Журнал "Information Security/ Информационная безопасность" #2, 2026

Поведение злоумышлен- ников – точнейший индика- тор качества ИБ. Атакую- щий всегда считает эконо- мику операции. Любая атака предполагает затраты вре- мени, инфраструктуры, человеческих ресурсов и риск раскрытия инструмен- тов. Компании с низкой зре- лостью строят безопасность вокруг прохождения прове- рок. Компании с высокой – используют регуляторные требования как один из источников приоритизации, но не ограничиваются ими. Разница между этими под- ходами колоссальная! подрядчиков, облачные серви- сы, интеграционные каналы, скомпрометированные учетные записи контрагентов. В такой модели зрелость перестает быть внутренней характеристи- кой. Вы вынуждены оценивать устойчивость всей своей эко- системы, включая всех подряд- чиков, партнеров и поставщи- ков. Поэтому сейчас компании и вынуждены предъявлять жест- кие технические требования по информационной безопасности ко всем своим поставщикам и подрядчикам еще на этапе согласования работ. Здесь возникает еще одна важная развилка. Многие орга- низации до сих пор восприни- мают ИБ как техническую функ- цию. Хотя по факту она давно превратилась в элемент корпо- ративного управления рисками. Разговор о зрелости невозмо- жен без участия бизнеса. Когда руководитель по ИБ обсуждает угрозы исключитель- но через CVE, IOC и TTP, то он остается внутри профессио- нального пузыря. Для руковод- ства имеют значение совсем другие категории: простой биз- неса, финансовые потери, репу- тационный ущерб, санкции регу- ляторов, потеря клиентов. Зре- лость начинается в тот момент, когда ИБ учится переводить технические риски на язык биз- нес-последствий. И тогда руко- водство начинает спрашивать не "Какой у нас процент защи- ты?", а "Какие риски мы готовы принять ради скорости вывода продукта?". Экономика атакующего как зеркало зрелости Поведение злоумышленни- ков – точнейший индикатор качества ИБ. Атакующий всегда считает экономику операции. Любая атака предполагает затраты времени, инфраструк- туры, человеческих ресурсов и риск раскрытия инструмен- тов. Если организация быстро обнаруживает проникновение, ограничивает горизонтальное перемещение, ломает механиз- мы закрепления и создает высо- кий уровень неопределенности для атакующей стороны, стои- мость компрометации начинает стремительно расти. Зрелая ИБ не делает атаку невозможной, она делает ее экономически невыгодной. Для многих компаний это пси- хологический перелом. Без- опасность нельзя оценивать через бинарную модель "взло- мали или не взломали". Гораздо важнее понимать, насколько дорого, долго и рискованно ата- кующему обойдется успешная компрометация. И если вы можете сказать: "Чтобы пройти нашу сеть, злоумышленнику нужно потратить три недели, сжечь два эксплойта нулевого дня и рискнуть своим бэкдо- ром" – вы достигли зрелости. Простой тест: возвращается ли атакующий тем же способом через полгода? Если возвра- щается и снова добивается результата, то значит органи- зация не сделала выводов. Она устранила симптомы, но не изменила систему. Где заканчивается комплаенс и начинается зрелость Часто жалуются, что компла- енс мешает развитию безопас- ности, сводит ИБ к формальному соблюдению минимальных тре- бований. Но на практике про- блема не в регуляторе, а в под- ходе самой компании. Базовые требования действительно задают минимальный уровень устойчивости. Но зрелость начи- нается там, где организация перестает воспринимать ком- плаенс как конечную цель. Регу- ляторная рамка должна быть фундаментом, но не потолком. Компании с низкой зрелостью строят безопасность вокруг про- хождения проверок. Компании с высокой – используют регу- ляторные требования как один из источников приоритизации, но не ограничиваются ими. Раз- ница между этими подходами колоссальная! Главная ошибка многих орга- низаций – желание искать зре- лость через закупку новых тех- нологий. Хотя начинать нужно совсем с другого – с честной оценки не того состояния, кото- рое существует в документах, а того, которое проявится во время реального инцидента. Насколько быстро обнаружи- вается атака без готовых сиг- натур? Что произойдет при уходе ключевого инженера SOC? Сколько времени потре- буется для восстановления кри- тичных процессов, если резерв- ные копии тоже окажутся зашифрованы? Способна ли команда обнаруживать новые техники атак, не дожидаясь сигнатур от вендора? Как часто обновляются правила монито- ринга после публикации све- жего CVE? Ответы на эти вопросы дают гораздо более точное представ- ление о зрелости, чем любые процентные или количествен- ные оценки. Потому что зре- лость – это не сертификат и не состояние достигнутого уровня, а способность системы непре- рывно адаптироваться к изме- нениям агрессивной среды быстрее, чем адаптируется ата- кующий. И она начинается не с покуп- ки очередного умного устрой- ства. А с признания: наша сего- дняшняя безопасность уже устарела. Вопрос только в том, с какой скоростью вы будете это признание превращать в действия. l • 75 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru