогаем временный пропуск — он у начальника цеха»
«Сюда ходит жена главного инженера — не спрашивать паспорт»
«Видеозаписи храним месяц, но в выходные никто не смотрит архивы»Без культуры ответственности даже самая современная система не сработает — её отключат ради удобства. И таких примеров у меня предостаточно!
Без участия людей — техника не работает. Если у охраны нет мотивации, у инженера — понимания, а у руководства — доверия, даже самая навороченная система будет просто дорогим фоном. Пример с одного табачного производства: после аудита выяснилось, что часть камер регулярно «отваливается» из-за сетевых проблем. Но техподдержка не отслеживала это, потому что не было обязанности, а охрана не жаловалась, потому что "всё равно по монитору никто не смотрит". Закон требует «наличие камеры». Он не требует, чтобы кто-то на неё смотрел, регулярно и дисциплинированно.
Философский уровень: безопасность — это зрелость, а не формальность. В любой организации есть три уровня соблюдения правил:
«Чтобы от нас отстали» - минимум, чтобы пройти проверку.
«Потому что так надо» - понимание риска, работающая система контроля.
«Потому что это правильно» - безопасность встроена в культуру. Люди сами не хотят "обходить" — потому что уважают свою работу, друг друга и последствия. Только на третьем уровне формальные требования становятся базой, а не потолком. И именно аудит помогает понять, на каком уровне находитесь вы.
Закон — это скелет. Но без мышц (процедур), крови (мотивации) и сознания (культуры) он не оживёт. Система безопасности (моё определение) — это интегрированный в процессы программно-аппаратный комплекс управляемый оператором и взаимодействующий со всеми узлами и участниками процессов.
Формальное соответствие — не равно защищённость. Реальную безопасность определяет не ГОСТ, а честный ответ на вопрос: «А у нас действительно безопасно, или мы просто так думаем?» Таким образом, аудит становится надзаконным инструментом зрелости системы, позволяющим выйти за рамки формального "соответствия" и реально защищать объект, а также расширять возможности системы.
Из чего состоит аудит: этапы и задачи
Я всегда начинаю с опросника. Это список вопросов, который постоянно дополняется, чтобы выявить текущую ситуацию до проведения интервью или выезда на объект. Это помогает мне понять с чем придётся иметь дело, а заказчику говорит о том, с кем ему придётся работать. Вопросов много, они разделены на блоки, ответить желательно на все. Вот примеры:
- Структура организации по отношению к СБ (отделы, функционал, пользователи информации)
- Существуют ли на объекте уже установленные системы безопасности? Если да, какие?
- Наличие источников резервного питания (например, генераторы, ИБП)?
- Необходимы ли камеры с функцией ночного видения?
- Имеется ли привязка к MAC-адресу у портов свитча?
- Ограничивается ли время работы на компьютере графиком рабочего дня?
- Ограничен ли сетевой доступ к контроллерам и серверам СКУД?
- Установлены ли устройства сигнализации при попытке вскрытия считывателей или контроллеров?
И так далее. После обработки ответов можно приступать к аудиту.
1. Предварительное интервью и анализ документации.
На первом этапе аудита не важно «посмотреть оборудование» и сверить схемы — это будет потом. Сначала — контекст. Задача интервью с представителями заказчика — понять, чем живёт объект: как он работает, что для него критично, как он устроен и, главное, чего он боится. Это своего рода психотерапия для предприятия:
- что здесь важнее всего, какие активы мы защищаем (люди, сырьё, ноу-хау, непрерывность процесса)?
- какие инциденты уже были?
- как выглядит «ночной кошмар» руководства?
- кто принимает решения в ЧС?
- как давно обновлялись внутренние процедуры?
Одновременно собираются и анализируются документы:
- паспорта и схемы, видеонаблюдения, ОПС, ТСО, СКУД и др.;
- должностные инструкции и журналы инцидентов;
- внутренние регламенты доступа, реакции на тревоги, хранения архива;
- инструкции по эксплуатации систем (а если их нет — уже проблема);
- акты ввода в эксплуатацию, планы развития, схемы связи.
Чего-то не хватает? Отсутствует? Вот вам уже пункт в отчёте аудита.
Концепция безопасности — основа зрелой системы. Один из главных выводов этого этапа: есть ли у объекта документированная Концепция безопасности? Если её нет — значит, система строилась по принципу «поставьте камеры, как у соседа» или «чтобы Росгвардия не ругалась». Хорошо, если при этом выслушивались советы профессионалов. Концепция безопасности — это стратегический документ, который даёт ответы на три ключевых вопроса:
- Что мы защищаем? Конкретно: материальные активы, информацию, людей, непрерывность производства, репутацию. Списком.
- От кого мы это защищаем? Перечень угроз: внешний нарушитель, внутренний сотрудник, технический сбой, катастрофа, ошибка персонала.
- Как мы это делаем? Перечень принципов, архитектуры, процедур, политик, уровней допуска, режимов.
Пример:
На заводе может быть высокоавтоматизированный участок стоимостью в десятки миллионов долларов. Формально он охраняется — стоит турникет. Но если спросить: «Какая конкретно угроза для этого участка считается приоритетной?» — никто не ответит. А значит, и оценить, насколько существующая система адекватна, невозможно.
Что должна включать Концепция безопасности? Хорошо проработанный документ включает в себя:
- цели безопасности (не «установить 10 камер», а не допустить...);
- классификацию зон по степени важности и уровню угроз;
- описание актуальных угроз и нарушителей;
- принципы построения систем (многоуровневость, резервирование, минимизация человеческого фактора);
- политику допуска: кто, куда, зачем и когда;
- роли и ответственность: кто отвечает за реакцию, отчётность, контроль;
- перечень применяемых технологий и логика их взаимодействия.
