Стратегия Ра Стратегия Ра Заказать

Аудит информационной безопасности

Как команда «Стратегия Ра» проводит полную инвентаризацию рисков и выявляет небезопасные зоны вашей компании

Информационная безопасность — это «живая» система, встроенная в бизнес-процессы. Но любое строительство начинается с проекта и анализа. Аудит, это не просто проверка «на прочность», а глубокое исследование среды внутреннего и внешнего контура вашей компании, выявление «болевых точек» и составление точного плана действий на их устранение.

ООО «Стратегия Ра» проводит аудит, чтобы ответить на главные вопросы: «Что мы защищаем? От кого? И как делать это эффективно?». Мы не пишем абстрактных отчетов, мы создаем основу для проактивной архитектуры безопасности, где каждый шаг обоснован и измерим.

Наш подход к аудиту — это системное исследование, которое можно представить в виде цикла:

  1. Подготовка и сбор данных о вашем бизнесе.
  2. Анализ и оценка уязвимостей, оценка рисков).
  3. Выработка решений, создание «дорожной карты» и пакета документов).

1. Пошаговый алгоритм проведения аудита

Превращаем аудит из абстрактной проверки в понятный и структурированный проект. Наша команда работает по прозрачному алгоритму, который включает как технические, так и организационные аспекты.

Этап 1: Подготовка и инвентаризация

Прежде чем искать уязвимости, нужно понять, что именно мы ищем. Этот этап важен для понимания специфики вашего бизнеса.

  • Шаг 1.1. Интервью с ключевыми сотрудниками: Мы встречаемся с руководством, IT-отделом и руководителями подразделений, чтобы понять бизнес-процессы, определить критичные для бизнеса активы и согласовать границы аудита.
  • Шаг 1.2. Сбор первичной документации: Запрашиваем существующие политики, инструкции, схемы сети, конфигурации ПО.
  • Шаг 1.3. Идентификация активов: Совместно с вашей командой составляем полный реестр объектов аудита (см. пункт 3), присваивая каждому активу уровень критичности для бизнеса.

Этап 2: Анализ и тестирование

На этом этапе используется комбинация экспертных и автоматизированных методик.

  • Шаг 2.1. Анализ организационных процессов: Изучаем, как работают процессы управления доступом, приема/увольнения сотрудников, реагирования на инциденты. Сверяем «бумажные» регламенты с реальной практикой.
  • Шаг 2.2. Технический аудит:
    • Анализ защищенности периметра: Сканирование внешних IP-адресов и веб-приложений на предмет уязвимостей.
    • Анализ внутренней инфраструктуры: Проверка настроек сетевых устройств, серверов, Active Directory, систем хранения данных.
    • Анализ исходного кода (при необходимости): Поиск уязвимостей в самописных приложениях.
  • Шаг 2.3. Оценка физической безопасности: Проверка процедур допуска в серверные, хранилища носителей и другие критичные зоны.
  • Шаг 2.4. Оценка «человеческого фактора»: Проведение анонимного анкетирования и, с вашего согласия, легальных тестов на социальную инженерию, симулированные фишинговые рассылки и т.д.

Этап 3: Обработка результатов и выработка решений

  • Шаг 3.1. Анализ рисков: Оцениваем вероятность реализации каждой найденной угрозы и размер потенциального ущерба. Риски ранжируются по критичности.
  • Шаг 3.2. Моделирование угроз: Для каждого критичного актива строим модель угроз, отвечая на вопрос «Кто и зачем может на него напасть?». Это позволяет перейти от абстрактных страхов к конкретным сценариям защиты.
  • Шаг 3.3. Разработка отчета и «дорожной карты»: Формируем итоговый документ, который содержит не только «вердикт», но и четкий, поэтапный план устранения недостатков с приоритетами и сроками.

2. Применяемые методики

Наши специалисты опираются на признанные международные и российские стандарты, адаптируя их под реалии вашего бизнеса.

