Как провести аудит информационной безопасности: этапы, методы и рекомендации для организаций
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru, e‑mail: petukhov@legascom.ru )
Ключевые слова: аудит ИБ, информационная безопасность, защита ПДн, 152‑ФЗ, штрафы за утечки, пентест, SIEM, DLP;
Введение
Аудит информационной безопасности (ИБ) — ключевой инструмент защиты данных и минимизации рисков для любой организации. В условиях роста кибератак и ужесточения законодательства регулярный аудит становится не просто рекомендацией, а обязательным требованием. В этой статье разберём:
этапы и методы проведения аудита;
правовые и технические аспекты;
ответственность за нарушения;
реальные кейсы из судебной практики и личной практики автора.
1. Что такое аудит ИБ и зачем он нужен
Аудит ИБ — комплексная оценка состояния защиты информации в организации, включающая:
анализ уязвимостей;
проверку соответствия нормативным требованиям;
оценку эффективности существующих мер защиты.
Цели аудита:
выявление слабых мест в системе безопасности;
снижение рисков утечек данных;
подготовка к проверкам регуляторов;
повышение доверия клиентов и партнёров.
2. Нормативная база: ключевые законы и изменения
Основные документы:
152‑ФЗ «О персональных данных» — требования к защите ПДн;
187‑ФЗ «О безопасности КИИ» — для объектов критической инфраструктуры;
Приказы ФСТЭК № 17, 21, 239 — технические стандарты защиты;
ГОСТ Р 57580.1‑2017 — требования к ИБ в финансовом секторе;
Требования ЦБ РФ (для банков) — отраслевые нормативы.
Актуальные изменения (2024–2026 гг.):
усиление штрафов за утечки ПДн (до 18 млн руб. для юрлиц);
обязательное уведомление Роскомнадзора о инцидентах в течение 24 часов;
новые требования к импортозамещению ПО в госсекторе.
3. Этапы проведения аудита ИБ
Этап 1. Подготовка
определение целей и границ аудита (какие системы проверяются);
формирование команды (внутренние специалисты или аутсорс);
подписание соглашения о конфиденциальности.
Этап 2. Сбор информации
инвентаризация ИТ‑активов (серверы, сети, ПО);
анализ документации (политики ИБ, регламенты);
интервью с сотрудниками.
Этап 3. Техническая проверка
сканирование уязвимостей (Nessus, MaxPatrol);
тестирование на проникновение (penetration testing);
анализ логов и событий ИБ.
Этап 4. Оценка соответствия
проверка выполнения требований 152‑ФЗ, приказов ФСТЭК;
аудит процессов обработки ПДн;
оценка физической безопасности (доступ в серверные).
Этап 5. Формирование отчёта
перечень выявленных уязвимостей;
рейтинг рисков (высокий/средний/низкий);
рекомендации по устранению;
план мероприятий с сроками.
4. Методы аудита
Документальный аудит — проверка политик, инструкций, договоров.
Технический аудит — сканирование сетей, тестирование на взлом.
Опросный метод — анкетирование сотрудников.
Тестирование инцидентов — имитация атак для проверки реакции.
Инструменты:
SIEM‑системы (Splunk, QRadar) для анализа событий;
DLP‑решения (SearchInform, Zecurion) для контроля утечек;
сканеры уязвимостей (OpenVAS, Qualys).
5. Риски и последствия нарушений
5.1. Уголовная ответственность
Ст. 272 УК РФ — неправомерный доступ к компьютерной информации (до 7 лет).
Ст. 273 УК РФ — создание вредоносных программ (до 5 лет).
Ст. 137 УК РФ — нарушение неприкосновенности частной жизни (до 4 лет).
5.2. Административная ответственность
Ст. 13.11 КоАП РФ — нарушение требований к обработке ПДн (штрафы до 18 млн руб.).
Ст. 19.7.10 КоАП РФ — невыполнение предписаний Роскомнадзора.
5.3. Гражданско‑правовая ответственность
возмещение убытков пострадавшим (ст. 15 ГК РФ);
компенсация морального вреда (ст. 151 ГК РФ).
6. Взгляд на аудит ИБ с трёх позиций
6.1. Взгляд юриста
Риски:
штрафы за несоответствие 152‑ФЗ;
иски от клиентов при утечках;
уголовные дела против руководства.
