В современном мире информационная безопасность становится не просто технической необходимостью, а стратегическим активом любого предприятия. Руководители компаний все чаще задаются вопросами: насколько надежно защищены их данные, какие скрытые уязвимости существуют в инфраструктуре, и как избежать многомиллионных штрафов от контролирующих органов. В этом материале мы подробно разберем самые актуальные вопросы об экспертизе и аудите информационной безопасности, приведем реальные примеры из практики и дадим четкие рекомендации.

📌 Какие законодательные нормы проверяются в ходе аудита информационной безопасности и как это помогает избежать штрафов?

Аудит информационной безопасности — это не просто техническая проверка, а глубокая юридическая экспертиза соответствия вашей компании требованиям закона. В ходе такого аудита эксперты в первую очередь проверяют соблюдение федерального закона «О персональных данных» (основной нормативный акт в нашей стране). Особое внимание уделяется статьям, касающимся получения согласий на обработку данных, уведомления регулятора о намерениях обрабатывать персональные сведения, а также выполнению требований к защите информационных систем.

Помимо национального законодательства, аудит обязательно охватывает требования отраслевых стандартов. Для банковской сферы это указания Центрального банка, для государственных информационных систем — приказы Федеральной службы по техническому и экспортному контролю, для операторов критической информационной инфраструктуры — соответствующие нормы законодательства о безопасности значимых объектов.

Как именно проверка норм помогает избежать штрафов? Эксперт последовательно анализирует каждый документ: политики обработки данных, регламенты реагирования на инциденты, внутренние приказы о назначении ответственных лиц. Если выявляется несоответствие, аудитор выдает предписание с конкретными шагами по устранению нарушения — от коррекции текста документа до внедрения недостающих технических средств. После устранения замечаний повторная проверка подтверждает, что риск получения штрафа снижен до нуля.

Реальный пример из практики: крупная розничная сеть получила предписание от Роскомнадзора о возможной блокировке сайта за некорректно оформленную политику обработки файлов cookie. В рамках аудита наши специалисты обнаружили, что текст политики не соответствовал нескольким статьям федерального закона. Всего за три дня документ был полностью переработан, внедрены механизмы информирования пользователей, и компания не только избежала штрафа в два миллиона рублей, но и прошла следующую плановую проверку без единого замечания.

Стоит отметить, что аудит проверяет даже рискованные формулировки в договорах с подрядчиками. Очень часто компании заключают соглашения о передаче данных, не включая в них пункты о субподрядной ответственности. Это является прямым нарушением, за которое штраф достигает полутора миллионов рублей на юридическое лицо. Аудит выявляет такие «спящие» риски и предлагает шаблоны безопасных договорных конструкций.

✅ Итог по разделу: проверка законодательных норм во время аудита ИБ позволяет компании точечно и с минимальными затратами устранить нарушения, доказать регулятору свою добросовестность и сэкономить миллионы на штрафных санкциях.

⚙️ Что конкретно оценивается экспертом при аудите информационной безопасности: только технические системы или также процессы и человеческий фактор?

Многие ошибочно полагают, что аудит информационной безопасности сводится к сканированию серверов и проверке антивирусов. На самом деле комплексная экспертиза охватывает три фундаментальных слоя: технический, процессный и человеческий. Без оценки каждого из них аудит теряет смысл, поскольку самая совершенная защита рушится из-за ошибки сотрудника или размытого регламента.

Технические системы — очевидная, но не единственная часть проверки. Эксперт оценивает сетевое оборудование (маршрутизаторы, межсетевые экраны), системы обнаружения вторжений, средства контроля доступа, шифрования данных, резервного копирования. Проверяются настройки серверов баз данных, рабочих станций, мобильных устройств. Оценивается актуальность версий программного обеспечения и наличие критических уязвимостей. Например, часто обнаруживаются сервера с неотключенными службами удаленного доступа, настроенными на заводские пароли, — это прямая дорога для злоумышленников.

