Разработка актуального регламента аудита информационной безопасности для коммерческой организации (на примере ООО «ИнформАльянс») в условиях современных вызовов и стандартов

Учитывая, что в первом полугодии 2025 года почти 13 миллиардов строк с персональными данными россиян оказались в открытом доступе, что почти в четыре раза больше, чем за весь 2024 год, вопрос обеспечения информационной безопасности (ИБ) переходит из категории технической проблемы в стратегический приоритет для любой коммерческой организации. В условиях беспрецедентной цифровой трансформации, повсеместного распространения удаленных форматов работы и эволюции киберпреступности, которая сегодня функционирует по модели «преступность как услуга» (CaaS), традиционные подходы к защите информации оказываются недостаточными. Актуальные угрозы, такие как изощренные фишинговые атаки, программы-вымогатели и DDoS-атаки, не только наносят колоссальный финансовый ущерб (который в России за 2023–2024 годы оценивается в 1 триллион рублей), но и подрывают доверие клиентов, ставя под угрозу репутацию и операционную устойчивость бизнеса.

Настоящая дипломная работа посвящена деконструкции и обновлению существующих методов аудита информационной безопасности с целью разработки актуального регламента для коммерческой организации — ООО «ИнформАльянс». Предприятие, работающее с платежными системами и имеющее значительное количество удаленных пользователей, сталкивается с уникальным комплексом вызовов, требующих не просто соблюдения формальностей, а глубоко интегрированного и проактивного подхода к ИБ.

Объект исследования – процессы обеспечения информационной безопасности в коммерческой организации, а предмет исследования – методология и регламент проведения аудита информационной безопасности для ООО «ИнформАльянс».

Цель работы – разработка исчерпывающего, практически применимого регламента проведения аудита информационной безопасности для ООО «ИнформАльянс», учитывающего современные концепции, актуальные угрозы, требования российского законодательства и международных стандартов, а также специфику предприятия.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Проанализировать теоретические основы и современные концепции обеспечения информационной безопасности, включая фреймворки NIST CSF 2.0 и модель зрелости CMMI.
2. Выявить и систематизировать актуальные угрозы и уязвимости для информационной безопасности коммерческих организаций в условиях цифровизации и удаленной работы, подкрепив их свежими статистическими данными.
3. Изучить нормативно-правовую базу Российской Федерации и международные стандарты, регламентирующие аудит ИБ, с акцентом на применимость к организациям, работающим с платежными системами.
4. Провести обзор и сравнительный анализ методологий и инструментария для проведения аудита информационной безопасности.
5. Разработать детализированный алгоритм и структуру регламента проведения аудита информационной безопасности для ООО «ИнформАльянс», учитывая особенности работы с платежными системами, удаленными пользователями и ограничения по бюджету.
6. Интегрировать аспекты экономической безопасности в процесс разработки регламента и оценки рисков.
7. Предложить этапы внедрения и механизмы непрерывного совершенствования разработанного регламента.

Структура работы включает введение, четыре основные главы, заключение и список использованных источников. Каждая глава последовательно раскрывает теоретические аспекты, анализирует актуальные вызовы и предлагает практические решения, кульминируя в детальной разработке регламента для ООО «ИнформАльянс». Такой подход позволит не только систематизировать знания, но и предоставить готовый к применению инструмент для повышения уровня киберустойчивости коммерческой организации.

Теоретические основы и современные концепции обеспечения информационной безопасности

Понятие, цели и принципы информационной безопасности в условиях цифровой трансформации

Информационная безопасность (ИБ) – это не просто набор технических средств, а всеобъемлющий комплекс мер, технологий и организационных практик, направленных на защиту информации от несанкционированного доступа, изменения, уничтожения или раскрытия. В условиях беспрецедентной цифровой трансформации, охватывающей все сферы бизнеса и общественной жизни, ИБ приобретает статус критически важного фактора устойчивости и конкурентоспособности предприятий. Если раньше речь шла преимущественно о защите данных на локальных серверах, то сегодня, с повсеместным распространением облачных вычислений, Интернета вещей (IoT) и распределенных систем, периметр защиты размывается, а количество потенциальных точек входа для злоумышленников стремительно растет. Цифровизация, с одной стороны, открывает новые возможности для оптимизации бизнес-процессов, но с другой – порождает сложные вызовы, требующие постоянной адаптации и совершенствования подходов к ИБ.

Центральное место в понимании ИБ занимают ее фундаментальные принципы, традиционно известные как «триада CIA»:

• Конфиденциальность (Confidentiality): Обеспечение того, что информация доступна только авторизованным пользователям, процессам или системам. Это предотвращение несанкционированного раскрытия данных. В контексте ООО «ИнформАльянс», работающего с платежными данными и персональными данными клиентов, конфиденциальность является краеугольным камнем, нарушение которого может привести к колоссальным репутационным и финансовым потерям.
• Целостность (Integrity): Гарантия точности, полноты и достоверности информации, а также методов ее обработки. Это означает защиту данных от несанкционированного изменения или уничтожения. Для финансовых операций и платежных систем целостность критически важна, поскольку любые искажения могут привести к серьезным экономическим последствиям.
• Доступность (Availability): Обеспечение того, что авторизованные пользователи могут получить доступ к информации и соответствующим ресурсам тогда, когда это необходимо. Сбои в доступности могут парализовать работу компании, особенно если речь идет о системах, поддерживающих платежные операции или критически важные бизнес-процессы.

Помимо классической триады, современное понимание ИБ расширяет эти принципы, включая такие аспекты, как:

• Неотказуемость (Non-repudiation): Гарантия того, что участник не сможет отрицать свое участие в каком-либо действии. Это важно для аудита и расследования инцидентов.
• Подотчетность (Accountability): Возможность отслеживать действия пользователей и систем, чтобы установить, кто и что делал.
• Аутентичность (Authenticity): Удостоверение подлинности пользователя или информации.

Для коммерческой организации, такой как ООО «ИнформАльянс», ИБ является не просто технической функцией, а стратегическим активом, непосредственно влияющим на устойчивость бизнеса, его репутацию, финансовые показатели и соответствие регуляторным требованиям. Эффективная система ИБ позволяет минимизировать риски, предотвращать утечки данных, защищать интеллектуальную собственность и обеспечивать непрерывность бизнес-процессов, что в конечном итоге способствует достижению долгосрочных стратегических целей компании. Какой же важный нюанс здесь упускается? То, что без системного подхода и регулярного аудита даже самые передовые технологии защиты будут работать лишь на бумаге.

Современные концепции и модели обеспечения информационной безопасности

Эволюция киберугроз требует постоянного пересмотра подходов к обеспечению информационной безопасности. Традиционная модель «Замок и ров» (Castle and Moat), основанная на создании мощной периметральной защиты и доверии ко всему, что находится внутри, оказалась неэффективной в условиях распределенных сетей, облачных сред и удаленной работы. В ответ на эти вызовы сформировались новые, более гибкие и проактивные концепции.

Переход от реактивного к проактивному подходу является одним из ключевых трендов. Вместо того чтобы реагировать на уже произошедшие инциденты, современные стратегии ИБ нацелены на предварительное обнаружение угроз, их нейтрализацию и, по возможности, предотвращение. Это достигается за счет использования продвинутой аналитики, искусственного интеллекта (ИИ) и машинного обучения для прогнозирования атак, а также за счет внедрения комплексных систем мониторинга и раннего оповещения.

Среди наиболее актуальных концепций выделяются:

1. Zero Trust («Нулевое доверие»)
Эта концепция, разработанная Джоном Киндервагом из Forrester Research, кардинально меняет базовый принцип корпоративной безопасности. Вместо устаревшего «доверяй, но проверяй» модель Zero Trust провозглашает принцип «не доверяй никому». Это означает, что ни один пользователь, ни одно устройство, ни одно приложение не получает автоматического доверия, независимо от того, находится ли оно внутри или вне корпоративной сети. Каждый запрос к корпоративным ресурсам должен быть верифицирован.
Ключевые принципы Zero Trust включают:

• Постоянная верификация личности пользователя: Для каждого доступа к ресурсу происходит повторная аутентификация и авторизация, часто с использованием многофакторной аутентификации (MFA).
• Проверка состояния устройства: Каждое устройство, пытающееся получить доступ, должно быть проверено на соответствие политикам безопасности (например, наличие актуальных патчей, антивирусного ПО, отсутствие вредоносного ПО).
• Минимальные привилегии доступа (Least Privilege): Пользователям предоставляется только тот минимальный набор прав, который необходим для выполнения их текущих задач. Это значительно сокращает поверхность атаки в случае компрометации учетной записи.
• Сегментация сети: Сеть делится на множество мелких, изолированных сегментов, что ограничивает распространение атаки в случае прорыва.
• Мониторинг всех действий: Все действия пользователей и систем постоянно логируются и анализируются на предмет аномалий и потенциальных угроз.

Для ООО «ИнформАльянс» внедрение Zero Trust особенно актуально, учитывая работу с платежными системами и значительное количество удаленных сотрудников, где традиционный периметр безопасности фактически отсутствует.

2. Cyber Resilience («Устойчивость к кибератакам»)
Это не просто защита от атак, а способность организации продолжать свою деятельность и достигать намеченных результатов, несмотря на кибератаки, стихийные бедствия или другие сбои. Концепция Cyber Resilience объединяет элементы непрерывности бизнеса, безопасности информационных систем и общей организационной устойчивости. Она фокусируется на способности организации адаптироваться к известным и неизвестным кризисам, быстро восстанавливаться после инцидентов и поддерживать непрерывность операций с минимальным временем простоя.
Для «ИнформАльянс» это означает не только предотвращение утечек, но и разработку планов реагирования на инциденты, быстрого восстановления данных и систем, а также поддержания критически важных бизнес-функций даже в условиях активной кибератаки.

3. Digital Immune System («Цифровой иммунитет»)
Эту концепцию Gartner определяет как набор технологий и процессов, которые обнаруживают, реагируют на вредоносную активность и самостоятельно корректируют цифровые системы и сети, подобно человеческой иммунной системе. Цифровой иммунитет сочетает практики проектирования программного обеспечения, разработки, эксплуатации и аналитики для снижения бизнес-рисков и уменьшения сбоев систем. Идея заключается в создании самовосстанавливающихся систем, способных в полуавтоматическом или полностью автоматическом режиме реагировать на аномалии и «вирусы», включая самостоятельную коррекцию для противодействия обнаруженной угрозе. Это позволяет минимизировать человеческое вмешательство и значительно сократить время реакции на инциденты.
Примером может служить система, которая автоматически изолирует скомпрометированный узел сети, откатывает изменения, вызванные вредоносным ПО, или перенаправляет трафик на резервные системы в случае DDoS-атаки.

Эти концепции, будучи взаимодополняющими, формируют основу для построения действительно эффективной и гибкой системы информационной безопасности, способной противостоять постоянно эволюционирующим угрозам в условиях тотальной цифровизации.

Международные фреймворки управления кибербезопасностью и оценки зрелости

Для систематизации и стандартизации подходов к управлению информационной безопасностью мировое сообщество разработало ряд фреймворков и моделей зрелости. Они помогают организациям структурировать свои усилия по ИБ, оценивать текущее состояние и планировать дальнейшее совершенствование.

1. NIST Cybersecurity Framework (CSF) 2.0 (Национальный институт стандартов и технологий США)
Выпущенный в 2024 году, NIST CSF 2.0 представляет собой добровольное руководство, предназначенное для организаций любого размера, сектора и уровня зрелости. Он помогает понимать, оценивать, приоритизировать и сообщать о своих усилиях в области кибербезопасности. Фреймворк состоит из шести ключевых функций, которые охватывают полный жизненный цикл управления киберрисками:

• GOVERN (GV) – Управление: Эта функция устанавливает, доводит до сведения и контролирует стратегию, ожидания и политику организации в области управления киберрисками. Она обеспечивает интеграцию кибербезопасности с общим управлением корпоративными рисками (Enterprise Risk Management, ERM), согласовывая стратегии кибербезопасности с бизнес-целями и законодательными требованиями. GOVERN включает:
  • Понимание организационного контекста и миссии.
  • Разработку стратегии кибербезопасности и управления рисками цепочки поставок.
  • Определение ролей, обязанностей и полномочий в области ИБ.
  • Создание политик и процедур.
  • Надзор за стратегией кибербезопасности и ее эффективностью.

  Функция GOVERN формирует подотчетность, помогая организациям управлять рисками, повышать устойчивость и способствовать росту бизнеса.

