Как выбрать поставщика услуги внешнего аудита кибербезопасности

Обложка статьи: как выбрать аудитора кибербезопасности

Аудит кибербезопасности — важный шаг к выстраиванию надеждой инфраструктуры веб-проекта. Успех этого мероприятия будет во многом зависеть от выбранного партнера. Важно, чтобы он обладал соответствующими компетенциями и подходящими инструментами тестирования. В этой статье мы разберемся, на что обратить внимание, чтобы не ошибиться с выбором аудитора, и как получить качественную инспекцию IT-инфраструктуры.

Что такое внешний аудит кибербезопасности 

В предыдущей статье мы уже рассказывали нашим читателям об аудите кибербезопасности, его видах и методах проведения. Рекомендуем прочитать этот материал, чтобы детальнее разобраться в теме. А сегодня сосредоточимся на внешнем аудите кибербезопасности.

Внешний аудит кибербезопасности — независимая экспертиза защищенности цифровых данных и всей IT-инфраструктуры от различных угроз: кибератак, фишинга, веб-уязвимостей и других.

Выполняется исключительно сторонней компанией, которая никак не была вовлечена в построение мер по защите информации в компании-заказчика. Аудиторам предоставляется доступ к внутренней сети компании для проведения комплексного исследования и объективной оценки системы информационной безопасности заказчика.   

Компании, которые проводят мероприятия по внешнему аудиту, обязаны обладать высокими компетенциями в вопросах безопасности и иметь штат квалифицированных сотрудников. Они должны проходить постоянное обучение, а также иметь соответствующие сертификаты и лицензии.

Критерии выбора поставщика услуги внешнего аудита кибербезопасности

Прежде чем приступить к выбору поставщика услуг кибербезопасности, следует выполнить несколько шагов:

1. Определить, какие решения нужны для обеспечения безопасности вашей компании.    
2. Сформировать цель и конкретные задачи аудита.   
3. Собрать список всех потенциальных компаний-аудиторов, которые вы будете проверять на соответствие требованиям.

После того, как вы структурируете свои потребности и задачи, можно перейти к оценке и сравнению кандидатов из получившегося списка.

Ниже перечислим основные критерии, на которые рекомендуется обращать внимание при выборе поставщика внешнего аудита безопасности.

1. Направления аудита и область проверок 

Выбирайте компанию-аудитора в зависимости от своих потребностей. Не все компании предоставляют одинаковый набор услуг в рамках проведения аудита кибербезопасности. Обратите внимание, выполняет ли аудитор проверку нужных вам компонентов системы безопасности.

Области IT-инфраструктуры, которые чаще других нуждаются в инспекции:

  • работа сетевых серверов;
  • программное обеспечение;
  • система мониторинга IT-среды;
  • состояние защиты информационных систем;
  • уровень защиты конфиденциальной информации;
  • процесс резервного копирования данных организации.

2. Процессы и инструменты  

Уточните возможность демонстрации процесса работы аудиторской проверки и ее инструментов, чтобы проверить совместимость с вашей инфраструктурой и ее потребностями.  

3. Стандарты и методики 

Оцените широту спектра проверок  компании-аудитора, узнайте какими стандартами руководствуются ее специалисты.

Примеры основных методологий и стандартов:

  • OWASP — Open Web Application Security Project Testing Guide;
  • WASC — Web Application Security Consortium Threat Classification;
  • PTES — Penetration Testing Execution Standard;
  • OSSTMM — Open Source Security Testing Methodology Manual;
  • OSINT— Open source intelligence.

4. Сертификаты и лицензии  

Лицензии нужны при осуществлении деятельности по технической защите конфиденциальной информации, а также компаниям, попадающим под указ № 250. Для остальных сфер регламентированного требования нет.

Проверьте, обладает ли компания-аудитор необходимыми документами для ведения деятельности в области защиты информации. Один из них — лицензия ФСТЭК. Она регулирует техническую защиту конфиденциальной информации.

5. Квалификация сотрудников 

Запросите информацию о сотрудниках и их опыте. Не лишним будет наличие международных сертификатов:

  • CISA; 
  • CISM; 
  • CISSP.

6. Репутация и отраслевой опыт 

Ознакомьтесь с отзывами клиентов и изучите кейсы компании. Посмотрите на присутствие компании на рынке, какие позиции она занимает и сколько лет оказывает свои услуги.

Не бойтесь задавать вопросы, просите показать портфолио по проверкам, смежным вашей отрасли.

7. Комбинирование ручных и автоматизированных проверок 

Обратите внимание, использует ли компания-аудитор оба типа сканирования. Автоматические проверки находят основные ошибки и ускоряют процесс работы. Ручное тестирование занимает больше времени, но позволяет найти нестандартные и сложные уязвимости. Сочетание этих двух типов проверок даст наиболее полный и объективный результат.

8. Полнота аудиторского отчета  

Отчет должен быть четким и полным, охватывать все найденные уязвимости с их свойствами, а также иметь понятные и наглядные рекомендации по исправлению. Он должен содержать:

  • описание всех найденных уязвимостей; 
  • описание их свойств и критичности;  
  • описание рекомендаций по способам их устранения;  
  • описание ущерба и оценку рисков; 
  • наглядные материалы найденных уязвимостей: видео и скриншоты.

9. Гибкость компании-аудитора 

Посмотрите, как аудитор реагирует на уникальные потребности вашей компании, насколько понятно и прозрачно объясняет свои действия.

10. Возможность интеграции команд 

Уточните, есть ли возможность интеграции ваших менеджеров по безопасности и ИТ-специалистов в процесс аудиторской проверки.

11. Обратная связь 

Чем комфортнее и проще ваша коммуникация с выбранным аудитором, тем легче пройдет весь процесс тестирования. Узнайте про работу службы поддержки, есть ли возможность постоянного взаимодействия со специалистами-аудиторами во время исправления найденных после инспекции ошибок.

12. Долгосрочное сотрудничество 

Узнавайте о перспективах расширения будущего сотрудничества. Будут ли масштабироваться решения поставщика внешнего аудита вместе с ростом инфраструктуры вашей компании. 

Итоговый чек-лист по выбору внешнего аудитора кибербезопасности

1. Внешний аудит кибербезопасности — независимая экспертиза сторонней компанией уровня защищенности ваших цифровых данных и IT-инфраструктуры от киберугроз.

2. Прежде чем приступить к выбору поставщика услуг кибербезопасности, следует выявить цели и задачи, которые необходимо решить.

3. Составьте список потенциальных аудиторов и проверьте их на соответствие требованиям. Основные из них:

Список критериев по выбору поставщика аудита кибербезопасности
Портрет компетентной компании-аудитора кибербезопасности

Услуга аудита информационной безопасности DDoS-Guard позволит проверить ваш проект на устойчивость к киберугрозам. Эксперты проведут независимую комплексную оценку уровня защищенности IT-инфраструктуры, выявят потенциальные векторы атак и дадут подробные рекомендации по устранению найденных уязвимостей и улучшению защиты.


При выборе компании по проверке кибербезопасности необходимо учесть многое. Компетентные аудиторы без проблем предоставляют  дополнительную информацию, которая подробнее раскрывает их деятельность. Выбирая аудитора, помните, что это не просто поставщик услуг, но и партнер, с которым предстоит долгая и кропотливая работа в области обеспечения защиты и устойчивости вашей компании.