Журнал "Information Security/ Информационная безопасность" #4, 2025

152-ФЗ, 187-ФЗ, требований норматив- но-правовых актов Банка России. Таким образом, мониторинг не просто допол- няет аудит, а становится его неотъемле- мой частью, предоставляя объективные и актуальные данные, необходимые для верификации. Аудит и непрерывный мониторинг – взаимодополняющие инструменты. Аудит дает качественную и точечную оценку, анализируя не только данные, но и процессы, политики. Мониторинг же дает количественные данные и обес- печивает непрерывный, но поверхност- ный контроль. Проверки регуляторов Наконец, существуют проверки регу- ляторов (например, Роскомнадзора, ФСТЭК России, ФСБ России), включая отраслевых (например, Центральный Банк). Эти проверки носят обязательный и зачастую принудительный характер. Их основная цель – выявление наруше- ний, а не помощь в их устранении. Аудит на соответствие требованиям помогает не только выявить формальные несоответствия до прихода регуляторов, но и оперативно их устранить. Это мини- мизирует замечания в ходе официаль- ных проверок и снижает риски финан- совых и репутационных потерь. Аудит имеет консультативный и парт- нерский характер, направленный на помощь в устранении недостатков и улучшение системы ИБ. Он помогает выявить первопричины несоответствий, а не только их симптомы. В отличие от этого, проверки регуляторов направлены на фиксацию нарушений и применение санкций. Аудит позволяет не только под- готовиться к таким проверкам, но и выстроить доверительные отношения с партнерами и клиентами, демонстрируя свою приверженность высоким стандар- там безопасности. Искусственный интеллект С развитием технологий, в особенно- сти сервисов больших языковых моде- лей (БЯМ), в сфере аудита наметился новый, революционный этап. К таким сервисам относятся широко известные платформы, такие как Chat- GPT и его аналоги. Их ключевое пре- имущество – доступность и высокая производительность без необходимости развертывания собственной инфраструк- туры. Они позволяют автоматизировать рутинные задачи, не связанные с обра- боткой конфиденциальных данных. Примеры применения БЯМ для ауди- та – генерация типовых аудиторских чек-листов на основе нормативно-пра- вовых актов и публичных стандартов (ГОСТ/ISO 27001), написание шаблонов отчетов. Их можно использовать для создания проектов политик и регламен- тов (на этапе выполнения рекомендации аудита), которые затем будут доработа- ны вручную. Ключевой риск таких внешних серви- сов – это нарушение конфиденциально- сти. Категорически запрещено загружать в такие сервисы любую чувствительную информацию: внутренние нормативные документы, персональные данные, логи систем и т.п. Например, попытка анализа локальных нормативно-правовых актов или внутренних логов информационных систем с помощью ChatGPT может при- вести к утечке данных. Локальные модели – это системы, которые разворачиваются в собственной инфраструктуре организации. Это могут быть как коммерческие продукты, так и Open Source-решения, которые адап- тируются под нужды компании. Главное преимущество локальных моделей – полный контроль над данны- ми. Они подходят для анализа конфи- денциальной информации (при условии выполнения типового комплекса мер защиты). С их помощью можно прово- дить глубокий анализ внутренних политик на соответствие требованиям законода- тельства или стандартов, анализировать журналы доступа к системам, выявлять аномалии в поведении пользователей, обрабатывать данные из систем без- опасности (например, SIEM, DLP и т.п.). Недостатком такого подхода, как пра- вило, является то, что развернутые локально модели обучены на более ста- рых (в сравнении с постоянно дообу- чающимися онлайн-моделями) данных, что может давать не столь точные ответы и требует определенных навыков фор- мирования запросов (промптинга) либо дополнительного обучения на специ- фичных для компании данных, что доста- точно трудоемко и ресурсозатратно. Наиболее эффективной стратегией является комбинирование обоих подхо- дов. Внешние сервисы можно использо- вать для первичного анализа общедо- ступной информации, а локальные моде- ли – для глубокого и безопасного ана- лиза внутренних данных. Это позволяет снизить затраты на ИИ-инфраструктуру, одновременно обеспечивая высокий уро- вень конфиденциальности и эффектив- ности аудиторских процессов. Заключение Обеспечение соответствия норматив- ным требованиям – это не выбор одного инструмента, а построение комплексной системы, где каждый метод выполняет свою уникальную функцию. Наиболее эффективный подход – это синергия аудита, самооценки и непрерывного мониторинга. Самооценка используется для рутинного контроля и подготовки к проверкам, мониторинг обеспечивает оперативное реагирование на угрозы, а аудит выступает как главная, незави- симая проверка эффективности всей системы безопасности. В конечном счете аудит для сотрудни- ка подразделения ИБ – это не формаль- ная процедура, а важнейший инструмент для повышения эффективности своей работы. Это возможность получить объ- ективную оценку, выявить реальные риски и представить руководству аргу- ментированный план действий. Аудит, будь то внутренний или внешний, поз- воляет увидеть слабые места в защите и показать, что сделано правильно. Внедрение ИИ-инструментов, в свою очередь, превращает рутинные задачи по сбору и анализу данных в высокоско- ростные процессы, позволяя специали- сту сосредоточиться на стратегическом планировании и принятии решений. Таким образом, аудит становится осно- вой для построения надежной, постоянно развивающейся системы ИБ, а не только способом подтвердить соответствие тре- бованиям. l • 83 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рисунок: ГРОТЕК