• IDENTIFY (ID) – Идентификация: Понимание и управление киберрисками для систем, активов, данных и возможностей организации. Включает управление активами, оценку рисков, управление рисками цепочки поставок и управление рисками информационной безопасности.
• PROTECT (PR) – Защита: Разработка и внедрение соответствующих мер защиты для обеспечения предоставления критически важных услуг. Включает управление доступом, осведомленность и обучение, защиту данных, процессы и процедуры защиты, а также технологии защиты.
• DETECT (DE) – Обнаружение: Разработка и внедрение действий по своевременному обнаружению киберинцидентов. Включает мониторинг непрерывной безопасности и процессы обнаружения аномалий.
• RESPOND (RS) – Реагирование: Разработка и внедрение действий по реагированию на обнаруженные киберинциденты. Включает планирование реагирования, связь, анализ, снижение последствий и улучшение.
• RECOVER (RC) – Восстановление: Разработка и внедрение действий по восстановлению после киберинцидента. Включает планирование восстановления, улучшение и связь.

NIST CSF 2.0 является гибким инструментом, который может быть адаптирован под специфические потребности ООО «ИнформАльянс», позволяя систематизировать подход к управлению кибербезопасностью и эффективно взаимодействовать с регуляторами и партнерами.

2. Capability Maturity Model Integration (CMMI) – Модель зрелости интеграции возможностей
CMMI – это набор моделей для совершенствования рабочих процессов в организациях, который может быть успешно адаптирован для управления информационной безопасностью. Он описывает пять уровней зрелости процессов:

• Уровень 1: Начальный (Initial) – процессы неформальны, непредсказуемы и реактивны. Работа может быть выполнена, но часто с задержками и превышением бюджета. В области ИБ это означает отсутствие системного подхода, хаотичное реагирование на инциденты.
• Уровень 2: Управляемый (Managed) – процессы управляются на уровне проекта, планируются, выполняются, измеряются и контролируются. В ИБ это могут быть отдельные проекты по внедрению средств защиты, но без единой корпоративной политики.
• Уровень 3: Определенный (Defined) – процессы носят проактивный характер, общеорганизационные стандарты обеспечивают руководство для всех проектов. Для ИБ это означает наличие документированной политики ИБ, стандартных процедур и регулярных аудитов. Организациям, поставляющим продукты или услуги государству, часто требуется достижение этого уровня.
• Уровень 4: Количественно управляемый (Quantitatively Managed) – процессы измеряются и контролируются с использованием статистических и других количественных методов. В ИБ это проявляется в использовании метрик для оценки эффективности мер защиты, анализе инцидентов с помощью количественных показателей.
• Уровень 5: Оптимизирующий (Optimizing) – процессы стабильны, гибки и постоянно совершенствуются. Это высший уровень, на котором организация постоянно ищет новые способы улучшения ИБ, используя инновации и обратную связь.

CMMI может быть адаптирована для оцен��и зрелости системы менеджмента информационной безопасности (СМИБ) ООО «ИнформАльянс». К доменам, связанным с безопасностью, которые могут быть оценены с помощью CMMI, относятся: управление ИТ-безопасностью, план информационной безопасности, управление идентификацией, управление учетными записями пользователей, тестирование и мониторинг безопасности, определение инцидентов безопасности, защита технологий безопасности, управление криптографическими ключами, предотвращение вредоносного ПО, сетевая безопасность, обмен конфиденциальными данными и соответствие требованиям. Внедрение CMMI позволяет достичь определенных уровней развития для специфицированных областей деятельности и может быть использовано для оценки зрелости СМИБ, что является ценным инструментом для стратегического планирования и улучшения ИБ.

Применение этих фреймворков и моделей зрелости позволяет ООО «ИнформАльянс» не только обеспечить базовый уровень защиты, но и построить устойчивую, постоянно совершенствующуюся систему информационной безопасности, способную эффективно противостоять меняющимся угрозам и вызовам.

Актуальные угрозы и уязвимости для информационной безопасности коммерческих организаций

Влияние удаленной работы на ландшафт киберугроз

Пандемия COVID-19 ускорила массовый переход на удаленный формат работы, который быстро трансформировался из временной меры в новую норму для многих компаний, включая ООО «ИнформАльянс». Однако этот сдвиг, приносящий гибкость и сокращение издержек, одновременно радикально изменил ландшафт киберугроз, создав новые, менее контролируемые точки входа для злоумышленников. Потеря традиционного периметра корпоративной сети и распространение рабочих мест по множеству домашних офисов привели к возникновению специфических рисков.

Основные угрозы для удаленных сотрудников и, как следствие, для всей корпоративной инфраструктуры включают:

• Фишинговые атаки: Усталость и стресс, вызванные изменениями в рабочем режиме, делают удаленных сотрудников более восприимчивыми к фишингу. Киберпреступники активно используют социальную инженерию, маскируясь под ИТ-поддержку, HR-отделы или руководство компании, чтобы выведать учетные данные или заставить пользователя загрузить вредоносное ПО. Число фишинговых атак в России, например, выросло более чем впятеро (на 425%) с начала 2024 года по сравнению с 2023 годом, что свидетельствует о высокой эффективности этого вектора.
• Использование личных устройств (BYOD — Bring Your Own Device): Многие удаленные сотрудники используют личные компьютеры и мобильные устройства для выполнения рабочих задач. Эти устройства часто имеют меньший уровень защиты, чем корпоративные, не обновляются регулярно, не оснащены корпоративным антивирусным ПО и могут быть заражены вредоносным ПО, что создает прямую угрозу для корпоративных данных при подключении к сети компании.
• Ненадежные сети Wi-Fi: Домашние или общедоступные сети Wi-Fi, используемые удаленными сотрудниками, зачастую менее защищены, чем корпоративные. Они могут быть подвержены атакам типа «человек посередине» (Man-in-the-Middle), что позволяет злоумышленникам перехватывать конфиденциальные данные, передаваемые между устройством сотрудника и корпоративными ресурсами.
• Инсайдерские угрозы: Усталость, стресс и снижение корпоративной культуры могут повысить риск инсайдерских угроз – как преднамеренных, так и случайных. Сотрудники могут быть менее внимательны к соблюдению политик безопасности или могут быть более склонны к неправомерным действиям из-за личных проблем.
• Уязвимости в системах удаленного доступа: Киберпреступники активно эксплуатируют слабые места в публичных приложениях, таких как веб-интерфейсы, почтовые шлюзы и VPN-порталы, которые служат точкой входа для 39% атак. Метод «брутфорс» (перебор паролей) составляет до 90% всех атак, направленных на получение доступа к учетным записям, включая мобильный банкинг. Задержки во внедрении патчей, устраняющих известные уязвимости, из-за непроработанной политики безопасности компании, также активно используются злоумышленниками.

Для ООО «ИнформАльянс» эти угрозы усугубляются работой с конфиденциальными финансовыми данными. Недостаточная защита домашних офисов может стать лазейкой для компрометации данных платежных карт, банковских операций и персональных данных клиентов, что чревато не только финансовыми потерями, но и серьезными репутационными последствиями, а также регуляторными штрафами. Очевидно, что без комплексного подхода к безопасности удаленных рабочих мест, компания остается крайне уязвимой.

Статистика и тенденции киберпреступности в России и мире (2024-2025 гг.)

Анализ актуальной статистики киберпреступности за 2024-2025 годы рисует тревожную картину, демонстрируя экспоненциальный рост угроз и усложнение методов атак. Эти данные критически важны для ООО «ИнформАльянс» при формировании модели угроз и разработке эффективного регламента аудита ИБ.

Общий ущерб и количество атак:

• Финансовый ущерб: В 2024 году ущерб от киберпреступлений в России составил около 200 млрд рублей, а за семь месяцев 2025 года достиг 91 млрд рублей. За 2023–2024 годы российские компании потеряли 1 триллион рублей из-за кибератак. Это подчеркивает значимость инвестиций в ИБ и аудита для предотвращения таких потерь.
• Кражи с банковских счетов: В 2024 году мошенники похитили у россиян 27,5 млрд рублей с банковских счетов, что в 1,7 раза превышает показатель 2023 года.
• Рост числа кибератак: Общее количество кибератак на российские компании с января по июнь 2025 года превысило 63 тысячи, что на 27% больше, чем за аналогичный период 2024 года. Прогнозируется, что к концу 2025 года общее количество кибератак превысит прошлогодние показатели на 20-45%, а в 2026 году может увеличиться еще на 30-35%.
• Приоритетность России: Россия вошла в число наиболее приоритетных целей киберпреступников, на нее пришлось от 14% до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ с июля 2024 по сентябрь 2025 года.

Утечки персональных данных (ПДн):

• Объем скомпрометированных данных: В 2024 году объем скомпрометированных персональных данных в России достиг 1,58 млрд записей, увеличившись на 30% по сравнению с 2023 годом. В первом полугодии 2025 года почти 13 млрд строк с ПДн россиян оказались в открытом доступе, что почти в четыре раза больше, чем за весь 2024 год.
• Место России в мире: Россия заняла второе место в мире по количеству утечек данных в 2024 году (8,5% от мировых инцидентов).
• Статистика Роскомнадзора: В 2024 году Роскомнадзор зафиксировал 135 случаев утечек баз данных, в которых содержалось более 710 млн записей о россиянах.
• Наиболее уязвимые отрасли: В 2024 году наиболее уязвимыми были розничная торговля и электронная коммерция, а в 2025 году на первое место вышли структуры государственного сектора.
• Типы утекших данных: 29% утекших данных в 2024 году составляли аутентификационные данные (логины и пароли) – критически важная информация для ООО «ИнформАльянс».

Распространенные угрозы и векторы атак (2024-2025 гг.):

• Целевые отрасли: В первом полугодии 2025 года злоумышленники чаще всего атаковали госучреждения (21%), промышленность (13%), ИТ-компании (6%) и медицинские учреждения (6%).
• Основные угрозы: Майнеры криптовалют (37% критичных инцидентов), управляемые человеком атаки (15%), использование бэкдоров (14%), трояны удаленного доступа (RAT) (рост с 4% до 13%).
• Векторы компрометации: Загрузка пользователями программ с вредоносной нагрузкой из непроверенных ресурсов является самым распространенным вектором компрометации (70% инцидентов за 12 месяцев).
• Фишинг: Число фишинговых атак выросло на 425% с начала 2024 года. Среднее число поддельных ресурсов на один бренд выросло на 28% в 2024 году, а фишинговых сайтов – на 52% по сравнению с 2023 годом. Вредоносные фишинговые рассылки остаются одним из самых популярных векторов проникновения, доставляя шпионское ПО и инфостилеры.
• DDoS-атаки: Количество DDoS-атак в 2024 году выросло минимум на 50%, а по данным ЦМУ ССОП Роскомнадзора – на 70%.
• Программы-вымогатели (ransomware): 40% компаний в 2024 году стали жертвами атак программ-вымогателей, количество которых выросло на 44%.
• Точки входа: 39% атак начинались с компрометации публичных приложений (веб-интерфейсов, почтовых шлюзов, VPN-порталов), 31% — с компрометации учетных данных.

Модель «Преступность как услуга» (CaaS):
Современная киберпреступность функционирует как развитый бизнес с собственными синдикатами, внутренними метриками эффективности и CRM-платформами. Модель «преступность как услуга» (Crime-as-a-Service, CaaS) предлагает готовые решения: программы-вымогатели, кейлоггеры, вирусы, фишинговые шаблоны, боты для DDoS-атак, а также генеративные ИИ-инструменты для создания поддельных голосов и дипфейков. CaaS-платформы предоставляют удобные интерфейсы, шаблоны для фишинга, модули шифрования и панели управления заражениями, работая по модели SaaS (программное обеспечение как услуга) с ежемесячной оплатой. Число активных CaaS-платформ растет на 20–25% в год, а более 50% всех вредоносных кампаний в 2024 году использовали инструменты, арендованные через CaaS-сервисы. Мировой ущерб от киберпреступлений, по оценкам Cybersecurity Ventures, может достигнуть 10,5 трлн долларов к 2025 году.

Для ООО «ИнформАльянс» эти тенденции означают необходимость постоянного мониторинга угроз, адаптации защитных мер и регулярного аудита. Особое внимание следует уделять защите учетных данных, обновлению публичных приложений, обучению сотрудников противодействию фишингу и разработке планов реагирования на атаки программ-вымогателей и DDoS.

Типовые угрозы и уязвимости для систем, обрабатывающих платежные данные

Организации, которые обрабатывают, хранят или передают данные платежных карт, такие как ООО «ИнформАльянс», находятся в зоне повышенного риска и являются приоритетной целью для киберпреступников. Специфика работы с платежными системами накладывает особые требования к информационной безопасности, поскольку компрометация таких данных влечет за собой не только огромные финансовые потери, но и серьезные регуляторные последствия, а также катастрофический ущерб репутации.

Типовые угрозы и уязвимости для систем, обрабатывающих платежные данные, включают:

• Скимминг и скиммер-атаки: Хотя эта угроза в большей степени относится к физическим терминалам, ее цифровые аналоги существуют в виде перехвата данных на уровне программного обеспечения (например, через зараженные POS-терминалы или вредоносное ПО, внедренное в системы обработки платежей).
• Атаки на системы Point of Sale (POS): Хакеры целенаправленно ищут уязвимости в программном обеспечении POS-систем, чтобы получить доступ к данным платежных карт во время транзакций. Это могут быть уязвимости в устаревшем ПО, слабые пароли или отсутствие сегментации сети.
• SQL-инъекции и межсайтовый скриптинг (XSS) на веб-сайтах: Веб-приложения, через которые проходят платежи, часто подвергаются таким атакам. SQL-инъекции позволяют злоумышленникам получить доступ к базам данных с конфиденциальной информацией, включая данные карт, а XSS-атаки могут использоваться для перехвата данных, вводимых пользователями.
• Уязвимости в платежных шлюзах и API: Незащищенные или неправильно настроенные интерфейсы прикладного программирования (API) платежных шлюзов могут стать точкой входа для атак, позволяя перехватывать данные транзакций или манипулировать ими.
• Недостаточная сегментация сети: Отсутствие строгой сегментации между сегментами сети, обрабатывающими данные платежных карт (Cardholder Data Environment, CDE), и остальной корпоративной сетью позволяет злоумышленникам, проникшим в общую сеть, легко получить доступ к критически важным данным.
• Незащищенные среды хранения данных карт: Хранение данных держателей карт в незашифрованном виде или без адекватных мер контроля доступа является серьезной уязвимостью. PCI DSS строго регламентирует, какие данные можно хранить и как их следует защищать (например, токенызация, шифрование).
• Отсутствие или нерегулярность обновления ПО: Устаревшее программное обеспечение операционных систем, баз данных, приложений и сетевого оборудования часто содержит известные уязвимости, которые активно эксплуатируются киберпреступниками. Задержки во внедрении патчей, как уже упоминалось, являются одним из ключевых факторов успешных атак.
• Слабые учетные данные и отсутствие MFA: Использование простых, легко угадываемых паролей или отсутствие многофакторной аутентификации (MFA) для доступа к системам, обрабатывающим платежные данные, делает их легкой мишенью для атак типа «брутфорс» или credential stuffing.
• Инсайдерские угрозы: Сотрудники, имеющие доступ к платежным системам, могут представлять угрозу – как по неосторожности (несоблюдение политик безопасности), так и злонамеренно (кража или продажа данных).
• Фишинговые и социальной инженерии атаки на персонал: Целенаправленные атаки на сотрудников, имеющих доступ к чувствительным системам, могут привести к компрометации учетных данных и дальнейшему проникновению в платежную инфраструктуру.

Для ООО «ИнформАльянс» критически важно построить систему ИБ, которая учитывает эти специфические риски, применяя многоуровневую защиту, строгую сегментацию сети, регулярное обновление ПО, обязательную MFA, а также обучение персонала и регулярные аудиты на соответствие стандартам, таким как PCI DSS.

Нормативно-правовая база и стандарты аудита информационной безопасности

Эффективное обеспечение информационной безопасности в коммерческой организации, особенно работающей с платежными системами, невозможно без глубокого понимания и строгого соблюдения требований законодательства и международных стандартов. Эти документы формируют правовое поле и лучшие практики, которыми должен руководствоваться аудит ИБ.

Российское законодательство в области информационной безопасности

В Российской Федерации сформирована обширная нормативно-правовая база, регулирующая вопросы информационной безопасности, защиты данных и проведения аудитов. Для ООО «ИнформАльянс» наиболее значимыми являются следующие документы:

1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»:
Этот закон является основополагающим актом, регулирующим отношения, связанные с обработкой персональных данных (ПДн), с целью защиты прав и свобод человека и гражданина. Для ООО «ИнформАльянс», которое обрабатывает ПДн своих клиентов и сотрудников, обязательным является:

• Получение согласия на обработку ПДн.
• Обеспечение конфиденциальности, целостности и доступности ПДн.
• Принятие необходимых правовых, организационных и технических мер для защиты ПДн.
• Уведомление Роскомнадзора об обработке ПДн.
• Оценка эффективности мер по обеспечению безопасности ПДн, которая должна проводиться не реже одного раза в 3 года.

2. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187):
Данный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры (КИИ) РФ для ее устойчивого функционирования при компьютерных атаках. Если информационные системы ООО «ИнформАльянс» будут отнесены к значимым объектам КИИ (например, в случае работы с определенными финансовыми системами или наличия статуса системообразующей организации), на компанию будут распространяться строгие требования по категорированию объектов КИИ, созданию систем безопасности и взаимодействию с ГосСОПКА.

3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ПП-1119):
Этот документ устанавливает требования к защите ПДн при их обработке в информационных системах персональных данных (ИСПДн) и определяет четыре уровня защищенности ПДн, зависящие от типа данных и количества субъектов, чьи ПДн обрабатываются. ООО «ИнформАльянс» должно определить соответствующий уровень защищенности для своих ИСПДн и реализовать меры защиты в соответствии с ним.

4. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»:
Приказ № 21 детализирует конкретные организационные и технические меры по обеспечению безопасности ПДн в ИСПДн, соответствующие уровням защищенности, установленным ПП-1119. Этот документ является практическим руководством для разработки системы защиты ПДн в ООО «ИнформАльянс».

5. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»:
Хотя этот приказ изначально разработан для государственных информационных систем (ГИС), его требования могут применяться для защиты информации, не составляющей государственную тайну, в негосударственных информационных системах (НИС), таких как системы ООО «ИнформАльянс), по решению обладателя информации. Это позволяет использовать проверенные и эффективные подходы к защите.

6. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению б��зопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации…»:
Этот приказ дополняет предыдущие, определяя меры для обеспечения безопасности ПДн с использованием средств криптографической защиты информации (СКЗИ), которые часто применяются для защиты чувствительных данных, включая платежные.

7. Федеральный закон № 161-ФЗ «О национальной платежной системе» и нормативные акты Банка России:
Для ООО «ИнформАльянс», работающего с платежными системами, этот закон и сопутствующие ему нормативные акты Банка России (например, Положение Банка России № 382-П) устанавливают обязательные требования по защите информации для субъектов национальной платежной системы. Это включает операторов по переводу денежных средств, банковских платежных агентов, операторов платежных систем и операторов услуг платежной инфраструктуры. Оценка соответствия требованиям Федерального закона № 161-ФЗ должна проводиться самостоятельно или с привлечением сторонних организаций не реже одного раза в два года, а также по требованию Банка России. Это особенно актуально для обеспечения финансовой и экономической стабильности компании.

Соблюдение этих законодательных актов является не просто формальностью, но и залогом правовой защищенности ООО «ИнформАльянс» от штрафов, судебных исков и репутационных потерь.

Международные и национальные стандарты аудита информационной безопасности

Помимо российского законодательства, ООО «ИнформАльянс» должно ориентироваться на международные и национальные стандарты, которые определяют лучшие практики в области информационной безопасности и аудита. Эти стандарты обеспечивают гармонизацию подходов и повышают доверие к системе ИБ компании.

1. ГОСТ Р ИСО/МЭК 27001-2021 (эквивалент ISO/IEC 27001:2022) «Системы менеджмента информационной безопасности. Требования»:
Этот стандарт устанавливает требования к системе менеджмента информационной безопасности (СМИБ). Его внедрение и сертификация по ISO 27001 демонстрирует приверженность организации высоким стандартам ИБ и обеспечивает систематический подход к управлению рисками. Международная версия стандарта ISO/IEC 27001:2022, обновленная в октябре 2022 года, привнесла важные изменения:

• Сокращение числа контролей: Со 114 до 93, сгруппированных в 4 пункта (Организационные, Люди, Физические, Технологические) вместо 14.
• Добавление 11 новых элементов управления: Включая защиту от утечек данных, мониторинг физической безопасности, управление конфигурациями, удаление информации, маскирование данных, предотвращение потери данных (DLP), мониторинг активности, веб-фильтрацию, безопасное кодирование.

Переходный период для сертифицированных организаций на ISO/IEC 27001:2022 продлится до 31 октября 2025 года, что требует от ООО «ИнформАльянс» своевременной адаптации.

2. ГОСТ Р ИСО/МЭК 27002-2021 (эквивалент ISO/IEC 27002:2022) «Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности»:
Этот стандарт является руководством по созданию и практическому использованию СМИБ, детализируя выбор, внедрение и применение мер обеспечения ИБ, описанных в ISO 27001. Он предлагает практические рекомендации по реализации контролей ИБ.

3. Стандарт PCI DSS (Payment Card Industry Data Security Standard):
Для ООО «ИнформАльянс», работающего с платежными картами, PCI DSS является обязательным. Он разработан ведущими платежными системами (Visa, Mastercard, American Express, Discover, JCB) и устанавливает 12 групп требований по обеспечению безопасности данных держателей карт, независимо от размера или объема транзакций организации. Эти требования включают:

• Построение и поддержание защищенной сети.
• Защиту данных держателей карт.
• Регулярное управление уязвимостями.
• Внедрение строгих мер контроля доступа.
• Мониторинг и тестирование сетей.
• Поддержку политики ИБ.

Аудиты на соответствие PCI DSS являются ежегодными для крупных организаций и проводятся квалифицированными экспертами по оценке безопасности (QSA). Несоответствие может повлечь за собой значительные штрафы и даже потерю возможности обрабатывать платежи.

4. ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»:
Эти национальные стандарты являются обязательными для финансовых организаций с 1 января 2021 года. Они детализируют требования к защите информации при осуществлении банковских операций и предоставляют методику оценки соответствия этим требованиям. Если ООО «ИнформАльянс» имеет статус финансовой организации или тесно интегрировано с банковской инфраструктурой, эти ГОСТы будут для него обязательными.

5. COBIT (Control Objectives for Information and Related Technology):
COBIT — это всемирно признанная методология управления ИТ, аудита и ИТ-безопасности, разработанная ISACA. Она предоставляет комплексный фреймворк для управления и контроля корпоративных информационных технологий, включая управление рисками и обеспечение соответствия требованиям регуляторов. COBIT помогает ООО «ИнформАльянс» интегрировать ИБ в общую стратегию управления ИТ.

6. ITAF (IT Audit Framework) от ISACA:
Этот международный стандарт проведения ИТ-аудита описывает все этапы проверки ИТ-систем и ИТ-процессов. Он предоставляет рекомендации по планированию, проведению и отчетности по аудиту ИТ, что является ценным ориентиром для разработки регламента аудита ИБ.

Синтез российского законодательства и международных стандартов позволяет ООО «ИнформАльянс» не только обеспечить легитимность своих действий, но и внедрить передовые практики, создав надежную и эффективную систему информационной безопасности.

Методологии и инструментарий проведения аудита информационной безопасности

Аудит информационной безопасности – это не просто проверка «галочек», а системный, многогранный процесс получения объективных оценок о текущем состоянии ИБ автоматизированной системы. Его цель – выявить угрозы и уязвимости, проверить соответствие законодательству и стандартам, а также предоставить конкретные рекомендации по улучшению защиты. Для ООО «ИнформАльянс» выбор правильной методологии и инструментария критически важен, так как от этого зависит эффективность защиты платежных систем и удаленных рабочих мест.

Цели, виды и этапы аудита информационной безопасности

Аудит информационной безопасности (ИБ) представляет собой систематический и независимый процесс оценки состояния защищенности информационных активов организации. Он выходит за рамки простого технического сканирования, охватывая организационные, правовые и кадровые аспекты.

Основные цели аудита ИБ:

• Оценка соответствия требованиям и регламентам: Проверка степени соблюдения внутренних политик, процедур, законодательных требований (ФЗ-152, ФЗ-187, ФЗ-161), а также международных и национальных стандартов (ISO 27001/27002, PCI DSS, ГОСТ Р 57580).
• Идентификация уязвимостей и слабостей: Выявление технических уязвимостей в ИТ-инфраструктуре, программном обеспечении, сетевых устройствах, а также организационных слабостей в процессах и действиях персонала.
• Оценка эффективности текущих мер защиты: Анализ того, насколько существующие средства и меры ИБ адекватно справляются с актуальными угрозами и рисками.
• Оценка рисков ИБ: Определение вероятности реализации угроз и потенциального ущерба от них.
• Формирование рекомендаций по улучшению защиты: Разработка конкретных, приоритизированных предложений по устранению выявленных недостатков и повышению общего уровня ИБ.
• Обоснование инвестиций в ИБ: Предоставление руководству компании объективных данных для принятия решений о выделении ресурсов на мероприятия по защите информации.

