Журнал "Information Security/ Информационная безопасность" #4, 2025

Несоответствие постоянно меняющим- ся и ужесточающимся нормативным тре- бованиям, будь то законодательство или стандарты, влечет за собой целый ком- плекс рисков. Среди них – финансовые потери от крупных штрафов, операцион- ные сбои, вызванные нарушениями, и, что не менее важно, серьезный ущерб репутации, который может привести к потере доверия со стороны клиентов и партнеров. Современные реалии, включая требования 152-ФЗ "О персо- нальных данных", положения 187-ФЗ "О безопасности критической информа- ционной инфраструктуры", требования Банка России, большое количество под- законных нормативных актов и норма- тивно-методических документов, делают соответствие требованиям обязатель- ным условием для ведения бизнеса. Чтобы эффективно управлять этими рисками, организации нуждаются в надежном и объективном инструменте оценки, который не только выявляет проблемы, но и помогает их устранить. Таким инструментом является аудит информационной безопасности – неза- висимый и систематический процесс проверки на соответствие требованиям. Внутренний и внешний аудит На практике существует много раз- личных видов аудита (подробнее см. Журнал "Information Security\Инфор- мационная безопасность" №3, 2019 С. 8–10). Напомню лишь про то, что аудит может быть как внутренним, так и внешним. Внутренний аудит является инстру- ментом самоконтроля и постоянного улучшения. Он помогает организации самостоятельно выявлять недостатки и уязвимости для их своевременного устранения. Это своего рода генеральная репетиция перед более серьезными внешними проверками, позволяющая исправить ошибки до того, как они будут обнаружены третьей стороной, в том числе контрольно-надзорными органами (регуляторами). Внешний аудит, проводимый сторон- ней организацией, служит для подтвер- ждения соответствия. Он дает незави- симое заключение, которое имеет высо- кий авторитет для клиентов, партнеров и иногда регуляторов, часто являясь обязательным условием для получения сертификатов, таких как ГОСТ/ISO 9001 (менеджмент качества), или для участия в тендерах. Хотя внутренний аудит проводится сотрудниками самой организации, но его независимость достигается за счет отделения аудиторской функции от опе- рационной деятельности. То есть спе- циалисты, проводящие аудит, не должны быть напрямую ответственны за инфор- мационную безопасность. С ролью ауди- тора на соответствие требованиям впол- не справляются юристы и/или опера- ционные менеджеры. Это позволяет минимизировать предвзятость и обес- печить беспристрастный, экспертный взгляд на существующие проблемы. В свою очередь, внешний аудит, прово- димый сторонней аудиторской компа- нией, по определению обладает незави- симостью и беспристрастностью. Методика аудита представляет собой структурированный процесс, состоящий из нескольких ключевых этапов (под- робнее см. Журнал "Information Security\Информационная безопасность" № 3, 2019 С. 8–10). Помимо аудита, организации исполь- зуют и другие методы для оценки соот- ветствия нормативным требованиям, каждый из которых имеет свои особен- ности. Самооценка Одним из наиболее распространенных является самооценка, когда компания самостоятельно проверяет себя, используя внутренние ресурсы и чек-листы. Этот метод отличается гибкостью и низкими затратами, что делает его привлекатель- ным для малого и среднего бизнеса. Одна- ко его главный недостаток – это потенци- альная необъективность, поскольку оценка проводится теми же людьми, которые отвечают за ИБ. Кроме того, внутренние специалисты могут не обладать достаточ- ной квалификацией или быть ограничены в ресурсах, что снижает качество оценки. Тем не менее самооценка эффективна для предварительной проверки и систе- матического контроля, помогая поддер- живать его минимальный уровень. Аудит отличается от самооценки неза- висимым и беспристрастным подходом. Аудиторы привносят сторонний, эксперт- ный взгляд, который позволяет обнару- живать риски, неочевидные для внут- ренней команды. Глубина экспертизы аудиторов является ключевым преиму- ществом. Внутренняя команда даже при высокой квалификации может не заме- тить пробелы в силу привычки или отсут- ствия опыта работы с подобными про- цессами в других организациях. Непрерывный мониторинг Еще один важный метод – непрерыв- ный мониторинг. Он реализуется через использование автоматизированных систем (например, SIEM, DLP, IDS/IPS и т.п.), которые в режиме реального вре- мени отслеживают состояние безопас- ности и инциденты. Данные мониторинга являются свидетельствами при проверке соответствия. Например, логи активно- сти, отчеты об инцидентах и показатели работы средств защиты могут исполь- зоваться аудитором для подтверждения выполнения требований таких стандар- тов, как ГОСТ/ISO 27001, требований 82 • УПРАВЛЕНИЕ Роль аудита в оценке соответствия нормативным требованиям роанализируем роль аудита как ключевого инструмента в оценке соответствия нормативным требованиям. Более того, рассмотрим и сравним его с другими мероприятиями по оцен- ке, такими как самооценка, непрерывный мониторинг и про- верки регуляторов, чтобы выявить их сильные и слабые сто- роны. Уделим особое внимание роли искусственного интел- лекта в этом процессе, включая применение внешних и локальных больших языковых моделей. П Константин Саматов, член Правления Ассоциации руководителей служб информа- ционной безопасности Фото: Антон Косицын