Управление безопасностью

В сфере управления информационной безопасностью наблюдается дефицит квалифицированных кадров. Для компенсации нехватки специалистов организации активно внедряют автоматизацию процессов с использованием искусственного интеллекта (ИИ) и машинного обучения^[6].^[7]

Для обработки больших объёмов данных применяются системы на базе ИИ и агентные центры мониторинга безопасности (SOC). ИИ-агенты способны автономно проводить расследования, классифицировать инциденты и фильтровать ложные срабатывания. В результате формируется гибридная модель «человек-машина», в которой алгоритмы обеспечивают скорость и масштабирование, а аналитик осуществляет стратегическое управление и надзор за автономными системами^[8].^[9][10]

Искусственный интеллект также применяется для автоматического ограничения масштабов ущерба при кибератаках. Платформы безопасности выявляют аномалии и запускают механизмы автономного сдерживания угроз, такие как изоляция скомпрометированных устройств или блокировка вредоносных адресов, что позволяет оперативно нейтрализовать инциденты^[11].^[12]

• Стратегические: конкуренция и спрос со стороны клиентов.
• Операционные: нормативное регулирование, поставщики и договоры.
• Финансовые: валютные и кредитные риски.
• Опасности: стихийные бедствия, киберугрозы, внешние противоправные действия.
• Соблюдение требований: появление новых нормативных или законодательных требований или изменения существующих, что при отсутствии мер по соответствию создаёт риск несоблюдения.
• Геоэкономическое противостояние: использование экономических инструментов (санкции, тарифные барьеры, экспортные ограничения) для достижения геополитических целей^[13].
• Технологические угрозы: дезинформация, уязвимости цифровой инфраструктуры и риски, связанные с негативными последствиями применения искусственного интеллекта^[13].
• Трансграничные кибератаки: сложные атаки с геополитической мотивацией, направленные на критическую инфраструктуру и глобальные цепочки поставок^[13].

• Стратегические: НИОКР.
• Операционные: системы и процессы (кадровое администрирование, расчёт заработной платы).
• Финансовые: ликвидность и движение денежных средств.
• Опасности: безопасность персонала и оборудования.
• Соблюдение требований: конкретные или потенциальные изменения в системах, процессах, у поставщиков и др., способные привести к несоблюдению нормативных или законодательных требований.
• Риски использования искусственного интеллекта злоумышленниками: автоматизация атак и создание адаптивного вредоносного программного обеспечения^[14].^[15]

Первым вариантом является устранение самой возможности совершения преступления или предотвращение её появления, если такие действия не создают дополнительных факторов или обстоятельств, приводящих к ещё большему риску. Например, полное исключение наличных денежных средств из оборота в торговой точке устраняет риск хищения денег, но одновременно исключает и возможность самой торговли.

Когда устранение риска несовместимо с ведением бизнеса, следующим шагом становится снижение вероятности или масштабов возможных потерь до минимального приемлемого уровня при сохранении работоспособности организации. В приведённом выше примере меры по снижению риска могут сводиться к хранению наличных только в объёме, необходимом для работы в течение суток.

В современных условиях для снижения рисков активно применяется искусственный интеллект, обеспечивающий переход от реактивного подхода к проактивному и предиктивному. Системы на базе ИИ автоматизируют упреждающее обнаружение угроз, выявляя сложные многоэтапные атаки до их реализации на основе анализа системных журналов и сетевого трафика. Автоматизация реагирования на инциденты позволяет сопоставлять события из различных источников, приоритизировать риски и формировать сценарии для их оперативной нейтрализации^[16].^[17][18]

Активы, остающиеся под угрозой после применения мер избежания и снижения риска, становятся объектом стратегии распределения риска. Это подход, который ограничивает потенциальные потери за счёт повышения вероятности обнаружения и задержания злоумышленника до окончания преступных действий — с помощью внешнего освещения, решёток на окнах, систем обнаружения вторжений и других средств. Основная идея — уменьшить время, в течение которого злоумышленник может совершить хищение и скрыться безнаказанно.

К методам распределения операционных рисков также относится аутсорсинг функций безопасности сторонним специализированным провайдерам. Организации могут передавать на аутсорсинг такие задачи, как мониторинг событий и реагирование на инциденты (SOC), а также управление соответствием требованиям (комплаенс). В рамках данной модели распределение рисков и ответственности закрепляется юридически через соглашение об уровне обслуживания (SLA), что позволяет перенести часть операционных рисков на поставщика услуг^[19].^[20][21]

Передача риска обычно осуществляется посредством страхования активов или увеличения цен для покрытия возможных потерь в случае противоправных действий. Как правило, при грамотном применении первых трёх способов издержки на передачу риска существенно ниже.