Виды аудита ИБ:

• Внутренний аудит: Проводится сотрудниками самой организации (например, ИБ-отделом) для регулярной самооценки и мониторинга. Преимущества – глубокое знание внутренней специфики, оперативность. Недостатки – потенциальная необъективность.
• Внешний аудит: Проводится независимыми сторонними экспертами или специализированными аудиторскими компаниями. Преимущества – высокая объективность, широкий опыт, соответствие регуляторным требованиям (например, аудит PCI DSS QSA-специалистами). Недостатки – стоимость, необходимость глубокого погружения внешних аудиторов в специфику компании.
• Комплексный аудит: Охватывает все аспекты ИБ – от технической защищенности до организационных политик.
• Тематический аудит: Фокусируется на конкретной области (например, аудит защиты ПДн, аудит беспроводных сетей, аудит соответствия PCI DSS).

Периодичность аудитов:
Определяется потребностями компании, уровнем рисков и регуляторными требованиями.

• Внешний аудит: Оптимально проводить ежегодно, а в идеале — раз в полгода. Для организаций, работающих с платежными системами, аудит на соответствие PCI DSS является обязательной ежегодной процедурой.
• Внутренний аудит: Может проводиться значительно чаще, например, 4-6 раз в год, чтобы оперативно выявлять и устранять текущие проблемы.
• Внеплановые аудиты (триггеры):
  • Масштабные изменения в компании (реорганизация, слияния/поглощения, открытие филиалов).
  • Смена топ-менеджеров на ключевых постах.
  • Изменение бизнес-модели или направления деятельности, выход на новые рынки.
  • Обнаружение фактов взлома, несанкционированного проникновения, кражи данных.
  • Выявление внутренним аудитом существенных уязвимостей.
  • Контроль за состоянием значимых объектов критической информационной инфраструктуры (КИИ), который проводится ежегодно.

Этапы проведения аудита ИБ (общий алгоритм):

1. Подготовительный этап: Определение целей, области, критериев аудита, формирование аудиторской группы, разработка плана-графика.
2. Сбор данных: Изучение документации, интервьюирование персонала, инвентаризация активов, инструментальное сканирование, тестирование на проникновение, анализ журналов событий.
3. Анализ собранных данных: Оценка соответствия требованиям, выявление уязвимостей и рисков, качественный и количественный анализ.
4. Формирование результатов: Составление аудиторского отчета, включающего описание текущего состояния ИБ, выявленные несоответствия, перечень рисков, а также конкретные рекомендации по их устранению и повышению общего уровня ИБ.
5. Представление отчета и контроль: Доведение результатов до руководства, обсуждение рекомендаций, разработка плана корректирующих действий, мониторинг их выполнения и актуализация СМИБ.

Методологии оценки рисков и проведения аудита ИБ

Для проведения эффективного аудита информационной безопасности и систематической оценки рисков применяются различные методологии, которые позволяют структурировать процесс и получить объективные результаты.

1. Методология оценки рисков CRAMM (Central Computing and Telecommunications Agency Risk Analysis and Management Method):
CRAMM – одна из первых комплексных методологий анализа рисков в ИБ, разработанная в 1980-х годах и успешно применяющаяся до сих пор, часто с использованием автоматизированных средств. Она состоит из нескольких ключевых этапов:

• Инициирование (Initiation): Определение границ исследуемой информационной системы, состава и структуры ее информационных активов (данных, ПО, физических активов), а также круга лиц, вовлеченных в анализ рисков.
• Идентификация и оценка активов (Identification and Valuation of Assets): Четкое определение всех информационных активов. Для каждого актива определяется его ценность на основе возможного ущерба, если будет нарушена его конфиденциальность, целостность или доступность. Ущерб оценивается по категориям: недоступность, разрушение, нарушение конфиденциальности, модификация, ошибки передачи.
• Оценка угроз и уязвимостей (Threat and Vulnerability Assessment): Выявление потенциальных угроз (например, DDoS-атака, фишинг, инсайдерская утечка) и уязвимостей (слабые пароли, отсутствие патчей, ошибки конфигурации). Часто проводится путем интервьюирования ответственных за администрирование и эксплуатацию ИТ-активов.
• Анализ рисков (Risk Analysis): Получение качественных и количественных оценок рисков. Риск вычисляется по формуле: Риск = Pреализации * Ущерб, где Pреализации = Pугрозы * Pуязвимости. Здесь Pреализации – вероятность реализации угрозы, Ущерб – потенциальный ущерб. Pугрозы – вероятность возникновения угрозы, Pуязвимости – вероятность эксплуатации уязвимости при наличии угрозы.
• Управление рисками (Risk Management): На основе рассчитанных рисков предлагаются необходимые меры по обеспечению ИБ из каталога (CRAMM включает около 4 тысяч мер). Сравнение рекомендованных мер с уже принятыми позволяет выявить области, требующие дополнительного внимания, или, наоборот, имеющие избыточные меры защиты.

CRAMM подходит для ООО «ИнформАльянс» как структурированный подход к оценке рисков, позволяющий приоритизировать меры защиты исходя из ценности активов и уровня угроз.

2. Подходы к проведению аудита на основе COBIT (Control Objectives for Information and Related Technology):
COBIT предоставляет набор целей контроля для ИТ-процессов, которые могут быть использованы для аудита ИБ. Он позволяет:

• Получить критерии по оценке процессов управления информационными технологиями.
• Определить подотчетность и распределение ответственности в области ИТ и ИБ.
• Оценить, насколько ИТ-процессы поддерживают бизнес-цели организации.

Аудит по COBIT помогает ООО «ИнформАльянс» интегрировать ИБ в общую систему корпоративного управления и обеспечить соответствие ИТ-процессов бизнес-требованиям.

3. Аудит на основе ISO 27002:
ГОСТ Р ИСО/МЭК 27002-2021 (ISO/IEC 27002:2022) содержит свод норм и правил применения мер обеспечения информационной безопасности. Аудит на основе этого стандарта предполагает проверку наличия и эффективности внедрения контролей ИБ, описанных в ISO 27002, которые охватывают организационные, кадровые, физические и технические меры. Это позволяет ООО «ИнформАльянс» оценить зрелость своей СМИБ и соответствие лучшим международным практикам.

4. Особенности аудита на соответствие PCI DSS:
Для организаций, работающих с платежными системами, таких как ООО «ИнформАльянс», аудит на соответствие PCI DSS является ежегодной обязательной процедурой, которую проводят квалифицированные эксперты по оценке безопасности (QSA). Этот аудит включает:

• Сбор и анализ документации: Изучение политик, процедур, схем сети, конфигураций систем.
• Анализ процессов: Проверка соответствия бизнес-процессов требованиям PCI DSS.
• Интервьюирование сотрудников: Оценка осведомленности персонала и соблюдения политик.
• Анализ настроек и конфигураций системных компонентов: Проверка всех компонентов среды обработки данных карт (CDE) – серверов, сетевого оборудования, приложений, баз данных.
• Анализ отчетов о защищенности периметра сети: Проверка результатов сканирования уязвимостей внешнего периметра, проводимого сертифицированными провайдерами (ASV).

Аудит PCI DSS – это крайне детализированная проверка, направленная на подтверждение выполнения всех 12 групп требований стандарта, что критически важно для поддержания возможности обрабатывать платежные карты.

Выбор конкретной методологии или их комбинации для ООО «ИнформАльянс» будет зависеть от целей аудита, специфики бизнеса, требований регуляторов и доступных ресурсов.

Инструментарий для автоматизации аудита ИБ

Ручной аудит информационной безопасности, особенно в условиях сложной ИТ-инфраструктуры и большого числа удаленных пользователей, является трудоемким и дорогостоящим процессом. Автоматизация аудита ИБ с помощью специализированных инструментов и программ позволяет значительно ускорить сбор информации, повысить точность анализа уязвимостей, обеспечить объективность результатов и оперативно реагировать на изменения.

Преимущества автоматизации аудита ИБ:

• Ускорение и повышение эффективности: Автоматизированные инструменты могут сканировать тысячи узлов и выявлять уязвимости за считанные часы или минуты, что невозможно при ручном подходе. Это позволяет проводить проверки в режиме реального времени и оперативно устранять уязвимости.
• Повышение точности и снижение влияния человеческого фактора: Инструменты работают по заданным алгоритмам, исключая ошибки, вызванные невнимательностью или недостаточным опытом аудитора.
• Масштабируемость: Автоматизированные системы легко масштабируются под изменяющиеся потребности бизнеса и рост ИТ-инфраструктуры.
• Сокращение расходов: Снижение затрат на ручной труд и предотвращение ущерба от инцидентов благодаря более быстрому обнаружению и устранению угроз.
• Генерация оповещений и отчетов: Автоматические системы могут генерировать детализированные отчеты и оповещения, способствуя быстрому реагированию на инциденты и облегчая принятие управленческих решений.

Вызовы автоматизации аудита ИБ:

• Сложность современных ИТ-систем: Многообразие технологий, облачные среды, IoT и удаленные рабочие места затрудняют как ручной аудит, так и полноценную автоматизацию.
• Выбор инструментов: Требуется тщательный выбор инструментов, обеспечивающих интеграцию с существующей инфраструктурой и способных работать с конкретными системами компании.
• Квалификация персонала: Специалисты ИБ должны обладать знаниями и навыками для работы с новыми инструментами, их настройки и правильной интерпретации получаемых данных.
• Постоянное обновление: Инструменты должны постоянно обновляться для противодействия эволюционирующим угрозам и новым типам уязвимостей.
• «Ложные срабатывания»: Некоторые автоматизированные сканеры могут выдавать ложные положительные результаты, требующие ручной проверки.

Примеры программных средств для автоматизации аудита ИБ:

1. Сканеры уязвимостей и портов:

• Nessus: Один из самых популярных коммерческих сканеров уязвимостей. Предоставляет широкий функционал для обнаружения уязвимостей в операционных системах, сетевых устройствах, базах данных и веб-приложениях.
• OpenVAS: Открытый аналог Nessus, предлагающий схожий функционал для сканирования и управления уязвимостями.
• Acunetix: Специализируется на поиске уязвимостей в веб-приложениях, включая SQL-инъекции, XSS и другие.
• Qualys: Облачная платформа для управления уязвимостями и соответствием требованиям, предоставляющая комплексное решение для сканирования, анализа и отчетности.
• Nmap: Мощный инструмент для сканирования портов и обнаружения сетевых служб, позволяющий идентифицировать устройства в сети и их открытые порты, что является первым шагом к поиску уязвимостей.
• Kali Linux: Специализированный дистрибутив Linux, содержащий множество инструментов для тестирования на проникновение и поиска уязвимостей, включая Wi-Fi-аудит, сканирование каналов передачи данных, шлюзов и маршрутизаторов.

2. Управление конфигурациями:

• SolarWinds Network Configuration Manager: Помогает автоматизировать управление конфигурациями сетевых устройств, обеспечивая их соответствие политикам безопасности и предотвращая несанкционированные изменения.

3. SIEM-системы (Security Information and Event Management):

• ManageEngine Log360: Комплексное решение, собирающее и анализирующее журналы событий со всех устройств и систем в сети, позволяя в режиме реального времени обнаруживать аномалии и инциденты безопасности.
• Splunk, IBM QRadar, ArcSight: Другие мощные SIEM-системы, предоставляющие аналитику безопасности и возможности реагирования на инциденты.

4. Аудит активности и соответствия:

• Netwrix Auditor: Предоставляет детализированные отчеты об изменениях в ИТ-инфраструктуре, активности пользователей и конфигурациях, помогая выявлять подозрительные действия и обеспечивать соответствие регуляторным требованиям.

Для ООО «ИнформАльянс» выбор инструментария должен основываться на специфике его ИТ-инфраструктуры, размере бюджета, требованиях к защите платежных данных и необходимости поддерживать безопасность удаленных рабочих мест. Комбинация различных типов инструментов, от сканеров уязвимостей до SIEM-систем, позволит создать многоуровневую и эффективную систему автоматизированного аудита ИБ. Разве не очевидно, что без такого подхода, особенно в условиях ограниченных ресурсов, компания будет постоянно отставать от угроз?

Разработка регламента проведения аудита информационной безопасности для ООО «ИнформАльянс»

Разработка регламента проведения аудита информационной безопасности для ООО «ИнформАльянс» является центральным элементом данной дипломной работы. Этот документ – не просто формальность, а живой инструмент, который должен обеспечить систематический подход к защите информации, адаптацию к постоянно меняющимся угрозам и соблюдение всех требований законодательства и стандартов. Он должен быть максимально практичным, учитывать специфику организации и быть интегрированным в общую систему управления безопасностью.

Подготовительный этап: Определение целей, области и состава аудита

Любой эффективный аудит начинается с тщательной подготовки. Для ООО «ИнформАльянс», учитывая его особенности – работу с платежными системами и значительное количество удаленных пользователей – этот этап имеет решающее значение.

1. Определение целей и задач аудита:
Цели аудита ИБ должны быть четко сформулированы и согласованы с руководством компании. Для ООО «ИнформАльянс» они могут включать:

• Оценка текущего состояния ИБ: Объективный анализ уровня защищенности информационных активов.
• Выявление уязвимостей и слабых мест: Идентификация как технических, так и организационных недостатков.
• Обеспечение соответствия законодательству и стандартам: Проверка выполнения требований ФЗ-152, ФЗ-187 (применимо), ФЗ-161, ПП-1119, Приказов ФСТЭК/ФСБ, а также PCI DSS, ISO 27001/27002, ГОСТ Р 57580.
• Формирование рекомендаций по улучшению защиты: Разработка конкретных мер по устранению выявленных проблем.
• Обоснование инвестиций: Предоставление руководству аргументов для выделения ресурсов на ИБ, исходя из реальных рисков и потенциального ущерба.
• Оценка эффективности обучения персонала: Проверка осведомленности сотрудников в вопросах ИБ, особенно в контексте удаленной работы.

2. Формирование аудиторской группы, назначение ответственных лиц и определение их ролей:
Состав аудиторской группы критически важен для успешного проведения аудита.

• Для внутреннего аудита: Обычно привлекаются специалисты компании, хорошо знающие внутренние процессы – сотрудники службы безопасности, ИТ-отдела. Это обеспечивает глубокое понимание контекста.
• Для внешнего аудита: Привлекаются независимые эксперты, часто имеющие сертификаты аудиторов по международным стандартам (например, QSA-специалисты для аудитов PCI DSS). Они обеспечивают объективность и используют специализированные методики.
• Руководитель аудиторской группы: Несет ответственность за планирование, координацию и контроль всего процесса аудита.
• Специалисты по ИБ: Выявляют технические уязвимости, анализируют системы защиты.
• Специалисты по ИТ: Предоставляют информацию об инфраструктуре, помогают с доступом к системам.
• Юристы: Консультируют по вопросам соответствия законодательству.
• Представители бизнес-подразделений: Предоставляют информацию о бизнес-процессах и ценности информационных активов.

Для ООО «ИнформАльянс» важно, чтобы аудиторская группа включала специалистов, понимающих специфику работы с платежными системами и особенности обеспечения безопасности удаленных сотрудников.

3. Определение области аудита:
Область аудита должна быть четко очерчена, чтобы избежать распыления ресурсов и обеспечить фокусировку на критически важных аспектах. Для ООО «ИнформАльянс» это:

• Список информационных активов: Все данные (ПДн, платежные данные, коммерческая тайна), программное обеспечение, аппаратное обеспечение, сетевая инфраструктура, облачные сервисы.
• Системы и процессы: Системы обработки платежей, CRM-системы, бухгалтерские системы, системы управления персоналом, корпоративные порталы, электронная почта, системы удаленного доступа (VPN, VDI).
• Подразделения и персонал: Все отделы, имеющие доступ к критическим данным, а также удаленные сотрудники и их рабочие места.
• Инфраструктура удаленной работы: VPN-серверы, средства многофакторной аутентификации (MFA), конечные точки удаленных сотрудников, DLP-системы.
• Платежные системы: Все компоненты среды обработки данных карт (CDE), включая POS-терминалы (если есть), серверы баз данных, сетевое оборудование, приложения для обработки транзакций.

4. Разработка модели угроз информационной безопасности и определение категорий нарушителей:
Это позволяет приоритизировать защиту и сосредоточить усилия на наиболее вероятных и опасных угрозах.

• Модель угроз: Для ООО «ИнформАльянс» она должна учитывать риски, связанные с платежными системами (например, скимминг, атаки на POS-системы, SQL-инъекции), а также угрозы, специфичные для удаленной работы (фишинг, компрометация личных устройств, инсайдерские угрозы из-за стресса персонала).
• Категории нарушителей:
  • Внешние: Киберпреступники (хакерские группировки, использующие CaaS), конкуренты, государственные структуры (для целевых атак).
  • Внутренние: Недобросовестные сотрудники, случайные ошибки персонала, бывшие сотрудники, партнеры по бизнесу.

5. Определение периодичности проведения внутренних и внешних аудитов:

• Внешний аудит ИБ: Рекомендуется проводить ежегодно, а в идеале — раз в полгода. Для соответствия PCI DSS такой аудит является ежегодным.
• Внутренний аудит: Может проводиться чаще, до 4-6 раз в год, для оперативного выявления и устранения текущих проблем.
• Внеплановые аудиты: Инициируются при масштабных изменениях в компании (реорганизация, слияния/поглощения), смене топ-менеджеров, изменении бизнес-модели, выходе на новые рынки, а также при обнаружении фактов взлома, кражи данных или выявлении существенных уязвимостей. Особое внимание уделяется контролю за состоянием значимых объектов КИИ (если применимо), который проводится ежегодно.

Тщательно проработанный подготовительный этап создает фундамент для успешного и результативного аудита ИБ, позволяя ООО «ИнформАльянс» максимально эффективно использовать ресурсы и получить наиболее ценные выводы.

Структура и содержание регламента аудита информационной безопасности

Регламент аудита информационной безопасности должен представлять собой всеобъемлющий, логически структурированный документ, который станет настольной книгой для всех участников процесса. Он должен учитывать бизнес-процессы, технологические процессы, архитектуру системы и существующую информационную инфраструктуру ООО «ИнформАльянс». Предлагаемая структура регламента включает следующие разделы:

1. Введение

• Цель регламента: Описание основной цели документа – систематизация и стандартизация процесса аудита ИБ для повышения уровня защищенности информационных активов ООО «ИнформАльянс».
• Назначение: Для кого предназначен документ (сотрудники ИБ-службы, ИТ-отдела, руководство, внешние аудиторы).
• Область применения: К каким информационным системам, процессам и подразделениям относится регламент.
• Основные принципы: Базовые положения, на которых строится аудит (независимость, объективность, конфиденциальность, компетентность).

2. Общие положения

• Определения ключевых терминов:
  • Информационная безопасность (ИБ)
  • Аудит ИБ
  • Угрозы, уязвимости, активы, риски
  • Персональные данные (ПДн), платежные системы
  • Среда обработки данных карт (CDE)
  • Удаленная работа, удаленный пользователь
  • Другие специфические термины, применимые к деятельности «ИнформАльянс».
• Ссылки на законодательство РФ:
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (применимо).
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных…».
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн…».
  • Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну…».
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн с использованием СКЗИ…».
  • Федеральный закон № 161-ФЗ «О национальной платежной системе» и нормативные акты Банка России.
• Ссылки на международные и национальные стандарты:
  • ГОСТ Р ИСО/МЭК 27001-2021 (ISO/IEC 27001:2022) «Системы менеджмента информационной безопасности. Требования».
  • ГОСТ Р ИСО/МЭК 27002-2021 (ISO/IEC 27002:2022) «Свод норм и правил применения мер обеспечения информационной безопасности».
  • Стандарт PCI DSS (Payment Card Industry Data Security Standard).
  • ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018 (если применимо к финансовой деятельности).
  • Методологии COBIT, ITAF.

3. Организация и планирование аудита

• Цели и задачи аудита (детализация): Уточнение конкретных целей для каждого типа аудита (внутренний, внешний, тематический).
• Состав аудиторской группы: Требования к квалификации, роли и обязанности каждого члена группы.
• Определение области и периодичности аудита: Правила формирования перечня объектов аудита и график проведения плановых аудитов.
• Формирование плана-графика аудита: Процедура составления годовых и квартальных планов аудита.

4. Методология проведения аудита

• Описание методов аудита:
  • Документальный анализ: Проверка политик, регламентов, инструкций, журналов, отчетов.
  • Технический аудит: Сканирование уязвимостей, тестирование на проникновение (пентест), анализ конфигураций.
  • Опрос и интервьюирование: Беседы с сотрудниками и руководством для оценки осведомленности и соблюдения процедур.
  • Анализ журналов событий (логов): Использование SIEM-систем для выявления аномалий и инцидентов.
  • Проверка осведомленности персонала: Фишинговые симуляции, оценка реакции на инциденты.
• Инструментальные средства: Перечень разрешенных и рекомендуемых программных средств для автоматизации аудита (Nessus, OpenVAS, Kali Linux, ManageEngine Log360, Netwrix Auditor и др.).
• Процедуры оценки рисков: Пошаговое описание применения методологии (например, CRAMM) для идентификации активов, угроз, уязвимостей и расчета рисков.
• Процедуры оценки соответствия требованиям: Методика проверки соответствия законодательным актам и стандартам.

5. Процесс аудита (детализированный алгоритм)

• Этап 1: Инициирование аудита: Формализация запроса, утверждение плана, уведомление заинтересованных сторон.
• Этап 2: Сбор информации:
  • Изучение сетевой инфраструктуры, архитектуры ИС.
  • Сбор данных о конфигурациях оборудования и ПО.
  • Опрос ключевых сотрудников (ИТ, ИБ, бухгалтерия, отдел продаж, удаленные работники).
  • Анализ действующих нормативных документов компании.
• Этап 3: Анализ и оценка:
  • Анализ собранных данных, выявление несоответствий, уязвимостей, угроз.
  • Оценка рисков ИБ.
  • Оценка эффективности существующих мер защиты.
• Этап 4: Действия при обнаружении нарушений: Процедуры оперативного реагирования на критические уязвимости, фиксация инцидентов.

6. Формирование результатов аудита

• Структура и содержание отчета об аудите:
  • Резюме для руководства.
  • Описание целей и области аудита.
  • Методология и использованный инструментарий.
  • Текущее состояние ИБ (общие выводы).
  • Перечень выявленных несоответствий (законодательству, стандартам, внутренним политикам).
  • Перечень идентифицированных рисков и их оценка.
  • Детализированный перечень уязвимостей и угроз.
  • Рекомендации по устранению выявленных проблем, с указанием приоритетов и сроков.
  • Обоснование для инвестиций в ИБ.
• Порядок представления отчета руководству: Сроки, формат, процедура согласования.

7. Контроль и внедрение рекомендаций

• Процедуры мониторинга выполнения: Механизмы отслеживания реализации предложенных рекомендаций.
• Механизмы актуализации регламента и СМИБ: Процедуры периодического пересмотра и обновления регламента и всей системы менеджмента ИБ.
• Обучение сотрудников: Программы повышения осведомленности и компетентности персонала в вопросах ИБ.

8. Ответственность

• За соблюдение правил ИБ.
• За нарушение регламента и политик безопасности.

Этот детализированный регламент обеспечит ООО «ИнформАльянс» четкую дорожную карту для проведения аудита ИБ, повышая прозрачность, эффективность и уровень защищенности компании.

Учет специфики ООО «ИнформАльянс» при разработке регламента

Разработка универсального регламента аудита ИБ – задача нетривиальная, но для ООО «ИнформАльянс» критически важно адаптировать его под уникальные особенности компании. Специфика, связанная с работой с платежными системами, наличием удаленных пользователей и потенциально ограниченным бюджетом, требует глубокой интеграции этих аспектов в каждую часть регламента.

1. Интеграция требований экономической безопасности в регламент:
Информационная безопасность – это не только технические вопросы, но и ключевой фактор экономической стабильности и процветания бизнеса. Регламент аудита ИБ для ООО «ИнформАльянс» должен четко учитывать, как ИБ влияет на финансовую, коммерческую и операционную стабильность компании, предотвращая экономический ущерб от инцидентов.

