Журнал "Information Security/ Информационная безопасность" #6, 2025

Для крупных организаций с распределенным ИТ-ланд- шафтом отсутствие полной картины понимания внутрен- них и внешних процессов приводит к тому, что реше- ния в области обеспечения ИБ принимаются практиче- ски вслепую, а планы по внедрению защитных мер формируются без учета их влияния на связанные биз- нес-процессы. Чтобы сократить издерж- ки и избежать возможных противоречий, организации формируют внутренние стандарты информационной безопасности, в которых агрегируются требования внешних нормативных доку- ментов, устраняются дубли и разночтения, устанавли- ваются единые правила. ИТ-ландшафт про- должает усложняться: инфраструктура стано- вится распределенной, число активов растет, зависимости между системами и внешними поставщиками множатся, а регуляторные требова- ния обновляются быстрее, чем внутренние регламенты. Во мно- гих организациях это приводит к парадоксальной ситуации: меры защиты есть, проверки проходят успешно, но ответов на базовые управленческие вопросы – что действительно важно защищать, где сосредо- точены ключевые риски и какие меры дают наибольший эффект для бизнеса – нет. В таких условиях система управления информационной безопасностью (СУИБ) переста- ет быть формальным набором документов "под проверку" и становится инструментом управления. Она связывает биз- нес-цели с киберрисками и опе- рационными процессами, поз- воляя принимать обоснованные решения, а не реагировать пост- фактум. На практике это подразуме- вает выстраивание следующих процессов: l учет бизнес-активов и их вла- дельцев, l управление нормативными документами, l контроль соблюдения внут- ренних требований, l обоснование ИБ-стратегии через оценку рисков, l стандартизация и прозрач- ность ИБ-процессов. Рассмотрим каждый процесс и его роль в построении рабо- тающей СУИБ. Учет бизнес-активов Основа СУИБ начинается с понимания, что именно необходимо защищать и поче- му. Речь идет не просто о составлении перечня серверов, сетей, ПО и данных, а о форми- ровании целостного представ- ления об активах с точки зрения бизнеса. CISO важно понимать, какие активы напрямую под- держивают ключевые бизнес- процессы, а какие – являются критически важными для выпол- нения обязательств перед кли- ентами и партнерами. Отдель- ное внимание следует уделить зависимостям между активами, сервисами и внешними постав- щиками, поскольку именно в этих точках чаще всего возни- кают системные риски. Для крупных организаций с распределенным ИТ-ланд- шафтом отсутствие полной картины понимания внутренних и внешних процессов приводит к тому, что решения в области обеспечения ИБ принимаются практически вслепую, а планы по внедрению защитных мер формируются без учета их влияния на связанные бизнес- процессы. Управление активами в рам- ках СУИБ невозможно без уча- стия бизнеса. Необходимо опре- делить ответственных за каж- дый бизнес-процесс и вовлечь их в принятие решений, иначе ценность активов будет исклю- чительно технической, а в таких условиях интересы бизнеса не всегда учитываются. Управление нормативны- ми документами По мере усложнения регуля- торной среды количество внеш- них требований в области обес- печения информационной без- опасности заметно растет. Федеральные законы и требо- вания отраслевых регуляторов нередко пересекаются, хотя при этом они по-разному могут трак- товать одни и те же обязатель- ства – обычно различаются определения, защитные меры, периодичность контроля и дру- гие параметры. В результате департамент ИБ вынужден дей- ствовать в нескольких плоско- стях, одновременно учитывая множество источников, сопо- ставляя их между собой, пере- водя язык нормативки в кон- кретные процессы и задачи внутри организации. Чтобы сократить издержки и избежать возможных проти- воречий, организации форми- руют внутренние стандарты информационной безопасности, в которых агрегируются требо- вания внешних нормативных документов, устраняются дубли и разночтения, устанавливаются единые правила. Собственные стандарты ИБ становятся спо- собом закрепить и передать лучшие практики, выработан- ные внутри организации, задают целевой уровень без- опасности для подразделений и упрощают последующий конт- роль – особенно в распреде- ленных структурах и ДЗО. Ключевая сложность заключа- ется в поддержании их акту- альности. Нормативные документы регулярно обновляются, могут меняться трактовки, но вместе с этим должны обновляться и внутренние стандарты, поэтому практический подход к управ- лению нормативными докумен- тами обычно включает в себя: l учет применимых внешних требований и их версионность (сроки, область действия), l маппинг требований внешних НД на внутренние стандарты (конкретные меры и контроли), l управление изменениями. Таким образом, управление нормативными документами перестает быть разовой зада- чей "под проверку" и становится регулярным процессом, кото- рый снижает риски несоответ- 22 • СПЕЦПРОЕКТ Система управления ИБ в интересах бизнеса: от теории к практике 2025 году информационная безопасность перестала быть исключительно технической функцией. Для бизнеса она теперь является фактором устойчивости – от того, как выстроено управление ИБ, напрямую зависят непрерывность процессов, выполнение обязательств перед клиентами и спо- собность компании масштабироваться без потери контроля. К Ольга Папина, эксперт продуктовой команды R-Vision SGRC Фото: R-Vision