Отчет по аудиту кибербезопасности
и предотвращению утечек данных
Общество с ограниченной ответственностью «ПримерТорг» (ООО «ПримерТорг»)
Период проведения аудита: Октябрь – 14 ноября 2025 г.
Дата итогового отчета: 17 ноября 2025 г.
Исполнитель: ИП Сорокин Михаил Юрьевич
Структура отчета
Настоящий пример отчета состоит из двух логически связанных частей, которые вместе дают целостное представление о состоянии информационной безопасности компании.
- Часть 1. Управленческий отчет — обзор рисков, обобщенные выводы, анализ последствий для бизнеса, рекомендации и план улучшения.
- Часть 2. Технический отчет — детализированное описание инфраструктуры, уязвимостей, результатов сканирования и тестирования на проникновение.
Часть 1. Управленческий отчет
Содержание (Часть 1)
- 1. Исполнительское резюме
- 2. Объем работ и методология аудита
- 3. Анализ сетевой инфраструктуры
- 4. Поиск и анализ уязвимостей (Vulnerability Assessment)
- 5. Тестирование на проникновение (Penetration Testing)
- 6. Аудит на утечки данных
- 7. Проверка соответствия требованиям и стандартам
- 8. Оценка человеческого фактора и результатов фишинговой кампании
- 9. Обзор политик и процессов безопасности
- 10. Общий анализ рисков (риск-матрица)
- 11. Рекомендации по устранению уязвимостей
- 12. План внедрения рекомендаций
- 13. Заключение
- Приложения
1. Исполнительское резюме
В период с 03 по 14 ноября 2025 года проведен комплексный аудит информационной безопасности ООО «ПримерТорг» в объеме, предусмотренном договором № 27/11-2025 от 01.11.2025. Аудит охватывал технические, организационные и человеческие аспекты защиты данных, включая анализ сетевой инфраструктуры, поиск уязвимостей, тестирование на проникновение, проверку на возможные утечки данных, оценку соответствия требованиям законодательства и внутренних регламентов, а также имитацию фишинговых атак.
В 2025 году количество киберинцидентов в России выросло на 46% по сравнению с 2024 годом, а средний ущерб от атак достиг значительных значений для компаний малого и среднего бизнеса. Учитывая сферу розничной торговли, где компания обрабатывает персональные данные клиентов и информацию о платежных транзакциях, риски утечек данных оцениваются как высокие.
Выявлено 27 уязвимостей: 9 критических, 12 высоких, 6 средних. Ключевые проблемы включают открытые порты на внешнем периметре, уязвимости в веб-приложении (включая возможность SQL-инъекций), отсутствие достаточной сегментации сети и слабый контроль доступа. Прямых признаков активных утечек не обнаружено, однако в открытых источниках найдены ранее компрометированные контактные данные, связанные с доменом компании, что указывает на потенциальные риски адресных атак и репутационные последствия.
Человеческий фактор остается слабым звеном: в имитационной фишинговой кампании 36% сотрудников перешли по вредоносным ссылкам, 21% ввели учетные данные, 8% открыли вложения. Это подтверждает необходимость регулярного обучения сотрудников и внедрения практик кибергигиены.
Реализация рекомендаций (немедленные меры – 1–2 недели, основной план – около 3 месяцев) позволит существенно повысить уровень защищенности, минимизировать риски инцидентов и обеспечить более высокий уровень соответствия требованиям законодательства и внутренним стандартам организации при разумных затратах по сравнению с возможным ущербом.
2. Объем работ и методология аудита
Объем работ
Аудит проведен в соответствии с договором и включал следующие основные компоненты:
- Анализ сетевой инфраструктуры (LAN, WAN, Wi-Fi, VPN).
- Поиск уязвимостей (Vulnerability Assessment) всех ключевых ИТ-активов.
- Тестирование на проникновение (Penetration Testing) внешнего и внутреннего периметра.
- Аудит на возможные утечки данных, включая OSINT и анализ каналов передачи.
- Проверка соответствия требованиям законодательства в области защиты информации и персональных данных.
- Имитационная фишинговая кампания для сотрудников.
- Обзор политик безопасности, регламентов и процессов.
