Аудит / Учебный курс

{{>TOC}}

h1. Объекты и критерии аудита информационной безопасности

h2. Введение

Аудитор приходит в организацию с конкретным заданием. Но что именно он проверяет? Все документы? Все системы? Всех сотрудников? Очевидно, что полная проверка абсолютно всего невозможна ни по времени, ни по ресурсам.

Ответ на вопрос «что проверяем» определяется тремя понятиями, которые составляют методологическую основу любого аудита: *объект аудита* (что находится под проверкой), *критерии аудита* (с чем сравниваем) и *свидетельства аудита* (что служит доказательством). Без чёткого понимания всех трёх аудит превращается в неструктурированное хождение по организации.

bq. Эта тема закладывает понятийный фундамент для всех последующих тем курса. Независимо от того, проводится ли аудит по ISO 27001, PCI DSS или требованиям ФСТЭК — структура «объект → критерий → свидетельство» остаётся неизменной.

---

h2. Объект аудита

*Объект аудита* — это то, что подвергается проверке: организация, подразделение, процесс, система, продукт или их совокупность.

В контексте аудита ИБ объектами могут выступать принципиально разные сущности, и от правильного определения объекта зависит вся дальнейшая работа.

h3. Область аудита

*Область аудита (Scope)* — чётко определённые границы того, что включено в аудит. Область фиксируется в программе и плане аудита и не может произвольно расширяться в процессе проверки.

Область аудита определяется по нескольким измерениям:

|_.Измерение|_.Что фиксируется|_.Пример|

|*Организационные границы*|Какие подразделения и юридические лица охвачены|Центральный офис и два филиала; дочерние компании исключены|

|*Процессные границы*|Какие бизнес-процессы входят в область|Процессы обработки персональных данных клиентов; HR-процессы исключены|

|*Технические границы*|Какие информационные системы и инфраструктура включены|CRM-система, платёжный шлюз, корпоративная почта; тестовые среды исключены|

|*Географические границы*|Какие локации охвачены|Серверная в Москве; резервная площадка в Санкт-Петербурге|

|*Временные границы*|За какой период проверяются записи и журналы|Период с 01.01.2024 по 31.12.2024|

Размытая область — одна из наиболее распространённых ошибок при организации аудита. Если область не зафиксирована точно, аудитор рискует либо пропустить критически важные системы, либо потратить время на проверку несущественного.

bq. Область аудита должна соответствовать области действия СУИБ, зафиксированной в документации организации. Если СУИБ охватывает только процессинговый центр, а аудит проводится для всего банка — это аудит за пределами задекларированной СУИБ, и его результаты не могут служить основой для сертификации по ISO 27001.

h3. Типы объектов аудита ИБ

Аудитор работает с объектами четырёх принципиально разных типов, каждый из которых требует собственных методов проверки.

*Документы и записи* — политики, регламенты, инструкции, журналы, отчёты, планы, договоры. Документы описывают намерения (что должно быть), записи подтверждают факты (что было). Проверка документов отвечает на вопрос «правильно ли это задумано?», проверка записей — «правильно ли это выполнялось?».

*Процессы и процедуры* — как организована работа: управление доступом, реагирование на инциденты, управление изменениями, резервное копирование. Процесс может быть задокументирован корректно, но выполняться с отклонениями — именно это расхождение чаще всего и выявляет аудит.

*Технические объекты* — конфигурации систем, сетевая архитектура, параметры межсетевых экранов, настройки аутентификации, журналы систем. Техническая проверка отвечает на вопрос «реализованы ли задуманные контроли в действующих системах?».

*Люди* — персонал организации: уровень осведомлённости о требованиях ИБ, понимание своих обязанностей, фактическое поведение на рабочем месте. Проверяется через интервью, наблюдение и тестирование.

---

h2. Критерии аудита

*Критерии аудита* — совокупность требований, политик, процедур или стандартов, с которыми сравниваются собранные свидетельства. Критерии — это эталон, по отношению к которому определяется соответствие или несоответствие.

