Аудит по информационной безопасности: как организовать команду, план, сбор данных и защиту отчёта перед руководством

Аудит по информационной безопасности (ИБ) — это не “проверка бумажек”. Это проверка реальности: какие меры защиты действительно работают, где есть разрывы, чем это подтверждается (тикеты, логи, выгрузки, отчёты), и что нужно сделать, чтобы снизить риск простоя, утечки, штрафов и срыва обязательств.

Зачем нужен аудит и какие цели

1. Снизить риски: простои, утечки, штрафы, претензии клиентов, срыв контрактов.

2. Проверить работоспособность мер: не “написано ли”, а “выполняется ли” и “где следы”.

3. Поставить приоритеты: что чинить первым, что можно отложить, где нужен бюджет.

4. Собрать доказательную базу — “папку доказательств” для проверок, клиентов и повторных аудитов.

5. Наладить управление ИБ: владельцы процессов, сроки, контроль исполнения, метрики.

1) Создание группы аудита по ролям

● Инициатор/спонсор аудита (руководитель компании/направления) — даёт полномочия, снимает блокировки (“не дают доступ/людей”), принимает решения по ресурсам.

● Руководитель аудита (Audit Lead) — управляет планом, коммуникациями, запросами, журналом находок, отчётом и защитой.

● Аудитор по процессам ИБ — проверяет доступы, уязвимости, инциденты, подрядчиков, обучение; собирает “следы выполнения”.

● Технический аудитор — подтверждает факты в системах (права, логи, бэкапы, мониторинг, конфигурации), делает выборки.

● Координатор со стороны проверяемых — организует интервью, доступы и сбор материалов.

Экспертиза: без технической проверки аудит легко становится “бумажным”: по регламентам всё красиво, а по факту — нет.

2) План аудита: цель, объект, отчёт

План аудита — это договорённость, чтобы потом не спорить: “мы думали вы другое проверяете”.

Что обязательно должно быть в плане (коротко и конкретно)

1. Цель аудита (одной фразой).

2. Объект/периметр: какие системы/контуры/процессы, какие площадки/облако.

3. Исключения: что не входит (например, пентест, код-ревью, филиал X).

4. Критерии: по каким требованиям оцениваем (внутренние политики, договоры, выбранные практики).

5. Методика и глубина: интервью + документы + выборки + демонстрации; период выборки (например, 90 дней).

6. Этапы и сроки: kick-off → сбор → полевые работы → промежуточное согласование → отчёт → защита.

7. Выходные материалы: Executive Summary, полный отчёт, реестр находок, план мероприятий.

Экспертиза: заранее пропишите, что считается доказательством (тикет, лог, выгрузка, акт, отчёт).

3) Сбор информации: чек-листы, опросники, устный сбор, выборки

Каналы сбора данных

● Документы и записи: регламенты, политики, матрицы доступа, отчёты, акты, протоколы, тикеты.

● Интервью (устный сбор): только с протоколом + обязательным запросом подтверждений.

● Демонстрации: “покажите на экране, как делаете X”.

● Технические выборки: права, группы, логи, статусы бэкапов, отчёты сканеров, настройки.

Чек-лист как универсальный инструмент

● Доступы: выдача/изменение/отзыв, ревизия прав, админ-доступы, сервисные учётки.

● Уязвимости/обновления: как находите, сроки устранения, подтверждение закрытия, исключения.

● Логи/мониторинг/инциденты: что собираете, как реагируете, таймлайны, разборы.

● Бэкапы: делаются ли, контролируются ли, тестировалось ли восстановление.

● Подрядчики/внешние доступы: список доступов, владельцы, отключение, контроль действий.

● Обучение: подтверждения инструктажа/обучения.

Экспертиза: интервью без артефактов — это “рассказ”. Аудит — это “доказательства”.

4) Промежуточные этапы: обсуждение проблем до финального отчёта

Чтобы финальный отчёт не стал сюрпризом:

● 1–2 раза в неделю коротко обсуждаем ключевые находки;

● уточняем факты, если что-то спорное;

● фиксируем, что нужно донести и в какой срок.

