Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
12 доказательств ИБ для аудита: чек-лист готовности, на котором средний бизнес чаще всего проседает
13.01.2023
21/04/25
Б-152
Проверка регулятора или требование контрагента о прохождении аудита информационной безопасности давно перестали быть формальностью. Сегодня это комплексная оценка зрелости компании, ее способности защищать свои и клиентские данные.
«Диалог с регуляторами» на SOC Forum 2025 осветил статистику результатов государственного контроля, в ходе которого было выявлено более 1,1 тыс. нарушений в сфере информационной безопасности. Объектам КИИ по итогам проверок было направлено свыше 2 тыс. требований для соответствия законодательству в области объектов КИИ.
В связи с этим, регуляторы окончательно перешли от предупредительной риторики к жестким санкциям. Штрафы кратно выросли:
- до 700 тыс. ₽ для юридических лиц за отсутствие согласия на обработку персональных данных;
- до 6 млн. ₽ за нарушения хранения данных;
- до 3 млн. ₽ за несвоевременное уведомление Роскомнадзора об утечках.
Для компаний, являющихся владельцами ЗОКИИ, Минцифры сообщили о вводе оборотных штрафов, которые будут накладываться в случае не перехода на российское программное обеспечение к 2028 году.
Особенно уязвимым оказывается средний бизнес, который часто не имеет выделенного ИБ-специалиста. Согласно исследованиям ИТ-Компании «Киберпротект» и платформы «Работа.ру», лишь 28% средних предприятий имеют в штате специалиста по информационной безопасности, 13% - полноценную команду ИБшников.
Остальная статистика показывает, что у 31% компаний ответственность за информационную безопасность перекладывается на ИТ-специалистов, системных администраторов или даже офис-менеджеров, 15% делегируют ИБ подрядчикам, а оставшиеся 13% вовсе не обеспечены информационной безопасностью.
Именно на таких разрывах между «что должно быть» и «что реально работает» мы регулярно делаем разборы в нашем Telegram-канале: с практикой проверок, типовыми ошибками и короткими комментариями.
Содержание
Содержание
1. Модель угроз безопасности информации
Это основополагающий документ, на основании которого выстраивается вся система защиты. Без Модели угроз невозможно составить Техническое задание на создание системы защиты и, как следствие, обосновать выбор тех или иных средств защиты.
Что проверяют: наличие актуальной модели угроз, разработанной в соответствии с требованиями ФСТЭК России. В документе должны быть определены актуальные угрозы (с учетом Банка данных угроз ФСТЭК), проведена оценка возможностей нарушителя и учтены все изменения в информационной системе. Также проверяется наличие акта классификации ИС с утвержденным уровнем защищенности.
Где средний бизнес проваливается: 40% субъектов КИИ демонстрируют низкий уровень защищенности, 47% - критический, и только у 13% достигнут минимальный базовый уровень ─ сообщает заместитель начальника отдела 9-го управления ФСТЭК Андрей Булгаков. Более 80% нарушений в сфере защиты КИИ, выявленных ФСТЭК, носят типовой характер, в их числе формальный подход к разработке организационно-распорядительной документации.
Компании либо скачивают шаблонный документ из интернета, не адаптируя его под свою инфраструктуру, либо разрабатывают модель один раз и забывают о ней на годы.
Что проверяют: наличие актуальной модели угроз, разработанной в соответствии с требованиями ФСТЭК России. В документе должны быть определены актуальные угрозы (с учетом Банка данных угроз ФСТЭК), проведена оценка возможностей нарушителя и учтены все изменения в информационной системе. Также проверяется наличие акта классификации ИС с утвержденным уровнем защищенности.
Где средний бизнес проваливается: 40% субъектов КИИ демонстрируют низкий уровень защищенности, 47% - критический, и только у 13% достигнут минимальный базовый уровень ─ сообщает заместитель начальника отдела 9-го управления ФСТЭК Андрей Булгаков. Более 80% нарушений в сфере защиты КИИ, выявленных ФСТЭК, носят типовой характер, в их числе формальный подход к разработке организационно-распорядительной документации.
