Зачем нам ИБ? Как донести до бизнеса ценность информационной безопасности

Согласно исследованию «Инфосистемы Джет», в 2024 году у 30% компаний бюджет на ИБ так и остался на уровне прошлого года, индексация на уровень инфляции произошла у 60% компаний, только крупные предприятия повысили инвестиции в ИБ более чем на 30%.

Эти цифры подчеркивают, что многие руководители по-прежнему не видят в ИБ стратегической ценности. Решить эту проблему во многом помогает стратегия ИБ, главная задача которой — стать мостом между техническими и непонятными рисками ИБ и бизнес-целями. Инвестиции чаще получает та стратегия, которая понятнее доказывает руководству, как инвестиции сохраняют деньги, зарабатывают доверие клиентов и открывают новые рынки. Успех определяется способностью CISO показать измеримую ценность и «продать» целевой уровень ИБ в стратегической перспективе.

При этом «продать» такое целевое состояние ИБ можно разными способами, используя не только риск-ориентированный подход. В этом материале мы покажем вариативность закрепления целевого состояния в стратегии ИБ, используя язык целей и выгод в контексте киберустойчивости и антихрупкой ИТ-архитектуры.

Стратегия развития ИБ состоит из следующих элементов:

• Стратегическое видение ИБ. Показывает, «куда мы идем» и как цели информационной безопасности поддерживают цели бизнеса;
• GAP-анализ. Показывает, «что мешает идти», и определяет точки роста для достижения цели;
• Дорожная карта. Демонстрирует, «как мы туда придем», разбивая стратегию на понятные этапы с конкретными проектами, бюджетами и сроками. 

Современные стратегии ИБ строятся не на жестких долгосрочных планах, а на принципах адаптивности и системного пересмотра. Ключевым становится умение быстро реагировать на изменения без торможения процессов и потери качества.

Поэтому целевое состояние должно быть:

• измеримым: прогресс улучшения можно «пощупать» и сравнить;
• связанным с бизнес-целями: безопасность способствует достижению;
• гибким и адаптивным: стратегия должна уметь быстро подстраиваться под изменения внешней и внутренней среды.

Формат целевого состояния может быть разным — как количественным, так и качественным. Далее мы разберем подробнее различные подходы к формированию целевого состояния ИБ.

Подходы к формированию целевого состояния ИБ

Достижение целей ИБ

Кому подойдет: зрелым компаниям со сформированными стратегиями развития бизнеса и использующим подход управления компанией по целям.

Как донести ценность: показать ИБ как инструмент роста, ключевую стратегическую цель компании декомпозировать до уровня ИБ, используя метрики измерения целей.

Каскадирование целей информационной безопасности от стратегических бизнес-целей является наиболее зрелым подходом. Он обеспечивает прозрачность и понятность для руководства, наглядно демонстрируя, как инвестиции в ИБ напрямую поддерживают развитие компании, снижают ключевые риски и позволяют бизнесу безопасно достигать своих задач.

Если в компании отслеживаются показатели достижения бизнес-целей, можно проанализировать, как ИБ может помочь в выполнении данных метрик.

Рассмотрим пример. Бизнес-цель: внедрение инновационных технологий и рациональное использование ресурсов. Метрика: время вывода нового продукта/сервиса на рынок (дни).

Цель ИТ: повышение доступности ИТ-систем и обеспечение достаточности ИТ-ресурсов. Метрика: N — количество сбоев в месяц; время реакции на инциденты (MTTR, мин.).

Цель ИБ: обеспечение удобной и безопасной работы с информационными ресурсами. Метрика: количество утечек, опубликованных в СМИ; время получения доступа к данным для работников компании (часы).

Достижение уровня зрелости ИБ

Кому подойдет: холдингам, компаниям, строящим СМИБ, а также организациям с разветвленной ИТ-структурой.

Как донести ценность: показать, что уровень ИБ может быть измерен с использованием формальной шкалы, сравним с другими компаниями отрасли.

Основное преимущество использования моделей зрелости — измеримость и распространенность их применения, что позволяет оценить текущее состояние ИБ по критериям, выделить слабые места и обозначить направления роста. Это своего рода «линейка», по которой можно численно определить, где компания находится сейчас и куда стремится. Полученное числовое значение уровня зрелости и будет для бизнеса целевым.

Несмотря на то, что уровень зрелости может рассчитываться с определенной погрешностью и зависеть от определенного оценщика, он хорошо позволяет верхнеуровнево взглянуть на состояние ИБ в компании.

Самые популярные модели оценки зрелости — это C2M2, CMMC 2.0, CMMC 1.0, O-ISM3, CMMI.

