Аудит информационных систем: как часто, кем и чем регламентирован (ИСПДн, ГИС, КИИ)
Что понимают под аудитом информационных систем в сфере защиты информации, чем он регламентирован и как часто проводится. Разбираем отличия для ИСПДн, ГИС и КИИ, нужен ли аудит для ИСПДн малого бизнеса на уровнях защищённости УЗ-3 и УЗ-4 и можно ли проводить проверку самостоятельно или требуется лицензиат ФСТЭК.
Под «аудитом информационных систем» обычно понимают проверку того, как защищена информация: выполнены ли требования, работают ли меры защиты, нет ли уязвимостей. Единой универсальной процедуры «аудит информационной системы» для всех режимов в российской нормативке нет: используются оценка эффективности принятых мер, периодический контроль защищённости, внутренний контроль (аудит) обработки ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). и аттестация, а для значимых объектов КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. — ещё и группа мер «Аудит безопасности» (АУДАудит безопасности — Группа мер защиты значимых объектов КИИ (приказ ФСТЭК №239): регистрация событий безопасности, мониторинг и анализ, в том числе анализ уязвимостей (мера АУД.2).). Требования и периодичность зависят от режима: ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. или КИИ. Разберём, как часто, какими силами и чем это регламентировано.
Чем регламентирован аудит (контроль) по режимам
- ИСПДн — 152-ФЗ (статьи 18.1 и 19) и приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России №21;
- ГИС — приказ ФСТЭК №117 (действует с 1 марта 2026 года; ранее — приказ №17);
- КИИ — 187-ФЗ, приказы ФСТЭК №235 и №239 (для значимых объектов).
ИСПДн: оценка эффективности и контроль
Для информационных систем персональных данных предусмотрены две задачи:
- Оценка эффективности принятых мер — оператор проводит её до ввода системы в эксплуатацию и затем поддерживает (статья 19 152-ФЗ, приказ ФСТЭК №21);
- Периодический контроль за принятыми мерами по обеспечению безопасности ПДн — по приказу ФСТЭК №21 проводится не реже одного раза в 3 года. Оператор вправе выполнять его самостоятельно или с привлечением лицензиата ФСТЭК.
Важно: для негосударственных ИСПДн аттестация в общем случае не обязательна — достаточно оценки эффективности и контроля (отдельные требования могут вытекать из госконтрактов, гостайны или отраслевых правил). Обязательная аттестация — это режим ГИС (см. ниже). Уровень защищённости (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1…УЗ-4) определяет объём мер, но не вводит требования нанимать внешнего аудитора — см. уровни защищённости ПДн и разбор приказа №21.
Нужен ли аудит ИСПДн малого бизнеса на УЗ-3 и УЗ-4
Отдельного обязательного независимого аудита для ИСПДн малого бизнеса закон не вводит. На типичных для малого бизнеса уровнях УЗ-3 и УЗ-4 требования те же, что и для всех негосударственных ИСПДн:
- оценить эффективность принятых мер до ввода системы в работу;
- вести периодический контроль (не реже одного раза в 3 года);
- аттестация не требуется, внешнего аудитора нанимать не обязательно.
То есть небольшая компания на УЗ-3/УЗ-4 может провести проверку своими силами: пройтись по составу мер приказа №21, проверить настройки средств защиты и зафиксировать результат актом — это и есть внутренний контроль (самооценка). Привлекать лицензиата ФСТЭК стоит, когда не хватает своих компетенций или нужна независимая оценка.
ГИС: аттестация обязательна
Для государственных информационных систем порядок строже. Система проходит обязательную аттестацию на соответствие требованиям по защите информации — её проводит организация (орган по аттестации), имеющая лицензию ФСТЭК; внутренним актом оператора аттестацию не заменить. Дополнительно ведётся контроль защищённости. По приказу №117 (действует с 1 марта 2026 года) к нему добавляются показатели состояния защиты — КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен. (рассчитывается не реже одного раза в 6 месяцев) и зрелости защиты ПЗИПоказатель уровня зрелости защиты информации — Показатель достаточности и эффективности мер защиты по приказу ФСТЭК №117; оценивается не реже одного раза в два года.. Подробнее — в статьях про класс защищённости К1 и аттестацию рабочего места.
КИИ: аудит безопасности значимых объектов и госконтроль
Для субъектов КИИ режим зависит от того, есть ли значимые объекты (категории К1–К3). Если объект значимый:
- у субъекта создаются силы обеспечения безопасности с квалификационными требованиями (приказ ФСТЭК №235); повышение квалификации работников — не реже одного раза в 3 года;
- среди мер защиты приказа №239 есть группа АУД («Аудит безопасности»), включая анализ уязвимостей (мера АУД.2);
- ведётся взаимодействие с государственной системой ГосСОПКАГосударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — Система ФСБ для мониторинга и реагирования на компьютерные атаки, прежде всего на объекты КИИ. в установленном порядке (на практике — через НКЦКИНациональный координационный центр по компьютерным инцидентам — Структура ФСБ, координирующая обнаружение и реагирование на компьютерные инциденты в рамках ГосСОПКА.), включая информирование о компьютерных инцидентах и атаках;
- за значимыми объектами установлен государственный контроль ФСТЭК России: плановая проверка проводится по истечении 3 лет со дня внесения объекта в реестр значимых объектов или со дня окончания последней плановой проверки, возможны и внеплановые проверки (статья 13 187-ФЗ).
Кому вообще присваивается статус субъекта КИИ — в статье про 187-ФЗ.
Можно ли проводить аудит самостоятельно
- ИСПДн — да. Оценку эффективности и периодический контроль оператор вправе проводить сам; лицензиат ФСТЭК привлекается по желанию.
- ГИС — нет в части аттестации: её проводит только внешний орган по аттестации (лицензиат ФСТЭК). Внутренний контроль защищённости оператор ведёт сам.
- КИИ — меры аудита безопасности реализует сам субъект в рамках системы безопасности значимого объекта (обязательного независимого аудита как отдельной процедуры в общем виде нет), но добавляется государственный контроль ФСТЭК, который проводит регулятор, а не субъект.
Главное
Единой универсальной процедуры «аудит информационных систем» для всех режимов закон не устанавливает — есть оценка эффективности мер, периодический контроль, внутренний контроль (аудит) и аттестация, а их порядок зависит от режима. Для ИСПДн (в том числе малого бизнеса на УЗ-3/УЗ-4) достаточно оценки эффективности и контроля не реже одного раза в 3 года, которые можно провести самостоятельно; аттестация не обязательна. Для ГИС обязательна аттестация внешним органом и контроль защищённости (с 2026 года — показатели КЗИ и ПЗИ). Для значимых объектов КИИ действуют силы безопасности, меры группы АУД, взаимодействие с ГосСОПКА и государственный контроль ФСТЭК.