Аудит по информационной безопасности (ИБ) — это не “проверка бумажек”. Это проверка реальности: какие меры защиты действительно работают, где есть разрывы, чем это подтверждается (тикеты, логи, выгрузки, отчёты), и что нужно сделать, чтобы снизить риск простоя, утечки, штрафов и срыва обязательств.
Зачем нужен аудит и какие цели
1. Снизить риски: простои, утечки, штрафы, претензии клиентов, срыв контрактов.
2. Проверить работоспособность мер: не “написано ли”, а “выполняется ли” и “где следы”.
3. Поставить приоритеты: что чинить первым, что можно отложить, где нужен бюджет.
4. Собрать доказательную базу — “папку доказательств” для проверок, клиентов и повторных аудитов.
5. Наладить управление ИБ: владельцы процессов, сроки, контроль исполнения, метрики.
1) Создание группы аудита по ролям
● Инициатор/спонсор аудита (руководитель компании/направления) — даёт полномочия, снимает блокировки (“не дают доступ/людей”), принимает решения по ресурсам.
● Руководитель аудита (Audit Lead) — управляет планом, коммуникациями, запросами, журналом находок, отчётом и защитой.
● Аудитор по процессам ИБ — проверяет доступы, уязвимости, инциденты, подрядчиков, обучение; собирает “следы выполнения”.
● Технический аудитор — подтверждает факты в системах (права, логи, бэкапы, мониторинг, конфигурации), делает выборки.
● Координатор со стороны проверяемых — организует интервью, доступы и сбор материалов.
Экспертиза: без технической проверки аудит легко становится “бумажным”: по регламентам всё красиво, а по факту — нет.
2) План аудита: цель, объект, отчёт
План аудита — это договорённость, чтобы потом не спорить: “мы думали вы другое проверяете”.
Что обязательно должно быть в плане (коротко и конкретно)
1. Цель аудита (одной фразой).
2. Объект/периметр: какие системы/контуры/процессы, какие площадки/облако.
3. Исключения: что не входит (например, пентест, код-ревью, филиал X).
4. Критерии: по каким требованиям оцениваем (внутренние политики, договоры, выбранные практики).
5. Методика и глубина: интервью + документы + выборки + демонстрации; период выборки (например, 90 дней).
6. Этапы и сроки: kick-off → сбор → полевые работы → промежуточное согласование → отчёт → защита.
7. Выходные материалы: Executive Summary, полный отчёт, реестр находок, план мероприятий.
Экспертиза: заранее пропишите, что считается доказательством (тикет, лог, выгрузка, акт, отчёт).
3) Сбор информации: чек-листы, опросники, устный сбор, выборки
Каналы сбора данных
● Документы и записи: регламенты, политики, матрицы доступа, отчёты, акты, протоколы, тикеты.
● Интервью (устный сбор): только с протоколом + обязательным запросом подтверждений.
● Демонстрации: “покажите на экране, как делаете X”.
● Технические выборки: права, группы, логи, статусы бэкапов, отчёты сканеров, настройки.
Чек-лист как универсальный инструмент
● Доступы: выдача/изменение/отзыв, ревизия прав, админ-доступы, сервисные учётки.
● Уязвимости/обновления: как находите, сроки устранения, подтверждение закрытия, исключения.
● Логи/мониторинг/инциденты: что собираете, как реагируете, таймлайны, разборы.
● Бэкапы: делаются ли, контролируются ли, тестировалось ли восстановление.
● Подрядчики/внешние доступы: список доступов, владельцы, отключение, контроль действий.
● Обучение: подтверждения инструктажа/обучения.
Экспертиза: интервью без артефактов — это “рассказ”. Аудит — это “доказательства”.
4) Промежуточные этапы: обсуждение проблем до финального отчёта
Чтобы финальный отчёт не стал сюрпризом:
● 1–2 раза в неделю коротко обсуждаем ключевые находки;
● уточняем факты, если что-то спорное;
● фиксируем, что нужно донести и в какой срок.