Критерии	CMMI	C2M2	O-ISM3	CMMC 1.0	CMMC 2.0
	Capability Maturity Model Integration	Cybersecurity Capability Maturity Model	Open Information Security Management Maturity Model	Cybersecurity Maturity Model Certification	Capability Maturity Model Integration
Что позволяет оценить	Общую зрелость процессов (не только ИБ)	Практики ИБ и управление кибер-безопасностью	Процессы ИБ (аналогично ITIL)	Выполнение требований к конфиденциальной, не секретной информации (Controlled Unclassified Information)
Уровни	5	4	5	5	3
Интеграция	ISO 27001, ITIL	NIST CSF	ISO 27001	NIST SP 800-171

Пример: инструментами для оценки уровня зрелости в ИБ пользуются многие крупные организации, например Сбер, МТС, «Ростелеком» и другие. В большинстве методик используется пятиуровневая шкала зрелости — от начального до оптимизируемого, сам же уровень зрелости визуализируется в виде круговой диаграммы — «ромашки».

Смена модели архитектуры ИБ

Кому подойдет: крупным компаниям с дочерними обществами, географически распределенными площадками и зрелыми ИТ, готовыми к изменениям.

Как донести ценность: показать несостоятельность текущей модели, ее оторванность от текущей ИТ-архитектуры и современных архитектурных моделей ИБ.

Интеграция принципов безопасности и отказоустойчивости в саму бизнес-архитектуру позволит не только выживать, но и эволюционировать под давлением неблагоприятных факторов. Смена модели архитектуры ИБ позволит сформировать единый подход к управлению ИБ, используемым решениям и обеспечить безопасность по умолчанию.

Ключевые архитектурные модели, используемые в ИБ.

Модель	Цель защиты	Что защищаем	Область применения
Крепость Fortress	Защита от внешних угроз.	Физические носители информации. Одиночные компьютеры. Изолированные ЛВС.	Малые предприятия.
Замок и ров Castle and Moat	Защита внешнего периметра и изоляция внутренних сегментов. Защита от атак.	ЛВС с единичными точками обмена трафиком с внешними сетями. Стационарные ПК, постоянно подключенные к ЛВС.	Средние предприятия.
Эшелонированная оборона Defense-in-Depth	Многоуровневая защита (периметры, мониторинг). Устойчива к сложным атакам.	Распределенная ИТ-инфраструктура с зонами безопасности и отсутствием единого периметра.   Переносные устройства мобильных пользователей.	Крупные предприятия.
Нулевое доверие Zero Trust	Защита данных по принципу наименьших привилегий от внешних и внутренних угроз.	Данные. BYOD. Удаленные пользователи. Гибридная инфраструктура, облака.	Финтех, IT, распределенные компании.

Модель «крепость» на данный момент себя практически изжила, так как автоматизация процессов присуща большинству современных компаний. «Замок и ров» и «эшелонированная оборона» — самые популярные модели, но и они уже не отвечают современным угрозам, а архитектурную модель Zero Trust сложно выстроить из-за технологических особенностей модели и отсутствия на рынке РФ ряда решений.

На практике большинство компаний строят гибридные (переходные) архитектуры, комбинируя статичные эшелоны защиты с практиками Zero Trust и принципами киберустойчивости. Один из оптимальных вариантов — гибридная модель на базе Defence in Depth и Zero Trust.
Чтобы донести преимущества смены модели архитектуры ИБ до бизнеса, нужно: 

• Соотнести модели архитектуры с пользой для компании. Например, «крепость — это быстро и бюджетно», а гибридная модель на базе Zero Trust и «эшелонированной обороны» обеспечивает быстрое и безопасное подключение к ресурсам предприятия из любой точки, включая партнеров и контрагентов.

• Связать архитектуру со стратегией компании. Внедрение цифровых решений (например, ИИ) без надежной ИБ может сделать компанию уязвимой. ИБ должна сопровождать цифровую трансформацию.

Предложить поэтапную реализацию через «пилот». Запустить пилотный проект на одном сегменте инфраструктуры, зафиксировать результаты, доказать эффективность и масштабировать. 

Переход на новую функцию ИБ

Кому подойдет: компаниям, которым простои и штрафы обходятся дороже, чем модернизация информационной безопасности, — банкам, финтех-компаниям, предприятиям логистики и промышленности.

Как донести ценность: показать бизнесу, что текущие реализуемые меры ИБ выполняют функцию «забора», но не позволяют заранее обнаруживать угрозы и реагировать на них, показать последствия инцидента на реальном примере, привязать новые показатели ИБ к KPI топ-менеджеров, показать снижение издержек за счет сокращения времени расследования и устранения инцидентов.

