В блог
Статьи
22/05/2026
Аудит ИБ за 7 дней: пошаговый план для вузов
Виктория Меньшова
Консультант по ИБ в «КИТ»
Современные высшие учебные заведения ежедневно обрабатывают значительные объемы информации: персональные данные (далее — ПДн) студентов и сотрудников, результаты научных исследований, финансовую документацию, материалы образовательных программ и другие чувствительные данные. Одновременно с этим важно сохранить необходимый уровень информационной безопасности (далее — ИБ), который обеспечит защиту данных от утечки, а также поможет обеспечить необходимый уровень ИБ для внутренних сервисов и систем.
Основная часть угроз ИБ возникает не только из-за несвоевременного реагирования на них, но и из-за отсутствия постоянного контроля. Одной из форм такого контроля является аудит. Проведение аудита ИБ позволяет своевременно выявить слабые места в защите инфраструктуры вуза, оценить соответствие нормативным требованиям законодательства Российской Федерации и определить приоритетные направления для дальнейшего повышения уровня безопасности. Формы проведения аудита могут быть разные: как внешние, так и внутренние. Внешние аудиты требуют привлечение специализированных сторонних организаций, а также значительных временных и финансовых затрат. В этих условиях особенно востребован внутренний аудит, который можно организовать в течение одной недели без остановки образовательных процессов и дополнительных затрат.
Подход к аудиту
1 день: определение границ аудита и сбор информации
На начальном этапе важно определить приоритетные цели аудита. Правильно поставленные цели помогут понять планируемую глубину аудита, а также состав работ. Для формирования наиболее полноценного подхода к аудиту важно выделить цели, затрагивающие как организационные, так и технические аспекты ИБ. Примерами таких целей могут быть:
  • подготовка к проверкам регулятора;
  • выявление уязвимостей в информационной инфраструктуре;
  • проверка соблюдения требований законодательства;
  • выявление недостатков в процессах обработки и хранения информации;
  • минимизация вероятности возникновения инцидентов ИБ;
  • оценка текущего уровня ИБ.
После определения целей важно понять границы планируемого аудита:
1) Какой перечень объектов следует рассматривать?
В зависимости от целей аудита, в качестве объектов можно рассматривать:
  • информационные системы;
  • системы дистанционного обучения;
  • корпоративную почту;
  • веб-сайты и внутренние порталы;
  • сервисы для сдачи отчетности или передачи информации.
2) Какие типы информации обрабатываются в рассматриваемых объектах?
Важно понять, какая информация обрабатывается в рассматриваемых объектах. Тип информации напрямую влияет на перечень требований по ИБ, установленных действующим законодательством. В частности, можно выделить следующие типы информации:
  • ПДн;
  • информация, составляющая коммерческую тайну;
  • информация, предназначенная для служебного пользования;
  • информация, относящаяся к государственной тайне.
Результаты определения границы аудита рекомендуется оформить в виде отдельного документа, сопоставив объекты, подлежащие аудиту, с типом обрабатываемой в них информации.
После определения целей аудита, перечня объектов и категорий обрабатываемой информации следует выполнить сбор исходных данных, относящихся к рассматриваемой области аудита. В качестве такой информации можно рассматривать:
  • внутренние политики, положения, регламенты и инструкции по обеспечению ИБ;
  • внутренние документы, определяющие процессы получения, передачи, хранения и уничтожения информации;
  • схемы сети;
  • данные о пользователях и их правах;
  • документы на информационные системы.
Сведения, полученные на данном этапе позволяют сформировать общее представление об области аудита и являются основой для поведения последующих этапов работ. По результатам выполнения данного этапа можно сопоставить выявленные объекты аудита с требованиями действующего законодательства, а также выделить приоритетные направления обеспечения ИБ и наиболее критичные объекты, требующие дополнительного контроля и защиты.
2 день: инвентаризация и анализ процессов обработки информации
На данном этапе необходимо провести инвентаризацию объектов, попадающих в область аудита, а также определить основные процессы обработки информации.
Инвентаризация позволяет получить полное представление о составе используемых информационных ресурсов, технических средств и программного обеспечения, а также помогает выявить критически важные объекты, нарушение работы которых может привести к сбоям в деятельности ВУЗа или утечке информации.
