29.05.2025 06:00
itsm_lady 0 771 Источник

Вопрос зрелости практик информационной безопасности волнует практически каждую российскую компанию: кибератаки становятся изощреннее, требования регуляторов ужесточаются, а импортозамещение требует быстро перестраивать ИТ-процессы. Как понять, насколько ваша система действительно надежна, где скрываются слабые места и как обосновать инвестиции в защиту? Ответ — в комплексной модели оценки зрелости, которую я нашла, перевела и теперь делюсь с вами.

Этот фреймворк — не просто очередной чек-лист: он синтезирует лучшие практики мировых стандартов (COBIT, ISO 27001, NIST, DNB/BIO) и позволяет провести оценку по пяти уровням зрелости с однозначными, понятными критериями для каждой практики. 

Представление модели оценки зрелости информационной безопасности
Представление модели оценки зрелости информационной безопасности

Основа модели оценки — синтез мировых стандартов

Модель синтезирует лучшие практики из 5+ международных стандартов:

  1. COBIT 4.1/5 — глобальный стандарт корпоративного управления ИТ, разработанный международной ассоциацией ISACA.

  2. ISO 27001:2013 — Система менеджмента информационной безопасности. Международный стандарт, который определяет требования к созданию, внедрению, поддержанию и непрерывному улучшению системы управления информационной безопасностью

  3. NIST Cybersecurity Framework — структура для управления киберрисками критической инфраструктуры, разработанный NIST(Identify-Protect-Detect-Respond-Recover).

  4. DNB 2017 – De Nederlandsche Bank (Голландский центральный банк) – руководящие принципы по управлению ИКТ-рисками для финансовых институтов, находящихся под надзором DNB. Документ устанавливает минимальные требования к управлению информационно-коммуникационными технологиями в финансовом секторе Нидерландов.

  5. BIO 2019 — Базовая норма информационной безопасности для правительственных организаций Нидерландов, адаптированная для банковского сектора. BIO 2019 является обновленной версией национального стандарта безопасности.

? Важно: каждый пункт оценки в модели содержит прямые ссылки на конкретные пункты стандартов (например, A.14.2.5 ISO 27001).

Пример указания ссылок на соответствующие практики
Пример указания ссылок на соответствующие практики

Однозначная оценка уровня зрелости

Оценка зрелости по пяти-уровневой модели (от хаотичных процессов до оптимизации). Для оценки применяются понятные индикаторы на каждый уровень.

Уровни оценки зрелости
Уровни оценки зрелости

Например, для области управления «Управления изменениями» практики «Экстренные изменения» уровень 3 требует:

  • Документированный регламент — утверждённая процедура управления экстренными изменениями, доступная всем сотрудникам.

  • Стандартизированное выполнение — все запросы обрабатываются по единому алгоритму (чек-лист, шаблон заявки).

  • Чёткое распределение ролей — матрица RACI с ответственными за авторизацию, реализацию и постконтроль.

  • Обязательная пост-авторизация — все изменения проходят ретроспективный анализ после внедрения.

  • Журнал отклонений — фиксация и расследование случаев нарушения процедуры.

Пример описания уровней зрелости
Пример описания уровней зрелости

Структура модели

Модель охватывает все аспекты защиты информации — от стратегического планирования до технических контролей. Каждая область содержит конкретные элементы управления с чёткими индикаторами для оценки.

1. Управление

  • GO.01 Стратегия

  • GO.02 Политика

  • GO.03 План/дорожная карта

  • GO.04 Архитектура

  • GO.05 Независимая гарантия

Область фокусируется на стратегическом управлении информационной безопасностью, включая разработку политик, архитектуры и обеспечение независимого аудита.

2. Организация

  • OR.01 Право собственности, роли, подотчетность и обязанности

  • OR.02 Разделение обязанностей

Область определяет организационную структуру управления безопасностью и принципы разделения ответственности.

3. Управление рисками

  • RM.01 Структура управления информационными рисками

  • RM.02 Оценка риска

  • RM.03 План действий по снижению риска и его смягчению

Критически важная область, охватывающая полный цикл управления рисками информационной безопасности.

4. Человеческие ресурсы

  • HR.01 Набор персонала

  • HR.02 Сертификация, обучение и образование

  • HR.03 Зависимость от отдельных лиц

  • HR.04 Изменение работы и увольнение

  • HR.05 Обмен знаниями

  • HR.06 Осведомленность о безопасности

Объемная область, признающая человеческий фактор как ключевой элемент информационной безопасности.

5. Управление конфигурацией

  • CO.01 Идентификация и обслуживание элементов конфигурации

  • CO.02 Конфигурационный репозиторий и базовый уровень

Область обеспечивает контроль за изменениями в ИТ-инфраструктуре и поддержание актуальной документации конфигураций.

6. Управление инцидентами/проблемами

  • IM.01 Управление инцидентами

  • IM.02 Эскалация инцидента

  • IM.03 Реагирование на инциденты, связанные с кибербезопасностью

  • IM.04 Управление проблемами

Область фокусируется на эффективном реагировании на инциденты безопасности и системные сбои, включая их эскалацию и устранение коренных причин.