Компании либо скачивают шаблонный документ из интернета, не адаптируя его под свою инфраструктуру, либо разрабатывают модель один раз и забывают о ней на годы.
Что делать: провести актуализацию модели угроз с учетом реальной инфраструктуры, привлечь сертифицированных специалистов или лицензиата ФСТЭК для независимого аудита.
2. Сертифицированные средства защиты информации
Регулятор в первую очередь запросит документы, подтверждающие легитимность используемых средств защиты информации. В соответствии с Указом Президента Р Ф от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» с 1 января 2025 года вступил в силу запрет на использование средств защиты информации, происходящие из недружественных государств, либо производителями которых являются организации, находящиеся под их юрисдикцией, прямо или косвенно подконтрольные им либо аффилированные с ними.
Что проверяют: перечень используемых средств защиты информации, действующие сертификаты соответствия ФСТЭК/ФСБ, соответствие версий СЗИ сертифицированным, сроки действия сертификатов, наличие эталонных дистрибутивов и эксплуатационной документации.
Где средний бизнес проваливается: многие компании продолжают использовать зарубежные средства защиты, срок замены которых истек. ФСТЭК прямо указывает на «применение средств защиты информации, странами происхождения которых являются недружественные страны» как на типовое нарушение. Также часто встречается несоответствие классов средств защиты установленным требованиям или отсутствие контроля за сроками действия сертификатов.
Что проверяют: перечень используемых средств защиты информации, действующие сертификаты соответствия ФСТЭК/ФСБ, соответствие версий СЗИ сертифицированным, сроки действия сертификатов, наличие эталонных дистрибутивов и эксплуатационной документации.
Где средний бизнес проваливается: многие компании продолжают использовать зарубежные средства защиты, срок замены которых истек. ФСТЭК прямо указывает на «применение средств защиты информации, странами происхождения которых являются недружественные страны» как на типовое нарушение. Также часто встречается несоответствие классов средств защиты установленным требованиям или отсутствие контроля за сроками действия сертификатов.
Что делать: провести актуализацию модели угроз с учетом реальной инфраструктуры, привлечь сертифицированных специалистов или лицензиата ФСТЭК для независимого аудита.
3. Политика обработки персональных данных и согласия субъектов
Это первое, на что смотрит Роскомнадзор при документарной проверке. Отсутствие или неактуальность политики ─ гарантированный штраф.
Что проверяют: наличие утвержденной Политики в отношении обработки персональных данных, ее публикацию на официальном сайте (при наличии), конкретные цели и перечень обрабатываемых ПДн, правовые основания и сроки хранения. Также проверяется оформление согласий субъектов ─ они должны быть конкретными, информативными и, с 1 сентября 2025 года, оформляться отдельно от других документов, согласно поправкам, внесенным Федеральным законом от 24 июня 2025 года № 156-ФЗ в статью 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Где средний бизнес проваливается: большинство нарушений Роскомнадзора связаны именно с организационными ошибками: отсутствием документов, неправильным оформлением согласий и нарушением принципов обработки.
Типичная ошибка ─ одно общее согласие на все цели обработки (трудовые и маркетинговые) вместо отдельных форм. Часто в качестве правового основания указывается только 152-ФЗ, без ссылок на отраслевые НПА и локальные акты.
Еще одна проблема ─ неуказание конкретных сроков хранения персональных данных и отсутствие порядка их уничтожения.