- Обучение персонала основам кибергигиены.
Методика
Техническая часть
- OSINT для рекогносцировки (Shodan и аналогичные инструменты).
- Сканирование портов и сервисов (Nmap).
- Автоматизированное сканирование уязвимостей (Nessus / OpenVAS).
- Анализ веб-приложений (Burp Suite / OWASP ZAP).
- Пентест (Metasploit, SQLMap, собственные скрипты).
- Анализ логов (стек сбора и анализа логов, например ELK).
- Проверка бэкапов и хранилищ (ручной анализ и тестовые восстановления).
Организационная часть
- Интервью с ключевыми сотрудниками (ИТ, руководство, HR, операционные подразделения).
- Анализ действующих политик ИБ (пароли, доступ, инциденты, ПДн и др.).
- Фишинговая кампания по заранее согласованным сценариям.
- Обучение и консультации по результатам аудита.
Аудит ориентировался на лучшие практики и отраслевые рекомендации (ISO/IEC 27001, NIST CSF, CIS Controls, OWASP), а также требования российского законодательства в области защиты информации и персональных данных. Все работы выполнены с соблюдением конфиденциальности и без влияния на доступность ключевых бизнес-сервисов.
3. Анализ сетевой инфраструктуры
Обследована локальная сеть (около 150 устройств), внешний периметр (выделенные IP-адреса), Wi-Fi (несколько точек доступа), VPN для удаленного доступа. Использованы инструменты Nmap, Wireshark и анализ сервисов, доступных из интернета.
Ключевые наблюдения
- Отсутствие достаточной сегментации: критичные серверы и пользовательские рабочие станции находятся в общей логической плоскости с ограниченным разделением.
- Открытые порты на периметре: TCP 3389 (RDP) и 80 (HTTP) доступны извне при недостаточных ограничениях.
- Устаревшее сетевое оборудование: обнаружены устройства с несвежими прошивками, содержащими известные уязвимости.
- Wi-Fi: гостевая сеть формально выделена, но настройка изоляции требует дополнительной проверки и усиления; ранее использовались слабые пароли.
- VPN: для ряда учетных записей доступ осуществляется без многофакторной аутентификации.
- Мониторинг: централизованное логирование настроено частично, фаервол не в полной мере используется для оповещений и статистики.
Упрощенная схема сети (примерно):
Пример фрагмента сканирования портов:
# Nmap scan report (пример)
PORT STATE SERVICE VERSION
80/tcp open http Apache 2.4.41
3389/tcp open ms-wbt Microsoft Terminal Services
В случае компрометации одной рабочей станции или сервиса атака может распространиться на всю инфраструктуру, что потенциально приведет к утечке клиентской базы и остановке продаж. Оценочно, простой бизнеса в 2–3 дня может привести к существенным финансовым потерям.
4. Поиск и анализ уязвимостей (Vulnerability Assessment)
Сканировано около 150 активов (серверы, рабочие станции, сетевое оборудование, программное обеспечение). Использованы типовые профили сканирования уязвимостей. Всего выявлено 27 уникальных уязвимостей различной критичности.
| № | Уязвимость | Описание | Критичность (CVSS) | Актив | Риск для бизнеса | Доказательства |
|---|---|---|---|---|---|---|
| 1 | Открытый RDP-порт | TCP 3389 доступен извне без дополнительного ограничивающего контура. | 9.8 | Сервер бухгалтерии | Возможность brute-force-атаки и последующего полного доступа к финансовым данным. | Отчеты Nmap и скриншоты конфигурации. |
| 2 | SQL-инъекция | Форма авторизации веб-приложения уязвима к SQL-инъекциям, позволяет получать содержимое БД. | 9.5 | Веб-сайт | Риск утечки персональных данных клиентов и служебной информации. | Результаты SQLMap и лог ручного тестирования. |
| 3 | Устаревшее ПО | Серверная ОС без актуальных патчей, известны удаленные эксплойты (RCE). | 8.5 | Файловый сервер | Риск шифрования данных или скрытого доступа к файловой структуре. | Отчет сканера уязвимостей. |
| 4 | Слабые пароли локальных администраторов | Используются пароли вида Admin123, обнаруживаются словарными атаками. |
8.0 | Рабочие станции отдела продаж | Возможна локальная эскалация привилегий и установка вредоносного ПО. | Результаты анализа паролей. |
| 5 | XSS в личном кабинете | Поля комментариев не фильтруются, возможна подстановка JavaScript-кода. | 7.6 | Веб-приложение личного кабинета | Риск кражи сессий и подмены контента. | Отчет Burp Suite с примерами полезной нагрузки. |
| 6 | Нешифрованный трафик | Часть внутренних сервисов работает по HTTP без TLS. | 7.5 | Внутренняя CRM | При MITM-атаке возможен перехват учетных данных и ПДн. | Трассировки Wireshark. |
| 7 | Отсутствие MFA для критичных систем | Подключение к VPN и административным сервисам без многофакторной защиты. | 7.2 | VPN-шлюз, контроль домена | Компрометация одного пароля дает широкие возможности злоумышленнику. | Скриншоты параметров доступа. |
| 8 | Незащищенные резервные копии | Бэкапы хранятся на NAS без шифрования и с широкими правами доступа. | 6.5 | NAS-хранилище | Риск утечки полных дампов баз данных и документов. | Ревизия прав доступа и структуры каталогов. |
| 9 | Данные в открытых источниках (OSINT) | Обнаружены публичные записи с e-mail-адресами домена компании в ранее скомпрометированных массивах. | 5.5 | Корпоративные e-mail-адреса | Риск целевых фишинговых рассылок и репутационных потерь. | Скриншоты результатов OSINT-поиска. |
Значительная часть уязвимостей связана с устаревшим ПО, конфигурационными ошибками и недостаточным применением принципа минимально необходимых привилегий.
5. Тестирование на проникновение (Penetration Testing)
Тестирование на проникновение проводилось в согласованном режиме, моделируя действия внешнего злоумышленника и атакующего из внутренней сети. Основные фазы: разведка, сканирование, получение доступа, закрепление, эскалация и моделирование последствий.
Ключевые сценарии и результаты
- Внешний периметр: с использованием подбора учетных данных удалось получить доступ к одному из серверов через RDP при недостаточной защите.
- Веб-приложение: через SQL-инъекцию продемонстрирована возможность чтения содержимого таблиц БД.
- Внутренняя сеть: за счет слабых паролей и отсутствия полноценной сегментации удалось перемещаться между сегментами.
- Эскалация привилегий: на отдельном стенде смоделирован сценарий получения повышенных прав в доменной инфраструктуре.
- Обнаружение: действия тестирования во многих случаях не были замечены средствами мониторинга в режиме реального времени.
Пример фрагмента запросов, использованных в ходе демонстрации SQL-инъекций:
-- Пример тестового payload для SQLi
' OR '1'='1' --
В результате пентеста показано, что при сочетании нескольких уязвимостей злоумышленник может получить доступ к критичным данным и сервисам, если не будут приняты меры по их устранению.
6. Аудит на утечки данных
Проанализированы каналы хранения и передачи данных, права доступа, механизмы резервного копирования, а также проведен поиск возможных утечек в открытых источниках (OSINT).
- Отсутствует специализированная DLP-система: возможна неконтролируемая передача конфиденциальных данных через почту, мессенджеры, облачные сервисы и съемные носители.
- Резервные копии хранятся без шифрования, с избыточными правами чтения для части учетных записей.
- В открытых источниках обнаружены массивы, содержащие адреса электронной почты с доменом компании, относящиеся к старым утечкам сторонних сервисов.
- Не все чувствительные файлы (отчеты, выгрузки БД) имеют корректно настроенный доступ по принципу «need-to-know».
Без усиления контроля каналов потери информации вероятность значимой утечки данных сохраняется на повышенном уровне. Рекомендуется внедрить средства предотвращения утечек, шифрование критичных данных и четкое разграничение прав доступа.
7. Проверка соответствия требованиям и стандартам
Проведена оценка соответствия требованиям российского законодательства в области защиты информации и персональных данных, а также базовым положениям отраслевых стандартов информационной безопасности.
Требования по защите персональных данных
- Хранение и обработка персональных данных в целом регламентированы, но механизмы шифрования используются не во всех системах.
- Управление доступом к ПДн осуществляется, однако на ряде систем отсутствует формализованное закрепление ролей и уровней доступа.
- Обработка инцидентов, связанных с персональными данными, регламентирована недостаточно подробно, отсутствуют четкие сценарии уведомления и документирования.
- Фактический уровень соответствия базовым требованиям к защите ПДн оценивается на уровне около 70% с учетом выявленных пробелов.
Соответствие лучшим практикам ИБ
- Сетевая архитектура и управление доступом частично соответствуют лучшим практикам, но требуют усиления сегментации и контроля учетных записей с повышенными правами.
- Управление уязвимостями реализовано частично: сканирование проводится, однако не всегда сопровождается оперативным устранением выявленных проблем.
- Документирование процессов ИБ необходимо расширить, чтобы обеспечить прозрачность и повторяемость процедур.
8. Оценка человеческого фактора и результатов фишинговой кампании
В рамках аудита проведена имитационная фишинговая кампания. Сценарии писем были приближены к реальным рабочим ситуациям (обновление ПО, сообщения от руководства, уведомления о доставке).
Перешли по ссылке
Ввели учетные данные
Открыли вложение
Основные выводы:
- Сотрудники склонны доверять письмам, связанным с их повседневной деятельностью (1С, график работы, заказы клиентов).
- Не все умеют проверять адрес отправителя и ссылку перед переходом.
- Часть сотрудников не знакома с процедурой уведомления о подозрительных письмах.
Регулярные тренинги, испытательные рассылки и прозрачная процедура реагирования на подозрительные сообщения способны существенно снизить риск успешных фишинговых атак.
9. Обзор политик и процессов безопасности
Проанализированы действующие документы по информационной безопасности (политики, регламенты, инструкции). В компании присутствуют базовые документы, однако не все процессы формализованы в достаточной степени, а часть документов требует актуализации.
- Политика управления паролями не полностью соответствует современным требованиям (минимальная длина, сложность, срок действия).
- Алгоритм управления доступом описан, но не везде реализован в виде формализованных процедур предоставления и отзыва прав.
- План реагирования на инциденты ИБ существует на уровне общего описания, но нуждается в детализации и практической отработке.
- Правила работы с персональными данными требуют уточнения по уровням доступа и особенностям обработки.
Рекомендуется разработать недостающие документы (BYOD, удаленная работа, классификация информации) и привести действующие политики в соответствие с фактической инфраструктурой и практиками.
10. Общий анализ рисков (риск-матрица)
Риски классифицированы по вероятности (низкая/средняя/высокая) и по влиянию на бизнес (незначительное/существенное/критическое). На основе выявленных уязвимостей и сценариев угроз построена риск-матрица.
Наиболее существенные риски:
- Утечка персональных данных клиентов вследствие компрометации веб-приложения или резервных копий.
- Шифрование критичных данных в результате атаки с использованием вредоносного ПО.
- Компрометация учетных записей с повышенными привилегиями через фишинг или подбор паролей.
11. Рекомендации по устранению уязвимостей
Немедленные меры (1–2 недели)
- Ограничить доступ по RDP: закрыть прямой доступ с интернета, разрешить RDP только по защищенному VPN и для ограниченного круга IP-адресов. Ответственный: ИТ-администратор.
- Устранить SQL-инъекции и XSS: внедрить параметризованные запросы, корректную обработку входных данных, контекстно-зависимое экранирование; настроить WAF для защиты веб-приложения. Ответственный: команда разработки и ИТ.
- Включить многофакторную аутентификацию на всех доступах к VPN и административным консолям. Ответственный: ИТ-подразделение.
- Установить все критические обновления безопасности на серверы и рабочие станции, уделив приоритетное внимание системам с удаленными уязвимостями. Ответственный: ИТ-отдел.
Краткосрочные меры (до 1 месяца)
- Реализовать логическую сегментацию сети (VLAN, ACL), разделив пользовательские, серверные, административные и гостевые сегменты, ограничив межсегментное взаимодействие по принципу минимально необходимого набора сервисов.
- Внедрить DLP-подходы: настроить контроль передачи конфиденциальных данных через почту, веб и внешние носители; при необходимости использовать специализированное программное обеспечение.
- Обеспечить шифрование резервных копий и ограничить доступ к ним строго по ролям; регулярно тестировать восстановление из бэкапов.
Долгосрочные меры (3–6 месяцев)
- Сформировать полный комплект документов по ИБ: политика ИБ, регламент управления инцидентами, правила работы с ПДн, политика удаленного доступа, политика использования мобильных устройств и др.
- Организовать постоянную программу обучения сотрудников: регулярные тренинги, рассылка информационных материалов, периодические тестирования и фишинг-симуляции.
- Внедрить или развить систему мониторинга и корреляции событий (SIEM-подход), определив ключевые сценарии, по которым должны формироваться инциденты и оповещения.
12. План внедрения рекомендаций
| Этап | Действия | Срок | Ответственные |
|---|---|---|---|
| 1 | Немедленные меры: закрытие опасных портов, устранение SQLi и XSS, внедрение MFA, установка критических патчей. | 1–2 недели | ИТ-отдел, команда разработки |
| 2 | Сегментация сети, настройка контроля каналов утечки, шифрование и защита резервных копий. | 1 месяц | ИТ / ИБ |
| 3 | Разработка и утверждение документов ИБ, внедрение программы обучения и развитие мониторинга событий безопасности. | 3–6 месяцев | Служба ИБ, HR, ИТ |
Приоритизация этапов позволяет сначала закрыть наиболее критичные риски, затем усилить архитектуру и процессы, а после — сформировать устойчивую систему управления информационной безопасностью.
13. Заключение (Часть 1)
Аудит показал наличие ряда критичных и высоких по уровню риска уязвимостей, однако также подтвердил, что многие проблемы могут быть устранены в разумные сроки при последовательной реализации предложенных мер. Внедрение описанных рекомендаций позволит существенно снизить вероятность серьезных инцидентов, повысить уровень доверия клиентов и партнеров, а также улучшить соответствие требованиям законодательства.
Рекомендуется провести повторную проверку (контрольный аудит) после реализации ключевых мероприятий и далее организовать регулярную ежегодную оценку состояния информационной безопасности с учетом изменений в инфраструктуре и нормативных требованиях.
Контакт для уточнений и дальнейшего сопровождения: +7 (999) 994-99-87, msorokin177@gmail.com
Приложения (Часть 1)
Приложение A – Детали фишинговой кампании
| Сценарий | Получатели | Клики | Ввод данных |
|---|---|---|---|
| «Обновление 1С» | 50 | 21 (42%) | 10 (20%) |
Приложение B – Примеры логов и отчетов
Фрагмент отчета сканера уязвимостей:
# Пример вывода сканера уязвимостей
Vulnerability: MS17-010 (EternalBlue)
Severity: Critical
Host: 192.168.1.10
Приложение C – Пример требований к политике паролей
Пароль должен содержать не менее 12 символов, включать строчные и заглавные буквы, цифры и специальные символы. Запрещено использование общеизвестных и простых комбинаций. Рекомендуется смена пароля не реже одного раза в 90 дней и обязательное применение многофакторной аутентификации для доступа к критичным системам и удаленным сервисам.
Часть 2. Технический детализированный отчет по инфраструктуре
Содержание (Часть 2)
- Введение
- Цели и задачи аудита
- Объект аудита
- Организационная структура информационной безопасности
- Стандарты и нормативно-правовые требования
- Методология аудита
- Идентификация и оценка рисков
- Физическая безопасность
- Сетевая архитектура и защита периметра
- Безопасность внутренней сети
- Беспроводная сеть
- Облачные сервисы и провайдеры
- Серверы и вычислительные системы
- Операционные системы и приложения
- Базы данных и их защита
- Управление доступом и учетными записями
- Управление уязвимостями и обновлениями
- Мониторинг и журналирование
- Инцидент-менеджмент
- Политики и процедуры информационной безопасности
- Обучение и повышение осведомленности персонала
- Результаты сканирования уязвимостей
- Результаты тестирования на проникновение
- Анализ рисков и уязвимостей
- Рекомендации по повышению защищенности информационных активов
- Рекомендации по управлению доступом и привилегиями
- Рекомендации по актуализации политик безопасности
- Рекомендации по обучению и повышению осведомленности
- Заключение
- Приложения и источники
1. Введение
Настоящий раздел содержит технические детали, дополняющие управленческую часть отчета. Описываются конкретные компоненты инфраструктуры, результаты технических проверок и тестов, а также применяемые средства защиты и их текущее состояние.
2. Цели и задачи аудита
Основными задачами технической части аудита являлись:
- Определить текущее состояние технических средств защиты информации.
- Выявить конфигурационные ошибки и уязвимости в сетевых и серверных компонентах.
- Проверить устойчивость инфраструктуры к типовым атакам на уровне сети и приложений.
- Оценить полноту и корректность использования средств мониторинга и журналирования.
3. Объект аудита
Объектом технического анализа явились:
- Корпоративная локальная сеть, включая сегменты центрального офиса и удаленных подразделений.
- Серверы и системы хранения данных, как физические, так и виртуальные.
- Рабочие станции сотрудников, подключенные к доменной инфраструктуре.
- Ключевые веб-сервисы и внутренние приложения.
- Системы аутентификации, авторизации и управления доступом.
4. Организационная структура информационной безопасности
Ответственность за информационную безопасность распределена между ИТ-подразделением и назначенным специалистом по безопасности. Руководство компании в целом осознает важность защиты информации, но часть функций и зон ответственности требует формального закрепления в должностных инструкциях и регламентах.
5. Стандарты и нормативно-правовые требования
При оценке использовались требования российского законодательства о защите информации и персональных данных, а также рекомендации международных стандартов (например, ISO/IEC 27001, ISO/IEC 27002). Сопоставление фактического состояния с этими требованиями позволило выявить направления для развития системы ИБ.
6. Методология аудита
При проведении технического аудита применен комплексный подход, включающий:
- Сбор и анализ исходных данных (схемы сети, перечни серверов и сервисов).
- Сканирование уязвимостей на сетевом и прикладном уровнях.
- Ручные проверки конфигураций и прав доступа.
- Тестирование на проникновение для проверки эксплуатационных сценариев.
- Анализ журналов и событий безопасности.
7. Идентификация и оценка рисков
Для каждого обнаруженного недостатка оценивались вероятность реализации угрозы и потенциальное воздействие на информационные активы компании. Результаты были использованы при формировании приоритетов по устранению уязвимостей и выработке рекомендаций.
8. Физическая безопасность
Проверены режимы доступа в серверные и иные помещения с ИТ-оборудованием, наличие систем видеонаблюдения и охранной сигнализации. В целом физическая защита организована на базовом уровне, но требуются улучшения в части резервирования электропитания и четкого разграничения зон по уровню доступа.
| Зона | Меры контроля | Выявленные проблемы |
|---|---|---|
| Серверная | Электронные замки, камеры наблюдения, сигнализация | Недостаточное резервирование электропитания |
| Склад и вспомогательные помещения | Запираемые двери, охрана | Отсутствие современных систем контроля доступа |
9. Сетевая архитектура и защита периметра
Граница сети защищена межсетевым экраном, однако часть правил фаервола требует актуализации и документирования. Сегментация сети реализована частично; определены VLAN, но логическое разделение критичных и пользовательских сегментов может быть усилено.
- Маршрутизация и NAT настроены корректно, но требуется пересмотр перечня разрешенных внешних сервисов.
- Удаленный доступ организован через VPN, но для всех привилегированных учетных записей рекомендуется обязательная MFA.
- Регулярное сканирование периметра должно проводиться по графику и фиксироваться в отчетах.
10. Безопасность внутренней сети
Внутренняя сеть разделена на несколько логических сегментов, однако на практике наблюдается возможность обходных маршрутов при определенных условиях. Необходимо ужесточить правила межсетевых взаимодействий, особенно между сегментами с критичными сервисами и пользовательскими подсетями.
11. Беспроводная сеть
Беспроводной доступ организован для сотрудников и гостей раздельно. В корпоративной сети применяется защищенное шифрование, учетные данные выдаются централизованно. Гостевая сеть изолирована на уровне маршрутизации, но необходимо периодически проверять конфигурацию для исключения ошибок, а также регулярно менять ключи доступа.
12. Облачные сервисы и провайдеры
Используются облачные платформы для электронной почты, хранения файлов и отдельных приложений. Управление доступом к ним осуществляется централизованно, поддерживается многофакторная аутентификация. Важным элементом является контроль прав на уровне провайдера (ролевая модель, ограничение действий администраторов).
| Сервис | Особенности использования | Замечания по безопасности |
|---|---|---|
| Корпоративная почта | Облачная платформа, интеграция с доменом | Важно контролировать MFA и доступ к админ-консолям |
| Хранилище файлов | Совместная работа с документами | Требуется периодический аудит прав на общие папки |
13. Серверы и вычислительные системы
Серверное хозяйство включает как физические, так и виртуальные сервера. Основные сервисы размещены на поддерживаемых версиях ОС, но присутствуют отдельные устаревшие узлы, требующие модернизации или миграции.
| Сервер | ОС / Версия | Назначение |
|---|---|---|
| SRV-DB-01 | Linux (LTS-версия) | База данных (PostgreSQL) |
| SRV-APP-01 | Windows Server | Внутренние приложения |
| SRV-FILE-01 | Windows Server | Файловый сервер |
14. Операционные системы и приложения
В целом используются поддерживаемые версии операционных систем, однако на части узлов требуется обновление и установка свежих сервис-паков. Для приложений необходимо регулярно отслеживать публикации об уязвимостях и своевременно устанавливать обновления.
| Компонент | Версия | Комментарий |
|---|---|---|
| ОС рабочих станций | Современная версия Windows | В большинстве случаев обновлена, но есть узлы с задержкой по патчам |
| Серверные ОС | Поддерживаемые версии | Требуется унификация и стандартизация образов |
15. Базы данных и их защита
Управление доступом к базам данных осуществляется с использованием отдельных учетных записей и ролей. В ряде случаев отсутствует шифрование данных «на диске», а также шифрование каналов взаимодействия приложений и СУБД. Необходимо внедрить шифрование соединений и рассмотреть включение шифрования на уровне хранилища.
16. Управление доступом и учетными записями
Используется централизованная доменная инфраструктура. Обнаружены отдельные устаревшие и неиспользуемые учетные записи, подлежащие удалению или блокировке. Политика паролей требует усиления (длина, сложность, история, срок действия), а для критичных учетных записей — обязательного подключения многофакторной аутентификации.
17. Управление уязвимостями и обновлениями
Сканирование уязвимостей проводится, однако не для всех сегментов и не с одинаковой регулярностью. Часть выявленных ранее уязвимостей находилась в статусе «в процессе устранения» более месяца. Рекомендуется формализовать цикл управления уязвимостями: обнаружение, оценка, планирование исправления, контроль выполнения и повторная проверка.
18. Мониторинг и журналирование
Логи критичных систем собираются, однако их анализ носит преимущественно реактивный характер. Настройка оповещений по ключевым событиям (подбор паролей, множественные неудачные попытки входа, изменения в группах администраторов и др.) требует развития.
19. Инцидент-менеджмент
Описаны общие шаги по реагированию на инциденты (обнаружение, локализация, устранение, восстановление), но не всегда закреплены конкретные ответственные и временные нормативы. Практические учения и моделирование сценариев инцидентов пока не проводятся систематически.
20. Политики и процедуры информационной безопасности
Политики ИБ охватывают основные области, но отдельные разделы требуют уточнения и детализации (управление изменениями, инвентаризация активов, классификация информации, удаленная работа). Важно обеспечить актуализацию документов при изменении инфраструктуры и технологий.
21. Обучение и повышение осведомленности персонала
Проводятся отдельные обучающие мероприятия, однако отсутствует единая программа, охватывающая всех сотрудников на регулярной основе. Необходимо ввести обязательное вводное обучение и ежегодное обновление знаний по ключевым аспектам кибербезопасности.