• Типы экономического ущерба от инцидентов ИБ:
  • Прямые финансовые потери: Недополученная прибыль, потеря интеллектуальной собственности (например, технологий разработки, баз данных), уменьшение резервов капитала, финансовые потери от разглашения конфиденциальной информации (списков клиентов, коммерческих предложений), штрафы и неустойки за нарушение договорных обязательств или регуляторных требований (например, по ФЗ-152 или PCI DSS).
  • Дополнительные финансовые затраты: Расходы на расследование инцидента (зарплаты внутренних специалистов, услуги внешних компаний-форензиков, покупка/аренда специализированного оборудования), увеличение затрат на ИБ (например, на киберстрахование), компенсации персоналу, найм новых сотрудников для восстановления репутации и систем, восстановление систем из резервных копий.
  • Репутационный ущерб: Потеря доверия клиентов и партнеров, негативные отзывы в СМИ, снижение имиджа компании, что может привести к долгосрочным финансовым потерям в виде оттока клиентов и падения стоимости акций.
  • Физический/цифровой ущерб: Утечка конфиденциальных данных (ПДн, платежные данные), шифрование резервных копий программами-вымогателями, потеря доступа к критически важным системам, уничтожение ресурсов.
  • Операционные сбои: Простой в работе, невозможность предоставления услуг клиентам, что напрямую влияет на выручку и лояльность клиентов.

Регламент должен содержать процедуры оценки потенциального экономического ущерба от каждого типа инцидента и приоритизацию мер защиты на основе этого анализа. В отчете аудита следует отражать не только технические уязвимости, но и их потенциальное экономическое влияние. Почему это так важно? Потому что только так руководство сможет увидеть реальную ценность инвестиций в кибербезопасность.

2. Детализация процедур аудита PCI DSS и ГОСТ Р 57580:
Если ООО «ИнформАльянс» работает с финансовыми операциями и обрабатывает данные платежных карт, регламент должен содержать отдельные, максимально детализированные процедуры аудита на соответствие требованиям PCI DSS и ГОСТ Р 57580 (если применимо).

• PCI DSS: Процедуры аудита должны включать проверку выполнения всех 12 требований стандарта, таких как построение и поддержание защищенной сети, защита данных держателей карт, управление уязвимостями, контроль доступа, мониторинг сетей, поддержка политики ИБ. Обязательна ежегодная проверка квалифицированными экспертами (QSA).
• ГОСТ Р 57580: В случае применения, регламент должен содержать методику оценки соответствия требованиям этого ГОСТа, включающую проверку базового состава организационных и технических мер защиты информации финансовых организаций.

3. Специфические меры и процедуры аудита для обеспечения безопасности удаленной работы:
Учитывая значительное количество удаленных пользователей в ООО «ИнформАльянс», регламент должен включать особые разделы по аудиту безопасности удаленного доступа:

• VPN (Virtual Private Network): Проверка конфигурации VPN-серверов, стойкости протоколов шифрования, управления доступом и логирования.
• MFA (Multi-Factor Authentication): Аудит внедрения и корректной работы многофакторной аутентификации для всех систем удаленного доступа.
• Контроль устройств: Процедуры аудита соответствия устройств удаленных пользователей корпоративным политикам безопасности (обновления ОС, наличие антивируса, отсутствие вредоносного ПО).
• DLP (Data Loss Prevention): Аудит эффективности DLP-систем для предотвращения утечек конфиденциальных данных с устройств удаленных сотрудников.
• Обучение и осведомленность: Отдельные процедуры аудита осведомленности удаленных сотрудников о фишинговых атаках, правилах безопасной работы с корпоративными данными вне офиса.

4. Особенности подхода при ограниченном бюджете:
Для небольших компаний, таких как ООО «ИнформАльянс», с ограниченным бюджетом на ИБ, регламент должен предлагать прагматичные решения:

• Приоритизация: Фокусировка усилий на идентификации и защите наиболее критичных информационных активов. Аудит должен помочь определить, какие активы несут наибольший риск и требуют первоочередной защиты, чтобы оптимизировать расходы.
• Использование стандартизированной структуры регламента: Адаптация общепринятых рамок аудита (например, на основе ISO 27002 или NIST CSF) под индивидуальные потребности бизнеса может быть более экономичной, чем разработка полностью уникального подхода.
• Фокус на базовых мерах защиты: Внедрение даже простейших, но эффективных средств защиты данных (например, регулярное резервное копирование, строгая политика паролей, использование межсетевых экранов) крайне важно, поскольку использование публичных сетей значительно увеличивает риски.
• Собственные ресурсы для внутренних аудитов: Привлечение внутренних специалистов для проведения регулярных проверок может значительно снизить общие затраты, так как внутренний аудит обычно дешевле внешнего. Внешний аудит стоит проводить только для соответствия обязательным регуляторным требованиям (PCI DSS) или при серьезных изменениях в инфраструктуре.
• Соблюдение обязательных требований: Приоритет следует отдавать обеспечению соответствия законодательным требованиям (например, ФЗ-152), чтобы избежать дорогостоящих штрафов, которые могут быть гораздо выше, чем затраты на превентивные меры.
• Определение ценности информационных активов: Важно четко определить ценность каждого информационного актива для бизнеса, чтобы на основании этого принимать решения о разумных расходах на его защиту.

Учет всех этих специфических аспектов при разработке регламента позволит ООО «ИнформАльянс» создать не просто формальный документ, а действенный инструмент для построения устойчивой и экономически обоснованной системы информационной безопасности.

Этапы внедрения и непрерывного совершенствования регламента

Разработанный регламент аудита информационной безопасности – это лишь начало пути. Его ценность проявляется только через эффективное внедрение, последующий контроль и непрерывное совершенствование. Этот заключительный этап является залогом того, что система ИБ ООО «ИнформАльянс» останется актуальной и способной противостоять новым угрозам.

1. Процесс сбора данных и анализ:
После разработки и утверждения регламента начинается фаза его практического применения.

• Сбор данных: Команда аудиторов, действуя строго в соответствии с разработанным регламентом, приступает к сбору информации. Это включает изучение сетевой инфраструктуры, архитектуры информационных систем, анализ конфигураций оборудования и программного обеспечения, проведение инструментального сканирования и тестирования на проникновение. Важной частью является опрос ключевых сотрудников из различных подразделений (ИТ, ИБ, бухгалтерия, отдел продаж, удаленные работники) для оценки их осведомленности и понимания политик ИБ. Также анализируются действующие нормативные документы компании и журналы событий (логи) систем для выявления аномалий и потенциальных инцидентов.
• Анализ собранных данных: После сбора всех необходимых сведений аудиторская группа приступает к их обобщению и анализу. На этом этапе выявляются несоответствия законодательным требованиям, стандартам и внутренним политикам компании. Проводится идентификация уязвимостей (технических и организационных) и угроз, а также оценка рисков ИБ с использованием выбранной методологии (например, CRAMM). Результатом этого анализа является формирование предварительного аудиторского заключения, содержащего информацию о текущем состоянии ИБ, выявленных проблемах и их потенциальном влиянии.

2. Формирование отчета и рекомендаций:
На основе проведенного анализа аудиторская группа готовит исчерпывающий отчет.

• Отчет об аудите: Документ должен быть четким, структурированным и содержать всю необходимую информацию для руководства и специалистов. Он включает резюме для топ-менеджмента, описание целей и области аудита, использованных методологий и инструментария. Основная часть отчета детализирует текущее состояние ИБ, перечень выявленных несоответствий, идентифицированных рисков и уязвимостей.
• Разработка рекомендаций: Ключевая часть отчета – это конкретные, приоритизированные рекомендации по повышению уровня защищенности. Они могут включать предложения по устранению уязвимостей, корректировке нормативных документов компании, внедрению новых средств защиты, проведению дополнительного обучения персонала. Для ООО «ИнформАльянс» рекомендации должны быть адаптированы под его специфику, например, включать меры по усилению безопасности удаленной работы (внедрение MFA, контроль устройств, DLP) и обеспечению соответствия PCI DSS. Отчет об аудите, содержащий четкие рекомендации и обоснование потенциального экономического ущерба от рисков, может стать мощным инструментом для обоснования инвестиций в ИБ перед руководством.

3. Внедрение рекомендаций:

• Реализация предложенных мер: После утверждения отчета и рекомендаций руководством компании, ответственные подразделения (ИТ-отдел, служба ИБ) приступают к их реализации. Это может быть установка патчей, изменение конфигураций систем, внедрение новых политик, обучение сотрудников, закупка и развертывание средств защиты.
• Последующий контроль: Важно не просто реализовать рекомендации, но и убедиться в их эффективности. Для этого осуществляется мониторинг выполнения плана корректирующих действий. Контроль может проводиться как внутренними аудиторами, так и посредством повторного внешнего аудита для подтверждения соответствия.

4. Механизмы непрерывного совершенствования:
Информационная безопасность – это не статичное состояние, а непрерывный процесс. Регламент и вся система ИБ ООО «ИнформАльянс» должны регулярно пересматриваться и актуализироваться.

• Периодический пересмотр регламента: Не реже одного раза в год или при существенных изменениях в законодательстве, стандартах, технологиях, бизнес-процессах или уровне угроз.
• Актуализация СМИБ: Система менеджмента информационной безопасности должна постоянно адаптироваться к новым вызовам. Результаты каждого аудита являются ценным источником информации для улучшения СМИБ.
• Обучение и повышение осведомленности сотрудников: Программы обучения должны быть регулярными и учитывать последние тенденции в области киберугроз, особенно для удаленных сотрудников. Регулярные тренинги по кибергигиене и симуляции фишинговых атак помогают поддерживать высокий уровень осведомленности.
• Анализ инцидентов: Каждый инцидент ИБ (даже если он не привел к серьезным последствиям) должен быть тщательно расследован, а его причины проанализированы для предотвращения повторения. Выводы из анализа инцидентов должны быть учтены при актуализации регламента и СМИБ.

Таким образом, внедрение и непрерывное совершенствование регламента аудита информационной безопасности – это циклический процесс, который позволяет ООО «ИнформАльянс» не только реагировать на текущие угрозы, но и проактивно строить устойчивую и адаптивную систему защиты, обеспечивая долгосрочную экономическую безопасность.

Заключение

В условиях стремительной цифровой трансформации и беспрецедентного роста киберугроз, о чем свидетельствует ошеломляющая статистика утечек персональных данных и финансового ущерба, обеспечение информационной безопасности стало не просто технической задачей, а стратегическим императивом для выживания и развития любой коммерческой организации. Настоящая дипломная работа была нацелена на деконструкцию и обновление существующих подходов к аудиту ИБ, кульминацией которой стала разработка актуального и практически применимого регламента для ООО «ИнформАльянс».

В ходе исследования были решены все поставленные задачи. Мы углубились в теоретические основы ИБ, проанализировав эволюцию концепций от «Замка и рва» к «Нулевому доверию», «Киберустойчивости» и «Цифровому иммунитету». Детально рассмотрены фреймворки NIST CSF 2.0 и модель зрелости CMMI, которые предоставляют структурные подходы к управлению кибербезопасностью и оценке ее эффективности.

Был проведен исчерпывающий анализ актуальных угроз и уязвимостей, сфокусированный на специфике удаленной работы и функционирования платежных систем. Подкрепленные свежими статистическими данными за 2024-2025 годы, эти выводы подчеркнули критическую значимость защиты учетных данных, публичных приложений и противодействия таким явлениям, как «преступность как услуга» (CaaS).

Значительное внимание уделено нормативно-правовой базе Российской Федерации (ФЗ-152, ФЗ-187, ФЗ-161, Приказы ФСТЭК/ФСБ) и международным стандартам (ISO/IEC 27001:2022, ISO/IEC 27002:2022, PCI DSS, ГОСТ Р 57580, COBIT, ITAF). Этот раздел сформировал правовой и методологический фундамент для аудита, обеспечивающий соответствие компании регуляторным требованиям.

Мы также рассмотрели методологии и инструментарий проведения аудита ИБ, включая подходы к оценке рисков (CRAMM) и сравнительный анализ программных средств для автоматизации процесса. Были выделены преимущества и вызовы автоматизации, что позволяет ООО «ИнформАльянс» выбирать оптимальные решения.

Кульминацией работы стала практическая разработка алгоритма и структуры регламента проведения аудита ИБ для ООО «ИнформАльянс». Этот регламент не только включает стандартные этапы аудита, но и интегрирует специфические требования компании:

• Экономическая безопасность: Четко прописаны механизмы оценки прямого, косвенного и репутационного ущерба от инцидентов ИБ, что позволяет обосновывать инвестиции в защиту.
• Платежные системы: Детализированы процедуры аудита на соответствие PCI DSS и ГОСТ Р 57580, обеспечивающие защиту чувствительных финансовых данных.
• Удаленные пользователи: Включены специфические меры и процедуры аудита для обеспечения безопасности удаленной работы (VPN, MFA, контроль устройств, DLP).
• Ограниченный бюджет: Предложены подходы к приоритизации мер защиты, использованию стандартизированных структур и внутренних ресурсов для оптимизации расходов.