Без чётко определённых критериев аудит невозможен по определению. Нельзя сказать «это несоответствие», не ответив на вопрос «несоответствие чему?».

h3. Источники критериев

Критерии аудита могут быть внешними (заданными извне) и внутренними (установленными самой организацией).

*Внешние критерии:*

|_.Источник|_.Примеры|_.Обязательность|

|Международные стандарты|ISO/IEC 27001, ISO/IEC 27002, PCI DSS|Добровольная (для сертификации) или обязательная (по договору)|

|Национальные стандарты|ГОСТ Р ИСО/МЭК 27001, ГОСТ 57580.1|Обязательная для финансовых организаций по требованию ЦБ|

|Законодательство и нормативные акты|152-ФЗ, 187-ФЗ, приказы ФСТЭК №17/21/239|Обязательная|

|Отраслевые требования регуляторов|Положение ЦБ РФ 683-П, требования ФСБ|Обязательная для субъектов регулирования|

|Договорные обязательства|Требования клиента к безопасности в контракте|Обязательная в рамках договора|

*Внутренние критерии:*

|_.Источник|_.Примеры|

|Политика ИБ организации|Требования к парольной политике, классификации данных|

|Регламенты и процедуры|Регламент управления доступом, процедура резервного копирования|

|Стандарты конфигурации|Базовые конфигурации серверов, рабочих станций, сетевого оборудования|

|Планы и программы|План обработки рисков, программа обучения персонала|

h3. Иерархия критериев

При проведении аудита критерии выстраиваются в иерархию: внешние требования приоритетны над внутренними, а более специфичные требования конкретизируют общие. Например, при аудите банковской информационной системы иерархия может выглядеть так: положение ЦБ 683-П → ГОСТ 57580.1 → внутренняя политика ИБ банка → инструкция администратора системы.

Если внутренние критерии противоречат внешним — это само по себе несоответствие, которое фиксируется как находка аудита.

h3. Критерии и профиль защиты

Для систем, подлежащих сертификации по Common Criteria(ISO/IEC 15408), критериями аудита служат ПЗ(профили защиты) — типовые наборы требований безопасности для класса продуктов. Связь с оценочными уровнями доверия  подробно рассматривалась в курсе [[uib:ISM|«Основы менеджмента ИБ»]].

---

h2. Свидетельства аудита

*Свидетельства аудита* — записи, изложение фактов или иная информация, относящаяся к критериям аудита и поддающаяся верификации.

Ключевое слово — *верификация*. Свидетельство должно быть объективным и проверяемым. «Сотрудник сказал, что всегда блокирует компьютер при уходе» — это не свидетельство. «Журнал событий Windows за последние 30 дней не содержит ни одной записи о сессии длиннее 15 минут без блокировки экрана на рабочей станции сотрудника» — это свидетельство.

h3. Типы свидетельств

*Документальные свидетельства* — письменные материалы: политики, регламенты, записи журналов, отчёты, договоры, сертификаты, электронная переписка, скриншоты систем, результаты сканирований. Наиболее надёжный тип — существуют независимо от аудитора и могут быть проверены повторно.

*Наблюдательные свидетельства* — результаты личного наблюдения аудитора: физическое состояние объекта, поведение персонала, фактически выполняемые операции. Пример: аудитор наблюдает, что посетители входят в серверную без сопровождения, несмотря на требование политики. Достоинство: отражает реальность в момент наблюдения. Ограничение: зависит от наблюдателя, трудно воспроизводим.

*Свидетельства из интервью* — информация, полученная в ходе опроса персонала. Подтверждают или опровергают понимание сотрудниками своих обязанностей в области ИБ. Важно: сами по себе показания персонала не являются достаточным свидетельством — они должны подтверждаться документальными или наблюдательными данными.