Процессы и регламенты — второй уровень аудита, который зачастую оказывается самым уязвимым. Эксперт анализирует: как происходит предоставление доступа новому сотруднику, как отзываются права при увольнении, существует ли процедура согласования установки стороннего программного обеспечения, регламентирован ли порядок передачи данных на флеш-носителях, проводится ли регулярное обучение персонала. Удивительно, но в половине компаний среднего бизнеса вообще отсутствует регламент реагирования на утечку, а процедура смены паролей не выполнялась годами.

Человеческий фактор — третий, самый непредсказуемый компонент. В рамках аудита проводятся анонимные опросы сотрудников, симулируются фишинговые атаки (рассылка писем от имени руководства с просьбой сообщить пароль или перевести средства). Статистика неумолима: более шестидесяти процентов успешных вторжений в корпоративные сети начинаются с ошибки человека, который перешел по вредоносной ссылке или ввел логин на поддельной странице. Эксперты оценивают уровень осведомленности персонала, культуру безопасности, привычку сообщать о подозрительных событиях.

Реальный кейс из нашей практики: При проведении аудита в инжиниринговой компании выяснилось, что техническая защита периметра реализована на пять баллов — использовалось современное оборудование, корректные настройки, регулярно обновляемые сигнатуры угроз. Однако проверка процессов показала, что любой сотрудник отдела закупок имел право скачивать неутвержденные программы из открытых источников, а при увольнении доступы отзывались вручную и с задержкой до двух недель. Человеческий фактор «добил» картину: при симуляции фишинга сорок процентов сотрудников перешли по ссылке. В результате компания внедрила систему автоматизированного управления доступами, обязательный антифишинговый тренинг и сократила риски утечки проектной документации на девяносто процентов.

✅ Итог: полноценный аудит информационной безопасности обязательно включает техническую, процессную и человеческую компоненту. Только такой подход дает реалистичную картину защищенности компании.

⚖️ Может ли заключение независимого аудита информационной безопасности стать основанием для расторжения договора с внешним IT-подрядчиком или предъявления ему финансовых претензий?

Да, и это один из самых весомых практических результатов экспертизы ИБ. Заключение независимого аудита, выполненное аккредитованной экспертной организацией, имеет силу официального доказательства в арбитражных судах. Но чтобы этот документ стал реальным основанием для расторжения договора или взыскания убытков, он должен соответствовать нескольким жестким требованиям.

Первое требование — договор между заказчиком и IT-подрядчиком должен содержать конкретные показатели информационной безопасности. Например: отсутствие критических уязвимостей, подтвержденное сканированием, соответствие разработанной системы требованиям регулятора, обеспечение сохранности данных при штатной эксплуатации. Если в договоре есть такие пункты, а аудит фиксирует их нарушение — это прямое основание для претензий.

Второе требование — аудит должен проводиться строго по методике, признаваемой судебной системой. Наши заключения строятся на основе стандартов, утвержденных Федеральной службой по техническому и экспортному контролю, что придает им статус экспертных. В документе детально описывается: какие тесты проводились, какое оборудование использовалось (с серийными номерами и датами поверки), какие именно нарушения найдены, какими нормативными актами эти нарушения запрещены.

Третье требование — причинно-следственная связь между действиями подрядчика и наступившим ущербом. Аудит должен не просто констатировать наличие уязвимостей, а доказать, что эти уязвимости возникли именно из-за некачественной работы IT-подрядчика, а не по вине самого заказчика (например, из-за отключения защиты самими пользователями).

Важный кейс по теме: Одна из строительных корпораций заключила договор на сопровождение корпоративной сети. Подрядчик гарантировал защиту от утечек и ежедневное резервное копирование. Однако после хакерской атаки выяснилось, что резервные копии не создавались полгода, а средства защиты периметра были настроены с грубейшими ошибками. Заказчик инициировал независимый аудит информационной безопасности. В нашем заключении было детально расписано, какие конкретно пункты договора нарушены (не обеспечена целостность данных, не проведено шифрование каналов связи, не установлены обновления безопасности). С этим заключением компания обратилась в арбитраж и не только расторгла договор без штрафных санкций, но и взыскала с подрядчика три миллиона рублей прямого ущерба и еще полмиллиона расходов на восстановление данных.

Однако есть важный нюанс: простое наличие аудита без привязки к договору не дает автоматического права на расторжение. Аудит выступает именно как доказательство нарушения условий. Поэтому перед заказом экспертизы мы всегда рекомендуем ру
проверить ваш договор с IT-подрядчиком на предмет наличия в нем измеримых показателей безопасности.

✅ Вывод: правильно оформленное заключение независимого аудита ИБ является полноценным юридическим основанием для предъявления претензий подрядчику и часто становится решающим документом в суде.

💰 Какова стоимость аудита информационной безопасности для среднего бизнеса и какие факторы влияют на сроки проведения такой экспертизы?

Стоимость аудита — вопрос, который волнует каждого руководителя, и здесь нет универсального ответа «дешево или дорого». Экспертиза информационной безопасности для среднего бизнеса (компании со штатом от 50 до 500 человек и стандартной серверной инфраструктурой) в нашей практике варьируется от 300 тысяч до полутора миллионов рублей. Разброс зависит от конкретных факторов, но давайте разложим все по полочкам.

Основные факторы стоимости:

1. Масштаб инфраструктуры. Чем больше серверов, рабочих станций, сетевых устройств и приложений, тем дольше и сложнее аудит. Средний бизнес обычно имеет от 20 до 200 единиц оборудования, которые надо проверить.
2. Глубина проверки. Поверхностный аудит (только внешний периметр и базовые настройки) стоит дешевле — от 300 тысяч. Углубленная экспертиза с тестированием на проникновение, анализом исходных кодов приложений и полной ревизией процессов обойдется в 700 тысяч — 1,2 миллиона рублей.
3. Наличие специфических регуляторных требований. Если ваша компания обрабатывает персональные данные высших категорий или является субъектом критической информационной инфраструктуры — аудит будет включать дополнительные работы (оценку соответствия более жестким нормам, проверку физической защиты носителей), что повышает стоимость на тридцать-сорок процентов.
4. Необходимость выезда на объект. Часть тестов можно провести удаленно, но проверка человеческого фактора, анализ физической безопасности серверных комнат, осмотр рабочих мест требуют присутствия эксперта на площадке заказчика. Это увеличивает смету на командировочные расходы, но в пределах разумного.

Факторы влияния на сроки проведения:

• Простая техническая проверка (сканирование внешних IP-адресов, анализ конфигураций по документам) занимает от 3 до 5 рабочих дней.
• Стандартный аудит (техническая часть + процессы + человеческий фактор без пентеста) — от 10 до 15 дней.
• Расширенный аудит с полноценным тестированием на проникновение, моделированием атак, анализом каналов связи и выездом экспертов длится от 3 до 6 недель.

Реальный пример с цифрами: Производственная компания на двести сотрудников заказала стандартный аудит ИБ. Инфраструктура включала 5 серверов, 180 рабочих станций, 10 единиц сетевого оборудования. Стоимость составила 450 тысяч рублей. Сроки — 12 рабочих дней. В результате найдено 28 уязвимостей разной степени критичности, из них 6 — высокие. Рекомендации бюджетированы в сумму около 700 тысяч на устранение. Компания посчитала это дешевле потенциального штрафа в 4 миллиона рублей за гипотетическую утечку.

Важное предостережение: не стоит гнаться за минимальной ценой. Аудит за пятьдесят тысяч рублей — это, скорее всего, формальная «галочка» без какой-либо практической ценности. Качественная экспертиза требует работы высокооплачиваемых специалистов, лицензионного программного обеспечения, времени и ответственности.