Что проверяют: наличие утвержденной Политики в отношении обработки персональных данных, ее публикацию на официальном сайте (при наличии), конкретные цели и перечень обрабатываемых ПДн, правовые основания и сроки хранения. Также проверяется оформление согласий субъектов ─ они должны быть конкретными, информативными и, с 1 сентября 2025 года, оформляться отдельно от других документов, согласно поправкам, внесенным Федеральным законом от 24 июня 2025 года № 156-ФЗ в статью 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Где средний бизнес проваливается: большинство нарушений Роскомнадзора связаны именно с организационными ошибками: отсутствием документов, неправильным оформлением согласий и нарушением принципов обработки.
Типичная ошибка ─ одно общее согласие на все цели обработки (трудовые и маркетинговые) вместо отдельных форм. Часто в качестве правового основания указывается только 152-ФЗ, без ссылок на отраслевые НПА и локальные акты.
Еще одна проблема ─ неуказание конкретных сроков хранения персональных данных и отсутствие порядка их уничтожения.
Что делать: провести аудит всех форм согласий, разделить их по целям обработки, актуализировать политику, проверить уведомление в реестре Роскомнадзора.
4. Уведомление Роскомнадзора и актуальность реестра
Согласно ч.10 ст. 13.11 КоАП РФ, оператор обязан уведомить уполномоченный орган о намерении осуществлять обработку персональных данных. Многие организации не направляют уведомление или делают это один раз при создании компании, забывая об актуализации.
Что проверяют: наличие уведомления о намерении осуществлять обработку персональных данных, его актуальность (соответствие фактическому составу данных, целям, контрагентам), своевременное внесение изменений.
Где средний бизнес проваливается: по данным Роскомнадзора, компании систематически допускают ошибки в уведомлениях: не указывают все цели обработки, не перечисляют филиалы и подразделения, неверно указывают правовые основания. Штраф за несвоевременное уведомление достигает 300 000 ₽. Многие средние компании не знают, что при изменении состава данных, целей, контрагентов или места хранения нужно подавать обновленное уведомление.
Что проверяют: наличие уведомления о намерении осуществлять обработку персональных данных, его актуальность (соответствие фактическому составу данных, целям, контрагентам), своевременное внесение изменений.
Где средний бизнес проваливается: по данным Роскомнадзора, компании систематически допускают ошибки в уведомлениях: не указывают все цели обработки, не перечисляют филиалы и подразделения, неверно указывают правовые основания. Штраф за несвоевременное уведомление достигает 300 000 ₽. Многие средние компании не знают, что при изменении состава данных, целей, контрагентов или места хранения нужно подавать обновленное уведомление.
Что делать: проверить актуальность записи в реестре операторов персональных данных, подать информационное письмо при изменениях.
5. Локально нормативные акты по ИБ
Приказы, инструкции, журналы ─ это скелет системы управления ИБ. Их отсутствие ─ прямой путь к предписаниям.
Что проверяют: приказ о назначении ответственного за обеспечение безопасности персональных данных, инструкции для работников, ознакомление сотрудников с локальными актами под роспись, соглашения о неразглашении, журналы учета СрЗИ, машинных носителей, инструктажей, инцидентов, поэкземплярного учета СКЗИ и т. д.
Где средний бизнес проваливается: у большинства операторов отсутствуют акты внутренних проверок и аудитов, журналы инструктажей сотрудников, приказы о назначении ответственных и допуске к ПДн.
Типичная картина: журналы заведены, но не заполняются, инструкции разработаны, но сотрудники с ними не ознакомлены. Проблемы усугубляются отсутствием связности ИБ- и бизнес-процессов: специалисты по ИБ зачастую не знают специфики производственных систем и не имеют доступа к информации о них.
Что проверяют: приказ о назначении ответственного за обеспечение безопасности персональных данных, инструкции для работников, ознакомление сотрудников с локальными актами под роспись, соглашения о неразглашении, журналы учета СрЗИ, машинных носителей, инструктажей, инцидентов, поэкземплярного учета СКЗИ и т. д.