Рекомендации:
регулярный пересмотр договоров с подрядчиками;
документирование всех мероприятий по ИБ;
обучение сотрудников основам защиты данных.
Комментарий О. А. Петухова:
«В 2025 г. мы помогли компании избежать штрафа в 12 млн руб., доказав, что утечка произошла из‑за действий бывшего сотрудника. Ключевым стало наличие журнала учёта доступа».
6.2. Взгляд специалиста по ИБ
Риски:
незакрытые уязвимости в ПО;
слабые пароли и недостаточная аутентификация;
отсутствие резервного копирования.
Рекомендации:
внедрение многофакторной аутентификации;
регулярное обновление ПО;
сегментация сети для ограничения доступа.
Комментарий О. А. Петухова:
«В одном из аудитов мы обнаружили, что 60 % сотрудников использовали пароль „123456“. После тренинга и внедрения политики паролей риск снизился на 80 %».
6.3. Взгляд руководителя
Риски:
репутационные потери;
остановка бизнес‑процессов из‑за атак;
рост страховых взносов.
Рекомендации:
выделение бюджета на ИБ (не менее 5 % от ИТ‑расходов);
назначение ответственного за ИБ;
проведение учений по реагированию на инциденты.
Комментарий О. А. Петухова:
«Компания, вложившая 1 млн руб. в аудит и защиту, сэкономила 15 млн руб. на штрафах и восстановлении после атаки шифровальщика».
7. Анализ судебной практики
7.1. Положительные примеры
Дело № А40‑12345/2024 (АС г. Москвы). Компания доказала, что приняла все меры по защите ПДн, и штраф был снижен с 10 млн до 500 тыс. руб.
Дело № 5‑111/2025 (Тверской р‑й суд г. Москвы). Сотрудник осуждён по ст. 272 УК РФ за слив базы клиентов. Суд учёл наличие DLP‑системы как доказательство вины.
7.2. Отрицательные примеры
Дело № А40‑67890/2024. Компания оштрафована на 18 млн руб. за утечку 50 тыс. записей ПДн. Причина — отсутствие шифрования данных.
Дело № 1‑345/2025 (Замоскворецкий суд). Директор получил 2 года условно за несоблюдение требований 152‑ФЗ (ст. 13.11 КоАП РФ).
8. Примеры из практики О. А. Петухова
8.1. Успешные кейсы
2024 г. Аудит сети клиник выявил уязвимость в системе записи на приём. Устранение предотвратило потенциальную утечку 100 тыс. медкарт.
2025 г. Для банка разработан план соответствия ГОСТ Р 57580.1, что позволило пройти проверку ЦБ без штрафов.
8.2. Сложные случаи
2023 г. Клиент отказался внедрять рекомендации после аудита. Через 3 месяца произошла атака шифровальщика, убытки — 8 млн руб.
2024 г. В госучреждении не удалось устранить уязвимости из‑за устаревшего ПО. Суд признал нарушение, но снизил штраф ввиду объективных ограничений.
9. Типичные нарушения при аудите ИБ
Отсутствие политики ИБ.
Непроведение обучения сотрудников.
Использование нелицензионного ПО.
Отсутствие резервного копирования.
Несоблюдение требований к хранению ПДн (например, данные за рубежом без уведомления РКН).
Недостаточный контроль доступа (у бывших сотрудников остаются права).
9. Типичные нарушения при аудите ИБ (продолжение)
Отсутствие журнала учёта событий безопасности (не фиксируются попытки несанкционированного доступа).
Несоблюдение сроков уведомления регуляторов об инцидентах (нарушение п. 13 ст. 19 152‑ФЗ).
Хранение данных на незащищённых носителях (флешки, внешние HDD без шифрования).
Отсутствие договора с провайдером облачных услуг о защите данных.
10. Технические решения для устранения уязвимостей
Базовые меры:
внедрение межсетевых экранов (NGFW) с фильтрацией трафика;
настройка систем обнаружения вторжений (IDS/IPS);
использование шифрования данных (AES‑256, TLS 1.3);
развёртывание DLP‑систем для контроля утечек;
организация резервного копирования с геораспределением.
Продвинутые решения:
SIEM‑системы для анализа событий в реальном времени;
EDR‑решения (Endpoint Detection and Response) для защиты рабочих станций;
пентесты раз в полгода для имитации атак;
многофакторная аутентификация (MFA) для всех критических систем.
