Ежеквартальный ИБ-аудит: зачем проверять защиту регулярно
ИБ-аудит — это структурированная проверка состояния информационной безопасности компании: что защищено, что нет, где появились новые риски и насколько актуальны меры, внедрённые полгода-год назад.
Зачем это нужно бизнесу
Информационная безопасность — это не разовое внедрение, а процесс. Купили антивирус, настроили VPN, поставили межсетевой экран — на этом всё не заканчивается. За три месяца компания меняется: добавились новые сотрудники (и их аккаунты), уволились старые (а их доступы остались), появились новые сервисы (опубликованы в интернет), вышли новые версии ПО (а старые продолжают работать с известными уязвимостями), сменились приоритеты бизнеса.
Параллельно меняется и внешний мир: вендоры публикуют сотни новых уязвимостей в месяц, появляются новые техники атак, регуляторы обновляют требования. То, что было безопасно полгода назад, может оказаться дырой сегодня.
Для бизнеса регулярный аудит решает три задачи. Первая — выявление дрейфа: тех самых «маленьких отклонений», которые накапливаются и в один момент становятся серьёзной проблемой (открытый порт, забытый аккаунт уволенного сотрудника, отключённый кем-то антивирус). Вторая — подтверждение для бизнеса и регуляторов: вы можете документально показать, что регулярно проверяете состояние ИБ. Это полезно при проверках по 152-ФЗ, 187-ФЗ, при сертификациях, в требованиях киберстраховщиков. Третья — обоснование инвестиций: после аудита есть конкретный список «что докупить и почему», а не общие соображения о безопасности.
Почему именно ежеквартальный, а не годовой. За год накапливается слишком много изменений, многие проблемы успевают «застареть» и стать инцидентами. За месяц — мало что меняется, не из чего делать выводы. Квартал — компромисс между оперативностью реакции и трудозатратами на проведение аудита.
Как это работает
Аудит структурирован по нескольким направлениям. Полный объём зависит от размера компании, но базовый набор примерно такой.
Инвентаризация и контроль активов. Что у нас вообще есть: рабочие места, сервера, сетевое оборудование, виртуальные машины, облачные сервисы, мобильные устройства. Сверка с предыдущей инвентаризацией: что добавилось, что убыло. Поиск «теневой» инфраструктуры — серверов, которые кто-то поднял и забыл.
Управление учётными записями. Список пользователей в AD, в облачных сервисах, в специализированных приложениях (1С, CRM, банк-клиент). Поиск активных аккаунтов уволенных сотрудников. Проверка прав: соответствуют ли реальным задачам. Проверка использования многофакторной аутентификации.
Состояние средств защиты. Покрытие антивирусом всех машин. Актуальность баз. Покрытие межсетевыми экранами. Корректность правил. Состояние WAF, IDS/IPS, DLP — если есть. Журналы и алерты за период: что сработало, как разобрали.
Управление уязвимостями. Сканирование внешнего и внутреннего периметра на известные уязвимости. Проверка актуальности обновлений ОС и ключевого ПО (1С, базы данных, веб-серверы). Категоризация найденных уязвимостей по критичности, план устранения.
Резервное копирование и восстановление. Какие данные бэкапятся, как часто, где хранятся копии, как проверяется восстановление. Тестовое восстановление хотя бы одного актива — иначе бэкап есть только на бумаге.
Соответствие регуляторам. Если компания под 152-ФЗ или 187-ФЗ — проверка состояния документов, журналов, технических мер. Поиск пробелов перед потенциальной внешней проверкой.
Реакция на инциденты. Анализ инцидентов за квартал: что было, как реагировали, что улучшить. Тестирование плана реагирования (минимум — настольный разбор сценария).
Результат аудита — отчёт с двумя разделами: что в порядке (это не пустая часть, она нужна для подтверждения уровня) и что требует исправления (с приоритетами и сроками). На следующий квартал — план работ, исходящий из этого отчёта.
Когда нужно компании
- Если компания работает с персональными данными (152-ФЗ требует регулярного контроля выполнения мер);
- Если компания — субъект КИИ (требования 187-ФЗ к мониторингу состояния защищённости);
- Если в компании больше 50 сотрудников и инфраструктура нетривиальная;
- Если был инцидент или попытка взлома — аудит выявит, что ещё уязвимо;
- Если планируется сертификация (ISO 27001, СТО БР, отраслевые стандарты) или киберстрахование;
- Если IT-инфраструктура развивается активно (новые сервисы, переезды, реорганизации) — без регулярного контроля быстро накапливаются риски.
Что включает наша услуга
- Первичный полный аудит: инвентаризация, оценка текущего состояния, базовый отчёт с приоритизированным планом устранения;
- Ежеквартальные регулярные проверки по чек-листу, выработанному по итогам первичного аудита, под специфику компании;
- Внешнее сканирование периметра на известные уязвимости (CVE, типовые мисконфигурации);
- Внутренний аудит конфигураций ключевых систем: AD, межсетевые экраны, серверы баз данных, виртуализация;
- Подробный письменный отчёт после каждого квартала: что в порядке, что требует исправления, план на следующий период;
- Сопровождение устранения выявленных недостатков силами нашей команды или координация с внутренней IT-службой заказчика.
Связанные термины
- Корпоративный антивирус (управление) — состояние антивируса — одна из проверяемых областей
- WAF — Web Application Firewall — корректность настройки WAF проверяется в рамках аудита
- Защита от DDoS — готовность к DDoS-атакам — часть проверки доступности
- Remote-access VPN: удалённый доступ сотрудников — настройки VPN, актуальность сертификатов, права удалённых пользователей
- 152-ФЗ: соответствие закону о персональных данных — аудит подтверждает соответствие техническим мерам
- 187-ФЗ КИИ: критическая информационная инфраструктура — для значимых объектов КИИ регулярный аудит обязателен
- PKI, ЭП и МЧД: корпоративная инфраструктура электронных подписей — состояние ключей, просроченные сертификаты, отозванные МЧД
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «Ежеквартальный ИБ-аудит», укажите количество рабочих мест и серверов — получите ориентир. Финальная смета — после первичного обследования: учтём сложность инфраструктуры, специфику регуляторных требований и нужные области проверки.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП