Аудит информационной безопасности: виды, стоимость и как выбрать подрядчика
10 мая 2025 · 10 мин чтения · System Networks
Большинство компаний узнают об уязвимостях своей инфраструктуры после инцидента, а не до. Аудит информационной безопасности — это способ узнать о проблемах первым, пока ими не воспользовались злоумышленники.
Что такое аудит информационной безопасности
Аудит ИБ — систематическая проверка IT-инфраструктуры, процессов и документации компании с целью выявить уязвимости, оценить соответствие требованиям регуляторов и определить приоритеты для улучшения защиты.
Важно понимать: аудит ИБ — это не одна процедура, а семейство разных видов проверок с разными целями, методологиями и результатами. Путаница между ними приводит к тому, что компании заказывают не то, что им нужно.
Типичная ошибка
Компания заказывает «аудит безопасности» и получает сканирование уязвимостей на 2 дня за 50 000 рублей. Это не аудит — это скрининг. Реальный аудит занимает недели и стоит в 5–10 раз дороже. Но и пользы в 50 раз больше.
Виды аудита ИБ: что выбрать
Технический аудит (оценка защищённости)
- ·Сканирование периметра и внутренней сети
- ·Анализ конфигураций ОС, СУБД, сетевого оборудования
- ·Проверка парольных политик и управления доступом
- ·Инвентаризация ПО и выявление устаревших версий
Результат: Отчёт об уязвимостях с CVSS-оценками и приоритетами устранения
Для кого: Все компании с IT-инфраструктурой
Аудит соответствия регуляторным требованиям
- ·Проверка на соответствие 152-ФЗ / 187-ФЗ / ГИС
- ·Анализ организационной и технической документации
- ·Оценка применяемых СЗИ на наличие сертификатов ФСТЭК
- ·Подготовка акта проверки и плана устранения
Результат: Акт соответствия, перечень нарушений, план мероприятий
Для кого: Субъекты КИИ, операторы ПД, организации с ГИС
Тест на проникновение (пентест)
- ·Симуляция реальной атаки с позиции внешнего нарушителя
- ·Попытки эксплуатации найденных уязвимостей (с согласия)
- ·Social engineering (фишинг, телефонные атаки) — опционально
- ·Технический и executive-отчёт с доказательствами
Результат: Подтверждённые уязвимости, вектор атаки, impact assessment
Для кого: Зрелые компании с базовой защитой, перед крупными M&A
Комплексный аудит ИБ
- ·Технический аудит + пентест
- ·Аудит соответствия требованиям регуляторов
- ·Оценка зрелости процессов ИБ (по ISO 27001 или CIS Controls)
- ·Разработка дорожной карты ИБ и приоритетов инвестиций
Результат: Полный пакет документов, дорожная карта, executive-презентация
Для кого: Крупный бизнес, субъекты КИИ, компании с требованиями compliance
Когда аудит обязателен по закону
Для ряда организаций аудит ИБ — не рекомендация, а требование:
- 152-ФЗ
Операторы персональных данных обязаны оценивать эффективность применяемых мер защиты. Перед плановой проверкой РКН аудит — единственный способ заранее устранить нарушения.
- 187-ФЗ (КИИ)
Субъекты КИИ обязаны обеспечивать безопасность объектов КИИ и реагировать на инциденты. Аудит — часть системы контроля выполнения этих требований.
- Приказ ФСТЭК № 17/21
Государственные информационные системы (ГИС) и ИСПДн высокого уровня защищённости требуют регулярного контроля защитных мер.
- SOC 2 / ISO 27001
Международные стандарты требуют ежегодного внешнего аудита. Актуально для компаний с зарубежными клиентами или инвесторами.
Как выбрать подрядчика для аудита ИБ
Рынок аудита ИБ в России неоднородный: рядом с серьёзными компаниями работают «аудиторы», которые заполняют Excel-таблицы по опросникам без реального доступа к инфраструктуре. Вот на что смотреть:
Лицензия ФСТЭК ТЗКИ
Обязательна, если ваши данные подпадают под 152-ФЗ, 187-ФЗ или вы работаете с ГИС. Проверить можно на сайте fstec.ru → Реестр лицензий.
Методология аудита
Попросите описание методологии до подписания договора. Серьёзный подрядчик покажет: стандарты (OWASP, CIS, PTES для пентеста), инструменты, состав команды, формат отчёта.
Примеры обезличенных отчётов
Качественный отчёт содержит конкретные уязвимости с доказательствами, а не общие рекомендации. Попросите образец.
Команда, а не один человек
Комплексный аудит требует разных компетенций: сетевые технологии, прикладная безопасность, compliance, пентест. Один специалист не может покрыть всё качественно.
NDA и ответственность
Договор должен включать NDA, порядок работы с конфиденциальной информацией и ответственность за утечку данных в ходе аудита.
Красные флаги: как распознать плохого подрядчика
- !Нет лицензии ФСТЭК ТЗКИ (при работе с ПД, ГИС или КИИ)
- !Не показывают примеры отчётов или кейсы
- !Ценник сильно ниже рынка — часто означает формальный, а не реальный аудит
- !Нет методологии: не объясняют, что именно будут проверять
- !Отчёт готовится без доступа к инфраструктуре (только опросники)
- !Аудитор один человек без команды: пентест и compliance — разные компетенции
Что происходит по итогам аудита
Хороший аудит заканчивается не отчётом, а планом действий. Минимальный набор по итогам:
- ✓Реестр уязвимостей с приоритетами (Critical → High → Medium → Low)
- ✓Оценка реального риска для бизнеса (не только CVSS, но и вероятность эксплуатации)
- ✓Конкретные шаги устранения с ответственными и сроками
- ✓Executive-саммари для руководства (без технического жаргона)
- ✓Дорожная карта ИБ с оценкой бюджета на 12 месяцев
Нужен аудит ИБ с лицензией ФСТЭК?
Аудит информационной безопасности: от технического до compliance →Лицензия ФСТЭК ТЗКИ · 18 лет опыта · отчёт за 7–15 дней
Частые вопросы об аудите ИБ
Сколько стоит аудит информационной безопасности?
Базовый технический аудит для компании до 100 рабочих мест — от 150 000 до 400 000 рублей. Комплексный аудит с пентестом и compliance — от 500 000 рублей. Стоимость зависит от размера инфраструктуры и глубины проверки.
Нужна ли лицензия ФСТЭК для аудита ИБ?
Для работы с данными по 152-ФЗ, ГИС и объектами КИИ — да, лицензия ФСТЭК ТЗКИ обязательна. Проверить наличие можно на сайте fstec.ru.
Как часто нужен аудит ИБ?
Комплексный аудит — раз в год. Пентест внешнего периметра — раз в год или после значимых изменений. Аудит по 152-ФЗ/187-ФЗ — перед плановой проверкой регулятора.