/ /

Аудит систем безопасности на объектах ТЭК: как вовремя выявить уязвимости

Аудит систем безопасности на объектах ТЭК: как вовремя выявить уязвимости

09 апреля 2025, 16:24    837

Антон Батов

Антон Батов

Генеральный директор DIVITY, аудитор

Как обычно, для начала давайте обратимся к терминам, о которых не спорят. Что нам пишет «Википедия»?

Аудит — многозначный термин (на этом можно, в принципе, было и закончить). В общем смысле — отрасль экономической деятельности и учебная дисциплина, изучаемая в вузах. В узком смысле слова, в соответствии с законодательством России, под аудитом понимается исключительно деятельность по проведению проверки финансовой (бухгалтерской) отчетности и данных учета и выражение по результатам такой проверки обоснованного независимого мнения аудитора о достоверности такой отчетности в форме письменного аудиторского заключения.

В широком смысле слова и согласно обычаям делового оборота, а также деловой лексики, аудит, как и аудиторская проверка, — процедура независимой проверки и оценки отчетности, данных учета и деятельности организации, а также системы, процесса, проекта или продукта.

Зачем нужен аудит?

То, чем я занимаюсь, больше подходит под определение «технический аудит». Процесс проверки документации, состояния, работоспособности и актуальности применяемых систем безопасности.

Многие компании (и даже те, которые подпадают под различные требования регулятора) считают, что наличие оборудования и базовых инструкций уже гарантирует безопасность объекта. Однако на практике такие системы нередко оказываются «мертвыми»: они не работают в нужные моменты, не покрывают важные зоны или просто игнорируются персоналом.

Аудит позволяет ответить на ключевой вопрос: насколько система безопасности соответствует реальным угрозам и бизнес-задачам?

Для заказчика это способ:

— снизить риски простоев производства;

— защититься от внутренних и внешних угроз;

— получить независимую оценку эффективности существующих решений;

— выявить слабые места и заранее устранить уязвимости.

Особенно остро это чувствуется на промышленных объектах, где сбой безопасности может привести к травмам, экологическим авариям или остановке производства. Но и коммерческие объекты не остаются в стороне, хоть и больше всего грешат «MVP-отношением» (минимальные затраты) к системам, которые не прописаны в законе.

Моя задача как аудитора — показать пробелы в системе безопасности начиная с построения ее концепции. Я настаиваю на том, чтобы во время проведения моего аудита или после него такой документ появился вне зависимости от категории объекта. Потому что именно он фокусирует, а значит, с какой-то стороны упрощает работу заказчика по решению задач безопасности, не разбрасываясь на маркетинговые завывания и рекламные бомбардировки от различных вендоров.

Почему требований закона недостаточно. Даже на предприятиях, где четко и досконально соблюдаются 116-ФЗ «О промышленной безопасности опасных производственных объектов», 16-ФЗ «О транспортной безопасности» со всеми его дополнениями или нормативы вроде ПП РФ № 272 от 25 марта 2015 «Об утверждении требований к антитеррористической защищенности мест массового пребывания людей и объектов», реальный уровень защищенности может быть далек даже от удовлетворительного.

Причина, на мой взгляд, проста: законодательство устанавливает минимум или просто дает рекомендации по построению систем безопасности, но никак не регламентирует факт их пригодности к реальным угрозам. Эта задача должна решаться на местах подготовленным, обученным, проактивным и профессиональным персоналом, хорошо замотивированным на качественное выполнение своих обязанностей и постоянное улучшение показателей эффективности.

Понимаете, да, что это практически невыполнимая задача?

Пример из жизни: согласно «нормам», на проходной завода требуется камера + турникет + охранник. Документ подписан. Оборудование установлено. Охрана есть. Но камера не пишет ночью, ее подсветка перегорела 3 месяца назад. Турникет отключается на «перекур», и никто не фиксирует время. Охранник просто машет рукой знакомым без проверки пропуска. И это не нарушение закона, потому что по документам все есть. Но на деле это профанация безопасности.

Закон чаще всего рассматривается как «карательный» документ, который указывает на виновных чаще не в причине происшествия, а в формальном неисполнении этого самого закона. Но я говорю о безопасности, реальной, живой, настоящей!

Закон не знает специфику вашего объекта, даже если и говорит о его категории. Ни один ГОСТ или ФЗ не описывает, где у вас хранятся самые ценные компоненты, кто имеет к ним доступ, какие обходные тропы на складе и кто из смены работает «по старой памяти». Без анализа внутренних процессов и модели угроз вы защищаете не то и не от того. Закон не учитывает мораль, привычки и негласные договоренности (те самые составляющие культуры). Моральные нормы на местах часто важнее нормативных актов.

Примеры негласных правил:

«Не трогаем временный пропуск, он у начальника цеха».

«Сюда ходит жена главного инженера, не спрашивать паспорт».

«Видеозаписи храним месяц, но в выходные никто не смотрит архивы».

Без культуры ответственности даже самая современная система не сработает, ее отключат ради удобства. И таких примеров у меня предостаточно!

Без участия людей техника не работает. Если у охраны нет мотивации, у инженера — понимания, а у руководства — доверия, даже самая навороченная система будет просто дорогим фоном. Пример с одного табачного производства: после аудита выяснилось, что часть камер регулярно «отваливается» из-за сетевых проблем. Но техподдержка не отслеживала это, потому что не было обязанности, а охрана не жаловалась, потому что «все равно по монитору никто не смотрит». Закон требует наличие камеры, он не требует, чтобы кто-то на нее смотрел регулярно и дисциплинированно.

Философский уровень: безопасность — это зрелость, а не формальность. В любой организации есть три уровня соблюдения правил:

«Чтобы от нас отстали» — минимум, чтобы пройти проверку.

«Потому что так надо» — понимание риска, работающая система контроля.

«Потому что это правильно» — безопасность встроена в культуру. Люди сами не хотят обходить правила, потому что уважают свою работу, друг друга и последствия. Только на третьем уровне формальные требования становятся базой, а не потолком. И именно аудит помогает понять, на каком уровне находитесь вы.

Закон — это скелет. Но без мышц (процедур), крови (мотивации) и сознания (культуры) он не оживет. Система безопасности (мое определение) — это интегрированный в процессы программно-аппаратный комплекс, управляемый оператором и взаимодействующий со всеми узлами и участниками процессов.

Формальное соответствие закону не равно защищенности. Реальную безопасность определяет не ГОСТ, а честный ответ на вопрос: «А у нас действительно безопасно, или мы просто так думаем?» Таким образом, аудит становится надзаконным инструментом зрелости системы, позволяющим выйти за рамки формального соответствия и реально защищать объект, а также расширять возможности системы.

Из чего состоит аудит: этапы и задачи

Я всегда начинаю с опросника. Это список вопросов, который постоянно дополняется, чтобы оценить текущую ситуацию до проведения интервью или выезда на объект. Он помогает мне понять, с чем придется иметь дело, а заказчику говорит о том, с кем ему придется работать. Вопросов много, они разделены на блоки, ответить желательно на все. Вот примеры:

— структура организации по отношению к СБ (отделы, функционал, пользователи информации);

— существуют ли на объекте уже установленные системы безопасности? Если да, какие?

— наличие источников резервного питания (например, генераторы, ИБП);

— необходимы ли камеры с функцией ночного видения?

— имеется ли привязка к MAC-адресу у портов свитча?

— ограничивается ли время работы на компьютере графиком рабочего дня?

— ограничен ли сетевой доступ к контроллерам и серверам СКУД?

— установлены ли устройства сигнализации при попытке вскрытия считывателей или контроллеров? 

И так далее. После обработки ответов можно приступать к аудиту.

1. Предварительное интервью и анализ документации.

На первом этапе аудита важно не «посмотреть оборудование» и сверить схемы, это будет потом. Сначала — контекст. Задача интервью с представителями заказчика — понять, чем живет объект: как он работает, что для него критично, как он устроен и, главное, чего он боится. Это своего рода психоанализ для предприятия:

— что здесь важнее всего, какие активы мы защищаем (люди, сырье, ноу-хау, непрерывность процесса)?

— какие инциденты уже были?

— как выглядит «ночной кошмар» руководства?

— кто принимает решения в ЧС?

— как давно обновлялись внутренние процедуры?

Одновременно собираются и анализируются документы:

— паспорта и схемы, видеонаблюдения, ОПС, ТСО, СКУД и др.;

— должностные инструкции и журналы инцидентов;

— внутренние регламенты доступа, реакции на тревоги, хранения архива;

— инструкции по эксплуатации систем (а если их нет — уже проблема);

— акты ввода в эксплуатацию, планы развития, схемы связи.

Чего-то не хватает — и вот вам уже пункт в отчете аудита.

Концепция безопасности — основа зрелой системы. Один из главных выводов этого этапа — есть ли у объекта документированная Концепция безопасности? Если ее нет, значит, система строилась по принципу «поставьте камеры, как у соседа» или «чтобы Росгвардия не ругалась». Хорошо, если при этом выслушивались советы профессионалов. 

Концепция безопасности — это стратегический документ, который дает ответы на три ключевых вопроса:

  1. Что мы защищаем? Конкретно: материальные активы, информацию, людей, непрерывность производства, репутацию. Списком.
  2. От кого мы это защищаем? Перечень угроз: внешний нарушитель, внутренний сотрудник, технический сбой, катастрофа, ошибка персонала.
  3. Как мы это делаем? Перечень принципов, архитектуры, процедур, политик, уровней допуска, режимов.

Пример: на заводе может быть высокоавтоматизированный участок стоимостью в десятки миллионов долларов. Формально он охраняется — стоит турникет. Но если спросить, какая конкретно угроза для этого участка считается приоритетной, никто не ответит. А значит, и оценить, насколько существующая система адекватна, невозможно.

Что должна включать Концепция безопасности?

Хорошо проработанный документ включает в себя:

— цели безопасности (не «установить 10 камер», а «не допустить...»);

— классификацию зон по степени важности и уровню угроз;

— описание актуальных угроз и нарушителей;

— принципы построения систем (многоуровневость, резервирование, минимизация человеческого фактора);

— политику допуска: кто, куда, зачем и когда;

— роли и ответственность: кто отвечает за реакцию, отчетность, контроль;

— перечень применяемых технологий и логика их взаимодействия.

Почему отсутствие концепции — уже риск? Когда нет единого документа, каждый подрядчик проектирует системы под себя, как привык или умеет, охрана работает «по понятиям», камеры стоят там, где проще тянуть кабель, ИТ-шники отключают оборудование, чтобы разгрузить сеть и вообще не пускают в свою сеть «посторонних», руководство думает, что «все работает», но точно не знает, как и где это посмотреть.

Итог — система, где все по отдельности стараются, но предприятие в целом не защищает никто.

Концепция безопасности — это не формальность. Это стратегическая карта, на основе которой строится все остальное. Без нее безопасность становится набором оборудования без логики. Если аудит покажет вам точку, в которой безопасность вашего объекта находится сейчас, то концепция расскажет, каким путем двигаться по направлению к «тотальному спокойствию». Поэтому еще до того, как я подхожу к пульту видеонаблюдения или серверной, я задаю вопросы. А ответы на эти вопросы — это и есть основа профессионального аудита. А иногда — первый шаг заказчика к настоящей зрелости.

2. Обследование объекта

Тут более-менее все просто и понятно, потому что начинается осязаемая, кропотливая, скучная работа. Выезд на территорию, осмотр инженерных и технических решений. Оценивается:

— соответствие проекту;

— актуальность планов эвакуации, размещения оборудования;

— физическое состояние камер, турникетов, шлейфов и линий связи;

— условия эксплуатации: освещенность, сезонность, загрязненность.

Мой опыт позволяет мне смотреть не только на видимые нарушения или интересные решения задач, но и заглядывать немного вперед во времени и предугадывать возможные сбои, проблемы или, наоборот, положительные моменты. Банальная насмотренность и специализация позволяют аудитору увидеть то, что, находясь внутри объекта, определить будет сложно.

Анализ системы управления и интеграции

Проверяется:

— связность между подсистемами (СКУД + видео + ОПС);

— правильность реагирования на тревожные события;

— архивация, хранение и резервирование данных;

— автоматизация и аналитика.

Моделирование инцидентов и уязвимостей

Примеры сценариев:

— попытка несанкционированного доступа под чужим пропуском;

— отключение питания;

— ограбление в слепой зоне;

— вандализм в ночное время.

