ОЦЕНКА ЗРЕЛОСТИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ

В условиях изменяющихся угроз и увеличения числа атак на информационные инфраструктуры, оценка зрелости системы информационной безопасности (ИБ) становится критически важной задачей для любой организации. В статье рассматриваются общие подходы к оценке зрелости ИБ, различия в методиках, применяемых в России и других странах, а также подробно анализируется методика ФСТЭК России.

Актуальность темы: почему оценка зрелости системы ИБ стала критически важной?

По данным экспертов, количество кибератак на российские компании в 2024 году увеличилось в 2,5 раза по сравнению с 2023 годом, достигнув около 130 тысяч инцидентов. Это свидетельствует о том, что киберпреступники становятся все более активными и изощренными в своих методах[1].

В 2024 году также наблюдался рост числа успешных атак на бизнес, что подчеркивает необходимость более эффективных мер безопасности[2].

Согласно прогнозам компании Cybersecurity Ventures, ущерб от киберпреступлений в мире достигнет 10,5 триллионов долларов США в 2025 году. Это увеличение связано с ростом числа атак и их сложности, а также с увеличением затрат на восстановление после инцидентов[3]

Оценка зрелости системы ИБ позволяет организациям выявить слабые места в своей защите, определить приоритеты для улучшения и разработать стратегию повышения уровня безопасности. Это особенно важно для компаний, работающих в отраслях, относящихся к критической информационной инфраструктуре (КИИ), где требования к защите информации являются наиболее строгими.

Общие подходы к оценке зрелости ИБ

Оценка зрелости системы ИБ включает в себя анализ текущего состояния защиты информации, выявление уязвимостей (в широком смысле – т.е. как технических уязвимостей автоматизированных систем и систем защиты, так и недостатков в организационном плане) и разработку рекомендаций по их устранению.

В мировой практике существует несколько подходов к оценке зрелости ИБ, которые можно разделить на две основные категории: качественные и количественные.

1. Качественные подходы

Качественные подходы основаны на экспертной оценке и анализе процессов, связанных с ИБ. Они включают в себя:

• Анализ политик и процедур безопасности. Оценка наличия и эффективности внутренних документов, регламентирующих вопросы ИБ.
• Оценка управления рисками. Анализ процессов выявления, оценки и управления рисками, связанными с информационной безопасностью.
• Аудит организационной структуры. Проверка наличия и эффективности работы подразделений, ответственных за ИБ.

Качественные подходы позволяют получить глубокое понимание текущего состояния системы ИБ, однако они требуют значительных ресурсов и времени.

2. Количественные подходы

Количественные подходы основаны на использовании метрик и показателей для оценки уровня безопасности. Они включают:

• Метрики эффективности мер защиты. Оценка количества и качества реализованных мер защиты, таких как использование антивирусного программного обеспечения, реализация механизмов идентификации, аутентификации, авторизации, ограничение программной среды и среды виртуализцаии и т.п. Иными словами, оценка выполнения требований по обеспечению ИБ соответствующего вида систем: ГИС, ИСПДн, АСУТП, КИИ, которые прописаны в известных всем специалистам по ИБ приказах ФСТЭК России № 17, 21, 31, 239.
• Анализ инцидентов безопасности. Статистический анализ количества и характера инцидентов, связанных с нарушением ИБ.
• Метрики производительности систем мониторинга. Оценка эффективности работы систем мониторинга и реагирования на инциденты.

Количественные подходы позволяют быстро получить объективные данные о состоянии системы ИБ, однако они могут не учитывать все аспекты защиты.

Международные стандарты и модели

В мировой практике наиболее распространенными стандартами для оценки зрелости ИБ являются ISO/IEC 27001 и NIST CSF (Cybersecurity Framework).

• ISO 27001. Этот стандарт предоставляет требования для создания системы управления информационной безопасностью (СУИБ). Он включает в себя оценку рисков, разработку политик безопасности и контроль их выполнения. ISO 27001 является универсальным стандартом, который может быть адаптирован для организаций любого размера и отрасли.
• NIST CSF. Разработанный Национальным институтом стандартов и технологий США, этот фреймворк предоставляет структурированный подход к управлению кибербезопасностью. Он включает в себя пять основных функций: выявление, защита, обнаружение, реагирование и восстановление. NIST Cybersecurity Framework широко используется в США и странах Европейского союза для оценки и повышения уровня кибербезопасности. В России данный стандарт не получил широкого практического применения.