Экспертиза: критические риски сообщайте сразу, не ждите финального отчёта.

5) Отчёт аудита: структура, нарушения, план действий

Отчёт должен быть понятен двум аудиториям:

● руководству — риски и решения;

● исполнителям — что делать и как проверить, что сделано.

Рабочая структура отчёта

1. Executive Summary (1–2 страницы): ТОП-5/ТОП-10 проблем, чем грозит, что делать в первую очередь.

2. Периметр и методика: что проверяли, как, какой период выборки.

3. Результаты по темам: доступы, уязвимости, логи/инциденты, бэкапы, подрядчики, обучение.

4. Реестр находок (таблица/приложение).

5. План мероприятий: действие → владелец → срок → приоритет → ресурс/зависимости.

6. Приложения: список артефактов, список интервью, методика выборок.

Экспертиза: формат “минимум / нормально / правильно” по ресурсам помогает руководству быстрее принять решение.

6) Защита отчёта перед руководством

Как защищать

Презентация на 10–12 слайдов:

● периметр и метод (1);

● общая картина рисков (1);

● ТОП-5 находок (5);

● план действий (2–3);

● что нужно от руководства (1): решения/ресурсы/владельцы/сроки.

Экспертиза: говорите языком последствий — простой, утечка, штрафы, срыв контрактов.

7) Внутренний и внешний аудит: в чём разница

Внутренний аудит

● дешевле, быстрее, можно делать чаще и глубже;

● сложнее с независимостью.

Внешний аудит

● независимость и “вес” для руководства/клиентов;

● дороже и без вовлечения/доступов может быть поверхностным.

Практика: внутренний — регулярно, внешний — раз в год / перед проверками / крупными контрактами.

Перечень документов на каждом этапе

Этап 1. Запуск аудита — документы

● Приказ/распоряжение/письмо о проведении аудита.

● Состав рабочей группы (ФИО/роли/контакты).

● RACI на время аудита.

● Правила доступа и конфиденциальности (если нужно).

● Календарь/план встреч.

Этап 2. Планирование — документы

● План аудита.

● Программа/матрица проверок (контроли → как проверяем → чем подтверждаем).

● Чек-листы по темам.

● Опросники/гайд интервью по ролям.

● Реестр запросов (что нужно запросить, у кого, срок).

● Правила выборки (период и количество примеров).

Этап 3. Предварительный сбор — документы/материалы

● Перечень систем в периметре + владельцы/ответственные.

● Упрощённая схема инфраструктуры/контуров (если есть).

● Комплект ключевых политик/регламентов ИБ.

● Реестры (если ведутся): активов, рисков, исключений/принятых рисков.

● Evidence Register (реестр полученных доказательств — ведёт аудитор).

Этап 4. Полевые работы — документы/артефакты

● Протоколы интервью.

● Протоколы демонстраций.

● Выгрузки/выборки (права, отчёты сканера, статусы бэкапов, логи — по периметру).

● Примеры “следов выполнения” процессов (тикеты/акты/отчёты).

● Рабочие заметки аудитора.

Этап 5. Промежуточное согласование — документы

● Протоколы промежуточных встреч/статусов.

● Журнал находок (Issue Log) с доказательствами и статусами.

● Список спорных/неподтверждённых пунктов.

● Черновой ТОП проблем (для калибровки).

Этап 6. Подготовка отчёта — документы

● Отчёт аудита (полная версия).

● Executive Summary (1–2 страницы).

● План мероприятий (CAPA).

● Приложения: список артефактов, список интервью, методика выборок.

Этап 7. Защита — документы

● Презентация защиты.

● Матрица “риск → влияние → ресурс/стоимость” (укрупнённо).

● Протокол решений руководства (владельцы, сроки, ресурсы).

Этап 8. Закрытие и контроль — документы

● Статус-отчёты по CAPA.

● Подтверждения закрытия находок (регламенты, акты, выгрузки, логи).

● Заключение о закрытии аудита.