22. Результаты сканирования уязвимостей
Ниже приведены примеры наиболее значимых уязвимостей, найденных в ходе сканирования.
| № | Уязвимость | Критичность | Рекомендация |
|---|---|---|---|
| 1 | SQL-инъекция в веб-приложении | Критическая | Использовать параметризованные запросы, ввести фильтрацию и валидацию входных данных, провести повторное тестирование. |
| 2 | Старые версии криптографических протоколов | Высокая | Отключить устаревшие версии, включить только современные и безопасные наборы шифров. |
| 3 | Отсутствие обновлений безопасности на части рабочих станций | Средняя | Настроить централизованное управление обновлениями и обеспечить своевременную установку критических патчей. |
23. Результаты тестирования на проникновение
Тестирование на проникновение подтвердило возможность эксплуатации ряда уязвимостей, указанных в управленческой части отчета. Ниже приведены примеры сценариев.
| № | Цель | Найденные уязвимости | Результат |
|---|---|---|---|
| 1 | Внутренний портал | XSS, недостатки авторизации | Получен доступ с правами обычного пользователя, продемонстрирована подмена отображаемого контента. |
| 2 | Админ-консоль | Слабый пароль, отсутствие MFA | Удалось подобрать пароль и получить привилегированный доступ. |
24. Анализ рисков и уязвимостей
Обобщенная оценка показывает, что комбинация технических уязвимостей и факторов, связанных с человеческим поведением, может привести к реализации серьезных инцидентов. Приоритетом является устранение уязвимостей, дающих возможность удаленного несанкционированного доступа и утечки персональных данных.
25. Рекомендации по повышению защищенности информационных активов
Для повышения защищенности предлагается:
- Последовательно реализовать сегментацию сети и ограничить доступ к критичным системам только необходимым сервисам.
- Стандартизировать платформы и версии ОС для серверов и рабочих станций.
- Регулярно проводить комплексные сканирования уязвимостей с последующим анализом и устранением.
- Включить контроль целостности ключевых конфигураций и критичных файлов.
26. Рекомендации по управлению доступом и привилегиями
В части управления доступом рекомендуются следующие меры:
- Провести ревизию всех учетных записей, удалить неиспользуемые, ограничить права до необходимого минимума.
- Внедрить многофакторную аутентификацию для всех учетных записей с повышенными привилегиями и для удаленных пользователей.
- Усилить требования к сложности паролей и реализовать политику их периодической смены.
- Вести журнал всех операций по изменению прав и членов привилегированных групп.
27. Рекомендации по актуализации политик безопасности
Для приведения документации в соответствие с фактическим состоянием необходимо:
- Обновить политику ИБ с учетом всех используемых технологий и сервисов.
- Разработать отдельные регламенты по управлению уязвимостями, изменениями и конфигурациями.
- Описать детальные процедуры реагирования на инциденты с указанием ответственных и сроков.
- Закрепить в документах правила использования личных устройств и удаленной работы.
28. Рекомендации по обучению и повышению осведомленности
Для повышения уровня осведомленности персонала необходимо:
- Ввести обязательное обучение по кибербезопасности для всех новых сотрудников.
- Регулярно проводить тематические тренинги, включая разбор реальных инцидентов и типовых атак.
- Организовать периодические фишинг-симуляции с последующим разбором ошибок.
- Поддерживать информационные материалы (чек-листы, памятки, рассылки) по безопасному поведению в сети.
29. Заключение (Часть 2)
Технический анализ подтвердил выводы управленческой части отчета и дал детализированную картину состояния инфраструктуры. При своевременной реализации предложенных мер компания может существенно снизить риски, связанные с киберугрозами, повысить устойчивость ключевых сервисов и обеспечить более высокий уровень защиты критичных активов.
30. Приложения и источники
В процессе аудита и подготовки отчета использовались:
- Техническая документация компании (схемы сети, перечни серверов и сервисов).
- Отчеты автоматизированных сканеров уязвимостей.
- Результаты ручного тестирования и пентеста.
- Внутренние политики и регламенты по информационной безопасности.
- Публично доступные руководства и стандарты по защите информации.