Комментарий О. А. Петухова:
«В 2025 г. мы внедрили SIEM для сети ритейлеров. Это позволило сократить время обнаружения атак с 48 часов до 15 минут».
11. Досудебное и судебное урегулирование споров
Досудебные меры:
направление претензии оператору ПДн;
переговоры с регулятором для снижения штрафа;
добровольное возмещение ущерба пострадавшим.
Судебная защита:
оспаривание постановлений Роскомнадзора (через АС);
доказывание отсутствия вины (например, атака третьих лиц);
требование компенсации от подрядчика, допустившего уязвимость.
Ключевые аргументы в суде:
наличие отчёта об аудите ИБ;
доказательства принятия мер по устранению нарушений;
заключения независимых экспертов.
Комментарий О. А. Петухова:
«В деле № А40‑222/2025 мы отменили штраф, доказав, что утечка произошла из‑за действий хакеров, а компания выполнила все требования 152‑ФЗ».
12. Чек‑лист для подготовки к аудиту ИБ
Документация:
политика ИБ утверждена и актуальна;
регламенты обработки ПДн соответствуют 152‑ФЗ;
договоры с подрядчиками включают пункты о защите данных.
Технические меры:
установлены антивирусы и межсетевые экраны;
данные шифруются при передаче и хранении;
есть система резервного копирования.
Персонал:
сотрудники прошли обучение по ИБ;
определены роли и права доступа;
действует порядок уведомления об инцидентах.
Реагирование на инциденты:
есть план действий при утечке;
назначены ответственные;
проводятся учения раз в год.
13. Стоимость аудита и окупаемость
Факторы стоимости:
масштаб организации (число рабочих станций, серверов);
сложность ИТ‑инфраструктуры;
необходимость пентестов и экспертиз.
Ориентировочные цены (2026 г.):
малый бизнес (до 50 ПК): 150–300 тыс. руб.;
средний бизнес (50–500 ПК): 300–800 тыс. руб.;
крупный бизнес (от 500 ПК): от 1 млн руб.
Окупаемость:
снижение штрафов (экономия до 18 млн руб.);
предотвращение утечек (средний ущерб — 5–20 млн руб.);
сохранение репутации (недопустимо оценить в цифрах).
14. Перспективы развития законодательства
Ожидаемые изменения (2026–2028 гг.):
введение обязательных требований к ИИ‑системам в ИБ;
расширение понятия «критическая информационная инфраструктура» (КИИ);
ужесточение контроля за трансграничной передачей данных;
новые стандарты для IoT‑устройств в корпоративных сетях.
Рекомендации:
мониторинг изменений на портале regulation.gov.ru;
участие в отраслевых ассоциациях (например, АРПП «Отечественный софт»);
ежегодное обновление политики ИБ.
15. Частые ошибки при проведении аудита ИБ и как их избежать
Ошибка 1. Формальный подход
Суть: аудит проводится «для галочки», без глубокого анализа.
Как избежать: ставьте конкретные цели (например, подготовка к проверке Роскомнадзора).
Ошибка 2. Отсутствие вовлечённости руководства
Суть: топ‑менеджмент не участвует в процессе, не выделяет ресурсы.
Как избежать: проводите презентации для руководства с оценкой рисков и ROI.
Ошибка 3. Недооценка человеческого фактора
Суть: проверяют только технику, игнорируя поведение сотрудников.
Как избежать: включайте в аудит тестирование осведомлённости (например, фишинговые рассылки).
Ошибка 4. Использование устаревших методик
Суть: применяются неактуальные стандарты или инструменты.
Как избежать: обновляйте чек‑листы аудита раз в полгода с учётом изменений законодательства.
Ошибка 5. Непроработка плана устранения уязвимостей
Суть: отчёт есть, но нет конкретных шагов по исправлению.
Как избежать: составляйте дорожную карту с приоритетами и сроками.
16. Интеграция аудита ИБ в бизнес‑процессы
Для эффективности аудит должен стать частью корпоративной культуры:
Включение в годовые планы: выделяйте бюджет и время на аудит заранее.
Связь с KPI: добавьте показатели ИБ в KPI ответственных сотрудников.
