В России увеличился спрос бизнеса на аудит своих систем информзащиты

В российских компаниях стремительно растёт интерес к проверке надёжности собственных систем информационной безопасности. Такой тренд наблюдается на фоне грядущих изменений в законодательстве — с конца мая вводятся оборотные штрафы за утечки персональных данных, и бизнес предпочитает заранее предпринять меры, которые могут снизить возможные санкции.

Участники отрасли объясняют, что аудит помогает не только обнаружить слабые места в защите, но и может стать весомым аргументом при разбирательствах с регуляторами.

Специалисты в сфере информационной безопасности и правоведы подтверждают — операторы персональных данных всё чаще инициируют комплексную проверку своих систем. Этому способствует не только рост юридических рисков, но и стремление продемонстрировать выполнение требований законодательства. По информации, предоставленной юристами юридической фирмы ЭБР, в текущем году спрос на аудит информационной безопасности увеличился более чем в два раза по сравнению с весенним периодом прошлого года.

Артём Евсеев, советник практики интеллектуальной собственности компании ЭБР, подчёркивает, что ранее подобные проверки проводились формально и не всегда всерьёз. Сейчас ситуация изменилась — последствия несоблюдения требований законодательства стали ощутимо серьёзнее. По словам Артёма Евсеева, компании рассчитывают за счёт аудита не только повысить защищённость, но и заранее выявить возможные проблемы, чтобы не столкнуться с ними в ходе проверок. Особенно это актуально в условиях, когда был отменён мораторий на внеплановые инспекции Роскомнадзора.

С конца прошлого года бизнесу уже приходится нести ощутимые расходы даже за мелкие нарушения. Как поясняют в ЭБР, за одно некорректно оформленное согласие на обработку персональных данных сотрудника организация может получить штраф в размере до 700 тыс. руб. В декабре 2024 года в Уголовный кодекс была добавлена специальная статья, посвящённая ответственности за несоблюдение положений закона «О персональных данных». А с мая 2025 года начнут действовать оборотные штрафы, напрямую зависящие от объёма финансовой деятельности компании.

Алексей Воронцов, директор департамента консалтинга Cloud Networks, заявил CISOCLUB: «Действительно, на фоне возрастания затрат на ИБ за последние несколько лет и общего сокращения расходов на ИТ (вызванного в том числе высокой ключевой ставкой), руководство компаний начинает интересоваться эффективностью данных расходов. В свою очередь, команды ИБ пытаются обосновать сохранение или расширение своих бюджетов.

Внешняя оценка уровня защищённости ИБ при этом рассматривается обоими сторонами как один из ключевых инструментов оценки эффективности функционирования данного направления и переоценки финансирования. Также следует отметить возросший интерес и к направлению оценки зрелости ИБ по различным российским и международным фреймворкам, которое позволяет дать более целостную картину функционирования ИБ в разрезе люди-процессы-технологии, чем просто абстрактная «независимая оценка уровня защищённости», которую в российской ИБ-практике традиционно называют «аудитом ИБ-систем».

Алена Игнатьева, руководитель направления консалтинга и аудита информационной безопасности STEP LOGIC: «Операторы персональных данных всё чаще инициируют комплексную проверку защищённости своих систем. Как правило, мы сталкиваемся с тем, что основным побудительным мотивом является “кнут”. Организации смотрят на риск утечек не с точки зрения бизнеса или потери репутации, а с позиции возможных штрафных санкций.

Одна из самых востребованных услуг среди наших заказчиков — контроль эффективности системы защиты и процессов обработки персональных данных. Она включает:

• Процессный аудит для оценки достаточности процессов и законности организационных мер по защите персональных данных.
• Технический аудит, который включает анализ существующих систем ПД, их конфигурации, сетевого взаимодействия, корректности и достаточности параметров настроек средств защиты информации, сетевых проходов.
• Тесты на проникновение и анализ уязвимостей, наиболее полно показывающие фактическую защищенность информационной системы персональных данных организации.
• Анализ защищенности, который представляет собой сканирование ПО, а для компаний, у которых имеется собственная разработка – статический и динамический анализ уязвимостей исходного кода.