Где средний бизнес проваливается: у большинства операторов отсутствуют акты внутренних проверок и аудитов, журналы инструктажей сотрудников, приказы о назначении ответственных и допуске к ПДн.
Типичная картина: журналы заведены, но не заполняются, инструкции разработаны, но сотрудники с ними не ознакомлены. Проблемы усугубляются отсутствием связности ИБ- и бизнес-процессов: специалисты по ИБ зачастую не знают специфики производственных систем и не имеют доступа к информации о них.
Что делать: провести ревизию ЛНА, актуализировать приказы, обеспечить реальное ознакомление сотрудников и регулярное обучение, наладить регулярное заполнение журналов.
6. Реализация парольной политики и многофакторной аутентификации
Это базовый технический контроль, который часто игнорируется, но при этом является критическим с точки зрения реальной защищенности.
Что проверяют: наличие утвержденной парольной политики, требования к сложности и сменяемости паролей, запрет на переиспользование, реализацию многофакторной аутентификации для привилегированных пользователей.
Где средний бизнес проваливается: отсутствие парольной политики занимает первое место в топе нарушений по версии аудиторов. Слабые пароли вроде «123456», их переиспользование, небезопасное хранение в открытых мессенджерах ─ стандартная практика. По итогам 2 квартала 2025 года отсутствие механизмов противодействия подбору учетных записей и паролей вошло в топ-3 уязвимостей и выявлено у 58% компаний среднего бизнеса, согласно статистике компании «Нейроинформ». ФСТЭК называет нереализацию многофакторной аутентификации среди топ-5 недостатков, приводящих к критическому уровню защищенности.
Что проверяют: наличие утвержденной парольной политики, требования к сложности и сменяемости паролей, запрет на переиспользование, реализацию многофакторной аутентификации для привилегированных пользователей.
Где средний бизнес проваливается: отсутствие парольной политики занимает первое место в топе нарушений по версии аудиторов. Слабые пароли вроде «123456», их переиспользование, небезопасное хранение в открытых мессенджерах ─ стандартная практика. По итогам 2 квартала 2025 года отсутствие механизмов противодействия подбору учетных записей и паролей вошло в топ-3 уязвимостей и выявлено у 58% компаний среднего бизнеса, согласно статистике компании «Нейроинформ». ФСТЭК называет нереализацию многофакторной аутентификации среди топ-5 недостатков, приводящих к критическому уровню защищенности.
Что делать: внедрить MFA, утвердить парольную политику, проводить регулярный аудит учетных записей.
7. Управление уязвимостями и обновление ПО
Устаревшее ПО ─ открытая дверь для злоумышленников. Аудиторы всегда проверяют процесс управления уязвимостями.
Что проверяют: регулярность проведения мероприятий по выявлению и анализу уязвимостей, своевременность установки обновлений безопасности, наличие уязвимого ПО на объектах защиты, актуальность антивирусных баз.
Где средний бизнес проваливается: непроведение мероприятий по выявлению и анализу уязвимостей ─ одно из самых частых нарушений по данным ФСТЭК. Компании намеренно игнорируют обновления, опасаясь потери привычного функционала или несовместимости. При этом, когда выходит новая версия, разработчик прекращает исправлять уязвимости в старой, и количество «дыр» возрастает.
Отсутствие обновления антивирусных баз также входит в перечень типовых нарушений ФСТЭК. В 2025 году использование уязвимого ПО выявлено у 19% средних компаний
Что проверяют: регулярность проведения мероприятий по выявлению и анализу уязвимостей, своевременность установки обновлений безопасности, наличие уязвимого ПО на объектах защиты, актуальность антивирусных баз.
Где средний бизнес проваливается: непроведение мероприятий по выявлению и анализу уязвимостей ─ одно из самых частых нарушений по данным ФСТЭК. Компании намеренно игнорируют обновления, опасаясь потери привычного функционала или несовместимости. При этом, когда выходит новая версия, разработчик прекращает исправлять уязвимости в старой, и количество «дыр» возрастает.
Отсутствие обновления антивирусных баз также входит в перечень типовых нарушений ФСТЭК. В 2025 году использование уязвимого ПО выявлено у 19% средних компаний
Что делать: внедрить процесс регулярного сканирования уязвимостей, настроить автоматическое обновление антивирусных баз, запланировать обновление критичного ПО.
8. Журналирование и мониторинг событий ИБ
Без логов нет доказательств. Это один из ключевых принципов современного аудита: «нет лога ─ не было защиты».
Что проверяют: функционирование системы регистрации событий безопасности, полноту и сохранность журналов, централизованный сбор событий, порядок реагирования на инциденты.
Где средний бизнес проваливается: эпизодический мониторинг защищенности вместо постоянного ─ характерная проблема среднего бизнеса, провоцирующая эксплуатацию уязвимостей. Администрирование часто осуществляется с рабочих мест, находящихся в корпоративных сетях с выходом в Интернет, без реализованных мер безопасности. Отсутствие документа с порядком реагирования на инциденты и централизованного сбора событий безопасности также находится в топе недостатков по версии ФСТЭК.
Что проверяют: функционирование системы регистрации событий безопасности, полноту и сохранность журналов, централизованный сбор событий, порядок реагирования на инциденты.
Где средний бизнес проваливается: эпизодический мониторинг защищенности вместо постоянного ─ характерная проблема среднего бизнеса, провоцирующая эксплуатацию уязвимостей. Администрирование часто осуществляется с рабочих мест, находящихся в корпоративных сетях с выходом в Интернет, без реализованных мер безопасности. Отсутствие документа с порядком реагирования на инциденты и централизованного сбора событий безопасности также находится в топе недостатков по версии ФСТЭК.
Что делать: настроить централизованный сбор логов, выделить изолированное рабочее место для администрирования, разработать регламент реагирования на инциденты.
9. Резервное копирование и восстановление
Резервные копии должны не просто создаваться, но и быть реально пригодными для восстановления в случае инцидента.
Что проверяют: наличие регламента резервного копирования, регулярность создания копий, защищенность хранения копий, периодическое тестирование восстановления.
Где средний бизнес проваливается: хранение резервных копий в одной среде с производственными системами ─ критическая ошибка, создающая риск полной потери возможности восстановления после атаки. Многие компании уверены, что бэкапы делаются, но не проверяют их целостность и пригодность к восстановлению.
Что проверяют: наличие регламента резервного копирования, регулярность создания копий, защищенность хранения копий, периодическое тестирование восстановления.
Где средний бизнес проваливается: хранение резервных копий в одной среде с производственными системами ─ критическая ошибка, создающая риск полной потери возможности восстановления после атаки. Многие компании уверены, что бэкапы делаются, но не проверяют их целостность и пригодность к восстановлению.
Что делать: обеспечить физическое или логическое отделение резервных копий от основных систем, внедрить регулярное тестирование восстановления.
10. Контроль доступа к информационным ресурсам
Права доступа должны соответствовать должностным обязанностям и предоставляться работнику в соответствии с выполняемыми им задачами, а также своевременно пересматриваться.
Что проверяют: соответствие фактических прав доступа матрице доступа, своевременность блокировки учетных записей уволенных сотрудников, отсутствие «мусорных» и неиспользуемых учетных записей.
Где средний бизнес проваливается: каталог пользователей часто заполнен «мусорными» учетными записями уволенных сотрудников, доступы не отзываются своевременно, права доступа выдаются избыточно. Это не просто формальное нарушение ─ около трети успешных кибератак на российские компании начинались именно с компрометации профилей.
Что проверяют: соответствие фактических прав доступа матрице доступа, своевременность блокировки учетных записей уволенных сотрудников, отсутствие «мусорных» и неиспользуемых учетных записей.