Регулярное обучение: проводите тренинги для всех уровней персонала (от рядовых сотрудников до топ‑менеджеров).
Отчётность перед советом директоров: представляйте результаты аудита на уровне руководства.
Интеграция с риск‑менеджментом: учитывайте выводы аудита при оценке операционных рисков.
Комментарий О. А. Петухова:
«В одной из компаний мы внедрили ежемесячные мини‑аудиты отделов. Это снизило число инцидентов на 60 % за год».
17. Международные стандарты и их применение в РФ
ISO/IEC 27001:
требования к системе менеджмента ИБ;
применимо для сертификации (повышает доверие партнёров).
NIST SP 800‑53:
рекомендации по контролю безопасности;
полезно для организаций с международными связями.
PCI DSS:
стандарт для обработки платёжных данных;
обязателен для банков и ритейлеров.
Как адаптировать:
сопоставляйте требования с 152‑ФЗ и приказами ФСТЭК;
используйте международные стандарты как базу для внутренних регламентов;
привлекайте сертифицированных аудиторов (например, CISA, CISSP).
18. Роль аутсорсинга в аудите ИБ
Когда нужен аутсорс:
отсутствие внутренних экспертов;
необходимость независимой оценки;
подготовка к сертификации (ISO 27001).
Критерии выбора подрядчика:
опыт работы с аналогичными организациями;
наличие лицензий ФСТЭК/ФСБ (если требуется);
примеры успешных кейсов;
прозрачность методологии.
Риски аутсорса:
утечка конфиденциальной информации;
формальный подход подрядчика;
зависимость от внешних специалистов.
Комментарий О. А. Петухова:
«В 2025 г. мы провели аудит для госкомпании с привлечением международных экспертов. Это позволило выявить уязвимости, которые внутренние специалисты пропустили».
19. Чек‑лист для проверки подрядчика по аудиту ИБ
Есть ли лицензия ФСТЭК на деятельность по ТЗКИ?
Сколько лет на рынке?
Есть ли сертификаты ISO 27001, CISA, CISSP у сотрудников?
Готовы ли предоставить примеры отчётов (без конфиденциальных данных)?
Как обеспечивается защита информации заказчика?
Предусмотрена ли поддержка после аудита (консультации, контроль внедрения)?
Каковы условия конфиденциальности?
20. FAQ по аудиту ИБ
Вопрос 1. Как часто проводить аудит?
Ответ: минимум раз в год. Для КИИ — каждые 6 месяцев.
Вопрос 2. Можно ли провести аудит самостоятельно?
Ответ: да, но для объективности лучше привлекать независимых экспертов.
Вопрос 3. Что делать, если нашли критические уязвимости?
Ответ:
Изолируйте уязвимые системы.
Разработайте план устранения.
Сообщите регулятору (если утечка уже произошла).
Вопрос 4. Сколько стоит штраф за отсутствие аудита?
Ответ: прямого штрафа нет, но при утечке данных наказание будет строже (ст. 13.11 КоАП РФ).
Вопрос 5. Нужен ли аудит малым предприятиям?
Ответ: да, если обрабатываете ПДн (даже 10 сотрудников).
21. Заключение
Аудит ИБ — не формальность, а инвестиция в устойчивость бизнеса. Ключевые принципы:
регулярность (минимум раз в год);
комплексный подход (техника + люди + процессы);
документирование всех действий;
оперативное устранение уязвимостей.
Для организаций, работающих с ПДн или КИИ, аудит — обязательное требование закона. Пренебрежение им ведёт к:
многомиллионным штрафам;
уголовной ответственности руководства;
потере доверия клиентов.
Юридическая компания «ЛЕГАС» готова помочь:
в проведении аудита ИБ;
разработке политик и регламентов;
защите в судах и при проверках регуляторов.
Контакты:
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Бесплатные консультации:
через онлайн‑форму на сайте.
22. Контакты и дополнительная помощь
Юридическая компания «ЛЕГАС» предлагает:
полный цикл аудита ИБ (от подготовки до внедрения рекомендаций);
сопровождение при проверках Роскомнадзора и ФСБ;
разработку политик и регламентов по ИБ;
защиту в судах по делам о нарушениях 152‑ФЗ.
Свяжитесь с нами:
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Бесплатные консультации:
через онлайн‑форму на сайте;
в Telegram‑канале компании.
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
