Аудит и анализ ИБ
Что входит в аудит
Обследование ИТ-инфраструктуры
Инвентаризируем все информационные системы, в которых обрабатываются персональные данные клиентов и сотрудников: CRM, ERP, системы бухгалтерского учёта, кадровые программы, корпоративная почта, файловые хранилища, специализированное отраслевое ПО, личные устройства сотрудников, используемые в рабочих целях. По каждой системе фиксируем категории обрабатываемых данных, места хранения, способы передачи между системами, круг лиц с доступом.
Анализ процессов обработки данных
Прослеживаем весь жизненный цикл данных клиента — от первого контакта и сбора согласия на обработку до архивного хранения и удаления. На каждом этапе выявляем точки, где данные могут быть скомпрометированы: бумажные носители на рабочих местах, незащищённая пересылка документов на личную почту, передача файлов через мессенджеры, копирование на флешки, обмен с подрядчиками и контрагентами.
Оценка организационных мер
Проверяем наличие и актуальность обязательных документов: приказа о назначении ответственного за организацию обработки персональных данных, политики обработки, регламентов работы с информацией ограниченного доступа, согласий клиентов и сотрудников, журналов учёта. Анализируем фактическое исполнение установленных правил — часто документы существуют формально, но сотрудники о них не знают или не следуют им в повседневной работе.
Технический анализ защищённости
Проверяем настройки серверов, рабочих станций и сетевого оборудования: версии операционных систем и прикладного ПО, своевременность установки обновлений, парольные политики, наличие и активность антивирусной защиты, состояние резервных копий, конфигурацию межсетевых экранов. По согласованию с руководством можем провести тестирование на проникновение — контролируемую попытку проникнуть в инфраструктуру методами реального злоумышленника.
Анализ доступа сотрудников
Сопоставляем фактические права доступа сотрудников к информационным системам с их реальными должностными обязанностями. Регулярно выявляем избыточные права — например, менеджер с полным доступом к базе всех клиентов компании, бывший сотрудник с активной учётной записью спустя месяцы после увольнения, общий пароль на критичную систему у целого отдела. Это одна из самых распространённых уязвимостей и одна из самых простых для устранения.
Что вы получите по итогам
Отчёт об аудите — структурированный документ с детальным описанием текущего состояния информационной безопасности, перечнем выявленных нарушений и уязвимостей с указанием уровня критичности каждого пункта. Без воды и общих формулировок: конкретно что, где, насколько серьёзно.
Модель угроз и нарушителя — основополагающий документ для построения системы защиты в соответствии с требованиями ФСТЭК. Определяет, от кого и от каких действий мы защищаемся, какой класс защищённости должны иметь информационные системы.
План мероприятий — приоритизированный список рекомендаций с разделением на критичные (требующие немедленного устранения), важные (в течение квартала) и долгосрочные. К каждому пункту — оценка трудоёмкости и примерной стоимости реализации.
Дорожная карта — поэтапный план приведения информационной безопасности в соответствие с законодательством, с разбивкой по срокам и бюджетам. Позволяет планировать работы без необходимости делать всё сразу и единовременно.
Когда проводить аудит
При запуске бизнеса — на этапе проектирования инфраструктуры, чтобы заложить защиту изначально, а не достраивать потом. При расширении — открытии новых филиалов или офисов, внедрении новых информационных систем, увеличении штата, выходе на работу с новой категорией клиентов. После инцидента — даже если последствия казались незначительными, всегда есть риск, что это была первая попытка из серии. На регулярной основе — раз в год для большинства организаций, раз в полгода для крупных компаний и тех, кто работает с большими объёмами клиентских данных. Перед плановой проверкой Роскомнадзора — чтобы выйти на проверку с заранее закрытыми основными вопросами, а не разбираться с замечаниями постфактум.