*Технические свидетельства* — результаты технических проверок: сканирования уязвимостей, анализа конфигураций, проверки журналов, тестирования контролей. Обеспечивают наиболее точный ответ на вопрос о фактическом состоянии технических мер защиты.

h3. Требования к свидетельствам

Не каждая информация является приемлемым свидетельством. ISO 19011 устанавливает два требования.

*Достаточность* — количество и качество свидетельств должны быть достаточными для формулирования вывода о соответствии. Один документ с правильным заголовком не является достаточным свидетельством того, что процесс работает. Нужны записи о его фактическом выполнении.

*Надлежащий характер* — свидетельства должны относиться к предмету проверки и быть достоверными. Свидетельство, полученное из единственного источника, слабее подтверждённого независимыми источниками.

h3. Принцип треугольника свидетельств

На практике аудиторы применяют принцип, который можно назвать треугольником свидетельств: для каждого значимого вывода желательно иметь подтверждение из трёх независимых источников разного типа.

Пример для проверки выполнения политики парольной защиты: документальное свидетельство (политика паролей утверждена и содержит требование минимальной длины 12 символов), техническое свидетельство (скриншот групповой политики Active Directory показывает минимальную длину пароля 12 символов), наблюдательное или из интервью свидетельство (сотрудник IT-службы подтверждает, что политика применяется ко всем учётным записям, включая сервисные).

Если все три источника согласуются — вывод о соответствии надёжен. Если между ними есть противоречие — это само по себе сигнал для углублённой проверки.

---

h2. Находки аудита

*Находки аудита* — результаты оценки собранных свидетельств в сравнении с критериями аудита. Находки бывают трёх видов.

h3. Несоответствие

*Несоответствие* — невыполнение требования. Это центральное понятие аудита соответствия. Несоответствия делятся на два класса по серьёзности.

*Значительное несоответствие* — отсутствие или полный отказ системы управления, влекущий за собой серьёзный риск. Примеры: полное отсутствие процесса управления доступом при наличии требования, систематическое невыполнение ключевого контроля, несоответствие, создающее условия для реализации критического риска. Значительное несоответствие блокирует сертификацию до устранения.

*Незначительное несоответствие* — единичное или незначительное отклонение от требования, не создающее немедленного серьёзного риска. Примеры: один журнал из двадцати не подписан ответственным лицом, процедура документирована, но не обновлялась последние 13 месяцев вместо требуемых 12. Незначительные несоответствия требуют корректирующих действий, но не блокируют сертификацию.

h3. Наблюдение

*Наблюдение (Observation)* — ситуация, которая формально не является несоответствием, но указывает на потенциальный риск или возможность улучшения. Наблюдения не требуют обязательных корректирующих действий, но рекомендуются к рассмотрению руководством.

Пример: политика ИБ требует ежеквартального пересмотра прав доступа. Пересмотр проводится, документы в порядке. Но аудитор замечает, что в последних трёх пересмотрах не было выявлено ни одного избыточного права — что статистически маловероятно и может указывать на формальный подход к процедуре.

h3. Подтверждение соответствия

*Подтверждение соответствия* — вывод о том, что требование выполняется и свидетельства это подтверждают. Важно фиксировать не только несоответствия, но и подтверждённые случаи соответствия: итоговый отчёт должен давать сбалансированную картину состояния СУИБ.

---

h2. Связь объектов, критериев и свидетельств

Три понятия образуют логическую цепочку, которая лежит в основе каждой проверки в ходе аудита.

Для каждого требования из области аудита аудитор: определяет, какой объект несёт ответственность за выполнение этого требования; собирает свидетельства о состоянии этого объекта; сравнивает свидетельства с критерием; формулирует вывод о соответствии или несоответствии.

Рассмотрим пример для требования ISO 27001 контроля 8.5 «Безопасная аутентификация».