✅ Итог: для среднего бизнеса реалистичная стоимость полноценного аудита ИБ — в районе 500-800 тысяч рублей со сроками 2-3 недели. Это инвестиция, которая окупается предотвращением хотя бы одного серьезного инцидента.

🛡️ Как экспертиза информационной безопасности может помочь вашей компании обнаружить уязвимости и предотвратить утечки данных и кибератаки ещё до их возникновения?

Здесь уместна медицинская аналогия: аудит — это полное профилактическое обследование организма, а не лечение уже случившейся болезни. Экспертиза ИБ находит «болевые точки» в защите задолго до того, как ими воспользуются злоумышленники. Каким образом это происходит?

Метод первый: внешнее сканирование периметра. Эксперт, имитируя действия хакера, анализирует видимые из интернета сервера, порты, сетевые службы. Обнаруживаются открытые порты к удаленному рабочему столу, работающие устаревшие версии протоколов, некорректно настроенные межсетевые экраны. Например, в ходе одного из аудитов наш специалист за пять минут нашел общедоступный сервер баз данных, к которому можно было подключиться с заводским паролем «admin/admin». Утечка сотен тысяч записей клиентов была предотвращена буквально за день до того, как к этому серверу мог подключиться кто-то еще.

Метод второй: внутренний аудит (изнутри корпоративной сети). Эксперт получает доступ под видом нового сотрудника или стажера. Исследуется: может ли обычный пользователь «увидеть» чужие папки на сетевых дисках, можно ли перехватить трафик, насколько надежно разграничены права доступа. В одной торговой компании обнаружилось, что каждый продавец имел полный доступ к базе с персональными данными постоянных клиентов, включая адреса и платежные реквизиты. Достаточно было одного недобросовестного увольнения — и база ушла бы конкурентам.

Метод третий: анализ политик и процедур. Часто уязвимости скрываются не в технике, а в документах. Например, в компании существовало правило, по которому резервные копии данных хранились на том же сервере, что и сами данные. Это бессмысленно: при атаке-вымогателе шифруются и основные файлы, и копии. Аудит выявил это и предложил схему «три-два-один» (три копии, два разных носителя, одна копия вне офиса).

Живой кейс, который спас компанию от катастрофы: К нам обратилась логистическая фирма. Они жаловались на редкие, но регулярные сбои в работе — падала база данных на несколько часов. Никто не мог понять причину. В рамках расширенного аудита мы установили систему мониторинга трафика и обнаружили: каждый день в 2 часа ночи неизвестное устройство в сети сканирует базу данных и пытается подобрать пароль. Злоумышленник уже три месяца «прощупывал» защиту! Мы изолировали зараженное устройство (им оказался ноутбук менеджера, на котором через фишинговое письмо установили скрытую программу), сменили ключи доступа к базе, настроили оповещение о подозрительной активности. Предотвращена утечка всех данных о перевозках и клиентах — ущерб мог составить более десяти миллионов рублей.

Метод четвертый: моделирование целевых атак. Специалисты по ИБ пробуют разные сценарии: фишинг на руководство, подброс зараженной флешки в холле, атаку через поставщиков программного обеспечения. Это помогает понять реальный уровень защищенности, а не теоретический, нарисованный в документах.

✅ Ключевой вывод: экспертиза ИБ позволяет перейти от реактивной защиты («уже атакуют — спасайтесь») к проактивной («предсказали и предотвратили»). Это разница между потерей миллионов и спокойной работой.

📋 Какой пошаговый план по улучшению кибербезопасности и практические рекомендации получит наша компания по результатам аудита информационной безопасности?

По итогам аудита вы получаете не сухой перечень проблем, а готовый маршрутный лист с конкретными действиями — от самых срочных до долгосрочных. Этот документ разбивается на этапы, каждый из которых оценивается по срокам, стоимости и приоритету.

