Как обычно, для начала давайте обратимся к терминам, о которых не спорят. Что нам пишет «Википедия»?
Аудит — многозначный термин (на этом можно, в принципе, было и закончить). В общем смысле — отрасль экономической деятельности и учебная дисциплина, изучаемая в вузах. В узком смысле слова, в соответствии с законодательством России, под аудитом понимается исключительно деятельность по проведению проверки финансовой (бухгалтерской) отчетности и данных учета и выражение по результатам такой проверки обоснованного независимого мнения аудитора о достоверности такой отчетности в форме письменного аудиторского заключения.
В широком смысле слова и согласно обычаям делового оборота, а также деловой лексики, аудит, как и аудиторская проверка, — процедура независимой проверки и оценки отчетности, данных учета и деятельности организации, а также системы, процесса, проекта или продукта.
Зачем нужен аудит?
То, чем я занимаюсь, больше подходит под определение «технический аудит». Процесс проверки документации, состояния, работоспособности и актуальности применяемых систем безопасности.
Многие компании (и даже те, которые подпадают под различные требования регулятора) считают, что наличие оборудования и базовых инструкций уже гарантирует безопасность объекта. Однако на практике такие системы нередко оказываются «мертвыми»: они не работают в нужные моменты, не покрывают важные зоны или просто игнорируются персоналом.
Аудит позволяет ответить на ключевой вопрос: насколько система безопасности соответствует реальным угрозам и бизнес-задачам?
Для заказчика это способ:
— снизить риски простоев производства;
— защититься от внутренних и внешних угроз;
— получить независимую оценку эффективности существующих решений;
— выявить слабые места и заранее устранить уязвимости.
Особенно остро это чувствуется на промышленных объектах, где сбой безопасности может привести к травмам, экологическим авариям или остановке производства. Но и коммерческие объекты не остаются в стороне, хоть и больше всего грешат «MVP-отношением» (минимальные затраты) к системам, которые не прописаны в законе.
Моя задача как аудитора — показать пробелы в системе безопасности начиная с построения ее концепции. Я настаиваю на том, чтобы во время проведения моего аудита или после него такой документ появился вне зависимости от категории объекта. Потому что именно он фокусирует, а значит, с какой-то стороны упрощает работу заказчика по решению задач безопасности, не разбрасываясь на маркетинговые завывания и рекламные бомбардировки от различных вендоров.
Почему требований закона недостаточно. Даже на предприятиях, где четко и досконально соблюдаются 116-ФЗ «О промышленной безопасности опасных производственных объектов», 16-ФЗ «О транспортной безопасности» со всеми его дополнениями или нормативы вроде ПП РФ № 272 от 25 марта 2015 «Об утверждении требований к антитеррористической защищенности мест массового пребывания людей и объектов», реальный уровень защищенности может быть далек даже от удовлетворительного.
Причина, на мой взгляд, проста: законодательство устанавливает минимум или просто дает рекомендации по построению систем безопасности, но никак не регламентирует факт их пригодности к реальным угрозам. Эта задача должна решаться на местах подготовленным, обученным, проактивным и профессиональным персоналом, хорошо замотивированным на качественное выполнение своих обязанностей и постоянное улучшение показателей эффективности.
Понимаете, да, что это практически невыполнимая задача?
Пример из жизни: согласно «нормам», на проходной завода требуется камера + турникет + охранник. Документ подписан. Оборудование установлено. Охрана есть. Но камера не пишет ночью, ее подсветка перегорела 3 месяца назад. Турникет отключается на «перекур», и никто не фиксирует время. Охранник просто машет рукой знакомым без проверки пропуска. И это не нарушение закона, потому что по документам все есть. Но на деле это профанация безопасности.
Закон чаще всего рассматривается как «карательный» документ, который указывает на виновных чаще не в причине происшествия, а в формальном неисполнении этого самого закона. Но я говорю о безопасности, реальной, живой, настоящей!
Закон не знает специфику вашего объекта, даже если и говорит о его категории. Ни один ГОСТ или ФЗ не описывает, где у вас хранятся самые ценные компоненты, кто имеет к ним доступ, какие обходные тропы на складе и кто из смены работает «по старой памяти». Без анализа внутренних процессов и модели угроз вы защищаете не то и не от того. Закон не учитывает мораль, привычки и негласные договоренности (те самые составляющие культуры). Моральные нормы на местах часто важнее нормативных актов.
Примеры негласных правил:
«Не трогаем временный пропуск, он у начальника цеха».
«Сюда ходит жена главного инженера, не спрашивать паспорт».
«Видеозаписи храним месяц, но в выходные никто не смотрит архивы».
Без культуры ответственности даже самая современная система не сработает, ее отключат ради удобства. И таких примеров у меня предостаточно!
Без участия людей техника не работает. Если у охраны нет мотивации, у инженера — понимания, а у руководства — доверия, даже самая навороченная система будет просто дорогим фоном. Пример с одного табачного производства: после аудита выяснилось, что часть камер регулярно «отваливается» из-за сетевых проблем. Но техподдержка не отслеживала это, потому что не было обязанности, а охрана не жаловалась, потому что «все равно по монитору никто не смотрит». Закон требует наличие камеры, он не требует, чтобы кто-то на нее смотрел регулярно и дисциплинированно.
Философский уровень: безопасность — это зрелость, а не формальность. В любой организации есть три уровня соблюдения правил:
«Чтобы от нас отстали» — минимум, чтобы пройти проверку.
«Потому что так надо» — понимание риска, работающая система контроля.
«Потому что это правильно» — безопасность встроена в культуру. Люди сами не хотят обходить правила, потому что уважают свою работу, друг друга и последствия. Только на третьем уровне формальные требования становятся базой, а не потолком. И именно аудит помогает понять, на каком уровне находитесь вы.
Закон — это скелет. Но без мышц (процедур), крови (мотивации) и сознания (культуры) он не оживет. Система безопасности (мое определение) — это интегрированный в процессы программно-аппаратный комплекс, управляемый оператором и взаимодействующий со всеми узлами и участниками процессов.
Формальное соответствие закону не равно защищенности. Реальную безопасность определяет не ГОСТ, а честный ответ на вопрос: «А у нас действительно безопасно, или мы просто так думаем?» Таким образом, аудит становится надзаконным инструментом зрелости системы, позволяющим выйти за рамки формального соответствия и реально защищать объект, а также расширять возможности системы.
Из чего состоит аудит: этапы и задачи
Я всегда начинаю с опросника. Это список вопросов, который постоянно дополняется, чтобы оценить текущую ситуацию до проведения интервью или выезда на объект. Он помогает мне понять, с чем придется иметь дело, а заказчику говорит о том, с кем ему придется работать. Вопросов много, они разделены на блоки, ответить желательно на все. Вот примеры:
— структура организации по отношению к СБ (отделы, функционал, пользователи информации);
— существуют ли на объекте уже установленные системы безопасности? Если да, какие?
— наличие источников резервного питания (например, генераторы, ИБП);
— необходимы ли камеры с функцией ночного видения?
— имеется ли привязка к MAC-адресу у портов свитча?
— ограничивается ли время работы на компьютере графиком рабочего дня?
— ограничен ли сетевой доступ к контроллерам и серверам СКУД?
— установлены ли устройства сигнализации при попытке вскрытия считывателей или контроллеров?
И так далее. После обработки ответов можно приступать к аудиту.
1. Предварительное интервью и анализ документации.
На первом этапе аудита важно не «посмотреть оборудование» и сверить схемы, это будет потом. Сначала — контекст. Задача интервью с представителями заказчика — понять, чем живет объект: как он работает, что для него критично, как он устроен и, главное, чего он боится. Это своего рода психоанализ для предприятия:
— что здесь важнее всего, какие активы мы защищаем (люди, сырье, ноу-хау, непрерывность процесса)?
— какие инциденты уже были?
— как выглядит «ночной кошмар» руководства?
— кто принимает решения в ЧС?
— как давно обновлялись внутренние процедуры?
Одновременно собираются и анализируются документы:
— паспорта и схемы, видеонаблюдения, ОПС, ТСО, СКУД и др.;
— должностные инструкции и журналы инцидентов;
— внутренние регламенты доступа, реакции на тревоги, хранения архива;
— инструкции по эксплуатации систем (а если их нет — уже проблема);
— акты ввода в эксплуатацию, планы развития, схемы связи.
Чего-то не хватает — и вот вам уже пункт в отчете аудита.
Концепция безопасности — основа зрелой системы. Один из главных выводов этого этапа — есть ли у объекта документированная Концепция безопасности? Если ее нет, значит, система строилась по принципу «поставьте камеры, как у соседа» или «чтобы Росгвардия не ругалась». Хорошо, если при этом выслушивались советы профессионалов.
Концепция безопасности — это стратегический документ, который дает ответы на три ключевых вопроса:
- Что мы защищаем? Конкретно: материальные активы, информацию, людей, непрерывность производства, репутацию. Списком.
- От кого мы это защищаем? Перечень угроз: внешний нарушитель, внутренний сотрудник, технический сбой, катастрофа, ошибка персонала.
- Как мы это делаем? Перечень принципов, архитектуры, процедур, политик, уровней допуска, режимов.
Пример: на заводе может быть высокоавтоматизированный участок стоимостью в десятки миллионов долларов. Формально он охраняется — стоит турникет. Но если спросить, какая конкретно угроза для этого участка считается приоритетной, никто не ответит. А значит, и оценить, насколько существующая система адекватна, невозможно.
Что должна включать Концепция безопасности?
Хорошо проработанный документ включает в себя:
— цели безопасности (не «установить 10 камер», а «не допустить...»);
— классификацию зон по степени важности и уровню угроз;
— описание актуальных угроз и нарушителей;
— принципы построения систем (многоуровневость, резервирование, минимизация человеческого фактора);
— политику допуска: кто, куда, зачем и когда;
— роли и ответственность: кто отвечает за реакцию, отчетность, контроль;
— перечень применяемых технологий и логика их взаимодействия.
Почему отсутствие концепции — уже риск? Когда нет единого документа, каждый подрядчик проектирует системы под себя, как привык или умеет, охрана работает «по понятиям», камеры стоят там, где проще тянуть кабель, ИТ-шники отключают оборудование, чтобы разгрузить сеть и вообще не пускают в свою сеть «посторонних», руководство думает, что «все работает», но точно не знает, как и где это посмотреть.
Итог — система, где все по отдельности стараются, но предприятие в целом не защищает никто.
Концепция безопасности — это не формальность. Это стратегическая карта, на основе которой строится все остальное. Без нее безопасность становится набором оборудования без логики. Если аудит покажет вам точку, в которой безопасность вашего объекта находится сейчас, то концепция расскажет, каким путем двигаться по направлению к «тотальному спокойствию». Поэтому еще до того, как я подхожу к пульту видеонаблюдения или серверной, я задаю вопросы. А ответы на эти вопросы — это и есть основа профессионального аудита. А иногда — первый шаг заказчика к настоящей зрелости.
2. Обследование объекта
Тут более-менее все просто и понятно, потому что начинается осязаемая, кропотливая, скучная работа. Выезд на территорию, осмотр инженерных и технических решений. Оценивается:
— соответствие проекту;
— актуальность планов эвакуации, размещения оборудования;
— физическое состояние камер, турникетов, шлейфов и линий связи;
— условия эксплуатации: освещенность, сезонность, загрязненность.
Мой опыт позволяет мне смотреть не только на видимые нарушения или интересные решения задач, но и заглядывать немного вперед во времени и предугадывать возможные сбои, проблемы или, наоборот, положительные моменты. Банальная насмотренность и специализация позволяют аудитору увидеть то, что, находясь внутри объекта, определить будет сложно.
Анализ системы управления и интеграции
Проверяется:
— связность между подсистемами (СКУД + видео + ОПС);
— правильность реагирования на тревожные события;
— архивация, хранение и резервирование данных;
— автоматизация и аналитика.
Моделирование инцидентов и уязвимостей
Примеры сценариев:
— попытка несанкционированного доступа под чужим пропуском;
— отключение питания;
— ограбление в слепой зоне;
— вандализм в ночное время.
3. Составление отчета и разработка рекомендаций
Что я готовлю, в зависимости от запроса и договора с клиентом:
— карту уязвимостей;
— конкретные предложения по модернизации, донастройке, организационным мерам;
— сравнительный анализ стоимости модернизации vs рисков;
— презентацию для руководства или инвесторов.
Я предлагаю конкретные решения от конкретных производителей только в том случае, если есть такой запрос. Часто меня спрашивают о моей аффилированности с какими-то брендами, но такой вопрос задают чаще не заказчики, а, скорее, представители вендоров, видимо, с целью попасть в этот самый список. Но я не менеджер по продажам на аутсорсе. И чаще у меня просят сравнение по брендам, а не преимущества какого-то конкретного. И тут я обычно показываю «коротенький» список всех существующих производителей, например, СКУД, скажем, в Европе и России, и объясняю, что такое разнообразие не просто так существует, и выбирать нужно и можно по понятным критериям, чтобы решить свою задачу, а не угодить аудитору.
Какие открытия делает заказчик?
Практически каждый аудит дает неожиданные результаты для заказчика. Вот лишь типичный список:
— после ответов на вопросы из первичного опросника многие отказываются на время от аудита (может, потому что стыдно показать состояние систем, а может, потому что и сами все поняли);
— камеры «забыли» подключить к серверу, они работают, но не пишут;
— уволенный сотрудник сохранил доступ по старому шаблону СКУД;
— тревоги не доходят до охраны из-за сбоя в передаче событий;
— никто не следит за сроками хранения видеозаписей;
— сотрудники сами обходят систему ради удобства: заклинивают двери, отключают датчики;
— используются несертифицированные устройства, не соответствующие требованиям ФСТЭК/ФСБ.
Один из главных эффектов аудита заключается в осознании, что безопасность — это не только техника, но и люди, процедуры, процессы.
Связь с нормативной базой
Конечно же, она должна быть, и для разных объектов, отраслей, стран она будет отличаться и иметь свою специфику. Вот некоторые документы, которые можно учитывать при проведении аудита:
— ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;
— ГОСТ 34.201-89 «Комплекс стандартов на автоматизированные системы»;
— СП132.13330.2011 «Обеспечение антитеррористической защищенности зданий и сооружений. Общие требования проектирования»;
— Федеральный закон № 190-ФЗ от 29 декабря 2004 г.
— Градостроительный кодекс Российской Федерации от 29 декабря 2004 г.
— Постановление Правительства Республики Казахстан от 7 октября 2011 года № 1151 «Некоторые вопросы объектов, подлежащих государственной охране».
Помимо государственных документов, существует еще ряд внутренних документов в организациях, с которым тоже необходимо ознакомиться перед проведением аудита. Аудит может выявить несоответствие этим документам и помочь обосновать инвестиции в безопасность.
Аудит — это зрелость
Безопасность — это не стены, двери и камеры. Это процессы, культура и контроль. Это способ выйти за рамки иллюзии защищенности и получить честный, независимый взгляд на систему. Для промышленных предприятий это особенно важно: каждая точка уязвимости может стоить слишком дорого.
Если вы не проводили аудит последние 2–3 года, самое время пересмотреть свою систему. Возможно, она работает, но не на вас.