Для оценки эффективности защиты персональных данных в организации специалисты STEP LOGIC выделяют четыре основных критерия:

• соответствие процессов нормам законодательства, требованиям внутренних нормативных документов и стандартов организации;
• полнота и достаточность мер защиты информации;
• невозможность пентестера получить доступ к чувствительным данным или завладеть критичными активами в ходе проведения тестирования на проникновение;
• отсутствие непропатченных ранее опубликованных уязвимостей, исходя из стандартов, заявленных в организации или практик, принятых на рынке.

Стоимость аудита зависит от набора опций, масштабов инфраструктуры и сложности реализуемых процессов. Чем больше инфраструктура, количество серверов, сетевого оборудования, технологических площадок, различного ПО, сложнее применяемые программные продукты, тем выше стоимость аудита. Также на цену влияет и использование заказчиком самописного либо неактуального для рынка ПО, т.к. специалистов с соответствующим опытом в отрасли немного».

Надежда Запольских, менеджер продукта Контур.Безопасность: «Видим резкий рост запросов на аудит информационной безопасности. Речь идёт не только о формальной проверке соответствия нормам, но и о комплексном анализе уязвимостей. Бизнес стал заказывать аудит по персональным данным, полноценные аудиты ИБ и, что особенно важно, пентесты как внешнего, так и внутреннего периметра. Возможно, это связано не только с грядущими ужесточениями законов и повышением штрафов, но и с постоянными упоминаниями об утечках данных в СМИ — даже единичный инцидент может обернуться серьёзными репутационными потерями и финансовыми рисками.

Цена на такие услуги не взлетела стремительно, но есть плановые изменения из-за растущего рынка и инфляции. Спрос стабильно увеличивается. Предполагаем, что скоро к аудитам прибегнет и малый бизнес, который до этого считал, что у них нет таких рисков, как у крупных корпораций. Никто не хочет получить большие штрафы и разбирательства с регуляторами».

Алексей Петухов, директор по развитию COREBIT (в составе холдинга ЦИКАДА): «Аудит систем информационной безопасности — это ключевой инструмент для повышения защищённости ИБ-системы. Он позволяет не только выявить уязвимости, но и разработать эффективные меры по их устранению. Проведение аудита дает возможность глубже понять, как именно улучшить настройки средств защиты информации и оптимизировать процессы реагирования на инциденты.

К примеру, при эксплуатации CoreBit.NGFW аудит может выявить недостатки в текущих правилах фильтрации трафика, что позволяет разработать более детализированные настройки фильтрации приложений, морфологического модуля и политики для различных групп пользователей. Это, в свою очередь, значительно повысит устойчивость бизнеса к внешним угрозам, обеспечивая более целенаправленное обнаружение и предотвращение атак.

В этом контексте грядущие штрафы за утечки персональных данных не только привлекают внимание к вопросам безопасности, но в каком-то смысле помогают привить стабильность, регулярность и необходимость постоянного проведения аудита ИБ во всех компаниях. Это может стать стимулом для организаций более ответственно подходить к вопросам защиты данных и улучшать свои системы безопасности».

Алексей Захаров, директор по технологическому консалтингу Axiom JDK: «Да, на текущий момент все больше систем защищают корпоративные приложения, и уровень защиты особенно банковских систем стал очень высок. Просто наличие технических средств уже не достаточно для защиты и на первый план выходят подходы связанные с обучением и повышением уровня знаний клиентов о возможных способах мошенничества.

Мы сейчас сталкиваемся с ситуацией, где мошенниками используются все больше механизмы социальной инженерии поскольку именно клиенты банков могут стать «слабым звеном» и тут технические средства мало эффективны. В том числе сейчас создание счета и карты в банке стало рутинной операцией на контроль которой люди уже не обращают особого внимания, что притупляет бдительность и создает своего рода уязвимое место для мошенников. С нашей стороны повышения уровня знаний клиентов это очень важная задача во всех сферах связанных с безопасностью, актуальность которой постоянно повышается в современном обществе».