Почему отсутствие концепции — уже риск? Когда нет единого документа каждый подрядчик проектирует под себя, как привык или умеет, охрана работает «по понятиям», камеры стоят там, где проще тянуть кабель, ИТ-шники отключают оборудование, чтобы разгрузить сеть и вообще не пускают в свою сеть "посторонних", руководство думает, что "всё работает", но точно не знает — как и где посмотреть.
Итог — система, где все по отдельности стараются, но в целом не защищает никто.
Концепция безопасности — это не формальность. Это стратегическая карта, по которой строится всё остальное. Без неё — безопасность становится набором оборудования без логики. Если аудит покажет вам точку в которой безопасность вашего объекта находится сейчас, то концепция расскажет, каким путём двигаться по направлению к "тотальному спокойствию". Поэтому ещё до того, как я подхожу пульту видеонаблюдения или серверной, я задаю вопросы. А ответы на эти вопросы — это и есть основа профессионального аудита. А иногда — первый шаг заказчика к настоящей зрелости.
2. Обследование объекта
Тут более-менее всё просто и понятно, потому что начинается осязаемая, кропотливая, скучная работа. Выезд на территорию, осмотр инженерных и технических решений:
- соответствие проекту;
- актуальность планов эвакуации, размещения оборудования;
- физическое состояние камер, турникетов, шлейфов и линий связи;
- условия эксплуатации: освещённость, сезонность, загрязнённость.
Мой опыт позволяет мне смотреть не только на видимые нарушения или интересные решения задач, но и заглядывать немного вперёд во времени и предугадывать возможные сбои, проблемы или наоборот, положительные моменты. Банальная насмотренность и специализация позволяет аудитору увидеть то, что находясь внутри объекта определить будет сложно.
Анализ системы управления и интеграции
Проверяется:
- связность между подсистемами (СКУД + видео + ОПС);
- правильность реагирования тревожных событий;
- архивация, хранение и резервирование данных;
- автоматизация и аналитика.
Моделирование инцидентов и уязвимостей
Примеры сценариев:
- попытка несанкционированного доступа под чужим пропуском;
- отключение питания;
- ограбление в слепой зоне;
- вандализм в ночное время.
3. Составление отчёта и разработка рекомендаций
Что я готовлю, в зависимости от запроса и договора с клиентом?
- карту уязвимостей;
- конкретные предложения по модернизации, донастройке, организационным мерам;
- сравнительный анализ стоимости модернизации vs рисков;
- презентацию для руководства или инвесторов.
Я предлагаю конкретные решения от конкретных производителей только в том случае если есть такой запрос. Часто меня спрашивают о моей аффилированности с какими то брендами, но такой вопрос задают чаще не заказчики, а скорее представители вендоров, видимо, с целью попасть в этот самый список. Но я не менеджер по продажам на аутсорсе. И чаще меня просят сравнение по брендам, а не преимущества какого-то конкретного. И тут я обычно показываю "коротенький" список всех существующих производителей, например СКУДа, скажем в Европе и России и объясняю, что такое разнообразие не просто так существует и выбирать нужно и можно по понятным критериям, чтобы решить свою задачу, а не угодить аудитору.
Какие открытия делает заказчик?
Практически каждый аудит даёт неожиданные результаты для заказчика. Вот лишь типичный список:
- после ответов на вопросы из первичного опросника многие отказываются на время от аудита (может потому что стыдно показать состояние систем, может потому что и сами всё поняли);
- камеры "забыли" подключить к серверу — они работают, но не пишут;
- уволенный сотрудник сохранил доступ по старому шаблону СКУД;
- тревоги не доходят до охраны из-за сбоя в передаче событий;
- никто не следит за сроками хранения видеозаписей;
- сотрудники сами "обходят" систему ради удобства: заклинивают двери, отключают датчики;
- используются несертифицированные устройства, не соответствующие требованиям ФСТЭК/ФСБ/КНБ или других организаций в вашей стране.
Один из главных эффектов аудита — осознание, что безопасность — это не только техника, но и люди, процедуры, процессы.
Связь с нормативной базой
Конечно же она должна быть и для разных объектов, отраслей, стран она будет отличаться и иметь свою специфику. Вот некоторые документы, которые можно учитывать при проведении аудита:
- ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
- ГОСТ 34.201-89 Комплекс стандартов на автоматизированные системы
- СП132.13330.2011 Обеспечение антитеррористической защищенности зданий и сооружений. Общие требования проектирования
- Федеральный закон № 190-ФЗ от 29 декабря 2004г Градостроительный кодекс Российской Федерации от 29 декабря 2004 г.
- Постановление Правительства Республики Казахстан от 7 октября 2011 года № 1151 "Некоторые вопросы объектов, подлежащих государственной охране"
Помимо государственных документов существует ещё ряд внутренних документов в организациях, с которым тоже необходимо ознакомиться перед проведением аудита.
Аудит может выявить несоответствие этим документам — и помочь обосновать инвестиции в безопасность.
Аудит — это зрелость
Безопасность — это не стены, двери и камеры. Это процессы, культура и контроль. Это способ выйти за рамки иллюзии защищенности и получить честный, независимый взгляд на систему. Для промышленных предприятий это особенно важно: каждая точка уязвимости может стоить слишком дорого.
Если вы не проводили аудит последние 2–3 года, самое время пересмотреть свою систему. Возможно, она работает — но не на вас.