!clipboard-202606040858-izpgi.png!

|_.Критерий|_.Объект|_.Свидетельства|_.Возможный вывод|

|ISO 27001:2022, контроль 8.5: применяться технологии безопасной аутентификации, включая MFA для привилегированного доступа|Конфигурация Active Directory; учётные записи администраторов|Скриншот политики AD (MFA не настроен); список учётных записей с правами Domain Admin (18 записей); журнал событий безопасности (входы без второго фактора)|Значительное несоответствие: MFA не реализован ни для одной из 18 привилегированных учётных записей|

---

h2. Выборка в аудите

Полная проверка всех объектов невозможна и нецелесообразна. Аудитор работает с *выборкой* — репрезентативным подмножеством объектов, по которому делает вывод о состоянии всей популяции.

h3. Подходы к формированию выборки

*Основанная на риске выборка* — приоритет отдаётся объектам с наибольшим риском или наибольшим потенциальным ущербом от несоответствия. Если в организации 200 информационных систем, аудитор начинает с тех, которые обрабатывают наиболее критичные данные.

*Случайная выборка* — объекты выбираются случайным образом, что обеспечивает статистическую репрезентативность. Применяется для проверки типовых контролей, одинаково применяемых ко всей популяции (например, проверка парольной политики на случайной выборке из 30 учётных записей из общего числа 2000).

*Целенаправленная выборка* — выбираются специфические объекты, основанные на профессиональном суждении аудитора: новые системы (высокий риск незрелых процессов), системы с историей инцидентов, области, не проверявшиеся в предыдущем аудите.

h3. Документирование выборки

Метод формирования выборки и её состав документируются в рабочих материалах аудита. Это необходимо по двум причинам: для защищаемости выводов (вывод о несоответствии, основанный на прозрачной выборке, убедительнее вывода «мы посмотрели несколько систем») и для воспроизводимости (повторный аудит использует сопоставимую выборку).

---

h2. Типичные ошибки при определении объектов, критериев и свидетельств

|_.Ошибка|_.Последствие|

|Область аудита не зафиксирована или сформулирована размыто|Разногласия между аудитором и организацией о том, что должно быть проверено; риск пропустить критические системы|

|Критерии не согласованы с организацией до начала аудита|Организация оспаривает выводы, ссылаясь на неприменимость критериев|

|Свидетельства основаны только на словах персонала|Низкая надёжность выводов; риск ошибочного подтверждения соответствия|

|Не разграничиваются значительные и незначительные несоответствия|Невозможно приоритизировать корректирующие действия; потеря доверия к отчёту|

|Выборка смещена в сторону «хороших» объектов|Аудит выявляет только то, что организация готова показать; реальные проблемы остаются скрытыми|

|Свидетельства не документируются в момент сбора|Невозможно защитить выводы после завершения аудита; проверяемая сторона может оспорить факты|

---

h2. Что дальше

Определив объекты и критерии, необходимо понять, *с чего начинать* — какие объекты проверять в первую очередь и насколько глубоко. Ответ даёт риск-ориентированный подход к аудиту.

* *Следующая тема:* [[Оценка_рисков_в_аудите|3. Риск-ориентированный аудит: связь с ISO 27005]]

* *Методы сбора свидетельств:* [[Аудит_безопасности_и_методы_его_проведения|4. Методы проведения аудита]] — интервью, наблюдение, технические проверки

* *Оформление находок в отчёте:* [[Отчетная_документация|16. Отчёт об аудите и работа с несоответствиями]]

---

h2. Список литературы и стандартов

* "ISO 19011:2018":https://www.iso.org/standard/70017.html — разделы 3 (термины), 6.4 (проведение аудита), 6.5 (выборка)

* "ISO/IEC 27007:2021":https://www.iso.org/standard/77802.html — руководство по аудиту СУИБ

* "ISO/IEC 27001:2022":https://www.iso.org/standard/27001.html — Приложение А: контроли как критерии аудита

* ISACA — IS Audit and Assurance Guideline 2205: Evidence

* "NIST SP 800-53A":https://csrc.nist.gov/publications/detail/sp/800-53a/rev-5/final — Assessing Security Controls (методология оценки контролей)