ITIL4 Управление информационной безопасностью: как не стать героем новостей

Information Security Management – практика, которая отвечает на простой вопрос:

Как сделать так, чтобы наши данные не оказались завтра в даркнете?

Это как охранная система для цифровых активов компании, только вместо сигнализации и камер – шифрование, мониторинг и куча умных людей, которые следят за тем, чтобы мамины кулхакеры не украли твою базу, ну или хотя бы не получили доступ к серверам.

Что эта практика описывает

Защита конфиденциальности данных

• Чтобы твои секреты оставались секретами
• Чтобы данные клиентов не утекли в даркнет
• Чтобы не стать героем заголовка: Утекли данные 10 миллионов пользователей

Обеспечение целостности информации

• Чтобы никто не подменил данные в твоих системах
• Чтобы ты мог доверять своим отчетам и логам

Поддержание доступности систем

• Чтобы твои сервисы работали, когда нужно
• Чтобы DDoS не положил твой бизнес на лопатки

Управление рисками безопасности

• Выявление угроз и уязвимостей
• Оценка вероятности и последствий инцидентов

Соответствие требованиям и стандартам

• Выявление угроз раньше, чем они материализуются
• Оценка “а что будет, если нас все-таки взломают?”
• Подготовка к худшему сценарию

Простой пример

У тебя есть CRM-система с данными клиентов, включая платежную информацию.

Без Information Security Management: У нас есть файрвол и антивирус, этого достаточно

С Information Security Management:

• Анализируешь: какие данные самые критичные
• Оцениваешь: что будет, если их украдут (штрафы, потеря клиентов, репутационный ущерб)
• Внедряешь защиту: шифрование, двухфакторная аутентификация, мониторинг
• Готовишься к инцидентам: план реагирования, резервные копии, процедуры восстановления
• Обучаешь команду: как не попасться на фишинг и социальную инженерию

Когда пора этим заняться

Если у тебя личный блог о котиках – можешь пока не париться. Но пора задуматься, если:

• Ты работаешь с персональными данными клиентов (тут на секундочку уже ввели УК)
• У тебя есть коммерческая тайна или интеллектуальная собственность
• Твой бизнес критически зависит от доступности ИТ-систем
• Ты работаешь в регулируемой отрасли (финансы, здравоохранение, госсектор)
• У тебя уже были инциденты безопасности или утечки данных

Но не надо сразу пытаться внедрять все меры из ISO 27001. Начни с малого:

Как это работает на практике

Ключевая модель: Цикл управления информационной безопасностью

В ITIL есть конкретная модель, которая помогает не просто ставить галочки в чек-листах безопасности, а реально защищать свои активы. Вот она без воды:

И самое главное – это цикл, а не разовое мероприятие.
Безопасность – это процесс, а не состояние.

1. Определи, что защищать (и зачем)

• Начни с бизнес-целей и процессов (что критично для бизнеса?)
• Определи информационные активы, поддерживающие эти процессы
• Классифицируй данные по конфиденциальности, целостности и доступности
• Выдели приоритетные направления защиты

2. Оцени риски и выбери меры защиты

• Для каждого актива определи возможные угрозы
• Оцени вероятность реализации угроз и возможный ущерб
• Рассчитай уровень риска (вероятность × ущерб)
• Выбери меры защиты с учетом соотношения затрат и эффективности

3. Внедри и управляй

• Разработай политики и процедуры безопасности
• Внедри технические средства защиты
• Обучи персонал правилам безопасности
• Интегрируй безопасность в жизненный цикл разработки
• Настрой мониторинг и реагирование на инциденты

4. Проверяй и улучшай

• Проводи регулярные аудиты безопасности
• Тестируй защиту (пентесты, red team exercises)
• Анализируй произошедшие инциденты
• Отслеживай новые угрозы и уязвимости
• Корректируй меры защиты по результатам проверок

Главное правило: 100% безопасности не существует. |
Цель – не создать абсолютно защищенную систему (это невозможно), а снизить риски до приемлемого уровня и быть готовым к инцидентам.

Какие инструменты использовать в 2025 году

Для управления рисками и соответствием

• R-Vision SGRC – российская система для управления рисками и соответствием требованиям
• Гарда – комплексное решение для управления ИБ
• Positive Technologies MaxPatrol SIEM – для мониторинга и управления инцидентами
• Security Vision — платформа для управления процессами ИБ

Для защиты инфраструктуры

• Kaspersky Endpoint Security – уже стандарт для защиты рабочих станций и серверов
• Континент 4 – средства защиты сетевого периметра
• КриптоПро – для шифрования и ЭЦП
• Рутокен – для двухфакторной аутентификации
• Zecurion DLP — для предотвращения утечек данных

Для мониторинга и реагирования

• Positive Technologies MaxPatrol SIEM – для сбора и анализа событий безопасности
• Лаборатория Касперского Anti APT – для обнаружения целевых атак
• Гарда NDR – для мониторинга сетевого трафика
• Solar JSOC – сервис мониторинга и реагирования на инциденты

Но помни: инструмент – это только часть решения. Можно купить самые дорогие средства защиты, но если их неправильно настроить или не обучить персонал – это пустая трата денег.

Как внедрить

Шаг 1: Подготовка (1-2 месяца)

• Заручись поддержкой руководства (объясни риски и последствия инцидентов)
• Проведи базовый аудит текущего состояния безопасности
• Определи ключевые активы и риски
• Разработай базовые политики безопасности

Шаг 2: Быстрые победы (2-3 месяца)

• Внедри базовые технические меры (антивирусы, файрволы, резервное копирование)
• Проведи базовое обучение персонала (пароли, фишинг, социальная инженерия)
• Настрой процесс управления уязвимостями
• Разработай базовый план реагирования на инциденты

Шаг 3: Развитие (3-6 месяцев)

• Внедри более продвинутые технические меры (DLP, SIEM, шифрование)
• Разработай политики и процедуры
• Проведи углубленное обучение персонала
• Настрой процесс управления инцидентами
• Проведи первые пентесты и учения

Шаг 4: Зрелость (6-12 месяцев)

• Интегрируй безопасность в бизнес-процессы
• Внедри метрики и KPI по безопасности
• Автоматизируй рутинные процессы
• Проводи регулярные аудиты и тесты
• Создай культуру безопасности в компании

🚫 Топ-5 способов все испортить

• Безопасность – это дорого и мешает бизнесу. Классическая ошибка — воспринимать безопасность как центр затрат, а не как инвестицию в снижение рисков. В итоге экономят на безопасности, а потом тратят в 10 раз больше на устранение последствий инцидентов.
• Купим DLP и будем в шоколаде. Попытка решить все проблемы безопасности одним техническим средством. Без процессов, обучения и культуры безопасности любая технология будет неэффективна.
• У нас маленькая компания, нас не взломают. Наивная вера в то, что хакеры атакуют только крупные компании. На самом деле малый и средний бизнес часто становится мишенью именно из-за слабой защиты. Просто потому что чаще всего они не защищены никак.
• Формальный подход к безопасности. Когда важнее галочки в чек-листе, чем реальная защита. В итоге куча документов, которые никто не читает, и отсутствие реальной защиты.

• Безопасность – это проблема ИТ-отдела. Перекладывание всей ответственности за безопасность на ИТ-отдел, без вовлечения бизнеса и руководства. В результате безопасность не интегрирована в бизнес-процессы.

В чем безопасность брат?

Главное, что нужно понять: безопасность — это не продукт, который можно купить и забыть. Это процесс, который требует постоянного внимания, развития и адаптации к бизнесу.

Лучше потратить деньги на превентивные меры, чем на устранение последствий инцидента. Потому что когда данные утекли или серваки зашифрованы – уже поздно что-то делать. Готовь резюме или сухари, всё зависит от серьёзности происходящего.

Это уже не шутки.

Начни с малого, двигайся постепенно, но не останавливайся.
И тогда ты сможешь спать спокойно, зная, что твои данные твоя свобода под защитой.