Компании тратят бюджеты на межсетевые экраны, антивирусы и системы обнаружения вторжений, но продолжают терять данные. Причина — не в слабых технологиях, а в отсутствии управления: права доступа выдаются бессистемно, подрядчик сохраняет доступ после завершения проекта, при инциденте никто не знает, кому звонить и что делать. Технические средства без выстроенной системы управления работают вполсилы.

В этой статье разберём, как выстроить управление информационной безопасностью в компании: из чего состоит система управления ИБ, какие роли и процессы нужны, как оценивать эффективность и с чего начать внедрение.

Что такое система управления информационной безопасностью

Система управления информационной безопасностью (СУИБ) — это совокупность политик, процессов, организационных структур и технических средств, которые обеспечивают систематическое управление рисками ИБ. В международной терминологии — ISMS (Information Security Management System).

СУИБ отличается от набора защитных инструментов тем же, чем управление финансами отличается от покупки сейфа. Файрвол защитит от конкретной атаки. СУИБ обеспечит, чтобы файрвол был правильно настроен, политики доступа соответствовали реальным рискам, сотрудники знали правила работы с данными, а при инциденте каждый понимал свою роль.

В основе СУИБ лежит цикл PDCA — Plan, Do, Check, Act:

  • Plan — определить границы системы, оценить риски, разработать политики и план обработки рисков
  • Do — внедрить меры защиты, запустить процессы, обучить сотрудников
  • Check — мониторинг, внутренний аудит, измерение метрик эффективности
  • Act — корректирующие действия, анализ руководством, улучшение процессов

Этот подход закреплён в международном стандарте ISO 27001 и его российском аналоге ГОСТ Р ИСО/МЭК 27001. Стандарт описывает 93 меры контроля в четырёх категориях: организационные, людские, физические и технологические. Для российских компаний стандарт дополняется обязательными требованиями ФСТЭК — в зависимости от типа обрабатываемых данных.

Из чего складывается управление ИБ

Управление информационной безопасностью — не разовый проект, а непрерывный процесс с пятью взаимосвязанными компонентами.

Оценка рисков

Любое управленческое решение в области ИБ начинается с вопроса: что мы защищаем, от чего и каковы последствия? Оценка рисков переводит абстрактные угрозы в конкретные приоритеты.

Первый шаг — инвентаризация активов: базы клиентов, финансовая отчётность, персональные данные сотрудников, исходный код, коммерческие предложения. Для каждого актива определяется владелец, круг пользователей и критичность — что произойдёт при утрате, утечке или недоступности.

Затем — анализ угроз и уязвимостей. Угрозы бывают внешние (целевые атаки, фишинг, вредоносное ПО) и внутренние (ошибки сотрудников, злоупотребление доступом, потеря данных при увольнении). Уязвимости — не только технические дыры, но и отсутствие регламентов, низкая осведомлённость персонала, бессистемное управление правами.

Результат — реестр рисков с приоритизацией. На его основе строятся все дальнейшие решения: какие политики разрабатывать в первую очередь, какие средства защиты внедрять, куда направить бюджет. Оценка рисков — не разовая процедура. Её необходимо пересматривать при изменении инфраструктуры, бизнес-процессов или ландшафта угроз.

Политики и регламенты

Политика информационной безопасности — центральный документ СУИБ. Она фиксирует область применения, классификацию информации, принципы управления доступом, требования к сотрудникам и порядок пересмотра. Политика задаёт рамки, а конкретику описывают регламенты и инструкции.

Минимальный пакет документов для компании, работающей с конфиденциальной информацией:

  1. Приказ о назначении ответственного за ИБ
  2. Политика информационной безопасности
  3. Положение о защите персональных данных
  4. Регламент управления доступом к информационным системам
  5. Инструкция по реагированию на инциденты
  6. Соглашения о неразглашении (NDA) с сотрудниками и контрагентами
  7. Регламент резервного копирования

Критически важно: каждый документ должен отвечать на вопрос «кто, что и когда делает». Формулировка «сотрудник обязан обеспечить сохранность информации» — не работает. Работает: «при увольнении сотрудник сдаёт корпоративный ноутбук в ИТ-отдел в последний рабочий день, доступ к корпоративным системам блокируется в день увольнения».

Решение
Информационная безопасность
Комплексная защита ИТ-инфраструктуры: аудит, внедрение средств защиты, мониторинг и реагирование на инциденты.