В отечественной практике, наряду со стандартами (в основном ISO 27001), часто используется модель CMMI (Capability Maturity Model Integration), которая оценивает процессы по пяти уровням зрелости. Акцент на непрерывное улучшение. Эта модель слабо учитывает специфику ИБ, т.к. была разработан для улучшения всех деловых процессов организации и повышения общей эффективности. Однако, такая универсальность сделала возможным ее применение для оценки зрелости отдельных процессов ИБ, например процессов зрелости центров мониторинга и реагирования на инциденты (т.н. SOC), зрелости процессов безопасной разработки (РБПО, DevSecOps). Это позволяет эффективно применять указанную методику для оценки качества внедрения новых процессов (РБПО) или организационных структур (SOC).

В России оценка зрелости ИБ тесно связана с выполнением требований регуляторов, поэтому в 2024 году был выпущен отдельный документ, по сути, регламентирующий оценку зрелости системы ИБ - Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры российской федерации (утв. ФСТЭК России 2 мая 2024 года)

Методика ФСТЭК России

Методика определяет показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну, и (или) обеспечения безопасности значимых объектов КИИ, его нормированное значение, а также порядок его расчета.

Она применяется для оценки текущего состояния защиты информации (обеспечения безопасности объектов КИИ) в государственных органах, органах местного самоуправления, организациях, в том числе субъектах КИИ, и степени его соответствия минимально необходимому уровню защиты от типовых актуальных угроз безопасности информации.

В качестве минимально необходимого уровня задан состав мер, реализация которых предусмотрена нормативными правовыми актами Российской Федерации (уже упоминавшимися выше требованиями), и который минимально достаточен для блокирования (нейтрализации) типовых актуальных угроз безопасности информации.

Методика ФСТЭК России включает в себя следующие ключевые элементы:

• Показатель защищенности (Kзи). Этот показатель характеризует степень достижения организацией минимально необходимого уровня защиты информации от типовых актуальных угроз.
• Частные показатели безопасности (kji). Они определяются для различных групп мер защиты, таких как организация и управление, защита пользователей, защита информационных систем, мониторинг информационной безопасности и реагирование.
• Весовые коэффициенты (Rj). Они используются для расчета показателя защищенности и учитывают значимость различных групп мер защиты.

Методика ФСТЭК России предусматривает регулярную оценку показателя защищенности (не реже одного раза в 6 месяцев), что позволяет организациям постоянно контролировать и улучшать уровень своей информационной безопасности.

Сравнительный анализ методики ФСТЭК и международных стандартов представлен в таблице ниже.

Таблица. Сравнение методики ФСТЭК России с международными аналогами

Итоговое сравнение методик:

• ФСТЭК России — чек-лист для регулятора;
• NIST CSF — инструмент для снижения бизнес-рисков;
• ISO 27001 — международный «знак качества»;
• CMMI — дорожная карта для процессного улучшения.

Как применять на практике

Методика ФСТЭК России, хорошая, достаточно простая и легко автоматизируется в плане оценки самого показателя. Но, как было замечено выше, данная методика, по сути, представляет собой чек-лист для регулятора, поэтому ее недостаточно для полноценной оценки зрелости системы ИБ организации:

• Для государственных структур и отечественных компаний, ориентированных исключительно на работу внутри страны, я бы предложил использовать для оценки зрелости системы ИБ методику ФСТЭК России как основную, с дополнением отдельными элементами из стандартов ISO, например такими как криптография и управление непрерывностью бизнеса.
• Для компаний, ориентированных на международные рынки или предпочитающих риск-ориентированный подход – методику оценки сочетающую методику ФСТЭК России и NISTCSF.
• Для оценки зрелости отдельных процессов, например связанных с обнаружением, предупреждением и ликвидаций последствий компьютерных атак на информационные ресурсы организации, или создающихся в уже сформированной системе ИБ (например, РБПО) использовать методику CMMI.

Сведения об авторе: Саматов Константин Михайлович, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности.

[1] Источники: https://www.cnews.ru/news/top/2025-01-14_chislo_kiberatak_na_rossijskie,https://www.cableman.ru/content/kolichestvo-kiberatak-v-rossii-vyroslo-na-250-v-2024-godu

[2] Источник: https://www.kommersant.ru/doc/7532682

[3] Источник: https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/

Мы в ВК: https://vk.com/vkaciso

Наш сайт: aciso.ru

Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!