Вопрос зрелости практик информационной безопасности волнует практически каждую российскую компанию: кибератаки становятся изощреннее, требования регуляторов ужесточаются, а импортозамещение требует быстро перестраивать ИТ-процессы. Как понять, насколько ваша система действительно надежна, где скрываются слабые места и как обосновать инвестиции в защиту? Ответ — в комплексной модели оценки зрелости, которую я нашла, перевела и теперь делюсь с вами.

Этот фреймворк — не просто очередной чек-лист: он синтезирует лучшие практики мировых стандартов (COBIT, ISO 27001, NIST, DNB/BIO) и позволяет провести оценку по пяти уровням зрелости с однозначными, понятными критериями для каждой практики. 

Представление модели оценки зрелости информационной безопасности

Основа модели оценки — синтез мировых стандартов

Модель синтезирует лучшие практики из 5+ международных стандартов:

  1. COBIT 4.1/5 — глобальный стандарт корпоративного управления ИТ, разработанный международной ассоциацией ISACA.

  2. ISO 27001:2013 — Система менеджмента информационной безопасности. Международный стандарт, который определяет требования к созданию, внедрению, поддержанию и непрерывному улучшению системы управления информационной безопасностью

  3. NIST Cybersecurity Framework — структура для управления киберрисками критической инфраструктуры, разработанный NIST(Identify-Protect-Detect-Respond-Recover).

  4. DNB 2017 – De Nederlandsche Bank (Голландский центральный банк) – руководящие принципы по управлению ИКТ-рисками для финансовых институтов, находящихся под надзором DNB. Документ устанавливает минимальные требования к управлению информационно-коммуникационными технологиями в финансовом секторе Нидерландов.

  5. BIO 2019 — Базовая норма информационной безопасности для правительственных организаций Нидерландов, адаптированная для банковского сектора. BIO 2019 является обновленной версией национального стандарта безопасности.

📌 Важно: каждый пункт оценки в модели содержит прямые ссылки на конкретные пункты стандартов (например, A.14.2.5 ISO 27001).

Пример указания ссылок на соответствующие практики

Однозначная оценка уровня зрелости

Оценка зрелости по пяти-уровневой модели (от хаотичных процессов до оптимизации). Для оценки применяются понятные индикаторы на каждый уровень.

Уровни оценки зрелости

Например, для области управления «Управления изменениями» практики «Экстренные изменения» уровень 3 требует:

  • Документированный регламент — утверждённая процедура управления экстренными изменениями, доступная всем сотрудникам.

  • Стандартизированное выполнение — все запросы обрабатываются по единому алгоритму (чек-лист, шаблон заявки).

  • Чёткое распределение ролей — матрица RACI с ответственными за авторизацию, реализацию и постконтроль.

  • Обязательная пост-авторизация — все изменения проходят ретроспективный анализ после внедрения.

  • Журнал отклонений — фиксация и расследование случаев нарушения процедуры.

Пример описания уровней зрелости

Структура модели

Модель охватывает все аспекты защиты информации — от стратегического планирования до технических контролей. Каждая область содержит конкретные элементы управления с чёткими индикаторами для оценки.

1. Управление

  • GO.01 Стратегия

  • GO.02 Политика

  • GO.03 План/дорожная карта

  • GO.04 Архитектура

  • GO.05 Независимая гарантия

Область фокусируется на стратегическом управлении информационной безопасностью, включая разработку политик, архитектуры и обеспечение независимого аудита.

2. Организация

  • OR.01 Право собственности, роли, подотчетность и обязанности

  • OR.02 Разделение обязанностей

Область определяет организационную структуру управления безопасностью и принципы разделения ответственности.

3. Управление рисками

  • RM.01 Структура управления информационными рисками

  • RM.02 Оценка риска

  • RM.03 План действий по снижению риска и его смягчению

Критически важная область, охватывающая полный цикл управления рисками информационной безопасности.

4. Человеческие ресурсы

  • HR.01 Набор персонала

  • HR.02 Сертификация, обучение и образование

  • HR.03 Зависимость от отдельных лиц

  • HR.04 Изменение работы и увольнение

  • HR.05 Обмен знаниями

  • HR.06 Осведомленность о безопасности

Объемная область, признающая человеческий фактор как ключевой элемент информационной безопасности.

5. Управление конфигурацией

  • CO.01 Идентификация и обслуживание элементов конфигурации

  • CO.02 Конфигурационный репозиторий и базовый уровень

Область обеспечивает контроль за изменениями в ИТ-инфраструктуре и поддержание актуальной документации конфигураций.

6. Управление инцидентами/проблемами

  • IM.01 Управление инцидентами

  • IM.02 Эскалация инцидента

  • IM.03 Реагирование на инциденты, связанные с кибербезопасностью

  • IM.04 Управление проблемами

Область фокусируется на эффективном реагировании на инциденты безопасности и системные сбои, включая их эскалацию и устранение коренных причин.

7. Управление изменениями

  • CH.01 Изменить стандарты и процедуры

  • CH.02 Оценка воздействия, расстановка приоритетов и авторизация

  • CH.03 Экстренные изменения

  • CH.04 Тестовая среда

  • CH.05 Тестирование изменений

  • CH.06 Продвижение к производству

Область обеспечивает контролируемое внедрение изменений в ИТ-среде с минимизацией рисков для бизнес-процессов.

8. Разработка системы

  • SD.01 Методология безопасной разработки и внедрения программного обеспечения

  • SD.02 Доступ разработчиков к производству

  • SD.03 Преобразование и миграция данных

Область обеспечивает внедрение принципов "безопасность по дизайну" в процессы разработки и развертывания ПО.

9. Управление данными

  • DM.01 Право собственности на данные и систему

  • DM.02 Классификация

  • DM.03 Требования безопасности к управлению данными

  • DM.04 Условия хранения и удержания

  • DM.05 Обмен конфиденциальными данными

  • DM.06 Утилизация

Область охватывает полный жизненный цикл управления данными от классификации до безопасной утилизации.

10. Управление идентификацией и доступом

  • ID.01 Правила доступа

  • ID.02 Администрирование прав доступа

  • ID.03 Супер пользователи

  • ID.04 Конвертная процедура

  • ID.05 Периодический пересмотр прав доступа

Область обеспечивает контроль доступа к информационным ресурсам на основе принципа минимальных привилегий.

11. Управление безопасностью

Самая техническая и объемная область, включающая:

  • SM.01 Базовые показатели безопасности

  • SM.02 Механизмы аутентификации

  • SM.03 Мобильные устройства и удаленная работа

  • SM.04 Ведение журнала

  • SM.05 Тестирование безопасности, наблюдение и мониторинг

  • SM.06 Управление исправлениями

  • SM.07 Управление угрозами и уязвимостями

  • SM.08 Защита и доступность ресурсов инфраструктуры

  • SM.09 Техническое обслуживание инфраструктуры

  • SM.10 Управление криптографическими ключами

  • SM.11 Сетевая безопасность

  • SM.12 Управление вредоносными атаками

  • SM.13 Защита охранных технологий

Самая техническая и объемная область, охватывающая технические аспекты защиты информации и ИТ-инфраструктуры.

12. Физическая безопасность

  • PH.01 Физические меры безопасности

  • PH.02 Управление правами физического доступа

Область обеспечивает физическую защиту информационных активов и контроль доступа к помещениям и оборудованию.

13. Компьютерные операции

  • OP.01 Обработка заданий

  • OP.02 Процедуры резервного копирования и восстановления

  • OP.03 Управление мощностью и производительностью

Область фокусируется на операционных процессах ИТ-инфраструктуры, включая резервное копирование и обеспечение производительности.

14. Управление непрерывностью бизнеса

  • BC.01 Планирование непрерывности бизнеса

  • BC.02 Тестирование восстановления после сбоев

  • BC.03 Внешнее хранилище резервных копий

  • BC.04 Репликация данных

  • BC.05 Управление кризисом

Область обеспечивает готовность организации к восстановлению критически важных бизнес-процессов после серьезных инцидентов.

15. Управление цепочками поставок

  • SC.01 Соглашение об уровне обслуживания

  • SC.02 Управление уровнем обслуживания

  • SC.03 Управление рисками поставщиков

  • SC.04 Внутренний контроль у третьих лиц

Область охватывает управление рисками, связанными с внешними поставщиками и подрядчиками, включая контроль качества их услуг.

Для кого модель оценки полезна

Руководителям по информационной безопасности (CISO) для определения стратегии развития, аргументов для защиты бюджета и визуализации объективной картины зрелости процессов.

Для руководителей отделов — ИТ, HR, управления рисками — инструмент для самостоятельной оценки зрелости в своих зонах ответственности, выявления слабых мест и планирования точечных улучшений.

Аудиторам для проведения комплексной проверки на соответствие международным и отраслевым стандартам (например, DNB, BIO, NIST), отсылки на требования стандартов в модели помогут быстро сориентироваться из какой области знаний требование.

Для стартапов и быстрорастущих компаний модель станет готовым фреймворком для быстрого запуска процессов информационной безопасности без необходимости «изобретать велосипед».  

Где может быть применима? 

  1. Слияние компаний — оценка зрелости ИБ в организациях для выравнивания процессов.

  2. Подготовка к аудиту и проверкам регуляторов — предварительный self-assessment.

  3. Развитие практик управления ИБ и самооценка — поиск областей улучшения.

Если в вашей организации уже выстроен процесс оценки, то это способ посмотреть на то, как проводят аудит другие организации и перенять опыт или подтвердить полноту вашей модели.

📥 Где взять? Файл с моделью и расчетами в файле по ссылке.

Материал бережно подготовлен:

Анна Юрченко, ITSM-эксперт, 20+ лет в ИТ

В Telegram-канале ITSM4U: Управление без иллюзий делюсь практиками управления ИТ, кейсами и проверенными инструментами и подходами, которые делают ИТ драйвером бизнеса. Пишу про личный бренд в digital.