  • ГОСТы и стандарты Банка России: Для проверки соответствия регуляторным требованиям по обработке финансовой информации.
  • Методологии анализа рисков (CRAMM, FRAP): Для структурированной оценки и ранжирования угроз.
  • СТО БР ИББС (Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ): Для финансового сектора.
  • MITRE ATT&CK — это как «википедия» или «энциклопедия» действий хакеров. Это база знаний, где собраны и классифицированы все реальные тактики, техники и процедуры, которые используют злоумышленники для взлома. Мы используем её, чтобы не гадать, как могут напасть, а точно знать и проверять, защищены ли вы от известных приемов.
  • OWASP — это всемирное сообщество экспертов, которое занимается безопасностью веб-приложений (сайтов, интернет-магазинов, личных кабинетов). Самый известный их продукт — OWASP Top 10, это «десятка» самых критичных и распространенных ошибок, которые разработчики допускают в коде. Мы используем этот список как чек-лист при проверке ваших веб-систем.

3. Объекты аудита: Что именно мы проверяем

Мы рассматриваем компанию как единый организм. Но во время аудита мы «просвечиваем» каждый слой особенно тщательно:

  • Инфраструктура: Серверы, сетевое оборудование (маршрутизаторы, коммутаторы), АРМ, системы виртуализации, контроллеры домена, физический доступ к серверным и коммуникационным шкафам.
  • Данные: Базы данных (SQL, Oracle, PostgreSQL), файловые хранилища (в т.ч. корпоративные порталы типа SharePoint или Nextcloud), системы резервного копирования (флешки, диски, облака), архивы и электронный документооборот.
  • Приложения и ПО: Корпоративные информационные системы (1С, SAP, CRM, ERP), самописное ПО, общесистемное ПО (ОС, офисные пакеты, почтовые клиенты).
  • Персонал: Реальный уровень цифровой грамотности, соблюдение политик «чистого стола» и парольной защиты, скорость и правильность действий на симулированных фишинговых атаках.
  • Процессы и управление: Реально работающие процедуры предоставления и отзыва доступа, процесс onboard/offboard, процедура согласования изменений в ИТ-инфраструктуре.
  • Контрагенты и третьи стороны: Анализ договоров с подрядчиками на предмет наличия соглашений об уровне обслуживания (SLA) и требований к ИБ, оценка каналов связи и интеграций с внешними сервисами.

4. Итоговые документы

Результат аудита — это не просто акт, а комплект рабочих документов, которые ложатся в основу всей дальнейшей работы по ИБ.

  1. Акт обследования: Описание текущего состояния, выявленные недостатки и уязвимости.
  2. Модель угроз и нарушителя: Описание актуальных для вас сценариев атак и портретов потенциальных злоумышленников.
  3. Отчет об оценке рисков: Матрица рисков с приоритетами.
  4. Техническое задание на доработку системы защиты: Детальное описание того, что и как нужно изменить или внедрить. Это готовое ТЗ для тендера или работы вашего IT-отдела.
  5. Дорожная карта: Пошаговый план устранения недостатков с указанием сроков, ответственных и приоритетов. План делится на краткосрочные, среднесрочные и стратегические задачи.
  6. Пакет организационно-распорядительной документации: Шаблоны или проекты приказов, политик, инструкций, регламентов, которые нужно внедрить.

5. Итоговые действия нашей компании

Мы не бросаем клиента с толстым отчетом на руках. Наша задача — чтобы аудит стал реальным инструментом изменений.

  • Презентация результатов руководству: Мы лично встречаемся с первыми лицами и защищаем результаты аудита, обосновывая необходимость выделения ресурсов на понятном бизнесу языке (деньги, риски, репутация).
  • Передача знаний: Проводим финальную встречу с вашей IT-командой, на которой детально разбираем технические выводы и отвечаем на вопросы.
  • Согласование «дорожной карты»: Вместе с вами утверждаем план первоочередных действий.

6. Итоговые пошаговые действия для заказчика после получения документов

  1. Шаг 1. Стратегическая сессия: Проведите встречу с участием руководства, IT и юристов, чтобы утвердить «дорожную карту», распределить бюджет и назначить ответственных за каждый пункт.
  2. Шаг 2. Первоочередные шаги: Внедрите те меры, которые не требуют больших затрат и сложных согласований (обновление политик паролей, включение двухфакторной аутентификации, отключение устаревших учеток).
  3. Шаг 3. Утверждение документации: На основе разработанных нами проектов документов, адаптируйте их под свою специфику и утвердите внутренними приказами.
  4. Шаг 4. Техническое внедрение: Приступайте к реализации сложных технических мероприятий из «дорожной карты» (закупка и настройка средств защиты, сегментирование сети и т.д.), опираясь на подготовленное ТЗ.
  5. Шаг 5. Обучение персонала: Проведите тренинги для сотрудников на основе наших инструкций, чтобы внедрить культуру безопасного поведения.