Где средний бизнес проваливается: каталог пользователей часто заполнен «мусорными» учетными записями уволенных сотрудников, доступы не отзываются своевременно, права доступа выдаются избыточно. Это не просто формальное нарушение ─ около трети успешных кибератак на российские компании начинались именно с компрометации профилей.
Что делать: провести ревизию всех учетных записей, внедрить регулярную процедуру пересмотра прав доступа, автоматизировать блокировку при увольнении.
11. Контроль подрядчиков и третьих лиц
Ответственность за действия подрядчиков, имеющих доступ к информационным системам, лежит на самой организации.
Что проверяют: наличие договоров с подрядчиками, содержащих требования по защите информации, контроль выполнения подрядчиками ИБ-требований, наличие соглашений о неразглашении.
Где средний бизнес проваливается: компании заключают договоры, но не проверяют реальное соблюдение подрядчиками требований ИБ. Регулятор тревожит рост числа атак на КИИ через подрядчиков, а также халатное отношение таких партнеров к собственной безопасности.
Что проверяют: наличие договоров с подрядчиками, содержащих требования по защите информации, контроль выполнения подрядчиками ИБ-требований, наличие соглашений о неразглашении.
Где средний бизнес проваливается: компании заключают договоры, но не проверяют реальное соблюдение подрядчиками требований ИБ. Регулятор тревожит рост числа атак на КИИ через подрядчиков, а также халатное отношение таких партнеров к собственной безопасности.
Что делать: включить в договоры с подрядчиками конкретные требования по ИБ, проводить периодический аудит их соблюдения, ограничить доступ подрядчиков минимально необходимым.
12. Учет ИТ-активов и актуальность сведений о системе
Невозможно защитить то, о чем вы не знаете. Полноценный учет активов ─ основа любой системы ИБ.
Что проверяют: соответствие фактического состава информационных систем заявленному в документации, полноту инвентаризации ИТ-активов, наличие неучтенных систем и устройств («теневые активы»).
Где средний бизнес проваливается: на многих предприятиях отсутствует полноценный учет ИТ-активов, и специалисты по ИБ при всем желании не могут предусмотреть все слабые места. Для субъектов КИИ критично несоответствие фактического состава значимых объектов сведениям, включенным в реестр.
Что проверяют: соответствие фактического состава информационных систем заявленному в документации, полноту инвентаризации ИТ-активов, наличие неучтенных систем и устройств («теневые активы»).
Где средний бизнес проваливается: на многих предприятиях отсутствует полноценный учет ИТ-активов, и специалисты по ИБ при всем желании не могут предусмотреть все слабые места. Для субъектов КИИ критично несоответствие фактического состава значимых объектов сведениям, включенным в реестр.
Что делать: провести полную инвентаризацию ИТ-активов, выявить теневые системы, актуализировать сведения в реестрах, внедрить процесс регулярного учета изменений инфраструктуры.
Заключение
Регулярное прохождение данного чек-листа ─ эффективный инструмент оперативного управления рисками в области информационной безопасности. Особенно для среднего бизнеса, где ресурсы ограничены, а ставки высоки.
Если в процессе самопроверки выявились области, требующие профессиональной оценки, наша компания готова оказать комплексную поддержку. Мы проводим независимый аудит вашей информационной инфраструктуры на соответствие требованиям ФСТЭК, ФСБ и Роскомнадзора, а также помогаем в разработке и приведении в порядок всей необходимой документации ─ от модели угроз до регламентов эксплуатации СрЗИ.
Если в процессе самопроверки выявились области, требующие профессиональной оценки, наша компания готова оказать комплексную поддержку. Мы проводим независимый аудит вашей информационной инфраструктуры на соответствие требованиям ФСТЭК, ФСБ и Роскомнадзора, а также помогаем в разработке и приведении в порядок всей необходимой документации ─ от модели угроз до регламентов эксплуатации СрЗИ.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Материалы по теме