В рамках данного этапа рекомендуется определить перечень:
  • серверов, рабочих станций и мобильных устройств;
  • используемое сетевое оборудование;
  • используемые базы данных;
  • используемые средства защиты информации;
  • каналы передачи данных и точки удаленного доступа;
  • облачные сервисы и используемые внешние информационные ресурсы.
Особое внимание следует уделить анализу процессов обработки информации. На данном этапе определяются:
  • источники поступления информации;
  • порядок ее хранения, передачи и удаления;
  • маршруты движения данных между подразделениями и информационными системами;
  • пользователи, имеющие доступ к информации.
Для вузов к основным процессам обработки информации могут относиться:
  • обработка персональных данных студентов и сотрудников;
  • ведение электронного документооборота;
  • работа систем дистанционного обучения;
  • хранение результатов научных исследований;
  • функционирование корпоративной электронной почты;
  • обработка финансовой и кадровой информации.
Результаты выполнения первого и второго этапа должны дать четкое понимание об области аудита, применяемых технических средствах обработки информации, реализованных процессах обработки информации, а также о перечне требований законодательства в зависимости от типа обрабатываемой информации.
3 день: анализ прав доступа
Особенность инфраструктуры вузов заключается в большом количестве различных категорий пользователей, среди которых:
  • студенты;
  • преподаватели;
  • административный персонал;
  • системные администраторы;
  • внешние пользователи и подрядчики.
Каждая из указанных категорий должна иметь доступ только к тем информационным ресурсам, которые необходимы для выполнения служебных или учебных задач.
Основная задача данного этапа заключается в проверке корректности предоставления доступа к информационным ресурсам, выявлении избыточных привилегий и снижении риска несанкционированного доступа к данным:
  • проверка корректности формирования и разделения на отдельные группы пользователей;
  • анализ установленных настроек для групповых политик;
  • проверка учетных записей;
  • анализ прав пользователей;
  • выявление неиспользуемых учетных записей;
  • проверка разграничения доступа в зависимости от типа субъекта доступа, например: студент, преподаватель, администратор.
Особое внимание следует уделить:
  • учетным записям с повышенными привилегиями;
  • удаленному доступу;
  • требованиям к сложности паролей.
По итогам выполнения данного этапа необходимо сформировать перечень выявленных нарушений и рекомендаций, среди которых могут быть:
  • удаление неактуальных учетных записей;
  • пересмотр прав доступа;
  • пересмотр требований к парольной политике ВУЗа;
  • внедрение периодических контрольных мероприятий по анализу учетных записей и прав доступа.
4 день: анализ сетевой безопасности
Основной задачей данного этапа является анализ защищенности сетевой инфраструктуры вуза и выявление уязвимостей. Данный этап является не менее важным, так как образовательные организации имеют большую и сложную сетевую структуру, включающую отдельные корпуса, большое количество пользователей и удаленных подключений.
На начальном этапе рекомендуется выполнить анализ структуры сети и схемы взаимодействия между сегментами инфраструктуры, проверить наличие разделения сети на отдельные сегменты, например:
  • административный сегмент;
  • сегмент, выделенный для организации демилитаризованной зоны;
  • учебный сегмент;
  • сегмент серверного оборудования;
  • отдельные сегменты для корпусов;
  • гостевой сегмент.
Особое внимание следует уделить проверке сетевого оборудования: маршрутизаторов, коммутаторов, межсетевых экранов, VPN-шлюзов, точек беспроводного доступа.
В отношении сетевого оборудования рекомендуется проверить:
  • корректность настроек оборудования;
  • отсутствие данных, заданных по умолчанию;
  • актуальность версий прошивок;
  • настройка журналирования событий.
Дополнительно необходимо провести анализ правил межсетевого экранирования, проверить перечень настроенных правил фильтрации входящего и исходящего трафика, а также проанализировать используемые протоколы передачи информации.
На данном этапе также важно выполнить сканирование сети для выявления:
  • активных узлов;
  • открытых портов;
  • устаревшего программного обеспечения;
  • уязвимостей.
По результатам анализа сетевой безопасности необходимо сформировать перечень выявленных недостатков и уязвимостей, а также описать рекомендации по их устранению.