7. Часто задаваемые вопросы об аудите ИБ

Чем аудит отличается от пентеста?

Это один из самых частых вопросов. Разница — в целях и глубине:

Аудит ИБПентест
Отвечает на вопрос «Что не так?»Отвечает на вопрос «Можно ли взломать?»
Проверяет всё (широкий охват)Изучает один или несколько сценариев (глубина)
Ищет потенциальные уязвимостиЭксплуатирует найденные уязвимости
Дает список проблемДает демонстрацию проникновения
Можно автоматизироватьТребует ручной работы

Как они связаны: Аудит — это первичная диагностика. Он выявляет все слабые места. Пентест — это боевая проверка, которая показывает, какие из этих слабых мест реально опасны. Мы рекомендуем сначала провести аудит, устранить критическое, а затем заказать пентест для проверки эффективности защиты.

Вы будете стучаться к нам в системы? Это безопасно?

Мы работаем строго в рамках подписанного договора и технического задания. До начала работ мы согласовываем:

  • Границы аудита — какие системы проверяем, какие не трогаем
  • Методы проверки — активное сканирование, пассивный анализ, интервью
  • Время проведения — можно ли работать в рабочее время
  • Правила эскалации — если что-то пойдет не так

Все наши специалисты подписывают соглашение о конфиденциальности. При необходимости мы готовы подписать отдельное NDA (соглашение о неразглашении) с вашей компанией.

Важно: Аудит — это не атака, а диагностика. Мы не пытаемся “положить” ваши системы. Мы используем щадящие методы и всегда предупреждаем о действиях, которые могут создать нагрузку.

Что если вы найдете критическую уязвимость, которая позволит нас взломать? Вы скажете об этом?

Обязательно скажем, причем немедленно. В договоре есть специальный пункт о критических находках:

При обнаружении уязвимости, которая:

  • позволяет получить полный контроль над системой
  • может привести к утечке данных
  • создает риск остановки бизнес-процессов

мы в течение 24 часов (в рабочее время) отправляем экстренное уведомление вашему контактному лицу с описанием проблемы и рекомендациями по быстрому устранению.

Детальное описание войдет в итоговый отчет, но вы узнаете о проблеме раньше, чтобы сразу начать ее исправлять.

Сколько длится аудит?

Сроки зависят от размера компании и сложности инфраструктуры:

Размер компанииСрок аудита
Небольшая (до 100 сотрудников, 10-20 серверов)2-3 недели
Средняя (100-500 сотрудников, 20-50 серверов)4-6 недель
Крупная (500-2000 сотрудников, 50-200 серверов)6-8 недель
Холдинг / распределенная структура8-12 недель

Точные сроки определяются на этапе согласования технического задания. Мы всегда стремимся провести аудит максимально быстро, но без потери качества.

Вы даете гарантии, что после вашего аудита нас не взломают?

Ни одна компания в мире не может дать 100% гарантии, что взлом невозможен. Информационная безопасность — это управление рисками, а не их полное устранение.

Что мы гарантируем:

  • Полноту проверки — мы проверим всё, что заявлено в техническом задании, и не пропустим очевидных проблем
  • Качество методологии — мы используем признанные подходы (MITRE ATT&CK, OWASP, ГОСТы)
  • Честность — мы не скроем найденные проблемы и не преуменьшим их критичность
  • Понятные рекомендации — вы получите дорожную карту, следуя которой сможете снизить риски до приемлемого уровня

Если вы выполните все наши рекомендации, уровень вашей защиты станет максимально высоким из возможного в текущих условиях.

У нас уже есть свой IT-отдел. Зачем нам внешний аудит?

Свои специалисты — это прекрасно, но у внешнего аудита есть важные преимущества:

  1. Независимость. Внутренние специалисты могут не замечать проблем, к которым привыкли, или бояться указывать руководству на ошибки. Мы независимы и объективны.

  2. Свежий взгляд. Мы видим то, что “замылилось” у внутренней команды. Часто находим проблемы, которые годами жили в системе, но их никто не замечал.

  3. Широкая экспертиза. У нас — команда специалистов с разными компетенциями. У вас — один-два человека с ограниченным опытом. Мы видим больше разных кейсов и знаем, как решают проблемы в других компаниях.

  4. Специализированные инструменты. У нас есть доступ к дорогим инструментам для анализа, которые ваш IT-отдел может не иметь.

  5. Подтверждение для руководства. Внешний аудит дает объективную оценку, которой доверяют акционеры и регуляторы больше, чем словам своих сотрудников.

Лучший сценарий: внутренний IT отвечает за повседневную работу, внешний аудит раз в год дает объективную оценку и рекомендации по развитию.

Вы работаете только с российским ПО или с любым?

Мы работаем с любым программным обеспечением и оборудованием. В нашем портфеле:

  • Отечественные решения: Kaspersky, Positive Technologies, UserGate, Ideco, Astra Linux, РЕД ОС и другие
  • Зарубежные решения: Microsoft, VMware, Cisco, Linux-дистрибутивы, Oracle и другие

Мы не привязаны к конкретным вендорам и подбираем рекомендации исходя из ваших задач, а не наших предпочтений. Если у вас стоит задача импортозамещения — мы поможем с переходом. Если вы работаете на зарубежном ПО — проверим его безопасность.

Что входит в итоговый отчет? Мы сможем сами исправить проблемы?

Итоговый отчет содержит подробную информацию, достаточную для самостоятельного устранения проблем:

  1. Для руководства — 2-3 страницы на бизнес-языке: какие риски, какие последствия, бюджет на исправление.

  2. Каталог уязвимостей — полный список всех найденных проблем с указанием:

    • Название и описание уязвимости
    • CVE/CWE (если есть)
    • Критичность (Critical, High, Medium, Low)
    • Где найдено (IP, сервер, приложение)
    • Скриншоты и логи (доказательства)

  3. Методика проверки — как мы искали, какие инструменты использовали.

  4. Дорожная карта — пошаговый план устранения с приоритетами:

    • Что делать в первую очередь (0-30 дней)
    • Что делать во вторую (30-90 дней)
    • Что делать в перспективе (90+ дней)

  5. Технические рекомендации — конкретные инструкции для ваших специалистов:

    • Как исправить (команды, настройки)
    • Где взять обновления
    • На что обратить внимание

Да, этого достаточно, чтобы ваши IT-специалисты самостоятельно устранили найденные проблемы. Если нужна помощь — мы можем взять устранение на себя (отдельный проект или абонентское обслуживание).

Вы проверяете не только технику, но и людей? Социальную инженерию?

Да, в рамках аудита мы проверяем и человеческий фактор (если это включено в техническое задание). Методы зависят от согласованных границ:

  • Анонимное анкетирование — проверяем реальный уровень знаний сотрудников о безопасности
  • Анализ действий — как люди реагируют на подозрительные письма (наблюдение)
  • Контрольные звонки (вишинг) — могут ли сотрудники определить мошенника
  • Контрольные письма (симулированный фишинг) — кто перейдет по ссылке

Все эти методы применяются только с вашего согласия и в рамках, не нарушающих работу и не создающих стресс у сотрудников. Мы не ставим целью “поймать” кого-то, а хотим оценить реальный уровень защищенности и понять, нужно ли дополнительное обучение.

Вы проверяете физическую безопасность? Пропускной режим?

Да, физическая безопасность — важная часть общего аудита. Мы проверяем:

  • Работу пропускной системы (можно ли пройти за кем-то)
  • Доступ в серверные и другие критичные помещения
  • Хранение носителей информации (бумажные документы, флешки, диски)
  • Утилизацию документов и носителей
  • Видеонаблюдение (зоны покрытия, сроки хранения)

Но — важное ограничение — мы не проводим скрытое физическое проникновение (попытки пройти под видом курьера и т.д.) в рамках стандартного аудита. Это уже относится к физическому пентесту и требует отдельного согласования.

Как часто нужно проводить аудит?

Мы рекомендуем следующую периодичность:

Тип компанииПериодичностьПричина
Стабильный бизнес, без изменений1 раз в годПодтверждение уровня защиты
Быстрорастущий бизнес1 раз в 6 месяцевИнфраструктура быстро меняется
После крупных измененийСразу послеНовое ПО, слияния, филиалы
При подготовке к проверкеПо необходимостиПодготовка к регуляторам
В рамках абонементаПостоянный мониторингНепрерывная оценка

Аудит — это не разовая акция, а регулярная процедура. Как медицинский чекап: даже если ничего не болит, раз в год стоит провериться.

Сколько стоит аудит?

Стоимость зависит от объема работ и рассчитывается индивидуально на основе:

  • Количества проверяемых объектов (серверы, АРМ, сетевые устройства)
  • Сложности инфраструктуры (распределенная, филиалы, облака)
  • Глубины проверки (поверхностный аудит или углубленный)
  • Необходимости специальных экспертиз (промышленные системы, специфическое ПО)
  • Срочности

Примерные ориентиры:

  • Экспресс-аудит (быстрая проверка, 5-10 объектов): от 150 000 ₽
  • Аудит небольшой компании (до 50 объектов): от 350 000 ₽
  • Аудит средней компании (50-200 объектов): от 700 000 ₽
  • Аудит крупной компании (200+ объектов): от 1 500 000 ₽

Точную стоимость можем назвать после первичной консультации и понимания ваших задач. Мы всегда предлагаем оптимальный вариант, а не “максимальный чек”.

Как вы обеспечиваете конфиденциальность наших данных?

Мы очень серьезно относимся к вашим данным:

  1. Юридические гарантии

    • Подписываем соглашение о конфиденциальности (NDA)
    • В договоре есть пункты о неразглашении
    • Все сотрудники имеют подписки о неразглашении

  2. Организационные меры

    • Доступ к вашим системам только у ограниченного круга специалистов
    • Все результаты аудита передаются только уполномоченным лицам
    • Временные файлы и черновики уничтожаются после завершения проекта

  3. Технические меры

    • Все результаты хранятся в зашифрованном виде
    • Передача данных только по защищенным каналам
    • Использование одноразовых паролей для доступа к вашим системам

  4. Политика хранения

    • Мы не храним ваши данные дольше необходимого
    • По окончании проекта все материалы либо передаются вам, либо уничтожаются
    • Вы можете потребовать уничтожения данных в любой момент

По вашему желанию мы можем подписать дополнительное соглашение с особыми требованиями к конфиденциальности.

Что такое PCI DSS и нужно ли это нам?

PCI DSS (Payment Card Industry Data Security Standard) — это стандарт безопасности для организаций, работающих с платежными картами (Visa, MasterCard, Мир).

Нужен он вам, если ваша компания:

  • Принимает оплату банковскими картами на сайте
  • Хранит, обрабатывает или передает данные карт
  • Использует платежные терминалы (особенно в ритейле)
  • Является партнером платежных систем

Если вы просто принимаете оплату через агрегатор (Яндекс.Касса, Робокасса) и данные карт идут напрямую в платежный шлюз — требования PCI DSS к вам могут не применяться (но нужно проверять договор с агрегатором).

В рамках аудита мы можем проверить ваше соответствие требованиям PCI DSS, если это актуально для вашего бизнеса.

8. Дополнительные консультации и документы после аудита

После завершения основного этапа аудита мы остаемся на связи и можем предложить вам следующие опции:

  • Юридический комплаенс-аудит: Детальная проверка соответствия требованиям конкретных регуляторов (ФСТЭК, ФСБ, Роскомнадзор) с подготовкой полного пакета документов для проверки.
  • Тестирование на проникновение через систему защиты: Практическая проверка «боевых» навыков вашей защиты. Может проводиться как отдельная услуга для проверки гипотез из аудита.
  • Разработка полного комплекта организационно-распорядительной документации: Написание всех недостающих политик, регламентов и инструкций «под ключ» на основе выявленных в ходе аудита пробелов.
  • Разработка архитектуры ИБ и ТЗ на внедрение средств защиты: Если у вас нет ресурсов для самостоятельной реализации ТЗ, мы можем выступить в роли архитекторов и помочь выбрать и настроить решения.
  • Абонентское обслуживание ИБ: Пост-аудиторский мониторинг, помощь в расследовании инцидентов, консультации по текущим вопросам.
  • Создание динамических справочников: Автоматизация ролевой модели доступа на основе утвержденных после аудита регламентов.

Аудит информационной безопасности

Аудит от ООО «Стратегия Ра» — это не «оценка для галочки». Это инвестиция в управляемость и предсказуемость вашего бизнеса. Получив точную карту рисков и четкий план действий, вы перестаете гадать, защищены ли вы, и начинаете знать свои слабые стороны и управлять ими. Вы получаете не просто отчет, а готовую архитектуру решений, адаптированную под российские реалии и требования регуляторов.

Информационная безопасность
Комплаенс-аудит информационной безопасности: соответствие требованиям регуляторов