Роли и ответственность

Управление ИБ невозможно без чёткого распределения обязанностей. Когда за безопасность «отвечают все» — не отвечает никто.

Ключевые роли:

  • Руководитель компании — утверждает политику ИБ, выделяет бюджет, несёт конечную ответственность перед регуляторами
  • Ответственный за ИБ — координирует все процессы, управляет рисками, отчитывается перед руководством. В крупных компаниях эту роль выполняет CISO — директор по информационной безопасности
  • ИТ-отдел — реализует технические меры, администрирует средства защиты, управляет учётными записями
  • HR — обеспечивает подписание NDA при приёме, инициирует отзыв прав при увольнении
  • Руководители подразделений — определяют, кому из подчинённых нужен доступ к каким ресурсам, и согласовывают заявки
  • Каждый сотрудник — соблюдает политики, сообщает о подозрительных событиях, проходит обучение

Современный подход предполагает, что ответственный за ИБ — это управленец, а не технический специалист. Его задача — формировать стратегию защиты в привязке к бизнес-целям, обосновывать бюджет через оценку рисков и выстраивать процессы, а не настраивать межсетевые экраны.

Обучение и культура безопасности

Регламенты не работают, если сотрудники о них не знают. По нашему опыту, половина компаний разрабатывает политику ИБ, но не доводит её до персонала. Документ без коммуникации — документ, который не защищает.

Что включает программа обучения:

  • Вводный инструктаж при приёме — знакомство с политикой ИБ, подписание обязательств
  • Ежегодные тренинги с учётом актуальных угроз — фишинг, социальная инженерия, безопасная работа с корпоративными системами
  • Тестовые фишинговые рассылки — проверяют реальную готовность, а не формальные знания
  • Разбор инцидентов — без персонализации, для формирования общего понимания рисков

Угрозы меняются каждый год. Разовый инструктаж трёхлетней давности не защищает от современных атак: фишинговые письма стали неотличимы от настоящих, а схемы социальной инженерии с использованием дипфейков и ИИ — это уже реальность, а не теория.

Мониторинг, метрики и непрерывное улучшение

Без измерения невозможно понять, работает ли система. Отсутствие инцидентов — не показатель эффективности: оно может означать как хорошую защиту, так и слабый мониторинг.

Метрики, которые показывают реальное состояние ИБ:

  • MTTD и MTTR — среднее время обнаружения инцидента и среднее время реагирования. Чем меньше разрыв между возникновением угрозы и её нейтрализацией, тем ниже потенциальный ущерб
  • Результаты фишинговых тестов — процент сотрудников, перешедших по ссылке или открывших вложение. Отслеживание динамики показывает эффективность обучения
  • Покрытие активов — доля систем под мониторингом, с актуальным антивирусом, с настроенным EDR
  • Скорость установки критических обновлений — время от публикации патча до его применения на продуктивных системах
  • Соответствие регламентам — процент сотрудников, прошедших обучение, доля согласованных заявок на доступ, актуальность учётных записей

Метрики собираются через SIEM-системы, системы управления уязвимостями и инвентаризационные платформы. Для компаний с развитой СУИБ доступны SGRC-платформы (Security Governance, Risk & Compliance), которые объединяют управление рисками, контроль соответствия и отчётность в единой среде.

Регулярный внутренний аудит — не реже раза в год — проверяет исполнение политик и выявляет расхождения между регламентами и реальной практикой. Каждый инцидент должен разбираться и приводить к корректирующим мерам. Документы пересматриваются при изменении законодательства, инфраструктуры или бизнес-процессов.

Решение
Проведение аудита информационной безопасности
Проверим текущее состояние защиты, выявим уязвимости и дадим рекомендации по устранению с приоритизацией по рискам.

Этапы построения системы управления ИБ

Построение СУИБ — проект с конкретными шагами. Попытка запустить всё одновременно приводит к формальным документам, которые никто не читает. Для компании в 200-1000 человек внедрение занимает от шести до девяти месяцев.

1. Определение границ и gap-анализ

Сначала — решить, что входит в периметр: какие подразделения, информационные системы, площадки охвачены. Затем — оценить текущее состояние: какие меры уже реализованы, а где пробелы. Gap-анализ по перечню мер ISO 27001 или приказам ФСТЭК даёт объективную картину и позволяет расставить приоритеты.

2. Оценка рисков и модель угроз

На основе инвентаризации активов — определить актуальные угрозы, оценить вероятность и потенциальный ущерб, сформировать реестр рисков. Для информационных систем персональных данных разработка модели угроз обязательна по ПП РФ 1119.

3. Разработка документации

Политики и регламенты разрабатываются на основе реальных процессов, а не наоборот. Документ, который не отражает то, как компания на самом деле работает, — мёртвая бумага. Начните с минимального набора и расширяйте по мере развития системы.

4. Назначение ответственных и обучение

Приказ о назначении ответственного за ИБ с чётким описанием полномочий. Обучение на трёх уровнях: базовый инструктаж для всех сотрудников, углублённый курс для ИТ-персонала, порядок согласования доступа для руководителей подразделений. Факт обучения фиксируется подписями или электронным подтверждением — при проверках Роскомнадзора и ФСТЭК отсутствие подтверждений является типичным замечанием.

5. Запуск процессов и обратная связь

Активировать регламенты, начать вести журналы, провести первую фишинговую симуляцию. На этом этапе критически важно собирать обратную связь: если регламент неудобен или непонятен — доработать. Первый цикл всегда выявляет пробелы, это нормальная часть процесса.

6. Аудит и корректировка

Через три-шесть месяцев — внутренний аудит: все ли ознакомлены с документами, соответствует ли практика регламентам, как обрабатывались инциденты, актуальна ли модель угроз. По результатам — корректировка документов и процессов. Далее цикл повторяется ежегодно.

Читайте также ИБ-аудит: топ выявляемых нарушений по версии ОБИТ

Нормативная база: какие требования учитывать

Конкретный набор требований зависит от того, какие данные обрабатывает компания и к какой категории относятся её информационные системы.

Документ

Область применения

Что требует

ФЗ-152 «О персональных данных»

Все организации, обрабатывающие ПДн

Организационные и технические меры защиты ПДн (ст. 19)

ПП РФ 1119

ИСПДн

Определение уровня защищённости (1-4), модель угроз

Приказ ФСТЭК 21

ИСПДн

Перечень мер по уровням защищённости

Приказ ФСТЭК 17

Государственные информационные системы

Требования по классам защищённости К1-К4

ФЗ-187 «О безопасности КИИ»

Субъекты критической информационной инфраструктуры

Категорирование объектов, обеспечение безопасности

Приказ ФСТЭК 239

Значимые объекты КИИ

Меры по категориям значимости

ФЗ-98 «О коммерческой тайне»

Организации с режимом коммерческой тайны

Введение режима, перечень обязательных мер (ст. 10)

ГОСТ Р ИСО/МЭК 27001

Любая организация (добровольно)

Требования к СУИБ, риск-ориентированный подход

Для большинства коммерческих компаний базовый набор — ФЗ-152, ПП РФ 1119 и приказ ФСТЭК 21. Компании, работающие с государственными системами, дополнительно руководствуются приказом ФСТЭК 17. Субъекты КИИ (банки, транспорт, энергетика, связь, здравоохранение) — ФЗ-187 и приказом 239. ГОСТ Р ИСО/МЭК 27001 формально добровольный, но де-факто является стандартом для компаний, выстраивающих зрелую СУИБ.

Читайте также Информационная безопасность в компании: как выстроить защиту от киберугроз

Типичные ошибки при построении системы управления ИБ

При аудитах мы регулярно видим одни и те же проблемы. Каждая из них снижает эффективность защиты и создаёт риски при проверках регуляторов.

Формальный подход к документации. Политика ИБ лежит на сервере, но сотрудники не ознакомлены с ней под подпись. При инциденте компания не сможет привлечь виновного к ответственности — нет доказательства, что он знал о правилах. Хуже того: регламенты описывают идеальные процессы, а не реальные. Такие документы не работают ни как инструмент управления, ни как юридическая защита.

Размытая ответственность. Нет приказа о назначении ответственного за ИБ. Формально за безопасность никто не отвечает — каждый считает, что это задача другого отдела. При проверке Роскомнадзора это замечание выносится одним из первых.

Накопление избыточных прав. Сотрудник сменил должность — а доступ к системам прежнего отдела остался. Уволился — учётная запись активна. Нет процесса регулярного пересмотра прав доступа. По нашей статистике, это одна из главных причин внутренних утечек.

Обучение ради галочки. Вводный инструктаж при приёме — и больше ничего. Фишинговые атаки усложняются каждый год, схемы социальной инженерии эволюционируют. Компании, которые проводят регулярные тренинги и симуляции, в среднем в три раза быстрее обнаруживают и локализуют инциденты.

Разрыв между организационными и техническими мерами. Политика требует сложные пароли — но парольная политика в системах не настроена. Регламент запрещает копирование на USB — но DLP не контролирует порты. Документ без технической реализации — рекомендация, а не защита.

Отсутствие плана реагирования. Когда инцидент всё-таки происходит, сотрудники не знают, кому сообщать и что делать. Время реакции растёт, ущерб увеличивается. План реагирования — не формальность, а инструмент, который нужно отрабатывать на практике.

Решение
Внедрение DLP-систем
Внедрим систему предотвращения утечек данных: настроим политики контроля, интегрируем с инфраструктурой и обучим персонал.
Читайте также Угрозы информационной безопасности в 2025 году: как избежать?

Итоги

Управление информационной безопасностью — это не покупка средств защиты и не написание политики в стол. Это непрерывный процесс: от оценки рисков и разработки регламентов до обучения персонала, мониторинга метрик и регулярного аудита. Технические средства решают точечные задачи. Система управления превращает их в работающую защиту.

Если вы только начинаете или хотите проверить текущее состояние — начните с аудита. Он покажет, какие меры уже работают, а где есть пробелы. Мы проводим аудит информационной безопасности и помогаем выстроить систему управления ИБ с учётом специфики бизнеса и требований регуляторов.

Часто задаваемые вопросы (FAQ)

  • С чего начать построение системы управления ИБ в компании?
    С инвентаризации активов и оценки текущего состояния. Определите, какие данные и системы есть, кто к ним имеет доступ и какие риски наиболее критичны. Затем проведите gap-анализ — сравните текущие меры с требованиями законодательства или ISO 27001. Результат покажет, какие документы и процессы внедрять в первую очередь.
  • Кто должен отвечать за информационную безопасность?
    Конечная ответственность — на руководителе организации, это закреплено законодательно. Операционное управление делегируется назначенному ответственному: штатному специалисту по ИБ, ИТ-директору или внешнему подрядчику. В крупных компаниях создаётся позиция CISO, который подчиняется напрямую генеральному директору и выстраивает ИБ-стратегию в привязке к бизнес-целям.
  • Чем СУИБ отличается от набора средств защиты?
    Средства защиты — файрволы, DLP, антивирусы — это инструменты. СУИБ — это управленческая система, которая определяет, как эти инструменты выбираются, настраиваются, контролируются и улучшаются. Без СУИБ технические средства работают разрозненно: DLP фиксирует утечку, но нет регламента реагирования; файрвол блокирует трафик, но права выдаются бессистемно.
  • Обязательна ли СУИБ для небольшой компании?
    Любая компания обрабатывает персональные данные сотрудников и клиентов — а значит, обязана соблюдать ФЗ-152. Масштаб мер пропорционален рискам: для компании в 20 человек не нужна служба ИБ из пяти специалистов. Но базовые документы, обучение персонала и регламент управления доступом — необходимы. Штрафы за нарушение ФЗ-152 не зависят от размера компании.
  • Как измерить эффективность управления ИБ?
    Через конкретные метрики: среднее время обнаружения и реагирования на инциденты (MTTD и MTTR), результаты фишинговых симуляций, процент активов под мониторингом, скорость установки критических патчей, доля сотрудников, прошедших обучение. Метрики собираются через SIEM, системы управления уязвимостями и SGRC-платформы.
  • Как часто пересматривать политику ИБ?
    Плановый пересмотр — не реже раза в год. Внеплановый — при существенных изменениях: реорганизация, внедрение новых систем, изменение законодательства, серьёзный инцидент. На практике документы устаревают быстрее, чем пересматриваются, поэтому мы рекомендуем привязать пересмотр к ежегодному аудиту ИБ.
  • Можно ли передать управление ИБ на аутсорс?
    Частично. Внешнему подрядчику можно передать разработку документации, проведение аудитов, обучение, мониторинг инцидентов и администрирование средств защиты. Ответственность за ИБ при этом остаётся на руководителе организации — делегировать её нельзя. Оптимальная модель: внутренний ответственный координирует процессы, внешний подрядчик обеспечивает экспертизу и ресурсы.
Поделиться: