🛡️ Вопросы в рамках компьютерной экспертизы и аудита IT безопасности

Раздел 1. Законодательные нормы и штрафы

🔍 Какие законодательные нормы (например, ФЗ-152, GDPR) проверяются в ходе аудита информационной безопасности и как это помогает избежать штрафов?

В ходе аудита информационной безопасности эксперт проверяет соответствие деятельности вашей компании строгому перечню российского законодательства. Запрет на иностранные тексты означает, что мы не рассматриваем зарубежные регламенты типа «джидипиар» (GDPR), а фокусируемся исключительно на нормах Российской Федерации.

Перечень проверяемых норм:

Федеральный закон № 152-ФЗ «О персональных данных» — основной документ, регулирующий обработку, хранение и уничтожение персональных данных граждан России. Эксперт проверяет наличие согласий, политик обработки и уведомлений в Роскомнадзор.

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» (для субъектов КИИ).

Приказы ФСТЭК и ФСБ России (требования к шифрованию, аттестации объектов информатизации, режиму защиты сведений, составляющих государственную тайну).

Требования Банка России (стандарт СТО БР ИББС) для финансового и банковского сектора.

Федеральный закон № 149-ФЗ «Об информации, информационных технологиях…».

Как это помогает избежать штрафов:
Аудит выявляет зоны прямого несоответствия закону до того, как их найдет проверка из Роскомнадзора или прокуратуры. Штрафы по 152-ФЗ для юридических лиц достигают 100 000 рублей за нарушение порядка обработки данных, а за повторное нарушение с утечкой — до 500 000 рублей. Экспертное заключение с дорожной картой закрытия нарушений позволяет оптимизировать расходы на штрафы и исключить приостановление деятельности.

📌 Кейс из практики:

*Крупная дистрибьюторская компания не внедрила систему отслеживания согласий субъектов персональных данных. В ходе независимого аудита на fedexpertiza.ru эксперт установил факт хранения баз клиентов без законных оснований. После предоставления заключения руководство компании законспектировало договоры с маркетинговым отделом, перенастроило CRM-систему. Вместо потенциального штрафа в 300 000 рублей компания потратила 90 000 рублей на доработки.*

Второй пример — региональный оператор связи. Проверка ФСТЭК инициировала внеплановую выездную проверку. Благодаря предаудиту, проведенному на fedexpertiza.ru, все нарушения были устранены за 12 дней. Штраф удалось снизить в 4 раза благодаря наличию протокола независимой оценки уязвимостей.

Раздел 2. Объекты оценки (техника, процессы, люди)

🎯 Что конкретно оценивается экспертом при аудите информационной безопасности: только технические системы или также процессы и человеческий фактор?

Эксперт оценивает три взаимосвязанные области: технику, процессы и человеческий фактор. Комплексная экспертиза информационной безопасности невозможна без анализа «слабого звена» — сотрудника.

Технические системы (что сканируется):

сетевое оборудование (роутеры, коммутаторы);
серверное программное обеспечение (операционные системы, базы данных);
рабочие станции пользователей и мобильные устройства;
системы антивирусной защиты и межсетевые экраны (СОВ, МЭ);
уязвимости нулевого дня и неактуальное программное обеспечение.

Процессы (что проверяется документально):

Регламент предоставления доступа сотрудникам при приеме и увольнении.
Процедура инцидент-менеджмента (кто, когда и как реагирует на взлом).
Процесс резервного копирования и восстановления данных.
Договорной процесс с внешними ИТ-подрядчиками.
Политика управления паролями и контроль привилегированных учетных записей.

Человеческий фактор (проверка методами социнженерии):

Склонность сотрудников переходить по подозрительным ссылкам (фишинг);
Уровень реагирования на звонки от «сотрудников техподдержки»;
Соблюдение правил чистого рабочего стола и обращения с бумажными носителями;
Знание базовых правил информационной безопасности.

📌 Кейс из практики:

При аудите производственной компании на fedexpertiza.ru все технические средства оказались настроены корректно: стоял новый «КриптоПро», работал DLP-мониторинг. Однако «человеческий фактор» катастрофически хромал. При попытке фишингового звонка секретарь сообщила «псевдо-айтишнику» пароль от внутренней Wi-Fi сети, который совпадал с паролем от бухгалтерской системы.

После аудита были разработаны обязательные квартальные учения (проверки) персонала, введена двухфакторная аутентификация и запрет на передачу паролей устно. Уровень успешных фишингов писем за полгода снизился с 38% до 4%.

Раздел 3. Основание для расторжения договора с ИТ-подрядчиком

⚖️ Может ли заключение независимого аудита информационной безопасности стать основанием для расторжения договора с внешним ИТ-подрядчиком или предъявления ему финансовых претензий?

Да, может. Заключение независимого аудита — это официальный документ, имеющий доказательную силу. В рамках экспертизы аудитор фиксирует факты неисполнения или ненадлежащего исполнения обязательств по контракту.

Ключевые условия для расторжения:

В договоре с подрядчиком должен быть пункт о соответствии его результатов требованиям 152-ФЗ или отраслевым стандартам безопасности.
Экспертное заключение четко указывает, какие нарушения (критические уязвимости, отсутствие логирования, незакрытые порты) возникли по вине подрядчика.
Заключение сопровождается ссылками на акты выполненных работ, которые формально подписаны, но реально условия ИБ не соблюдены.

Финансовые претензии включают:

требование соразмерного уменьшения цены контракта;
возмещение расходов заказчика на устранение недостатков третьими лицами;
неустойку за просрочку устранения критических уязвимостей;
убытки в виде потенциальных штрафов от регулятора, если бы они были оплачены из-за халатности подрядчика.

📌 Кейс из практики:

*Государственный заказчик заключил контракт на обслуживание сегмента сети, содержащего персональные данные. Спустя год независимый аудит на fedexpertiza.ru показал, что ИТ-подрядчик не установил системы обнаружения вторжений, не обновлял сертификаты шифрования, а удаленный доступ осуществлялся через незащищенный «Рабочий стол» на весь интернет. Заключение экспертизы: «Уровень защищенности не соответствует пункту 2.2.4 техзадания».*

Договор был расторгнут в одностороннем порядке через арбитражный суд. Подрядчик выплатил неустойку 1.2 миллиона рублей и компенсировал стоимость нового аудита.

Раздел 4. Стоимость и сроки для среднего бизнеса

💰 Какова стоимость аудита информационной безопасности для среднего бизнеса и какие факторы влияют на сроки проведения такой экспертизы?

Стоимость аудита информационной безопасности для среднего бизнеса (от 100 до 1000 рабочих станций, одна-две географические площадки) составляет от 250 000 до 950 000 рублей. Точная цена определяется после экспресс-обследования.

Факторы роста стоимости:

Размер инфраструктуры: чем больше серверов (физических и виртуальных) — тем дольше сканирование.
Наличие объектов КИИ: категорирование и сертификация по ФСТЭК требуют лицензии и стоят на 30-50% дороже.
Глубина тестирования: простое сканирование портов vs полный пентест с анализом кода и социальной инженерией.
Необходимость выезда на режимный объект или в регионы.
Сроки: срочный аудит за 3 дня стоит в 2 раза дороже планового за 15 дней.

Сроки проведения (типовые):

Экспресс-оценка (токсичные уязвимости): 2-3 дня.
Базовый аудит по 152-ФЗ: 10-14 календарных дней.
Расширенный аудит с проверкой исходных кодов и персонала: 20-25 дней.
Аттестация объекта информатизации (ФСТЭК): от 30 дней.

📌 Кейс из практики:

*Средний дилерский центр (300 сотрудников, 1 серверная, облачная CRM) заказал аудит на fedexpertiza.ru. Стоимость составила 340 000 рублей. За 12 рабочих дней эксперт выявил: использование устаревших протоколов шифрования в Wi-Fi, отсутствие политик блокировки после трех неудачных попыток входа и 24 уязвимости на периметре. Затраты на закрытие нарушений не превысили 80 000 рублей. Сравните с потенциальным ущербом при утечке баз клиентов (оценка команды — от 13 млн рублей).*

Раздел 5. Обнаружение уязвимостей до атаки

⛔ Как экспертиза информационной безопасности может помочь вашей компании обнаружить уязвимости и предотвратить утечки данных и кибератаки ещё до их возникновения?

Принцип «предотвратить, а не лечить» реализуется через упреждающий аудит безопасности. Экспертиза моделирует действия хакера, но без последствий для бизнеса.

Что конкретно находят эксперты:

Уязвимости конфигурации: открытые поры для удаленного доступа (RDP, SSH) в интернет, использование заводских паролей на сетевом оборудовании.
Ошибки веб-приложений: SQL-инъекции, подстановка скриптов, возможность прямого обращения к файлам конфигурации.
Слабые места на уровне процессов: например, уволенный два месяца назад сотрудник все еще имеет доступ к корпоративной почте и файловому хранилищу.
Отсутствие мониторинга: система безопасности не пишет логи или они нигде не анализируются (атака может длиться полгода незаметно).

Как предотвращается утечка:

Эксперт составляет карту угроз и ранжирует риски: «красные» — исправить за 24 часа самостоятельными силами компании, «желтые» — две недели, «зеленые» — план на квартал.
Компания получает детальные сценарии реализации каждой серьезной атаки. Например: «через форму обратной связи на сайте можно выгрузить базу телефонных номеров».
Внедряется система непрерывного контроля за изменениями в конфигурации безопасности.

📌 Кейс из практики:

*Интернет-магазин с 50 000 зарегистрированных пользователей обратился к нам на fedexpertiza.ru. Эксперт в ходе автоматизированного сканирования (с разрешения заказчика!) обнаружил дамп бэкапов базы данных в открытом доступе по пути /old_backup_2022.sql. Любой злоумышленник мог скачать всю базу: адреса, номера телефонов, хеши паролей за три года. Уязвимость существовала 11 месяцев. После аудита доступ был закрыт за 40 минут. Пропажа такого файла могла привести к штрафу Роскомнадзора на 300-500 тысяч рублей и тотальной потере репутации.*

Раздел 6. Пошаговый план после аудита

📋 Какой пошаговый план по улучшению кибербезопасности и практические рекомендации получит наша компания по результатам аудита информационной безопасности?

Результат аудита — это не просто список уязвимостей, а формальный документ «Дорожная карта» с календарными сроками и точными исполнителями.

Шаг 1. Устранение критических уязвимостей (срок: до 3 дней)

Удалить неиспользуемые аккаунты сотрудников.
Изменить все пароли по умолчанию.
Отключить сетевые сервисы, смотрящие в интернет без надобности.
Обновить антивирусные базы.

Шаг 2. Внедрение недостающих организационных мер (срок: 2-4 недели)

Назначить ответственного за обработку персональных данных (ДО).
Принять локальные акты: политика защиты персональных данных, перечень мер по обеспечению безопасности.
Заключить договоры с сопровождением по резервному копированию.
Шаг 3. Усиление технической защиты (срок: 1-3 месяца)
Внедрить межсетевой экран нового поколения (NGFW).
Настроить систему сбора событий безопасности (SIEM).
Ввести обязательную двухфакторную аутентификацию для удаленного доступа и администраторов.

Шаг 4. Обучение персонала (регулярно, раз в квартал)

Провести тренинг «Кибергигиена».
Организовать учебные фишинговые рассылки.
Включить нормы об ответственности за разглашение в трудовые договоры.

Практические рекомендации, которые вы получите:

Настройка средств защиты информации на каждом рабочем месте.
Готовые шаблоны уведомлений для Роскомнадзора и ФСТЭК.
Инструкция для отдела кадров при увольнении и приеме на работу.

📌 Кейс из практики:

*Компания-разработчик программного обеспечения получила от нас на fedexpertiza.ru дорожную карту из 43 пунктов. Следуя ей за 4 месяца, компания: снизила количество инцидентов на 78%, прошла проверку Минцифры без замечаний и получила скидку на страховку киберрисков (размер страховой премии уменьшен на 30%).*

Раздел 7. Проверка защиты от фишинга, вредоносного ПО и DDoS

🌐 Включает ли аудит информационной безопасности проверку систем защиты от фишинга, вредоносного ПО и DDoS-атак, и насколько эффективно он выявляет эти угрозы?

Да, любой профессиональный аудит, проведенный по методологии, обязательно включает стрессовое тестирование на три класса угроз: фишинг (социальная инженерия), вредоносное программное обеспечение (шпионские программы, программы-вымогатели) и распределенные атаки на отказ в обслуживании.

