📌 Введение: от диагностики к действию
Аудит информационной безопасности — это не просто «инвентаризация уязвимостей». Это стратегический инструмент, позволяющий компании перейти от реактивной модели защиты («чиним то, что сломалось») к проактивной («предотвращаем атаки до их возникновения»). Однако сам по себе аудит бесполезен, если его результаты не трансформируются в конкретные, измеримые и выполнимые мероприятия.
По итогам аудита информационной безопасности, проведённого нашей организацией, заказчик получает детализированный отчёт, который включает:
- Описание текущего состояния защищённости (зрелость);
- Перечень выявленных уязвимостей с классификацией по степени критичности (CVSS);
- Пошаговый план (дорожную карту) по улучшению кибербезопасности с приоритетами, сроками, ответственными и оценкой бюджета;
- Рекомендации по техническим, организационным и процедурным мерам защиты.
Настоящая статья, подготовленная в научно-юридическом стиле, детально разбирает структуру такого плана, приводит практические примеры и кейсы внедрения.
📊 Глава 1. Структура итогового отчёта по аудиту
Итоговый отчёт, который получает заказчик, состоит из нескольких обязательных разделов:
| Раздел | Содержание | Юридическое/бизнес-значение |
| 1. Резюме для руководства (Executive Summary) | Краткое описание ключевых рисков, наиболее критичных уязвимостей, общая оценка состояния ИБ | Для принятия стратегических решений, выделения бюджета |
| 2. Методология аудита | Перечень использованных инструментов (сканеры уязвимостей, анализаторы кода, тесты на проникновение), объём выборки, период проведения | Подтверждение научной обоснованности |
| 3. Детальный перечень уязвимостей | Каждая уязвимость с указанием: CVE (если есть), описание, CVSS-оценка (от 0.0 до 10.0), степень влияния на бизнес, доказательства (скриншоты, логи, код) | Основание для приоритизации |
| 4. Пошаговый план устранения (Roadmap) | Таблица с этапами, сроками, ответственными подразделениями, KPI | Управление проектом |
| 5. Технические рекомендации | Конкретные настройки (фаерволов, EDR, SIEM, WAF), обновление версий ПО, закрытие портов | Улучшение операционной защиты |
| 6. Организационные меры | Разработка политик, обучение сотрудников, создание команды реагирования на инциденты (CSIRT) | Соответствие 152-ФЗ, 187-ФЗ |
📋 Глава 2. Классификация выявленных недостатков по степени критичности
Для построения эффективного плана необходимо приоритезировать устранение уязвимостей. Мы используем шкалу CVSS (Common Vulnerability Scoring System) с дополнительными бизнес-факторами:
| Уровень критичности | CVSS Score | Пример | Срок устранения (рекомендуемый) |
| Критический (Critical) | 9.0 – 10.0 | Удалённое выполнение кода (RCE) без аутентификации в публичном сервисе, SQL-инъекция в веб-форме с ПДн | 24 – 72 часа |
| Высокий (High) | 7.0 – 8.9 | Несанкционированный доступ к данным через переполнение буфера, возможность повышения привилегий локального пользователя | 1 – 2 недели |
| Средний (Medium) | 4.0 – 6.9 | Отсутствие многофакторной аутентификации для администраторов, использование устаревших версий TLS | 1 – 3 месяца |
| Низкий (Low) | 0.1 – 3.9 | Наличие комментариев в HTML-коде с паролями (все ещё плохо), использование неактуальных баннеров сервера (информационная утечка) | 3 – 6 месяцев |
🗺️ Глава 3. Структура пошагового плана (Roadmap)
Пошаговый план оформляется в виде таблицы, содержащей следующие колонки:
| ID | Найдите уязвимость (описание) | Тип | Приоритет (Critical/High) | Рекомендуемое действие | Срок исполнения | Ответственный отдел | KPI успеха | Бюджет (человеко-часы / ₽) |
| 1 | Отсутствует MFA для учётной записи администратора Office 365 («чистые» пароли) | Организационный / Конфигурационный | Critical | Включить MFA (через приложение-аутентификатор или SMS) для всех глобальных администраторов | 24 часа | IT-отдел / MSSP | Доля администраторов с MFA = 100% | 2 часа (5 000 – 10 000 ₽) |
| 2 | Используется TLS 1.0 на публичном веб-сервере | Технический / Сетевой | High | Отключить TLS 1.0/1.1 в настройках сервера (IIS/Nginx/Apache), оставить только TLS 1.2/1.3 | 1 неделя | Администраторы сервера | Сканирование Qualys SSL Labs показывает оценку A+ | 4 часа |
| 3 | Нет плана реагирования на инциденты (IRP) | Организационный | High | Разработать IRP: определить роли (координатор, технический специалист, юрист), процедуры эскалации, шаблоны уведомлений | 1 месяц | CIO (директор по информатизации), CISO (директор по информационной безопасности) | Есть утверждённый документ, проведены учения (tabletop exercise) | 20 часов |
| 4 | Антивирусные базы устарели на 15 дней (на 30% ПК) | Технический | Medium | Настроить автоматические обновления через WSUS/SCCM, настроить политику принудительного обновления (через GPO) | 2 недели | Администраторы | Процент ПК с актуальными базами > 95% | 10 часов |
🛠️ Глава 4. Примеры практических рекомендаций по категориям
4.1. Технические рекомендации
| Категория | Пример рекомендации | Сложность внедрения | Прямой эффект |