3. Составление отчета и разработка рекомендаций

Что я готовлю, в зависимости от запроса и договора с клиентом:

— карту уязвимостей;

— конкретные предложения по модернизации, донастройке, организационным мерам;

— сравнительный анализ стоимости модернизации vs рисков;

— презентацию для руководства или инвесторов.

Я предлагаю конкретные решения от конкретных производителей только в том случае, если есть такой запрос. Часто меня спрашивают о моей аффилированности с какими-то брендами, но такой вопрос задают чаще не заказчики, а, скорее, представители вендоров, видимо, с целью попасть в этот самый список. Но я не менеджер по продажам на аутсорсе. И чаще у меня просят сравнение по брендам, а не преимущества какого-то конкретного. И тут я обычно показываю «коротенький» список всех существующих производителей, например, СКУД, скажем, в Европе и России, и объясняю, что такое разнообразие не просто так существует, и выбирать нужно и можно по понятным критериям, чтобы решить свою задачу, а не угодить аудитору.

Какие открытия делает заказчик?

Практически каждый аудит дает неожиданные результаты для заказчика. Вот лишь типичный список:

— после ответов на вопросы из первичного опросника многие отказываются на время от аудита (может, потому что стыдно показать состояние систем, а может, потому что и сами все поняли);

— камеры «забыли» подключить к серверу, они работают, но не пишут;

— уволенный сотрудник сохранил доступ по старому шаблону СКУД;

— тревоги не доходят до охраны из-за сбоя в передаче событий;

— никто не следит за сроками хранения видеозаписей;

— сотрудники сами обходят систему ради удобства: заклинивают двери, отключают датчики;

— используются несертифицированные устройства, не соответствующие требованиям ФСТЭК/ФСБ.

Один из главных эффектов аудита заключается в осознании, что безопасность — это не только техника, но и люди, процедуры, процессы.

Связь с нормативной базой

Конечно же, она должна быть, и для разных объектов, отраслей, стран она будет отличаться и иметь свою специфику. Вот некоторые документы, которые можно учитывать при проведении аудита:

— ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;

— ГОСТ 34.201-89 «Комплекс стандартов на автоматизированные системы»;

— СП132.13330.2011 «Обеспечение антитеррористической защищенности зданий и сооружений. Общие требования проектирования»;

— Федеральный закон № 190-ФЗ от 29 декабря 2004 г.

— Градостроительный кодекс Российской Федерации от 29 декабря 2004 г.

— Постановление Правительства Республики Казахстан от 7 октября 2011 года № 1151 «Некоторые вопросы объектов, подлежащих государственной охране».

Помимо государственных документов, существует еще ряд внутренних документов в организациях, с которым тоже необходимо ознакомиться перед проведением аудита. Аудит может выявить несоответствие этим документам и помочь обосновать инвестиции в безопасность.

Аудит — это зрелость

Безопасность — это не стены, двери и камеры. Это процессы, культура и контроль. Это способ выйти за рамки иллюзии защищенности и получить честный, независимый взгляд на систему. Для промышленных предприятий это особенно важно: каждая точка уязвимости может стоить слишком дорого.

Если вы не проводили аудит последние 2–3 года, самое время пересмотреть свою систему. Возможно, она работает, но не на вас.

 Журнал RUБЕЖ  Пожарная безопасность  Транспортная безопасность

Yandex.Дзен

Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен

Яндекс.Директ

RUБЕЖ в vk RUБЕЖ на dzen RUБЕЖ на youtube RUБЕЖ в telegram+ RUБЕЖ-RSS

Контакты

Адрес: 121471, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

Тел./ф.: +7 (495) 539-30-20

Время работы: 9:00-18:00, понедельник - пятница

E-mail: info@ru-bezh.ru


Для рекламодателей

E-mail: reklama@ru-bezh.ru

тел.: +7 (495) 539-30-20 (доб. 103)

Первый отраслевой маркетплейс систем безопасности SecumarketПартнёр первого маркетплейса систем безопасности secumarket.ru
total time: 0.1750 s
queries: 81 (0.0082 s)
memory: 6 144 kb
source: cache
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.