5 день: проверка соответствия требованиям законодательства
Основной целью данного этапа является выявление нарушений требований законодательства, регулирующего защиту информации, а также определение уровня готовности организации к проверкам со стороны контролирующих органов.
В ходе аудита необходимо провести оценку соответствия требования законодательства в отношении:
  • локальных нормативных документов;
  • организационных мер защиты информации;
  • технических средств защиты;
  • процессов обработки ПДн;
  • порядка хранения и передачи информации.
Для этого необходимо понять:
  • все ли необходимые документы разработаны, отвечают ли они текущим процессам обеспечения ИБ и требованиям законодательства;
  • все ли технические и организационные меры применяются, соответствуют ли они требованиям законодательства.
Отдельные внимание следует уделить процессам обработки ПДн:
  • определена ли политика обработки ПДн и обеспечена ли доступность данной политики для субъектов ПДн;
  • все ли процессы обработки ПДн можно считать законными, берутся ли необходимые согласия на обработку ПДн;
  • осуществляется ли передача ПДн третьим лицам;
  • назначены ли ответственные лица за обеспечения безопасности ПДн и организацию процессов обработки ПДн;
  • актуальны ли разработанные документы, касающиеся процессов обработки ПДн;
  • где и сколько хранятся ПДн, а также каким образом они уничтожаются.
Дополнительно рекомендуется провести анализ соответствия информационных систем установленным требованиям безопасности и проверить:
  • наличие классификации информационных систем;
  • наличие модели угроз безопасности информации;
  • применение средств защиты;
  • выполнение мер по резервному копированию.
По результатам данного этапа необходимо сформировать перечень необходимых требований законодательства по обеспечению безопасности, описать применяемые способы реализации данных требований, выявленные недостатки, а также рекомендации по их устранению.
6 день: анализ деятельности работников
Данный этап заключается в оценке того, насколько эффективно выстроены внутренние процессы управления ИБ, а также насколько персонал знает правила и регламенты по обеспечению ИБ.
На данном этапе важно оценить:
  • назначены ли ответственные за обеспечение ИБ;
  • определены ли зоны ответственности подразделений и ответственных лиц;
  • закреплены ли обязанности по администрированию систем и средств защиты за конкретными сотрудниками или подразделениями;
  • осуществляется ли информирование работников вуза о правилах работы с информацией.
Для выполнения работ необходимо:
1) Проверить наличие и актуальность приказов по назначению ответственных лиц, а также должностных инструкций. Дополнительно следует оценить, охватывают ли действующие документы все необходимые области обеспечения ИБ и администрирования.
2) Оценить актуальность инструкций для пользователей и иных документов по ИБ, предназначенных для ознакомления сотрудников, а также проверить их на актуальность и соответствие текущим процессам ИБ.
3) Проанализировать даты проведения последних инструктажей, рассылок и иных мероприятий по повышению осведомленности сотрудников в области ИБ, а также регулярность их проведения.
По результатам этапа необходимо:
  • сформировать перечень ответственных лиц и подразделений, а также определить, все ли необходимые области обеспечения ИБ охвачены должностными обязанностями;
  • оценить доводятся ли до сотрудников необходимые требования по ИБ;
  • сформировать перечень выявленных недостатков и рекомендаций по их устранению.
7 день: формирование отчета и подведение итогов аудита
Результаты выполнения всех этапов рекомендуется объединить в единый отчет, который будет отражать текущий уровень обеспечения ИБ, а также выявленные недостатки и уязвимости. Такой документ позволяет получить целостное представление о состоянии ИБ.
На основе сформированного отчета может быть разработана единая дорожная карта по повышению уровня ИБ, презентация или стратегия дальнейшего развития ИБ. При формировании выводов и дальнейших планов по повышению уровня ИБ, можно выделить приоритетные меры по устранению выявленных недостатков, модернизации технических и организационных мер защиты, совершенствованию внутренней документации
Последовательное проведение аудита, включающего отдельные этапы, позволяет сформировать наиболее полное и структурированное представление о существующих процессах обеспечения ИБ. Такой подход особенно важен для образовательных организаций, поскольку они характеризуются большим количеством процессов обработки информации и сложной информационной инфраструктурой.