Функция ИБ — совокупность действий, процессов и механизмов (иными словами, мер ИБ), направленных на защиту информации от угроз, обеспечение ее конфиденциальности, целостности и доступности.

NIST Cybersecurity Framework предлагает следующие функции: Identify (идентификация), Protect (защита), Detect (обнаружение), Respond (реагирование), and Recover (восстановление), а Adaptive security architecture от Gartner — Prevent (предотвращение), Detect (обнаружение), Respond (реагирование) and Predict (прогнозирование). Комбинация функций ИБ, реализуемых в компании, позволяет обеспечивать защиту и непрерывность бизнеса, а в случае если в компании реализована только одна или две функции, н-р предотвращение и обнаружение, в качестве развития стоит рассмотреть переход на реагирование и прогнозирование угроз.

По данным «Инфосистемы Джет», самые популярные функции ИБ в России — это «предотвращение» (Prevent) и «оперативное выявление угроз» (Detect & Respond). Такая структура обусловлена последствиями импортозамещения: с 2022 года многие организации находятся в процессе перехода на отечественные решения, и уровень зрелости ИБ во многих из них пока ограничивается базовыми функциями предотвращения. При этом увеличение бюджетирования функции Detect & Respond можно объяснить тем, что компании, которые с 2022 года начали трансформировать свою инфраструктуру, начинают внедрять системы мониторинга, используя экспертные сервисы — SOC, киберучения. Это позволяет перейти от пассивной обороны к проактивной защите.

Гибридный подход

Кому подойдет: крупным компаниям с дочерними организациями и разным уровнем зрелости информационной безопасности, а также организациям из сильно регулируемых отраслей (например, финансовый сектор).

Дополнительные способы закрепления целевого состояния ИБ

Помимо вышеперечисленного, целевое состояние информационной безопасности можно формализовать и зафиксировать с помощью следующих подходов.

• Декларирование целевого состояния ИБ. Формируется список конкретных критериев и параметров, которые организация стремится достичь в области ИБ. Это дает возможность зафиксировать цели и отслеживать прогресс.
• Compliance-ориентированный подход. Основан на соответствии требованиям регуляторов (ФСТЭК, ФСБ, ЦБ и др.). Особенно актуален для регулируемых отраслей, где соответствие нормативам — обязательное условие деятельности.
• Экспертная оценка по минимальному набору критериев. Позволяет быстро получить срез текущего и целевого состояния ИБ. Подходит для первичной диагностики, но требует точных данных и прозрачной методики, чтобы расчеты были понятны бизнесу.
• Недопустимые для бизнеса события. Показывает бизнесу, к каким последствиям может привести инцидент (простой критичных процессов, штраф, потеря репутации). Это язык потерь, который понятен руководству. 
• Через замедление злоумышленника на примере модели Cyber Kill Chain. Большинство бизнес-руководителей не представляют, как действуют хакеры. Но если показать им, какие этапы проходит злоумышленник при атаке на инфраструктуру и на каких стадиях компания не способна оперативно отреагировать, можно убедить их в том, что ключевая задача ИБ — усложнить путь атаки.

Ключевые выводы

Говорите о результате, а не о стоимости. При взаимодействии с бизнесом важно не зацикливаться на расходах на информационную безопасность. Вместо этого следует акцентировать внимание на конкретных результатах: снижении рисков, повышении устойчивости, защите репутации, ускорении бизнес-процессов и минимизации потерь при инцидентах.

Бизнес соглашается на изменения только при наличии понятной выгоды. Абстрактные формулировки вроде «это повысит безопасность» не работают. Необходимы четкие аргументы, как ИБ помогает достигать стратегических целей компании — быстрее, безопаснее и с меньшими издержками.

Нет универсального способа закрепить целевое состояние ИБ. Не существует «правильного» или «неправильного» подхода — важно выбрать тот, который понятен конкретной компании и отражает ее стратегию, зрелость и потенциальные риски.

Детали имеют значение. Даже второстепенные элементы — формулировки, визуализация, примеры — влияют на восприятие. Все аргументы, метрики и модели следует адаптировать под специфику бизнеса: его язык, структуру принятия решений и текущие приоритеты.

Антихрупкость — следующая ступень зрелости ИБ и ИТ. Антихрупкая ИТ-архитектура нацелена не просто на защиту и восстановление, а на укрепление после атаки/инцидента. Настоящая зрелость бизнеса — это не просто защита. Это способность становиться сильнее после атаки.