Индикаторы информационной безопасности

Актуальным международным стандартом в области управления информационной безопасностью является ISO/IEC 27014:2020 «Информационная безопасность, кибербезопасность и защита конфиденциальности — Руководство деятельностью по обеспечению информационной безопасности» (в Российской Федерации действует идентичный ему межгосударственный стандарт ГОСТ ISO/IEC 27014-2021)^[6][3].

Стандарт устанавливает принципы согласования программ безопасности с бизнес-целями организации и требует тесной увязки стратегии безопасности с измеримыми бизнес-результатами. Согласно документу, высшее руководство должно управлять информационной безопасностью как неотъемлемой частью общей корпоративной стратегии. ISO/IEC 27014:2020 формализует шесть ключевых принципов руководства (подотчетность, прозрачность, результативность, эффективность, согласованность и постоянное совершенствование) и определяет процессы оценки, направления и мониторинга деятельности для поддержания показателей защиты на необходимом уровне^[6][7].

С 1 сентября 2026 года вступают в силу изменения в нормативные акты ФСТЭК России, вводящие новые обязательные показатели для оценки состояния информационной безопасности субъектов критической информационной инфраструктуры (КИИ) и государственных информационных систем (ГИС)^[8]. Ключевыми индикаторами являются:

• Коэффициент защищённости (Кзи) — показатель, характеризующий текущее состояние технической защиты информации от типовых актуальных угроз. Расчёт Кзи должен производиться не реже одного раза в шесть месяцев^[8].^[9]
• Показатель уровня зрелости (Пзи) — индикатор, оценивающий уровень зрелости принимаемых мер по обеспечению информационной безопасности. Расчёт данного показателя осуществляется не реже одного раза в два года^[8].^[10]

Данные показатели представляют собой национальный регуляторный механизм оценки соответствия требованиям российского законодательства и не связаны с международной методологией ETSI GS ISI-003^[11].^[12] Приказом Минцифры России № 1106 от 2 декабря 2025 года также утверждены новые стандарты информационной безопасности для Государственной единой облачной платформы (ГЕОП). Документ устанавливает единые требования для поставщиков облачных услуг, чья инфраструктура используется для размещения государственных информационных систем^[13].

Для количественной оценки уровня информационной безопасности применяются различные методы, позволяющие выразить состояние защищенности в числовых показателях (статистические, логико-вероятностные, основанные на оценке рисков и другие)^[14]. Расчет индикаторов требует сбора и агрегации данных из множества источников инфраструктуры. Для этого применяется автоматизированный сбор и обработка информации с использованием систем класса SIEM и SOAR, которые обеспечивают централизацию, нормализацию и корреляцию событий^[15][16]. Ключевые метрики реагирования и финансовой эффективности включают:

• Среднее время до обнаружения (MTTD, Mean Time to Detect) — отражает среднее время от начала инцидента до его выявления. Рассчитывается как отношение суммарного времени обнаружения всех инцидентов к их общему количеству^[17].
• Среднее время реагирования (MTTR, Mean Time to Respond/Repair) — измеряет среднее время, необходимое для полного устранения угрозы и восстановления системы. Вычисляется путем деления общего времени, затраченного на восстановление, на количество инцидентов^[18].
• Годовые ожидаемые потери (ALE, Annualized Loss Expectancy) — оценивает потенциальный финансовый ущерб. Рассчитывается как произведение потерь от единичного инцидента (SLE) на ожидаемую годовую частоту их возникновения (ARO)^[19].
• Возврат инвестиций в безопасность (ROSI, Return on Security Investment) — демонстрирует экономическую выгоду от внедрения мер защиты. Рассчитывается по формуле: (ALE до внедрения меры − ALE после внедрения меры − Стоимость меры) / Стоимость меры^[20].

С развитием искусственного интеллекта традиционные подходы к оценке безопасности дополняются специализированными метриками для защиты от современных угроз, таких как дипфейки и автономные агентные атаки^[21]. Для оценки эффективности систем обнаружения синтезированного медиаконтента применяются следующие технические индикаторы:

• Показатель уверенности (Confidence Score) — вероятностная оценка, которую система присваивает медиафайлу, указывая на степень уверенности в его искусственном происхождении^[22].
• AUC (Area Under the Curve) — метрика, демонстрирующая способность модели машинного обучения отличать поддельный контент от подлинного. Высокие значения AUC свидетельствуют о высокой эффективности детектора^[23].

Для выявления автономных ИИ-атак, способных обходить сигнатурные методы защиты, применяется анализ поведенческих аномалий^[24]. Системы безопасности непрерывно анализируют сетевой трафик и активность пользователей, выявляя отклонения от нормального поведения. Результатом такого анализа выступает оценка риска или уровень аномальности, позволяющий оперативно реагировать на инциденты.

Список индикаторов информационной безопасности входит в состав методологической рамки ISI, которая состоит из следующих восьми тесно связанных рабочих направлений:

1. Индикаторы ISI (ISI-001-1^[1] и руководство ISI-001-2^[25]): мощный способ оценки степени реализации и эффективности мер управления безопасностью (в том числе для целей сравнения). Стандарт не содержит классификации для облачных инфраструктур и микросервисов, так как был разработан до их широкого распространения^[26].
2. Модель событий ISI (ISI-002^[27]): всесторонняя модель классификации событий информационной безопасности (таксономия и формализованное представление).
3. Оценка зрелости ISI (ISI-003^[28]): позволяет оценивать зрелость в части возможностей обнаружения событий ИБ (SIEM) — по технологиям, персоналу, процессам и учитывать эту зрелость при интерпретации результатов обнаружения. Для современных центров мониторинга (SOC) достижение 4-го уровня зрелости (по CMMI) означает управление на основе количественных данных (KPSI), а 5-го — проактивное улучшение (что соответствует уровням 2 и 3 по упрощенной шкале ETSI). Методика детализирована в ISI-005.
4. Руководство по внедрению обнаружения событий ISI (ISI-004^[29]): демонстрирует на примерах, как формируются индикаторы и как обнаруживать соответствующие события разными средствами и методами (с классификацией сценариев).
5. Стимуляция событий ISI (ISI-005^[30]): методика создания событий безопасности и проверки эффективности имеющихся средств обнаружения важных классов событий.
6. Архитектура измерений и управления событиями ISI для кибербезопасности и надёжности (ISI-006^[31]): разработка языка моделирования информационных угроз и стандартизация взаимодействия между средствами обнаружения.
7. Руководство по созданию и эксплуатации защищённого Центра мониторинга безопасности ISI (ISI-007^[32]): свод требований к строительству и эксплуатации центра мониторинга (SOC), охватывающий технические, кадровые и процессные аспекты.
8. Описание комплексного подхода к SIEM на уровне организации ISI (ISI-008^[33]): комплексный подход к SIEM (на базе CERT/SOC), объединяющий все аспекты и спецификации ISI.

Предварительная работа по формированию концепции индикаторов информационной безопасности велась французским клубом R2GS. Первый открытый комплект стандартов ISI (список индикаторов и модель событий) был опубликован в апреле 2013 года.