ГрамотаИБ ГрамотаИБ

Аудит информационных систем: как часто, кем и чем регламентирован (ИСПДн, ГИС, КИИ)

Редакция ГрамотаИБ · Опубликовано 02.07.2026

Что понимают под аудитом информационных систем в сфере защиты информации, чем он регламентирован и как часто проводится. Разбираем отличия для ИСПДн, ГИС и КИИ, нужен ли аудит для ИСПДн малого бизнеса на уровнях защищённости УЗ-3 и УЗ-4 и можно ли проводить проверку самостоятельно или требуется лицензиат ФСТЭК.

Под «аудитом информационных систем» обычно понимают проверку того, как защищена информация: выполнены ли требования, работают ли меры защиты, нет ли уязвимостей. Единой универсальной процедуры «аудит информационной системы» для всех режимов в российской нормативке нет: используются оценка эффективности принятых мер, периодический контроль защищённости, внутренний контроль (аудит) обработки ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). и аттестация, а для значимых объектов КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. — ещё и группа мер «Аудит безопасности» (АУДАудит безопасности — Группа мер защиты значимых объектов КИИ (приказ ФСТЭК №239): регистрация событий безопасности, мониторинг и анализ, в том числе анализ уязвимостей (мера АУД.2).). Требования и периодичность зависят от режима: ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. или КИИ. Разберём, как часто, какими силами и чем это регламентировано.

Чем регламентирован аудит (контроль) по режимам

  • ИСПДн — 152-ФЗ (статьи 18.1 и 19) и приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. России №21;
  • ГИС — приказ ФСТЭК №117 (действует с 1 марта 2026 года; ранее — приказ №17);
  • КИИ — 187-ФЗ, приказы ФСТЭК №235 и №239 (для значимых объектов).

ИСПДн: оценка эффективности и контроль

Для информационных систем персональных данных предусмотрены две задачи:

  • Оценка эффективности принятых мер — оператор проводит её до ввода системы в эксплуатацию и затем поддерживает (статья 19 152-ФЗ, приказ ФСТЭК №21);
  • Периодический контроль за принятыми мерами по обеспечению безопасности ПДн — по приказу ФСТЭК №21 проводится не реже одного раза в 3 года. Оператор вправе выполнять его самостоятельно или с привлечением лицензиата ФСТЭК.

Важно: для негосударственных ИСПДн аттестация в общем случае не обязательна — достаточно оценки эффективности и контроля (отдельные требования могут вытекать из госконтрактов, гостайны или отраслевых правил). Обязательная аттестация — это режим ГИС (см. ниже). Уровень защищённости (УЗУровень защищённости персональных данных — Один из четырёх уровней (УЗ-1…УЗ-4) для ИСПДн по постановлению Правительства №1119; определяет состав мер.-1…УЗ-4) определяет объём мер, но не вводит требования нанимать внешнего аудитора — см. уровни защищённости ПДн и разбор приказа №21.

Нужен ли аудит ИСПДн малого бизнеса на УЗ-3 и УЗ-4

Отдельного обязательного независимого аудита для ИСПДн малого бизнеса закон не вводит. На типичных для малого бизнеса уровнях УЗ-3 и УЗ-4 требования те же, что и для всех негосударственных ИСПДн:

  • оценить эффективность принятых мер до ввода системы в работу;
  • вести периодический контроль (не реже одного раза в 3 года);
  • аттестация не требуется, внешнего аудитора нанимать не обязательно.

То есть небольшая компания на УЗ-3/УЗ-4 может провести проверку своими силами: пройтись по составу мер приказа №21, проверить настройки средств защиты и зафиксировать результат актом — это и есть внутренний контроль (самооценка). Привлекать лицензиата ФСТЭК стоит, когда не хватает своих компетенций или нужна независимая оценка.

ГИС: аттестация обязательна

Для государственных информационных систем порядок строже. Система проходит обязательную аттестацию на соответствие требованиям по защите информации — её проводит организация (орган по аттестации), имеющая лицензию ФСТЭК; внутренним актом оператора аттестацию не заменить. Дополнительно ведётся контроль защищённости. По приказу №117 (действует с 1 марта 2026 года) к нему добавляются показатели состояния защиты — КЗИПоказатель состояния защищённости информации — Числовой показатель технической защиты от типовых актуальных угроз по методике ФСТЭК (2025, приказ №117); нормированное значение КЗИ = 1 — минимальный уровень обеспечен. (рассчитывается не реже одного раза в 6 месяцев) и зрелости защиты ПЗИПоказатель уровня зрелости защиты информации — Показатель достаточности и эффективности мер защиты по приказу ФСТЭК №117; оценивается не реже одного раза в два года.. Подробнее — в статьях про класс защищённости К1 и аттестацию рабочего места.

КИИ: аудит безопасности значимых объектов и госконтроль

Для субъектов КИИ режим зависит от того, есть ли значимые объекты (категории К1–К3). Если объект значимый:

  • у субъекта создаются силы обеспечения безопасности с квалификационными требованиями (приказ ФСТЭК №235); повышение квалификации работников — не реже одного раза в 3 года;
  • среди мер защиты приказа №239 есть группа АУД («Аудит безопасности»), включая анализ уязвимостей (мера АУД.2);
  • ведётся взаимодействие с государственной системой ГосСОПКАГосударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — Система ФСБ для мониторинга и реагирования на компьютерные атаки, прежде всего на объекты КИИ. в установленном порядке (на практике — через НКЦКИНациональный координационный центр по компьютерным инцидентам — Структура ФСБ, координирующая обнаружение и реагирование на компьютерные инциденты в рамках ГосСОПКА.), включая информирование о компьютерных инцидентах и атаках;
  • за значимыми объектами установлен государственный контроль ФСТЭК России: плановая проверка проводится по истечении 3 лет со дня внесения объекта в реестр значимых объектов или со дня окончания последней плановой проверки, возможны и внеплановые проверки (статья 13 187-ФЗ).

Кому вообще присваивается статус субъекта КИИ — в статье про 187-ФЗ.

Можно ли проводить аудит самостоятельно

  • ИСПДн — да. Оценку эффективности и периодический контроль оператор вправе проводить сам; лицензиат ФСТЭК привлекается по желанию.
  • ГИС — нет в части аттестации: её проводит только внешний орган по аттестации (лицензиат ФСТЭК). Внутренний контроль защищённости оператор ведёт сам.
  • КИИ — меры аудита безопасности реализует сам субъект в рамках системы безопасности значимого объекта (обязательного независимого аудита как отдельной процедуры в общем виде нет), но добавляется государственный контроль ФСТЭК, который проводит регулятор, а не субъект.

Главное

Единой универсальной процедуры «аудит информационных систем» для всех режимов закон не устанавливает — есть оценка эффективности мер, периодический контроль, внутренний контроль (аудит) и аттестация, а их порядок зависит от режима. Для ИСПДн (в том числе малого бизнеса на УЗ-3/УЗ-4) достаточно оценки эффективности и контроля не реже одного раза в 3 года, которые можно провести самостоятельно; аттестация не обязательна. Для ГИС обязательна аттестация внешним органом и контроль защищённости (с 2026 года — показатели КЗИ и ПЗИ). Для значимых объектов КИИ действуют силы безопасности, меры группы АУД, взаимодействие с ГосСОПКА и государственный контроль ФСТЭК.

Частые вопросы

Как часто нужно проводить аудит (контроль) информационной системы?

Зависит от режима. Для ИСПДн приказ ФСТЭК №21 требует контроля за принятыми мерами не реже одного раза в 3 года (плюс оценка эффективности до ввода в эксплуатацию). Для ГИС — обязательная аттестация и периодический контроль защищённости, а с 1 марта 2026 года по приказу №117 ещё показатели КЗИ (не реже раза в 6 месяцев) и ПЗИ. Для значимых объектов КИИ действуют меры группы АУД и государственный контроль ФСТЭК.

Нужен ли аудит ИСПДн малого бизнеса на УЗ-3 или УЗ-4?

Отдельного обязательного независимого аудита закон не вводит. На УЗ-3 и УЗ-4 достаточно оценить эффективность принятых мер и вести периодический контроль (не реже одного раза в 3 года); аттестация для негосударственных ИСПДн не требуется, нанимать внешнего аудитора не обязательно.

Можно ли проводить аудит информационной системы самостоятельно?

Для ИСПДн — да: оценку эффективности и периодический контроль оператор вправе проводить сам, лицензиат ФСТЭК привлекается по желанию. Аттестацию ГИС своими силами не заменить — её проводит организация (орган по аттестации) с лицензией ФСТЭК. Для КИИ меры аудита безопасности реализует сам субъект, но добавляется государственный контроль ФСТЭК.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Аттестация рабочего места для подключения к ГИС и ФГИС: нужна ли, что это и как часто

Что требуется для подключения к государственной информационной системе (ГИС) или федеральной ГИС (ФГИС): защищённый канал, сертифицированные средства защиты и аттестованное рабочее место. Разбираем, нужно ли аттестовывать АРМ, что такое аттестация объекта информатизации и кто её проводит, как часто и какой срок действия у аттестата, и нужно ли переделывать аттестацию при переносе рабочего места в другой кабинет или офис.

Требования к ГИС класса защищённости К1

Что такое класс защищённости государственной информационной системы (ГИС), как он определяется и когда системе присваивается высший класс К1, а также какие требования предъявляет К1: полный набор мер защиты, сертифицированные средства защиты информации, приказ ФСТЭК №117 и числовой показатель защищённости КЗИ.

УБИ ФСТЭК: расшифровка, список угроз и как посмотреть уязвимости (БДУ)

Что такое УБИ (угроза безопасности информации) и как расшифровывается аббревиатура, как связаны УБИ и Банк данных угроз (БДУ) ФСТЭК, где посмотреть список угроз и уязвимостей на bdu.fstec.ru и чем угроза (УБИ) отличается от уязвимости (BDU) и международного идентификатора CVE.

Квалификационные требования к специалистам по информационной безопасности (Указ №250, КИИ)

Какие требования к квалификации предъявляются к сотрудникам по информационной безопасности: профстандарты, лицензионные требования, силы безопасности значимых объектов КИИ (приказ ФСТЭК №235) и Указ Президента №250 с типовым положением (ПП №1272). Какое образование нужно заместителю руководителя по ИБ и работникам подразделения, зачем нужны профессиональная переподготовка и повышение квалификации и при чём здесь перечень программ, согласованных с ФСТЭК.