7. Управление изменениями

  • CH.01 Изменить стандарты и процедуры

  • CH.02 Оценка воздействия, расстановка приоритетов и авторизация

  • CH.03 Экстренные изменения

  • CH.04 Тестовая среда

  • CH.05 Тестирование изменений

  • CH.06 Продвижение к производству

Область обеспечивает контролируемое внедрение изменений в ИТ-среде с минимизацией рисков для бизнес-процессов.

8. Разработка системы

  • SD.01 Методология безопасной разработки и внедрения программного обеспечения

  • SD.02 Доступ разработчиков к производству

  • SD.03 Преобразование и миграция данных

Область обеспечивает внедрение принципов "безопасность по дизайну" в процессы разработки и развертывания ПО.

9. Управление данными

  • DM.01 Право собственности на данные и систему

  • DM.02 Классификация

  • DM.03 Требования безопасности к управлению данными

  • DM.04 Условия хранения и удержания

  • DM.05 Обмен конфиденциальными данными

  • DM.06 Утилизация

Область охватывает полный жизненный цикл управления данными от классификации до безопасной утилизации.

10. Управление идентификацией и доступом

  • ID.01 Правила доступа

  • ID.02 Администрирование прав доступа

  • ID.03 Супер пользователи

  • ID.04 Конвертная процедура

  • ID.05 Периодический пересмотр прав доступа

Область обеспечивает контроль доступа к информационным ресурсам на основе принципа минимальных привилегий.

11. Управление безопасностью

Самая техническая и объемная область, включающая:

  • SM.01 Базовые показатели безопасности

  • SM.02 Механизмы аутентификации

  • SM.03 Мобильные устройства и удаленная работа

  • SM.04 Ведение журнала

  • SM.05 Тестирование безопасности, наблюдение и мониторинг

  • SM.06 Управление исправлениями

  • SM.07 Управление угрозами и уязвимостями

  • SM.08 Защита и доступность ресурсов инфраструктуры

  • SM.09 Техническое обслуживание инфраструктуры

  • SM.10 Управление криптографическими ключами

  • SM.11 Сетевая безопасность

  • SM.12 Управление вредоносными атаками

  • SM.13 Защита охранных технологий

Самая техническая и объемная область, охватывающая технические аспекты защиты информации и ИТ-инфраструктуры.

12. Физическая безопасность

  • PH.01 Физические меры безопасности

  • PH.02 Управление правами физического доступа

Область обеспечивает физическую защиту информационных активов и контроль доступа к помещениям и оборудованию.

13. Компьютерные операции

  • OP.01 Обработка заданий

  • OP.02 Процедуры резервного копирования и восстановления

  • OP.03 Управление мощностью и производительностью

Область фокусируется на операционных процессах ИТ-инфраструктуры, включая резервное копирование и обеспечение производительности.

14. Управление непрерывностью бизнеса

  • BC.01 Планирование непрерывности бизнеса

  • BC.02 Тестирование восстановления после сбоев

  • BC.03 Внешнее хранилище резервных копий

  • BC.04 Репликация данных

  • BC.05 Управление кризисом

Область обеспечивает готовность организации к восстановлению критически важных бизнес-процессов после серьезных инцидентов.

15. Управление цепочками поставок

  • SC.01 Соглашение об уровне обслуживания

  • SC.02 Управление уровнем обслуживания

  • SC.03 Управление рисками поставщиков

  • SC.04 Внутренний контроль у третьих лиц

Область охватывает управление рисками, связанными с внешними поставщиками и подрядчиками, включая контроль качества их услуг.

Для кого модель оценки полезна

Руководителям по информационной безопасности (CISO) для определения стратегии развития, аргументов для защиты бюджета и визуализации объективной картины зрелости процессов.

Для руководителей отделов — ИТ, HR, управления рисками — инструмент для самостоятельной оценки зрелости в своих зонах ответственности, выявления слабых мест и планирования точечных улучшений.

Аудиторам для проведения комплексной проверки на соответствие международным и отраслевым стандартам (например, DNB, BIO, NIST), отсылки на требования стандартов в модели помогут быстро сориентироваться из какой области знаний требование.

Для стартапов и быстрорастущих компаний модель станет готовым фреймворком для быстрого запуска процессов информационной безопасности без необходимости «изобретать велосипед».  

Где может быть применима? 

  1. Слияние компаний — оценка зрелости ИБ в организациях для выравнивания процессов.

  2. Подготовка к аудиту и проверкам регуляторов — предварительный self-assessment.

  3. Развитие практик управления ИБ и самооценка — поиск областей улучшения.

Если в вашей организации уже выстроен процесс оценки, то это способ посмотреть на то, как проводят аудит другие организации и перенять опыт или подтвердить полноту вашей модели.

? Где взять? Файл с моделью и расчетами в файле по ссылке.

Материал бережно подготовлен:

Анна Юрченко, ITSM-эксперт, 20+ лет в ИТ

В Telegram-канале ITSM4U: Управление без иллюзий делюсь практиками управления ИТ, кейсами и проверенными инструментами и подходами, которые делают ИТ драйвером бизнеса. Пишу про личный бренд в digital.

Комментарии (0)