Слабое звено

прочитано

АВТОР: Александр Румянцев

руководитель отдела ИТ-аудита, VK, член

#качество управления #цифровизация #внутренний аудит #кибербезопасность

Сейчас нередко существует практика, когда на операционный аудит падает задача по проверке хотя бы общих ИТ-контролей (ITGC-контроли). В лучшем случае коллеги из ИТ-аудита подготавливают подробные инструкции, потом проводят короткий тренинг, чтобы обучить этим задачам. В худшем случае операционным аудиторам предлагают разобраться в вопросе самостоятельно. Как показывает практика, в нашей профессии нельзя что-либо делать без понимания смысла, поэтому редко когда второй способ оказывается результативным. В статье поговорим об информационной безопасности как о процессе, чтобы снять страх перед «техничностью» темы и перенести фокус в область управленческого аудита.

1 21/05/2026

Методологии и почему их так много

В сфере информационной безопасности можно встретить большое количество различных стандартов и методологий: ISO, NIST, CIS, COBIT, ITIL, десятки ГОСТов. Возникает вопрос: почему их так много? И какая из методологий «правильная»? Разумеется, нет «правильной». Разнообразие существует, потому что разные методологии решают разные задачи и созданы для разных аудиторий.

Я условно разделю их на четыре группы:

Группа 1: Рамочные стандарты — «Что делать?».

Эти стандарты отвечают на вопрос: «Из каких элементов должна состоять система управления ИБ?». Они задают структуру, но не дают детальных технических инструкций.

ISO/IEC 27001 — самый известный международный стандарт. Это «золотой стандарт» менеджмента ИБ.

Группа 2: Детальные контроли — «Как именно делать?».

Эти стандарты отвечают на вопрос: «Какие конкретные шаги нужно выполнить для защиты Windows-сервера или облачной среды?».

CIS Critical Security Controls — набор из 18 приоритетных, конкретных технических и организационных мер защиты. Постоянно обновляется.

Группа 3: Отраслевые стандарты — «Что обязаны делать?».

Эти стандарты созданы под конкретные отрасли с высокими уровнями риска и строгим регулированием. Они часто носят обязательный характер.

PCI DSS — стандарт для всех, кто работает с банковскими картами .

Группа 4: Стандарты процессов — «Как управлять?».

Эти фреймворки отвечают на вопрос: «Как выстроить регулярные ИТ- и ИБ-процессы, чтобы всё работало как часы?». Они про операционную деятельность.

COBIT — фреймворк для управления и аудита ИТ-процессов. Связывает ИТ-цели с бизнес-задачами.

На самом деле группировать можно как угодно, и число фреймворков и стандартов в действительности сильно больше, чем то, что я привел выше.

Документов так много, потому что не существует универсального решения для всех компаний, всех отраслей и всех целей

1. Разный масштаб и сложность. Стартапу из десяти человек не нужен тяжелый NIST 800-53. Ему подойдут легкие CIS Controls. Атомной электростанции — наоборот.

2. Разные отрасли и комплаенс-требования. Банк обязан следовать PCI DSS и стандартам ЦБ , а медицинская клиника в США — HIPAA. Методология диктуется регулятором.

3. Разные цели:

Хотите получить сертификат для участия в тендерах? Ваш путь — ISO 27001.
Нужно быстро и дешево закрыть основные угрозы? Ваш выбор — CIS Controls.
Для госсектора США актуален NIST.
Являетесь объектом КИИ в России? Вы будете выполнять требования ФСТЭК.

4. Разный подход к рискам. Одни фреймворки основаны на оценке рисков . Другие основаны на предписаниях .

5. Эволюция угроз. Киберпреступность не стоит на месте. Появляются новые атаки, а значит, появляются и новые, более актуальные версии стандартов и контролей.

Для чего вообще нужна ИБ?

Во всех учебниках и курсах по ИБ на первом занятии вам должны рассказать, что основные задачи ИБ – гарантировать конфиденциальность, целостность и доступность информации.

Конфиденциальность

Смысл и назначение: Принцип конфиденциальности направлен на предотвращение несанкционированного доступа, просмотра или использования защищаемой информации. Он гарантирует, что данные будут доступны только тем субъектам, которые имеют на это законные права. В современной бизнес-среде конфиденциальность становится критически важной для защиты коммерческой тайны, персональных данных и интеллектуальной собственности.

Ключевые механизмы обеспечения:

шифрование данных;
системы аутентификации и авторизации;
защита от утечек.

Целостность

Смысл и назначение: Принцип целостности обеспечивает точность, полноту и непротиворечивость данных на протяжении всего их жизненного цикла. Он защищает информацию от несанкционированного изменения, удаления или подмены. Особое значение целостность имеет в финансовой сфере, юриспруденции и управлении критической инфраструктурой, где любое изменение данных может привести к катастрофическим последствиям.