Шаг 1. Ликвидация критических уязвимостей (срок: 1-3 дня). В первую очередь эксперт выделяет то, что требует немедленного исправления — «пожарные» проблемы. Это могут быть: административные пароли «по умолчанию», устаревшие версии программ с известными дырами, неправильно настроенный межсетевой экран, отсутствие шифрования на ноутбуках сотрудников. Рекомендации по этому шагу даются максимально подробные, вплоть до команд в терминале или номеров обновлений, которые нужно скачать.

Шаг 2. Быстрые улучшения со значимым эффектом (срок: 1-2 недели). Сюда входят: внедрение двухфакторной аутентификации для важных систем, настройка автоматической блокировки экрана при бездействии, проведение обязательного антифишингового обучения, обновление правил разграничения доступа. Эти меры не требуют больших бюджетов, но закрывают основные векторы атак.

Шаг 3. Системные изменения (срок: 1-3 месяца). На этом этапе решаются задачи, требующие организационных решений: разработка и утверждение политики информационной безопасности (если ее нет), назначение ответственных лиц, внедрение системы сбора и анализа событий безопасности, установка современных средств защиты конечных точек.

Шаг 4. Стратегические проекты (срок: 3-12 месяцев). Это рекомендации по долгосрочному усилению защиты, например: переход на защищенный сегмент сети, внедрение системы класса информационной безопасности событий и управления инцидентами, создание собственного центра мониторинга или передача этой функции на аутсорсинг, регулярное проведение пентестов (например, раз в полгода).

Дополнительно в плане приводится дорожная карта в виде таблицы: что делаем, когда делаем, сколько стоит, какой ожидаемый результат, кто отвечает (системный администратор, отдел кадров, директор, внешний подрядчик).

Практический пример плана из реального аудита: Для компании по производству строительных материалов мы выдали следующий план. Шаг первый — в течение суток сменить утерянный корпоративный ноутбук сотрудника (критическая уязвимость данных). Шаг второй — за неделю настроить бэкапы на отдельное облачное хранилище. Шаг третий — за месяц разработать и ввести в действие политику использования личных мобильных устройств (многие сотрудники заходили в рабочую почту с незащищенных смартфонов). Шаг четвертый (шесть месяцев) — внедрить систему управления уязвимостями с автоматическим сканированием. Компания последовала рекомендациям, и через год прошла проверку Роскомнадзора с формулировкой «высокий уровень защищенности».

✅ Итог: пошаговый план отличается практичностью — нет абстрактных советов «усилить безопасность», есть четкое: «завтра в 10 утра сделать вот это, стоит 5 тысяч рублей, длится 2 часа».

🎣 Включает ли аудит информационной безопасности проверку систем защиты от фишинга, вредоносного ПО и DDoS-атак, и насколько эффективно он выявляет эти угрозы?

Да, и это обязательные разделы любого серьезного аудита. Фишинг, вредоносное программное обеспечение и атаки на отказ в обслуживании входят в тройку самых распространенных угроз для российского бизнеса. Экспертиза проверяет защиту от каждой из них специальными методами.

Проверка защиты от фишинга. Эксперт симулирует реалистичную фишинговую атаку: создает поддельную страницу входа (например, копию портала вашей бухгалтерии), составляет правдоподобное письмо от имени руководства или контрагента и отправляет его на корпоративные адреса. Далее отслеживается: кто из сотрудников перешел по ссылке, кто ввел логин и пароль на подделке, кто сообщил о подозрительном письме системному администратору. Эффективность оценки очень высока — через два-три часа после рассылки у вас будет точная статистика слабых мест «живого» персонала. В наших аудитах мы также проверяем, настроена ли фильтрация входящих писем на уровне почтового сервера, используются ли технологии динамического анализа ссылок, есть ли в домене защитные протоколы, мешающие подделке отправителя.

Проверка защиты от вредоносного программного обеспечения. Здесь аудит включает: проверку актуальности антивирусных баз на каждом рабочем месте, анализ политик запуска приложений (можно ли сотруднику запустить файл из папки «Загрузки» или с флешки), тестирование системы поведенческого анализа (способны ли антивирусы обнаружить неизвестный зловред по его действиям). Мы также используем «безопасные образцы» — специальные тестовые вредоносные программы (без реального кода, но с опасными поведенческими паттернами), чтобы увидеть, сработает ли защита в реальных условиях. В одном из кейсов выяснилось, что антивирус на сервере баз данных отключен уже полгода — никто не заметил, потому что по умолчанию он «молчит». Огромная уязвимость была устранена в тот же день.

Проверка защиты от атак на отказ в обслуживании. Для среднего бизнеса проверка обычно идет в двух направлениях. Первое: анализ сетевой инфраструктуры на предмет узких мест и избыточной нагрузки. Может ли один запрос от злоумышленника «уронить» сервер? Второе: проверка наличия и настроек внешних средств защиты (например, фильтрации трафика через провайдера или облачные сервисы). Мы не проводим полномасштабную нагрузочную атаку (это нарушит работу вашего бизнеса), но используем контролируемую верификацию — отправляем эхо-пакеты различного типа, проверяем лимиты соединений, анализируем, способна ли система отличить легитимный пик нагрузки (например, распродажа в интернет-магазине) от злонамеренного наводнения.

Реальный кейс эффективности такой проверки: Интернет-магазин подал заявку на сертификацию. Аудит показал, что антифишинговая защита почтового сервера отключена, а от атак на отказ в обслуживании магазин вообще не защищен — любой школьник мог бы забросить сервер простой утилитой. Мы выдали рекомендации: настроить фильтрацию на уровне хостинг-провайдера, включить защиту от подделки отправителя для домена, установить на почтовый сервер современный спам-фильтр с антифишинговыми сигнатурами. Через три недели внедрения магазин пережил две реальные DDoS-атаки (каждая длительностью около часа) — сайт даже не замедлился. Владелец признался, что до аудита даже не подозревал о существовании таких угроз, а теперь считает экспертизу лучшей инвестицией года.

✅ Итог: аудит эффективно выявляет уязвимость к фишингу, вредоносному ПО и атакам на отказ в обслуживании, причем с помощью щадящих, но показательных методов, не нарушающих работу компании.

🆚 Чем аудит информационной безопасности отличается от тестирования на проникновение (пентеста) или обычного IT-аудита, и что дает комплексная экспертиза ИБ?

Это один из самых важных вопросов, чтобы не запутаться в услугах. Многие руководители думают, что тестирование на проникновение (так называемый пентест) и аудит ИБ — одно и то же. На самом деле это принципиально разные инструменты, решающие разные задачи.

Чем отличается аудит ИБ от тестирования на проникновение? Пентест — это боевая имитация действий хакера. Специалист пытается взломать вашу систему, используя реальные атаки, и если у него это получается — он фиксирует факт взлома и путь проникновения. Основная цель пентеста — понять, насколько сложно злоумышленнику проникнуть внутрь. Аудит же гораздо шире: он включает не только взлом (как один из тестов), но и проверку документации, человеческого фактора, юридической стороны, процессов. Аудит отвечает на вопрос: «Насколько в принципе ваша организация готова к киберугрозам с точки зрения всех аспектов — от директора до сервера?». Пентест — это лишь один из инструментов в арсенале аудитора.

Сравнение с обычным IT-аудитом. Обычный IT-аудит проверяет работоспособность техники: не зависают ли сервера, корректно ли настроено сетевое взаимодействие, есть ли резервные копии, соответствует ли оборудование заявленным характеристикам. IT-аудитор ответит на вопрос: «Все ли железо работает как надо?». Аудитор ИБ спросит иначе: «А безопасно ли оно работает? Не просочится ли через эти настройки информация?» Обычный IT-аудит совершенно не проверяет шифрование, политики паролей, защиту от фишинга и реагирование на инциденты. Поэтому опора только на IT-аудит создает ложное ощущение защищенности.