Практическая значимость разработанного регламента состоит в том, что он представляет собой готовый к применению инструмент, позволяющий ООО «ИнформАльянс» систематически оценивать, контролировать и совершенствовать свою систему информационной безопасности. Внедрение этого регламента обеспечит не только соответствие нормативным требованиям, но и повысит устойчивость компании к кибератакам, минимизирует риски финансовых и репутационных потерь, а также укрепит доверие клиентов и партнеров.

Перспективы дальнейших исследований в области аудита ИБ включают более глубокое изучение влияния генеративного ИИ на формирование новых угроз и разработку методов аудита систем ИИ-защиты. Также актуальным является развитие методик количественной оценки рисков ИБ с учетом экономических моделей киберпреступности (CaaS) и дальнейшая адаптация регуляторных требований к быстро меняющемуся цифровому ландшафту. Внедрение блокчейн-технологий для обеспечения целостности аудиторских следов и применение поведенческой аналитики для выявления инсайдерских угроз также представляют собой перспективные направления для будущих исследований и практических разработок.

Таким образом, разработанный регламент – это не конечная точка, а динамичный инструмент, который, при условии его регулярного обновления и совершенствования, позволит ООО «ИнформАльянс» уверенно ориентироваться в сложном и постоянно меняющемся мире кибербезопасности, обеспечивая надежную защиту своих информационных активов.

