Журнал "Information Security/ Информационная безопасность" #1, 2025

Почему оценка зрелости системы ИБ важна? По данным экспертов, количество кибератак на российские компании в 2024 г. увеличилось в 2,5 раза по сравнению с 2023 г., достигнув около 130 тыс. инцидентов, – киберпреступники становятся все более активными и изощ- ренными в своих методах 1 . В 2024 г. наблюдался рост числа успешных атак на бизнес, что подчерки- вает необходимость более эффективных мер безопасности. Согласно прогнозам компании Cyber- security Ventures, ущерб от киберпре- ступлений в мире достигнет $10,5 трлн в 2025 г., что связано с ростом числа атак и их сложностью, а также с уве- личением затрат на восстановление после инцидентов 2 . Оценка зрелости системы ИБ позво- ляет организациям выявить слабые места в своей защите, определить прио- ритеты для улучшения и разработать стратегию повышения уровня безопас- ности. Это особенно важно для компа- ний, работающих в отраслях, относя- щихся к критической информационной инфраструктуре, где требования к защи- те информации являются гораздо более строгими. Общие подходы к оценке зрелости Оценка зрелости системы ИБ включа- ет в себя анализ текущего состояния защиты информации, выявление уязви- мостей (в широком смысле – то есть как технических уязвимостей автоматизи- рованных систем и систем защиты, так и недостатков в организационном плане) и разработку рекомендаций по их устра- нению. В мировой практике существует несколько подходов к оценке зрелости ИБ, которые можно разделить на две основные категории: качественные и количественные. Качественные подходы Качественные подходы основаны на экспертной оценке и анализе процессов, связанных с ИБ. Они включают в себя: l Анализ политик и процедур безопас- ности. Оценка наличия и эффективности внутренних документов, регламентирую- щих вопросы ИБ. l Оценка управления рисками. Анализ процессов выявления, оценки и управ- ления рисками, связанными с информа- ционной безопасностью. l Аудит организационной структуры. Проверка наличия и эффективности работы подразделений, ответственных за ИБ. Качественные подходы позволяют получить глубокое понимание текущего состояния системы ИБ, однако они тре- буют значительных ресурсов и времени. Количественные подходы Количественные подходы основаны на использовании метрик и показателей для оценки уровня безопасности и вклю- чают в себя следующие пункты. l Метрики эффективности мер защиты. Оценка количества и качества реализо- ванных мер защиты, таких как исполь- зование антивирусного программного обеспечения, реализация механизмов идентификации, аутентификации, авто- ризации, ограничение программной среды и среды виртуализации и т. п. Иными словами, оценка выполнения требований по обеспечению ИБ соот- ветствующего вида систем: ГИС, ИСПДн, АСУ ТП, КИИ, которые прописаны в известных всем специалистам по ИБ приказах ФСТЭК России № 17, 21, 31, 239. l Анализ инцидентов безопасности. Ста- тистический анализ количества и харак- тера инцидентов, связанных с наруше- нием ИБ. l Метрики производительности систем мониторинга. Оценка эффективности работы систем мониторинга и реагиро- вания на инциденты. Количественные подходы позволяют быстро получить объективные данные о состоянии системы ИБ, однако могут не учитывать все аспекты защиты. Международные стандарты и модели В мировой практике наиболее рас- пространенными стандартами для оцен- ки зрелости ИБ являются ISO/IEC 27001 и NIST CSF (Cybersecurity Framework). Стандарт ISO 27001 предоставляет требования для создания системы управ- ления информационной безопасностью (СУИБ). Он включает в себя оценку рис- ков, разработку политик безопасности и контроль их выполнения. ISO 27001 является универсальным стандартом, 60 • УПРАВЛЕНИЕ Оценка зрелости ИБ от NIST и ISO до методики ФСТЭК России ак определить уровень защиты организации от киберугроз и выбрать оптимальную стратегию безопасности? Рассмотрим ключевые методики оценки зрелости информационной безопасности, включая международные стандарты и новую методику ФСТЭК России 2024 г. Проанализируем различия в подходах, сравнивая российские и зарубежные системы оценки, и разберем, какие модели наиболее эффективны для бизнеса и государственных структур. К Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности Фото: Антон Косицын 1 https://www.cnews.ru/news/top/2025-01-14_chislo_kiberatak_na_rossijskie 2 https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/