Ключевые механизмы обеспечения:

контроль изменений;
криптографические методы;
резервное копирование.

Доступность

Смысл и назначение: Принцип доступности гарантирует, что информационные системы и данные будут доступны авторизованным пользователям в любой необходимый момент времени. Этот аспект безопасности непосредственно влияет на непрерывность бизнес-процессов и качество обслуживания клиентов. Нарушение доступности может парализовать работу организации и нанести значительный финансовый ущерб.

Ключевые механизмы обеспечения:

отказоустойчивость инфраструктуры;
защита от атак;
мониторинг доступности.

Теперь, когда мы разобрались с основными принципами ИБ, давайте посмотрим, какие области они покрывают. Я предпочитаю выделять четыре верхнеуровневых домена:

Безопасность инфраструктуры ;
Безопасность приложений ;
Безопасность данных ;
Мониторинг.

Безопасность инфраструктуры — это практика защиты фундаментальных ИТ-компонентов организации: сетей, серверов, рабочих станций, облачных сред и систем хранения данных. Это технический базис, на котором работают все приложения и хранятся данные. Некоторые контрольные области, которые можно выделить:

Инвентаризация активов;
Управление безопасностью сервисных учетных записей;
Контроль привилегированного доступа;
Безопасное управление криптографическими ключами и секретами;
Сканирование уязвимостей и обнаружение сетевых активов;
Сетевая фильтрация.

Безопасность приложений — это практика внедрения мер безопасности на всех этапах жизненного цикла разработки программного обеспечения , чтобы сделать приложения устойчивыми к кибератакам. В отличие от безопасности инфраструктуры, которая защищает среду запуска, безопасность приложений фокусируется на защите самого кода, логики и функций приложения. Некоторые контрольные области, которые можно выделить:

Политика безопасной разработки ;
Анализ безопасности приложений и компонентов ;
Обеспечение безопасного хранилища кода;
Пентест ;
Управление зависимостями .

Безопасность данных — это комплекс мер, направленных на защиту цифровой информации от несанкционированного доступа, коррупции или кражи на протяжении всего ее жизненного цикла. Это практика защиты самих данных, а не систем или приложений, в которых они находятся. Некоторые контрольные области, которые можно выделить:

Классификация и маркировка данных;
Управление передачей данных;
Безопасность доступов администраторов;
Управление доступом пользователей;
Маскирование и анонимизация данных.

Мониторинг ИБ — это непрерывный процесс сбора, анализа и интерпретации данных о событиях и активности в информационных системах с целью выявления инцидентов безопасности, атак и отклонений от нормальной работы. Это не просто сбор логов, а целая система, которая позволяет видеть, понимать и реагировать на то, что происходит в вашей ИТ-среде в режиме, близком к реальному времени. Некоторые контрольные области, которые можно выделить:

Покрытие инфраструктуры мониторингом;
Управление источниками событий;
Реагирование на инциденты;
Покрытие продуктовых логов мониторингом;
Действия после инцидента .

Теперь, когда мы с вами определились с целями ИБ, основными доменами и контролями в каждом из них, мы можем перейти к занятной статистике, собранной компанией Positive Technology. Цитата из исследования: «В первом полугодии 2025 года злоумышленники чаще всего атаковали <…> промышленность (13%), ИТ-компании (6%) и медицинские учреждения (6%). Наиболее распространенными методами успешных атак на организации стали использование вредоносного ПО (63%), социальная инженерия (50%) и эксплуатация уязвимостей (31%). За рассматриваемый период утечки конфиденциальных данных наблюдались в результате 52% успешных атак на организации и в 74% успешных атак на частных лиц. Доля атак, приводящих к нарушению основной деятельности компаний, увеличилась на 13 процентных пунктов по сравнению с предыдущим полугодием и на 15 п. п. по сравнению с первым полугодием 2024 года, что объясняется увеличением активности вымогателей и хактивистов».

Исходя из этого исследования и личной экспертизы я делаю вывод, что основной причиной инцидентов в области ИБ до сих пор является человеческий фактор. А потому хотел бы обратить особое внимание на домен «Киберкультура».

Киберкультура — это система ценностей, отношений, убеждений и моделей поведения в организации, которые определяют, как сотрудники на всех уровнях понимают, относятся и действуют в области информационной безопасности

Это не просто «прошли тренинг», а «как мы здесь поступаем с паролями, ссылками в письмах и инцидентами».

Мы как аудиторы имеем доступ к очень чувствительной информации, и я призываю каждого из вас проявлять профессиональный скептицизм не только в проведении аудиторских процедур, но и когда дело касается лично вас. Ведь как бы хорошо ни была организована информационная безопасность в компании, какие бы самые современные инструменты ни использовались, самое слабое звено в цепочке безопасности — это человек.