Список использованной литературы

1. Выступление Генерального секретаря ООН Кофи Аннана на Всемирной встрече на высшем уровне по вопросам информационного общества. Тунис, 16 ноября 2005 г. [Электронный ресурс]. URL: http://www.un.org/russian/conferen/wsis/index.htm.
2. Ковалёва Н.Н. Информационное право России. М.: Дашков и К, 2008. С. 360.
3. Лукацкий А. Осенний отзыв Госдумы: информационная безопасность никому не нужна [Электронный ресурс]. URL: http://www.svobodainfo.org/info/page?tid=633200007&nd=458206511.
4. Нестеров А.В. Закон принят. Проблемы остались // Информационное право. 2006. № 4.
5. Семилетов С.И. Анализ действующего законодательства РФ, регулирующего отношения, связанные с использованием государственной автоматизированной системы РФ «Выборы» при реализации гражданами РФ конституционного права на участие в выборах и референдумах: основные противоречия, пробелы и проблемы // Право и политика. 2006. № 2.
6. Конференции по проблемам информационного права // Информационное право. 2006. № 1.
7. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. СПб., 2000.
8. Лопатин В.Н. Теоретико-правовые проблемы защиты единого информационного пространства и их отражение в системах российского права и законодательства [Электронный ресурс]. URL: http:/for-expert.ru/problemy_inform_prava/15.shtml.
9. Нестеров А.В. Философия защиты информации // Научно-техническая информация. Серия 1. Организация и методика информационной работы. 2004. № 3.
10. Бачило И.Л. Подходы к обеспечению защиты и безопасности информации // Информационное право: основы правовой информации. М., 2003.
11. Люксембург А.В., Симкин В.С. Эволюционная катастрофа в России, или возможное исчезновение вида хомо сапиенс // Юридическое образование и наука. 2007. № 1.
12. Китайчик М.М. Право на защиту от информации // Конституционное и муниципальное право. 2007. № 3.
13. Кудрявцев В.Н. Уголовная юстиция как система // Правовая кибернетика. М., 1973.
14. Нисневич Ю.А. Информация как объект публичного права // Научно-техническая информация. Серия 1. Организация и методика информационной работы. 2000. № 4.
15. Государственная тайна в Российской Федерации: Учебно-методическое пособие / Под ред. М.А. Вуса. СПб.: Издательство СПб Ун-та, 2000.
16. Колобов О.А. Армия и общество в условиях перемен: Материалы международной научной конференции. Нижний Новгород: Издательство ННГУ, 1997.
17. Лиддел-Гарт Б. Энциклопедия военного искусства. Стратегия непрямых действий. М.: АСТ, 1999. С. 651.
18. Сумин А.А. Комментарий к Закону Российской Федерации «О государственной тайне». М.: Норма, 2001.
19. Указ Президента Российской Федерации от 17 декабря 1997 года № 1300 «Об утверждении Концепции национальной безопасности» // Собрание законодательства Российской Федерации. 1997. № 52. Ст. 5909.
20. Международный Пакт о гражданских и политических правах. Принят 19 декабря 1966 года (ратифицирован Президиумом Верховного Совета СССР 18 сентября 1973 года) // Ведомости Верховного Совета СССР. 1976. № 1(1831). Ст. 291.
21. Кастельс М. Информационная эпоха: экономика, общество и культура. М., 2000. С. 608.
22. Крутских А., Федоров А. О международной информационной безопасности // Международная жизнь. 2000. № 2.
23. Кубышкин А.В. Международно-правовые проблемы обеспечения информационной безопасности государств. М., 2002.
24. Барнашов А.М. Международно-правовые аспекты информационной безопасности и информационной войны // Российский ежегодник международного права. СПб., 2005.
25. Додонова С.В. Международно-правовые основы укрепления системы коллективной безопасности: Автореф. дис. на соиск. уч. степени к.ю.н. М., 2006.
26. Официальный сайт организации [Электронный ресурс]. URL: http://www.rcc.org.ru.
27. Талимончик В.П. Всемирный саммит по информационному обществу в развитии международного информационного обмена // Информационное право. 2006. № 2.
28. NIST Cybersecurity Framework (CSF) 2.0 [Электронный ресурс]. URL: https://www.nist.gov/cyberframework/nist-cybersecurity-framework-20.
29. Десять основных трендов кибербезопасности [Электронный ресурс]. URL: https://www.kaspersky.ru/resource-center/definitions/cybersecurity-trends.
30. Опасная удаленка: скрытые угрозы для информационной безопасности компаний [Электронный ресурс]. URL: https://it-world.ru/it-news/safety/dangerous-remote-work-hidden-threats-to-companies-information-security.html.
31. Риски информационной безопасности на удаленке: как защитить цифровое рабочее место [Электронный ресурс]. URL: https://notamedia.ru/blog/riski-informatsionnoy-bezopasnosti-na-udalenke.
32. Стратегии и вызовы современной информационной безопасности в эпоху цифровой трансформации // Cyberleninka.ru. URL: https://cyberleninka.ru/article/n/strategii-i-vyzovy-sovremennoy-informatsionnoy-bezopasnosti-v-epohu-tsifrovoy-transformatsii.
33. 10 основных угроз кибербезопасности при удаленной работе [Электронный ресурс]. URL: https://safe-office.ru/blog/10-osnovnykh-ugroz-kiberbezopasnosti-pri-udalennoj-rabote.
34. Какие возникают проблемы с безопасностью при удаленной работе и как их решать. Обзор // Cnews.ru. URL: https://cnews.ru/reviews/bezopasnost_udalennoj_raboty_problemy_i_rekomendatsii/articles/kakie_voznikaet_problemy.
35. Новые вызовы для задач информационной безопасности [Электронный ресурс]. URL: https://tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9D%D0%BE%D0%B2%D1%8B%D0%B5_%D0%B2%D1%8B%D0%B7%D0%BE%D0%B2%D1%8B_%D0%B4%D0%BB%D1%8F_%D0%B7%D0%B0%D0%B4%D0%B0%D1%87_%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D0%B3%D0%9E%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8.
36. Вызовы и угрозы информационной безопасности в XXI веке [Электронный ресурс]. URL: https://informio.ru/article/view/28552.
37. ВЫЗОВЫ И РЕШЕНИЯ В ОБЛАСТИ КИБЕРБЕЗОПАСНОСТИ В ЭПОХУ ЦИФРОВОЙ ТРАНСФОРМАЦИИ // Cyberleninka.ru. URL: https://cyberleninka.ru/article/n/vyzovy-i-resheniya-v-oblasti-kiberbezopasnosti-v-epohu-tsifrovoy-transformatsii.
38. Концепции информационной безопасности [Электронный ресурс]. URL: https://habr.com/ru/companies/selectel/articles/760338/.
39. Основные вызовы и решения в области ИТ-безопасности [Электронный ресурс]. URL: https://dinord.ru/it-bezopasnost/.
40. Как оценивать риски информационной безопасности [Электронный ресурс]. URL: https://makves.ru/blog/ocenka-riskov-informacionnoy-bezopasnosti.
41. Информационная безопасность в эпоху цифровой трансформации [Электронный ресурс]. URL: https://sky.pro/media/informacionnaya-bezopasnost-v-epohu-cifrovoj-transformacii/.
42. Применение модели зрелости для оценки комплекса мер по противодействию внутренним угрозам информационной безопасности // Nauka-journal.ru. 2018. № 9(15). URL: https://nauka-journal.ru/2018/9/15/.
43. Тренды кибербезопасности в 2025 году [Электронный ресурс]. URL: https://notamedia.ru/blog/trendy-kiberbezopasnosti-2025.
44. Кибербезопасность и цифровая трансформация: 3 главных тенденции защиты данных [Электронный ресурс]. URL: https://b-mag.ru/articles/kiberbezopasnost-i-tsifrovaya-transformatsiya-3-glavnykh-tendentsii-zashchity-dannykh-41584/.
45. Аудит информационной безопасности от профессионалов ИБ-рынка [Электронный ресурс]. URL: https://inftrust.ru/services/audit-informacionnoy-bezopasnosti.
46. Комбинированный метод оценки зрелости системы менеджмента информационной безопасности с применением модели CMMI // Moluch.ru. URL: https://moluch.ru/archive/487/111718/.
47. Синдром режимного объекта: как сделать удаленку безопасной без ущерба комфорту [Электронный ресурс]. URL: https://vc.ru/u/1012674-sergey-gusev/1269553-sindrom-rezhimnogo-obekta-kak-sdelat-udalenku-bezopasnoy-bez-ushcherba-komfortu.
48. Виды аудита информационной безопасности [Электронный ресурс]. URL: https://cloud.ru/blog/chto-takoe-audit-informacionnoy-bezopasnosti-i-zachem-on-nuzhen.
49. Тренды кибербезопасности в 2025 году [Электронный ресурс]. URL: https://onlanta.ru/blog/trendy-kiberbezopasnosti-v-2025-godu.
50. Методика проведения аудита информационной безопасности информационных систем [Электронный ресурс]. URL: https://habr.com/ru/companies/pt/articles/779830/.
51. Безопасность удаленной работы: проблемы и рекомендации [Электронный ресурс]. URL: https://tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9_%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B_%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B_%D0%B8_%D1%80%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D0%B0%D1%86%D0%B8%D0%B8.
52. Кибербезопасность в 2025 году: новые угрозы и как от них защититься [Электронный ресурс]. URL: https://potential.ru/articles/kiberbezopasnost-v-2025-godu-novye-ugrozy-i-kak-ot-nikh-zashchititsya.
53. Методы организации безопасной удалённой работы сотрудников – чек-листы и рекомендации от Group-IB [Электронный ресурс]. URL: https://group-ib.ru/blog/remote-work-checklist/.
54. Безопасность на расстоянии – путь к цифровизации. Удаленная работа с точки зрения ИБ [Электронный ресурс]. URL: https://complete.ru/articles/bezopasnost-na-rasstoyanii-put-k-tsifrovizatsii-udalennaya-rabota-s-tochki-zreniya-ib/.
55. Информационная безопасность (тренды) [Электронный ресурс]. URL: https://tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_(%D1%82%D1%80%D0%B5%D0%BD%D0%B4%D1%8B).
56. Тренды кибербезопасности на IT IS conf 2025: от кибервойны до ИИ [Электронный ресурс]. URL: https://anti-malware.ru/analytics/IT_IS_conf_2025_trends.
57. Федеральный закон от 26.07.2017 N 187-ФЗ (ред. от 10.07.2023) «О безопасности критической информационной инфраструктуры Российской Федерации» [Электронный ресурс]. URL: https://www.consultant.ru/document/cons_doc_LAW_219597/.
58. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 24.06.2025) «О персональных данных» [Электронный ресурс]. URL: https://www.consultant.ru/document/cons_doc_LAW_61801/.
59. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. URL: https://www.consultant.ru/document/cons_doc_LAW_137000/.
60. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. URL: https://www.consultant.ru/document/cons_doc_LAW_143360/.
61. Приказ ФСТЭК России от 11.02.2013 N 17 (ред. от 28.08.2024) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [Электронный ресурс]. URL: https://www.consultant.ru/document/cons_doc_LAW_144122/.
62. Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» [Электронный ресурс]. URL: https://base.garant.ru/70701048/.
63. ГОСТ Р ИСО/МЭК 27002-2021. Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности. [Электронный ресурс]. URL: https://docs.cntd.ru/document/1200185966.
64. Стандарт ISO/IEC 27001:2022 (ГОСТ Р ИСО/МЭК 27001-2021) — сертификация, обучение, разработка документации, аудит и внедрение системы менеджмента качества ISO/IEC 27001 [Электронный ресурс]. URL: https://27001-audit.ru/iso-27001-2022-gost-r-iso-mek-27001-2021/.
65. Что изменилось в ISO/IEC 27001:2022 по сравнению с редакцией 2013 года? [Электронный ресурс]. URL: https://ptsecurity.com/ru-ru/research/analytics/what-changed-in-iso-iec-270012022-compared-to-the-2013-edition.
66. Обзор международных стандартов в области ИБ [Электронный ресурс]. URL: https://is-journal.ru/articles/obzor-mezhdunarodnyh-standartov-v-oblasti-ib/.
67. Международные стандарты информационной безопасности [Электронный ресурс]. URL: https://yourprivatenetwork.ru/standards/international-standards.
68. Основные международные стандарты и лучшие практики проведения аудита информационных технологий [Электронный ресурс]. URL: https://habr.com/ru/articles/224647/.
69. Аудит ИБ банков и финансовых организаций [Электронный ресурс]. URL: https://infosecurity.ru/audit_finans_org/.
70. PCI DSS стандарт, сертификация и аудит [Электронный ресурс]. URL: https://compliancecontrol.ru/uslugi/sertifikatsiya-pci-dss/.
71. Аудит на соответствие требованиям стандарта PCI DSS [Электронный ресурс]. URL: https://dialognauka.ru/services/audit-informacionnoj-bezopasnosti/pci-dss/.
72. Cobit [Электронный ресурс]. URL: https://helpit.me/cobit.
73. Оценка выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств [Электронный ресурс]. URL: https://elviss.ru/audit-ib/nps/.
74. ИБ-аудит в финансовых организациях: что надо знать, чтобы не провалить или не затянуть [Электронный ресурс]. URL: https://habr.com/ru/companies/bastion/articles/751096/.
75. Программные средства для проведения аудита информационной безопасности [Электронный ресурс]. URL: https://ksb-soft.ru/catalog/programmnie-sredstva-dlya-provedeniya-audita-informacionnoy-bezopasnosti.
76. Как провести аудит систем безопасности [Электронный ресурс]. URL: https://falcongaze.com/blog/kak-provesti-audit-sistem-bezopasnosti/.
77. Понятие и основные принципы методологии COBIT [Электронный ресурс]. URL: https://studfile.net/preview/925345/page:12/.
78. Программные средства проверки политики безопасности на соответствие требованиям ISO 17799 [Электронный ресурс]. URL: https://it-audit.ru/articles/programnye-sredstva-proverki-politiki-bezopasnosti-na-sootvetstvie-trebovaniya-iso-17799/.
79. Автоматизация ИБ: инструменты и рекомендации по внедрению [Электронный ресурс]. URL: https://udv.group/blog/avtomatizatsiya-ib-instrumenty-i-rekomendatsii-po-vnedreniyu/.
80. Лучшие инструменты для аудита сетевой безопасности [Электронный ресурс]. URL: https://clickfraud.ru/blog/luchshie-instrumenty-dlya-audita-setevoj-bezopasnosti/.
81. Как правильно провести аудит информационной безопасности? [Электронный ресурс]. URL: https://gladiatorovib.ru/audit-informatsionnoj-bezopasnosti-polnoe-rukovodstvo-s-primerami-i-shablonami/.
82. Информационная безопасность для малого и среднего бизнеса [Электронный ресурс]. URL: https://dqc.ru/blog/informacionnaya-bezopasnost-dlya-malogo-i-srednego-biznesa.
83. Автоматизация экспертного аудита информационной безопасности на основе использования искусственной нейронной сети // Cyberleninka.ru. URL: https://cyberleninka.ru/article/n/avtomatizatsiya-ekspertnogo-audita-informatsionnoy-bezopasnosti-na-osnove-ispolzovaniya-iskusstvennoy-neyronnoy-seti.
84. PCI DSS сертификация : подготовка к проверке на соответствие стандарту [Электронный ресурс]. URL: https://itglobal.com/audit/pci-dss/.
85. Основные этапы сертификации [Электронный ресурс]. URL: https://getpci.ru/pci-dss-sertifikaciya/.
86. Подготовка к аудиту по требованиям стандарта PCI DSS [Электронный ресурс]. URL: https://dmlk.ru/pci-dss/.
87. Аудит информационной безопасности: методики анализа рисков [Электронный ресурс]. URL: https://komrunet.ru/audit-informatsionnoy-bezopasnosti-metodiki-analiza-riskov/.
88. Что такое аудит информационной безопасности — RAMAX Group [Электронный ресурс]. URL: https://ramax.ru/blog/chto-takoe-audit-informacionnoj-bezopasnosti/.
89. Методики управления рисками информационной безопасности и их оценки (часть 1) [Электронный ресурс]. URL: https://is-journal.ru/articles/metodiki-upravleniya-riskami-informacionnoy-bezopasnosti-i-ih-ocenki-chast-1/.
90. Аудит информационной безопасности: что это, какие есть виды, когда проводить [Электронный ресурс]. URL: https://nubes.ru/blog/audit-informacionnoj-bezopasnosti-chto-eto-kakie-est-vidy-kogda-provodit/.
91. Важность аудита информационной безопасности: направления и цели [Электронный ресурс]. URL: https://rtmtech.ru/articles/vazhnost-audita-informacionnoy-bezopasnosti-napravleniya-i-celi/.
92. Угрозы, векторы и тактики 2024-2025: специалисты ЦК F6 назвали актуальные киберугрозы для российских компаний [Электронный ресурс]. URL: https://f6-sec.com/blog/ugrozy-vektory-i-taktiki-2024-2025-specialisty-ck-f6-nazvali-aktualnye-kiberugrozy-dlya-rossiyskih-kompaniy.
93. Потери от киберпреступности [Электронный ресурс]. URL: https://tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%BE%D1%82%D0%B5%D1%80%D0%B8_%D0%BE%D1%82_%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D0%BF%D1%80%D0%B5%D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D0%B8.
94. Россия заняла второе место по количеству утечек данных в мире [Электронный ресурс]. URL: https://infowatch.ru/company/news/16281.
95. Путин заявил об ущербе от киберпреступлений в 2024 году на сумму 200 млрд рублей [Электронный ресурс]. URL: https://comnews.ru/node/133036.
96. Объём утечек данных в России вырос почти в четыре раза несмотря на снижение числа инцидентов [Электронный ресурс]. URL: https://cisoclub.ru/news/utechki-personalnyh-dannyh-v-rossii-vyrosli-pochti-v-chetyre-raza-za-pervye-vosem-mesyatsev-2025-goda/.
97. Утечки персональных данных в России выросли на 30% в 2024 году [Электронный ресурс]. URL: https://infowatch.ru/company/news/16260.
98. В 2024 году в Сеть утекли более 710 млн записей о россиянах [Электронный ресурс]. URL: https://cnews.ru/news/top/2025-01-16_v_2024_godu_v_set_utekli_bolee_710_mln.
99. В России утекло 1,58 млрд записей персональных данных в 2024 году [Электронный ресурс]. URL: https://anti-malware.ru/news/2025/03/05/85055.
100. Россия под атакой: Число кибернападений на ИТ-инфраструктуру России за год выросло в четыре раза, а на финсектор на 13% [Электронный ресурс]. URL: https://cnews.ru/news/top/2025-10-10_rossiya_pod_atakoj_chislo.
101. Пока взлом не грянет: каким для рынка кибербеза был 2024 год и каким будет 2025-й [Электронный ресурс]. URL: https://forbes.ru/tehnologii/504958-poka-vzmlom-ne-granet-kakim-dlya-rynka-kiberbeza-byl-2024-god-i-kakim-budet-2025-j.
102. Российские компании в 2025 г. стали чаще подвергаться кибератакам [Электронный ресурс]. URL: https://comnews.ru/content/245842/2025-07-15/rossiyskie-kompanii-v-2025-g-stali-chashche-podvergatsya-kiberatakam.
103. F6 назвала главные киберугрозы 2025 года — вышел подробный анализ хакерских групп, атакующих Россию и СНГ [Электронный ресурс]. URL: https://f6-sec.com/blog/f6-nazvala-glavnye-kiberugrozy-2025-goda-vyshel-podrobnyj-analiz-hakerskih-grupp-atakuyushhih-rossiyu-i-sng.
104. Названы главные киберугрозы 2025 года для России [Электронный ресурс]. URL: https://cnews.ru/news/top/2025-02-19_nazvany_glavnye_kiberugrozy.
105. Взлеты и нападения: кибератак на Россию будет все больше [Электронный ресурс]. URL: https://forbes.ru/tehnologii/505315-vzylety-i-napadeniya-kiberatak-na-rossiu-budet-vs-bol-se.
106. Удаленная работа в 2025 году: киберриски и лучшие практики [Электронный ресурс]. URL: https://cybermedia.ru/articles/udalennaya-rabota-v-2025-godu-kiberriski-i-luchshie-praktiki.
107. Ущерб от IT-преступлений за семь месяцев достиг 91 млрд рублей [Электронный ресурс]. URL: https://vedomosti.ru/society/articles/2024/09/06/1059942-uscherb-ot-it-prestuplenii-za-sem-mesyatsev-dostig-91-mlrd-rublei.
108. Кибератаки 2024–2025. Как хакеры атакуют бизнес и что с этим делать [Электронный ресурс]. URL: https://it-world.ru/it-news/safety/cyberattacks-2024-2025-how-hackers-attack-business-and-what-to-do-about-it.html.
109. 9 киберугроз для бизнеса в 2024–2025: как предотвратить потери и утечки [Электронный ресурс]. URL: https://kt.team/articles/9-kiberugroz-dlya-biznesa-v-2024-2025-kak-predotvratit-poteri-i-utechki/.
110. Актуальные киберугрозы: IV квартал 2024 года — I квартал 2025 года [Электронный ресурс]. URL: https://ptsecurity.com/ru-ru/research/analytics/cybersecurity-threat-landscape-2024-q4-2025-q1/.
111. Актуальные киберугрозы: I–II кварталы 2025 года [Электронный ресурс]. URL: https://ptsecurity.com/ru-ru/research/analytics/cybersecurity-threat-landscape-2025-q1-q2/.
112. Актуальные киберугрозы в странах СНГ 2023—2024 [Электронный ресурс]. URL: https://ptsecurity.com/upload/pt_cis_cybersecurity_threat_landscape_2023_h1_2024_rus.pdf.
113. Кибербезопасность 2024-2025: статистика, тренды, прогнозы [Электронный ресурс]. URL: https://kaspersky.ru/resource-center/events/cybersecurity-predictions-2025.
114. Как усмирить кибердраконов и защитить бизнес? [Электронный ресурс]. URL: https://kaspersky.ru/blog/incident-response-webinar-mar-2025/.
115. Информационная безопасность экономической деятельности [Электронный ресурс]. URL: https://searchinform.ru/blog/informatsionnaya-bezopasnost-ekonomicheskoy-deyatelnosti/.
116. Аудит информационной безопасности: что это и когда проводить? [Электронный ресурс]. URL: https://rusonyx.ru/blog/audit-informacionnoj-bezopasnosti-chto-eto-i-kogda-provodit.
117. Правила информационной безопасности: регламент, меры обеспечения ИБ, план мероприятий и рекомендации [Электронный ресурс]. URL: https://staffcop.ru/blog/pravila-informacionnoj-bezopasnosti-reglament-mery-obespecheniya-ib-plan-meropriyatij-i-rekomendacii.
118. Аудит ИБ ЭТАПЫ [Электронный ресурс]. URL: https://bmc-consulting.ru/upload/iblock/c34/c347f3b555776d6569106cd4d34a5d89.pdf.
119. Регламент по обеспечению информационной безопасности [Электронный ресурс]. URL: https://searchinform.ru/blog/reglament-po-obespecheniyu-informatsionnoy-bezopasnosti/.
120. Как провести аудит своих систем информационной безопасности [Электронный ресурс]. URL: https://ksb-soft.ru/blog/audit-sistem-informatsionnoy-bezopasnosti.
121. Методика разработки программы аудита информационной безопасности с учетом весовых коэффициентов значимости свид��тельств аудита на основе метода анализа иерархий // Cyberleninka.ru. URL: https://cyberleninka.ru/article/n/metodika-razrabotki-programmy-audita-informatsionnoy-bezopasnosti-s-uchetom-vesovyh-koeffitsientov-znachimosti-svidetelstv-audita-na-osnove-metoda-analiza-ierarhiy.