Журнал "Information Security/ Информационная безопасность" #1, 2025

который может быть адаптирован для организаций любого размера и отрасли. Фреймворк NIST CSF, разработанный Национальным институтом стандартов и технологий США, предоставляет струк- турированный подход к управлению кибербезопасностью. Он включает в себя пять основных функций: выявле- ние, защиту, обнаружение, реагирование и восстановление. NIST Cybersecurity Framework широко используется в США и странах Европейского союза для оцен- ки и повышения уровня кибербезопас- ности. В России данный стандарт не получил широкого практического при- менения. В отечественной практике, наряду со стандартами (в основном ISO 27001), часто используется модель CMMI (Capability Maturity Model Integration), которая оценивает процессы по пяти уровням зрелости с акцентом на непре- рывное улучшение. Эта модель слабо учитывает специфику ИБ, так как была разработана для улучшения всех дело- вых процессов организации и повышения общей эффективности. Однако такая универсальность сделала возможным ее применение для оценки зрелости отдельных процессов ИБ, например про- цессов зрелости центров мониторинга и реагирования на инциденты (SOC) и зрелости процессов безопасной раз- работки (РБПО, DevSecOps). Это позво- ляет эффективно применять указанную методику для оценки качества внедрения новых процессов (РБПО) или организа- ционных структур (SOC). В России оценка зрелости ИБ тесно связана с выполнением требований регуляторов, поэтому в 2024 г. был выпущен отдельный документ, по сути, регламентирующий оценку зрелости системы ИБ – "Методика оценки пока- зателя состояния технической защиты информации и обеспечения безопасно- сти значимых объектов критической информационной инфраструктуры Рос- сийской Федерации" (утверждена ФСТЭК России 2 мая 2024 г.) Методика ФСТЭК России Методика определяет показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну, и (или) обеспечения безопасности значи- мых объектов КИИ, его нормированное значение, а также порядок расчета. Она применяется для оценки текущего состояния защиты информации (обес- печения безопасности объектов КИИ) в государственных органах, органах мест- ного самоуправления, организациях, в том числе субъектах КИИ, и степени его соответствия минимально необходи- мому уровню защиты от типовых акту- альных угроз безопасности информации. В качестве минимально необходимого уровня задан состав мер, реализация которых предусмотрена нормативными правовыми актами Российской Федера- ции (уже упоминавшимися выше требо- ваниями), и который минимально доста- точен для блокирования (нейтрализации) типовых актуальных угроз безопасности информации. Методика ФСТЭК России включает в себя следующие ключевые элементы. l Показатель защищенности (Kзи) характеризует степень достижения орга- низацией минимально необходимого уровня защиты информации от типовых актуальных угроз. l Частные показатели безопасности (kji) определяются для различных групп мер защиты, таких как организация и управ- ление, защита пользователей, защита информационных систем, мониторинг информационной безопасности и реа- гирование. l Весовые коэффициенты (Rj) исполь- зуются для расчета показателя защи- щенности и учитывают значимость раз- личных групп мер защиты. Методика ФСТЭК России предусмат- ривает регулярную оценку показателя защищенности (не реже одного раза в шесть месяцев), что позволяет орга- низациям постоянно контролировать и улучшать уровень своей информа- ционной безопасности. Сравнительный анализ методики ФСТЭК России и международных стан- дартов представлен в таблице "Сравне- ние методики ФСТЭК России с между- народными аналогами". Итоговое сравнение методик: l ФСТЭК России – чек-лист для регуля- тора; l NIST CSF – инструмент для снижения бизнес-рисков; l ISO 27001 – международный "знак качества"; l CMMI – дорожная карта для процесс- ного улучшения. Как применять на практике Методика ФСТЭК России – хорошая, достаточно простая и легко автоматизи- руемая в плане оценки самого показа- теля. Но данная методика, по сути, пред- ставляет собой чек-лист для регулятора, поэтому ее недостаточно для полноцен- ной оценки зрелости системы ИБ орга- низации. Для государственных структур и оте- чественных компаний, ориентированных исключительно на работу внутри страны, я бы предложил использовать для оценки зрелости системы ИБ методику ФСТЭК России как основную с дополнением отдельными элементами из стандартов ISO, например, такими как криптография и управление непрерывностью бизнеса. Для компаний, ориентированных на международные рынки или предпочи- тающих риск-ориентированный подход, – методику оценки сочетающую методику ФСТЭК России и NIST CSF. Для оценки зрелости отдельных про- цессов, например связанных с обнару- жением, предупреждением и ликвида- цией последствий компьютерных атак на информационные ресурсы органи- зации, или создающихся в уже сфор- мированной системе ИБ (например РБПО), лучше использовать методику CMMI. l • 61 УПРАВЛЕНИЕ www.itsec.ru Таблица. Сравнение методики ФСТЭК России с международными аналогами Ваше мнение и вопросы присылайте по адресу is@groteck.ru Критерий Методика ФСТЭК России NIST CSF ISO 27001 CMMI Цель Соответствие требованиям Управление рисками Соответствие требованиям системы менедж- мента ИБ, серти- фикация по ISO Оценка и оптимизация процессов Гибкость Низкая Высокая Средняя Средняя Фокус Техническая защита Бизнес-риски Процессы и документация Зрелость процессов Оценка зрелости Количественная Качественная Бинарная (соответствие/ несоответствие) Качественная Область применения Обязательна для систем, подпада- ющих под регу- ляторные требо- вания: КИИ, ГИС, ИСПДн, критич- ные АСУ ТП Добровольная, для организаций, применяющих риск- ориентированны й подход Добровольная, для всех процессов ИБ Добровольная, для всех процессов организации (не только ИБ) Интеграция с бизнесом Минимальная Высокая Умеренная Высокая