Экспертиза: критические риски сообщайте сразу, не ждите финального отчёта.
5) Отчёт аудита: структура, нарушения, план действий
Отчёт должен быть понятен двум аудиториям:
● руководству — риски и решения;
● исполнителям — что делать и как проверить, что сделано.
Рабочая структура отчёта
1. Executive Summary (1–2 страницы): ТОП-5/ТОП-10 проблем, чем грозит, что делать в первую очередь.
2. Периметр и методика: что проверяли, как, какой период выборки.
3. Результаты по темам: доступы, уязвимости, логи/инциденты, бэкапы, подрядчики, обучение.
4. Реестр находок (таблица/приложение).
5. План мероприятий: действие → владелец → срок → приоритет → ресурс/зависимости.
6. Приложения: список артефактов, список интервью, методика выборок.
Экспертиза: формат “минимум / нормально / правильно” по ресурсам помогает руководству быстрее принять решение.
6) Защита отчёта перед руководством
Как защищать
Презентация на 10–12 слайдов:
● периметр и метод (1);
● общая картина рисков (1);
● ТОП-5 находок (5);
● план действий (2–3);
● что нужно от руководства (1): решения/ресурсы/владельцы/сроки.
Экспертиза: говорите языком последствий — простой, утечка, штрафы, срыв контрактов.
7) Внутренний и внешний аудит: в чём разница
Внутренний аудит
● дешевле, быстрее, можно делать чаще и глубже;
● сложнее с независимостью.
Внешний аудит
● независимость и “вес” для руководства/клиентов;
● дороже и без вовлечения/доступов может быть поверхностным.
Практика: внутренний — регулярно, внешний — раз в год / перед проверками / крупными контрактами.
Перечень документов на каждом этапе
Этап 1. Запуск аудита — документы
● Приказ/распоряжение/письмо о проведении аудита.
● Состав рабочей группы (ФИО/роли/контакты).
● RACI на время аудита.
● Правила доступа и конфиденциальности (если нужно).
● Календарь/план встреч.
Этап 2. Планирование — документы
● План аудита.
● Программа/матрица проверок (контроли → как проверяем → чем подтверждаем).
● Чек-листы по темам.
● Опросники/гайд интервью по ролям.
● Реестр запросов (что нужно запросить, у кого, срок).
● Правила выборки (период и количество примеров).
Этап 3. Предварительный сбор — документы/материалы
● Перечень систем в периметре + владельцы/ответственные.
● Упрощённая схема инфраструктуры/контуров (если есть).
● Комплект ключевых политик/регламентов ИБ.
● Реестры (если ведутся): активов, рисков, исключений/принятых рисков.
● Evidence Register (реестр полученных доказательств — ведёт аудитор).
Этап 4. Полевые работы — документы/артефакты
● Протоколы интервью.
● Протоколы демонстраций.
● Выгрузки/выборки (права, отчёты сканера, статусы бэкапов, логи — по периметру).
● Примеры “следов выполнения” процессов (тикеты/акты/отчёты).
● Рабочие заметки аудитора.
Этап 5. Промежуточное согласование — документы
● Протоколы промежуточных встреч/статусов.
● Журнал находок (Issue Log) с доказательствами и статусами.
● Список спорных/неподтверждённых пунктов.
● Черновой ТОП проблем (для калибровки).
Этап 6. Подготовка отчёта — документы
● Отчёт аудита (полная версия).
● Executive Summary (1–2 страницы).
● План мероприятий (CAPA).
● Приложения: список артефактов, список интервью, методика выборок.
Этап 7. Защита — документы
● Презентация защиты.
● Матрица “риск → влияние → ресурс/стоимость” (укрупнённо).
● Протокол решений руководства (владельцы, сроки, ресурсы).
Этап 8. Закрытие и контроль — документы
● Статус-отчёты по CAPA.
● Подтверждения закрытия находок (регламенты, акты, выгрузки, логи).
● Заключение о закрытии аудита.
©Автор-эксперт: Владислав Халяпин