До вступления в силу Приказа ФСТЭК №117 - 9...8...7... дней. В отделе ИБ три человека, один из которых в отпуске. Руководство только что узнало о новых требованиях и требует «сделать что-нибудь».
Знакомая ситуация. И она решаема — если не пытаться объять необъятное.
Ключевые запросы: аудит готовности к приказу 117, экспресс аудит фстэк, gap анализ по приказу 117, проверка соответствия гис
Время чтения: 5 минут
Что реально можно сделать за 5 дней
Экспресс-аудит готовности — это не полноценная аттестация и не внедрение системы защиты. Это диагностика: понять, где вы находитесь, куда нужно попасть и сколько это будет стоить.
День 1-2: сбор входных данных
Инвентаризация информационных систем. Не только ГИС из реестра — все системы, которые попадают под Приказ №117: внутренняя бухгалтерия, кадровые порталы, системы документооборота. Многие организации не знают точное количество своих систем.
Сбор существующей документации: акты классификации, модели угроз, политики ИБ, регламенты, должностные инструкции. Не оценка качества — просто фиксация наличия.
Схемы сетевой топологии, перечень СЗИ, сертификаты соответствия.
День 3-4: gap-анализ
Проверка каждой системы по 22 мероприятиям пункта 34 Приказа №117. Формат — таблица traffic light: зелёный (соответствует), жёлтый (частично), красный (не соответствует).
Оценка класса защищённости по новой матрице «уровень значимости × масштаб». Выявление систем, у которых класс вырос (например, с К3 на К2 из-за межрегионального доступа).
Проверка наличия процессов: управление уязвимостями, управление инцидентами, расчёт КЗИ. Не качества — наличия.
День 5: сессия с руководством
Презентация результатов: сколько систем, какие классы, где критические разрывы.
Финальный отчёт с roadmap: что делать в первую очередь, что можно отложить, сколько это стоит, какие ресурсы нужны.
Что НЕ надо пытаться делать за 5 дней
Ремонтировать всю инфраструктуру. Экспресс-аудит — это диагностика, не лечение. Попытка одновременно оценивать и исправлять приведёт к хаосу.
Закупать СЗИ без модели угроз. Типичная ошибка паникующих организаций — купить «всё лучшее» без понимания, что реально нужно. Результат: избыточные затраты и несоответствие требованиям.
Писать документы «чтобы было». ОРД, не привязанная к реальным процессам, не пройдёт проверку. Сначала процессы — потом документы.
Пытаться пройти аттестацию. Аттестационные испытания — это недели работы с лицензиатом ФСТЭК. За 5 дней это физически невозможно.
Что вы точно будете знать после экспресс-аудита
Класс защищённости каждой системы по новой матрице. Это определяет требования к СЗИ и стоимость приведения в соответствие.
Критические разрывы — то, что нужно закрыть в первую очередь. Обычно это управление уязвимостями (требование 24 часа на критические) и интеграция с ГосСОПКА.
Прогноз по аттестации: реально ли успеть до проверки, сколько это будет стоить, какие ресурсы нужны.
Приоритизированный план действий на 1-2-3 месяца. Не абстрактные рекомендации — конкретные шаги с оценкой трудозатрат.
Когда экспресс-аудит не поможет
Если у вас нет вообще ничего: ни документов, ни процессов, ни понимания своих систем. В этом случае нужен не аудит, а полноценный проект построения системы защиты — это месяцы работы.
Если руководство не готово выделять ресурсы на устранение выявленных проблем. Аудит без последующих действий — выброшенные деньги.
Если до проверки осталось меньше недели. В этом случае единственная стратегия — документирование компенсирующих мер и подготовка к работе с предписанием.
Экспресс-аудит — это первый шаг. Он не решает проблему, но показывает её масштаб и даёт основу для принятия решений. В ситуации неопределённости это уже много.