| Сетевая безопасность | Сегментация сети (VLAN) — отделить платёжный шлюз от гостевого Wi-Fi. Настроить ACL на межсетевом экране | Средняя | Снижение риска lateral movement при компрометации рабочей станции |
| Endpoint Security | Внедрить EDR (не просто антивирус) с 24/7 мониторингом | Высокая | Обнаружение fileless malware, атак living-off-the-land (LOLBins) |
| Безопасность приложений | Регулярные сканирования кода на SQL-инъекции (статический анализатор SonarQube) и проведение DAST (Dynamic Application Security Testing) | Средняя | Предотвращение утечки базы данных |
| Управление идентификацией | Настроить JIT/JEA (Just-In-Time/Just-Enough-Admin) для привилегированных учётных записей | Высокая | Снижение риска компрометации учётки администратора |
4.2. Организационные рекомендации
| Категория | Пример рекомендации | Сложность внедрения | Прямой эффект |
| Политики | Разработать и внедрить «Политику паролей» (длина 12+ символов, запрет словарных паролей, запрет передачи паролей по email) | Низкая | Снижение риска брутфорса |
| Обучение сотрудников | Провести обязательные курсы по фишинговой безопасности с тестированием раз в квартал | Низкая | Снижение вероятности успешной фишинговой атаки на 70% |
| Управление инцидентами | Назначить ответственного за связь с правоохранительными органами (при утечке ПДн) | Средняя | Соблюдение 24-часового срока уведомления Роскомнадзора |
4.3. Процедурные рекомендации
| Категория | Пример рекомендации | Сложность внедрения |
| Резервное копирование | Внедрить правило 3-2-1 (3 копии, 2 типа носителей, 1 оффлайн). Проводить ежемесячные тесты восстановления системы из бэкапа | Средняя |
| Реагирование на инциденты | Создать Runbook (план действий) для атаки ransomware: отключение сервера, сохранение логов, вызов DFIR-экспертов | Средняя |
| Управление изменениями | Внедрить процесс согласования изменений в конфигурациях фаерволов (Change Advisory Board — CAB) | Низкая |
📊 Глава 5. Оценка бюджета и ресурсов для реализации плана
Каждая рекомендация в плане сопровождается:
- Оценкой трудоёмкости в человеко-часах (для штатных сотрудников или аутсорсинга).
- Оценкой стоимости внедрения (если требуется покупка лицензий, оборудования, подписки на облачные сервисы, консалтинговые услуги).
- Категоризацией:
| Категория | Описание | Пример |
| Quick Win (быстрая победа) | Низкая стоимость, низкая сложность, быстрое внедрение (дни) | Включение MFA, смена пароля корня |
| Стратегическое улучшение | Требует времени (недели / месяцы) и бюджета | Внедрение SIEM, замена антивируса на EDR |
🔐 Глава 6. Кейсы из практики
Кейс № 1. Финансовый сектор: устранение рисков по результатам аудита
Ситуация: При аудите выявлены критические уязвимости: отсутствие сегментации сети, использование RDP в интернете, Windows 2012 без патчей.
Рекомендации:
- Сегментировать сеть (VLAN для АРМ кассиров).
- Закрыть RDP на firewall’e, настроить VPN для удалённого доступа.
- Обновить ОС и пропатчить CVE-2022-XXXX.
Результат: Компания успешно прошла проверку ЦБ РФ. 💪
Кейс № 2. Ритейл: снижение риска от фишинга
Ситуация: Аудит показал, что 45% сотрудников переходят по ссылкам в тестовых фишинговых письмах.
Рекомендации:
- Внедрить обязательное обучение по кибергигиене.
- Настроить спам-фильтр на блокировку вложений с макросами.
- Включить двухфакторную аутентификацию (MFA) для почтовых ящиков.
Результат: Через 3 месяца процент переходов упал до 12%. 💪
Кейс № 3. Промышленность: план реагирования на атаку вымогателя
Ситуация: У компании не было плана реагирования на ransomware, что привело к 5-дневному простою при предыдущей атаке.
Рекомендации (Roadmap):
- Создать Runbook: кто отключает серверы, кто вызывает экспертов.
- Настроить резервное копирование по схеме 3-2-1 (с оффлайн-копией).
- Провести учения (tabletop exercise) имитации атаки.
Результат: При повторной атаке через 8 месяцев компания восстановилась за 8 часов. 💪
📈 Глава 7. Метрики успеха (KPI)
Для контроля реализации пошагового плана рекомендуется использовать следующие метрики:
| Метрика | Целевое значение | Как измерять |
| Время устранения критических уязвимостей | < 72 часа | Данные из базы управления уязвимостями |
| Процент сотрудников, прошедших учебные курсы по кибербезопасности | 100% | LMS |
| Процент систем с включённым MFA | 100% для администраторов, 80% для пользователей | Скрипт проверки |
| Доля фишинговых писем, заблокированных спам-фильтром | > 99% | Отчёт почтового шлюза |
🎯 Глава 8. Заключение
Аудит информационной безопасности — это не разовая акция, а регулярный процесс. Пошаговый план, который вы получаете, должен пересматриваться не реже 1 раза в год (или после существенных изменений инфраструктуры — внедрения нового ПО, открытия филиалов). Рекомендации охватывают технические, организационные и процедурные аспекты: от закрытия портов до обучения сотрудников и создания планов реагирования на инциденты.
Для заказа аудита информационной безопасности обращайтесь в Союз «Федерация судебных экспертов» (сайт: https://autexp.ru/).
Задавайте любые вопросы