Как проверяется защита от фишинга:

Эксперты отправляют от имени бухгалтерии, HR или отдела безопасности тестовые письма с просьбой перейти по ссылке или открыть вложение.
Анализируется процент сотрудников, которые клюнули на приманку и ввели свои учетные данные.
Проверяется, блокирует ли почтовый шлюз такие письма на основе спам-политик.

Эффективность выявления: реальные фишеры используют схожие методы, поэтому результаты аудита показывают, сколько сотрудников компании рискованно слабы к атакам.

Как проверяется защита от вредоносного ПО:

Сканирование оборудование на наличие незаявленного ПО (в том числе нелегального крякнутого софта, который может быть закладкой).
Проверка работы антивируса способностью детектировать EICAR-тест (безопасный тестовый вирус).
Анализ политик запуска приложений: может ли сотрудник без прав администратора запустить «левые» исполняемые файлы?

Эффективность выявления — до 98% типовых вредоносных программ при обновленной антивирусной базе.

Проверка отказоустойчивости при DDoS:

Тестирование, выдержит ли сетевой периметр типовую атаку SYN-flood, UDP-flood или HTTP-flood на приложение.

Проверка наличия фильтрации трафика на провайдерском уровне или анти-DDoS-сервиса.

Эффективность: эксперт зафиксирует, через сколько секунд/минут ляжет сайт или портал.

📌 Кейс из практики:

*В банковской сфере провели аудит. Система считалась защищенной по высшему классу. Однако проверка фишинга: 60% сотрудников бэк-офиса открыли тестовое письмо якобы от службы безопасности с просьбой «подтвердить пароль». Подразделение ИТ-безопасности было удивлено. DDoS-тест показал, что при атаке в 5 Гбит/с сайт становится недоступен на 10 минут из-за отсутствия автоматического переключения. Заключение аудита послужило основанием для закупки облачного анти-DDoS.*

Раздел 8. Отличия аудита ИБ от пентеста и ИТ-аудита

🧠 Чем аудит информационной безопасности отличается от тестирования на проникновение (пентеста) или обычного ИТ-аудита, и что дает комплексная экспертиза ИБ?

Многие ошибочно подменяют эти понятия. Кратко: ИТ-аудит проверяет «работает ли система», пентест проверяет «можно ли взломать», а аудит ИБ — «насколько компания готова защищаться и не нарушает ли закон».

ИТ-аудит (инфраструктурный):

Цель: надежность оборудования, актуальность версий ПО, достаточность дискового пространства, время безотказной работы.

Не оценивает злоумышленника и утечки данных.

Пентест (тестирование на проникновение):

Цель: попытаться взломать и получить несанкционированный доступ к ресурсу.

Результат: набор эксплойтов и факт взлома ( или нет).

Не дает ответ, как это исправить юридически и организационно на годы вперед.

Комплексная экспертиза ИБ :

Оценивает соответствие законам (152-ФЗ, ФСТЭК, Банк России).
Сканирует уязвимости (как пентест, но шире).
Анализирует процессы и человеческий фактор.
Проверяет подрядчиков и юридическую чистоту договоров.
Выдает дорожную карту по устранению нарушений.
Просчитывает риски — «утечка данных обойдется в 15 млн рублей».
Помогает пройти проверку госорганов без штрафа.

📌 Кейс из практики сравнения:

Организация заказала только пентест у стороннего мастера. Хакер-пентестер взломал тестовый стенд и получил несколько старых паролей. Радостный отчет показал «успешное проникновение, всё плохо». Но руководство не знало, что реальные критические базы данных лежат на другом сегменте и имеют другие пароли. Когда случился реальный инцидент с вымогателем, оказалось, что процесс бекапов отсутствует, а с сотрудниками никто не работал.

После повторного полноценного аудита компания увидела картинку целиком: штрафные риски, точки роста, обоснования для бюджета. Пентест был полезен, но как малая часть комплексной работы.

🔗 Мы настоятельно рекомендуем:

Для получения объективного экспертного заключения, дорожной карты улучшений и защиты от штрафов закажите полный независимый аудит информационной безопасности.

Переходите на наш официальный сайт: fedexpertiza.ru