Журнал "Information Security/ Информационная безопасность" #2, 2026

Компании с внушитель- ным бюджетом на EDR, SIEM, SOAR и NGFW неред- ко оказываются уязвимее организаций с более скром- ным оснащением, но выстроенными процессами. Потому что зрелость нельзя купить как продукт или как сервис. Зрелость все меньше определяется набором внед- ренных средств и все боль- ше – способностью поддер- живать непрерывный цикл ада зрелой ИБ важен не факт существования регла- мента реагирования, а то, как быстро этот регламент переписывается после инци- дента. Цифры в отчетах по информационной без- опасности живут своей жизнью, отдельной от реальной устойчивости компании. Вы можете демонстрировать 85% соответ- ствия требованиям, блистать подписями аудиторов и увеси- стым портфолио средств защи- ты, а потом за день лечь от атаки, которую никто не ждал. Проблема заключается даже не в качестве защиты. А в том, что сама среда меняется быстрее, чем завершается цикл ее оценки. Новые уязви- мости, свежие техники атак, смена подрядчиков, миграция в облако, уход ключевого инженера – любой статичный срез устаревает еще в момент фиксации. И главный кризис традиционного подхода к ИБ заключается в том, что компа- нии продолжают измерять без- опасность как состояние. Хотя безопасность уже давно стала процессом непрерывной адап- тации. Зрелость ИБ – это не система, где все защищено (тем более, что таких не существует). Это система, способная меняться быстрее угроз. Способная обна- ружить деградацию собствен- ных контролей до того, как ее обнаружит атакующий. А также перестраиваться после инци- дента, а не просто закрывать дыры. Разница между защищен- ностью и зрелостью сегодня принципиальна. Защищенность заключается в фиксации состояния систем в конкретный момент времени, а зрелость – в способности удерживать устойчивость, пока все вокруг летит в тартарары. Технологии не гарантируют зрелость Компании с внушительным бюджетом на EDR, SIEM, SOAR и NGFW нередко оказываются уязвимее организаций с более скромным оснащением, но выстроенными процессами. Потому что зрелость нельзя купить как продукт или как сер- вис. Она возникает только там, где технологии встроены в живую систему управления, а процессы ИБ тесно интегрированы в биз- нес-процессы компании. Симптоматика низкой зрело- сти на практике, независимо от отрасли и размера организации, достаточно очевидна. Первый симптом выглядит как вера в серебряную пулю – вы внед- ряете дорогое решение и успо- каиваетесь, воспринимая сам факт его наличия как эквива- лент защищенности. При этом никто не проверяет ни качество настройки, ни полноту покры- тия, ни способность команды использовать инструмент в реальном инциденте. Сред- ство защиты превращается в элемент инфраструктурного декора – очень красивого, но бесполезного в момент атаки. Второй симптом – наличие фрагментированной ответствен- ности. Безопасность распреде- лена между внутренними под- разделениями и несколькими подрядчиками, где один отве- чает за мониторинг, другой отвечает за конечные точки, а третий – за сеть. Пока все штатно, конструкция выглядит управляемой. Но в момент инци- дента начинается классика: участники выясняют не источ- ник угрозы, а зону ответствен- ности. В итоге пока время ухо- дит не на локализацию, а на внутренние разборки, атакую- щий с благодарностью исполь- зует предоставленную возмож- ность. Первое правило при инциденте: сначала решать про- блему, и только потом выяснять кто виноват. И третий симптом, самый недооцененный, проявляется в отсутствии внутренней инже- нерной экспертизы. Многие ком- пании научились покупать сер- висы ИБ, но не научились фор- мулировать для них задачи. Без внутренней команды, способной понимать логику атак, описы- вать инциденты и оценивать качество реагирования, даже сильный подрядчик работает вслепую. Внешняя экспертиза не заменяет внутреннюю зре- лость, а лишь отражает – и часто усиливает – вашу собст- венную слепоту. Зрелость как способность к изменению Зрелость все меньше опре- деляется набором внедренных средств и все больше – способ- ностью поддерживать непре- рывный цикл адаптации. В зре- лой ИБ важен не факт суще- ствования регламента реагиро- вания, а то, как быстро этот регламент переписывается после инцидента. Не наличие SOC, а способность Detection- команды в моменте пересоб- рать правила корреляции под новую технику атакующих. Не проведенный пентест ради отче- та, а то, сколько архитектурных решений изменилось после него и какие выводы сделаны. Это особенно заметно на фоне увеличения числа атак через цепочку поставок. Все больше инцидентов приходит не через прямой взлом, а через 74 • УПРАВЛЕНИЕ Зрелость ИБ – в необходимости адаптироваться быстрее угроз ока вы готовите отчет для аудита, инфраструктура успевает измениться, подрядчики ухитряются обновиться, а атакую- щие – освоить новые техники проникновения. И выигрывает не тот, у кого больше средств защиты, а тот, кто способен быстрее адаптироваться к изменениям. Зрелость ИБ измеряет- ся не процентом защищенности, а скоростью реакции системы на новые угрозы. П Александр Дворянский, эксперт по информационной безопасности, директор по информационной безопасности крупного промышленного холдинга Фото: Илья Бондарев