Что дает комплексная экспертиза ИБ в отличие от разрозненных проверок? Только комплексный подход объединяет три слоя. Вы получаете единую картину: «Вот ваши технические дыры, вот процессные нарушения (например, уволившийся сотрудник три месяца имеет доступ к системе), вот человеческие риски (менеджеры используют личную почту для рабочих документов)». Разрозненный пентест мог бы показать, что через внешний периметр не пролезть, но при этом упустил бы факт, что любой курьер может вынести флешку с базами. Комплексная экспертиза не оставляет таких слепых зон.

Наглядный пример из практики: Одна торговая компания заказала только пентест. Хакеры-белые шляпы потратили неделю, но найти вход не смогли — внешняя защита была отличной. Компания решила, что полностью защищена. Через месяц произошла утечка: уволившийся складской работник просто вынес ноутбук, на котором были пароли от системы. Если бы компания заказала комплексный аудит, а не только пентест, то аудитор указал бы на отсутствие шифрования дисков ноутбуков, слабый контроль выдачи техники и процедуру отзыва доступов при увольнении, которая не работала. Комплексная экспертиза показала бы, что снаружи все хорошо, а изнутри — катастрофа.

✅ Итоговое резюме: обычный IT-аудит говорит о работоспособности, пентест — о возможности взлома извне. И только комплексная экспертиза информационной безопасности охватывает все три измерения: технику, людей и процессы. Выбирайте аудит ИБ как наиболее полную и полезную для реального бизнеса услугу.

🧩 Раздел с кейсами: реальные истории из практики экспертизы информационной безопасности

Чтобы окончательно закрепить материал, приведем еще три показательные истории из нашей практики. Они наглядно демонстрируют, как аудит ИБ помогает бизнесу разных отраслей.

Кейс первый. Маркетинговое агентство, штат 80 человек. Проблема: компания потеряла доступ к корпоративной почте после переноса на нового хостинг-провайдера. Подозревали атаку. Наш аудит показал, что атаки не было — просто сотрудник из отдела закупок договорился о «бесплатном» переносе почты, старый подрядчик не передал документацию, а пароли администратора хранились в файле «пароли.txt» на рабочем столе у каждого. Критическая уязвимость в процессах. Рекомендация: внедрить систему управления паролями, утвердить регламент смены провайдеров, провести тренинг. Результат: после внедрения затраты администрирования снизились на 40%, доступность почты выросла до 99,9%.

Кейс второй. Сеть аптек (75 точек). Проблема: регулярно происходили мелкие кражи данных дисконтных карт, из-за чего начислялись бонусы «левым» покупателям. Провели поверхностный IT-аудит — ничего не нашли. Тогда заказали наш углубленный аудит ИБ. Выявили: кассиры использовали общие логины для входа в систему. А злоумышленник внедрил небольшую программу-шпион на сервер кассового узла, которая перехватывала нажатия клавиш. Видеонаблюдение не проверялось годами. Решения: внедрение индивидуальных логинов, жесткий контроль установки ПО, аудит видеозаписей. Результат: кражи бонусов прекратились на 100%, экономия за год — около трех миллионов рублей.

Кейс третий. Производственное предприятие (системы автоматизации цеха). Проблема: плановая проверка Роскомнадзора наметилась через два месяца, а у компании не было ни одного документа по ИБ. Наша экспертиза проведена в авральном режиме за 10 дней. Выявили критическое несоответствие: станки с числовым программным управлением выходили в интернет напрямую безо всякой защиты, любой знающий человек мог бы остановить производство. Разработали полный пакет документов за 7 дней (политики, регламенты, инструкции, согласия), настроили изоляцию промышленной сети, обучили технологов. Результат: проверку прошли без единого замечания, предписаний нет, штрафов нет. Производство не останавливалось. Детали: fedexpertiza.ru