В сфере киберстрахования страховщики ограничивают ответственность за инциденты, связанные с искусственным интеллектом, вводя подлимиты на возмещение такого ущерба. Кроме того, усложняется получение страхового покрытия для системных сбоев и каскадных инцидентов, затрагивающих крупных поставщиков услуг, в связи с применением исключений для подобных коррелированных рисков^[22].^[23]

Помимо страхования, передача рисков осуществляется через контракты с подрядчиками, в которые включаются требования к аудиту информационной безопасности и фиксированные штрафы за нарушение условий защиты данных^[24].

Оставшиеся риски организация принимает и учитывает как необходимое условие своей деятельности. Сюда же относятся франшизы (непокрываемые суммы), предусмотренные договором страхования. Для формализации подходов к определению риск-аппетита и критериев допустимого риска применяются специализированные стандарты. В частности, национальный стандарт ГОСТ Р 71034—2023 описывает концепцию риск-аппетита как инструмента для установления приемлемой величины риска и подходы к его каскадированию на все уровни принятия решений с помощью ключевых индикаторов риска (KRI)^[25].

• Сигнализационные устройства.
• Применение искусственного интеллекта для выявления сложных целенаправленных атак (APT) посредством поведенческого анализа, фиксирующего отклонения от эталонной модели нормальной активности^[16].^[17]
• Автоматизация реагирования на инциденты с помощью платформ SOAR, которые на основе сигналов от систем обнаружения вторжений запускают сценарии для оперативного сдерживания угроз^[26].^[27]

• Замки (от простых до сложных), включая биометрические системы и замки с использованием карт-ключей.
• Переход к концепции Identity-First, объединяющей физический и цифровой контроль в единую централизованную модель на основе цифровой идентичности пользователя^[28].^[29]
• Применение архитектуры нулевого доверия (Zero Trust), включающей микросегментацию физического пространства и сетей для изоляции сегментов и ограничения несанкционированного доступа^[30].^[31]
• Использование мобильного доступа (с применением технологий NFC и Bluetooth) в сочетании с мультимодальной биометрией, анализирующей одновременно несколько признаков (например, лицо, голос и геометрию ладони)^[32].^[33]

• Природные элементы (например, горы, деревья и др.).
• Баррикады.
• Охранники (вооружённые или без оружия) с портативными средствами связи (например, рации).
• Охранное освещение (прожекторы и др.).
• Камеры видеонаблюдения.
• Датчики движения.
• IBNS-контейнеры для перевозки наличных средств.
• Внедрение платформ PSIM (Physical Security Information Management) для централизованного управления разрозненными физическими активами и системами безопасности^[28].^[34]
• Использование автономных мобильных роботов и беспилотных летательных аппаратов (БПЛА) для охраны периметра и патрулирования территорий^[35].^[36]
• Интеграция физических датчиков с агентными центрами мониторинга безопасности (SOC) для автоматизированного выявления комплексных угроз^[37].^[38]

• Взаимодействие с правоохранительными органами.
• Управление мошенничеством.
• Управление рисками.
• CPTED (преступность и проектирование городской среды).
• Анализ рисков.
• Меры по снижению рисков.
• Планирование действий в чрезвычайных ситуациях.
• Процедуры противодействия социальной инженерии и фишингу (включая техническую защиту, многофакторную аутентификацию и регулярное обучение персонала)^[39].
• Меры по защите критической информационной инфраструктуры (КИИ), включая категорирование объектов и переход на отечественное программное обеспечение^[40].
• Эшелонированная защита инфраструктуры от уничтожения (многоуровневая система предотвращения вторжений, изолированное резервное копирование и криптографическая защита)^[41].

Ключевыми международными стандартами и фреймворками в области управления безопасностью являются ISO/IEC 27001, NIST Cybersecurity Framework и COBIT 2019^[42]. ISO/IEC 27001:2022 — актуальная версия стандарта, опубликованная в октябре 2022 года. Переходный период для организаций, сертифицированных по версии 2013 года, завершился 31 октября 2025 года, после чего для сохранения сертификации требуется соответствие новой редакции. В версии 2022 года количество контролей безопасности сокращено со 114 до 93, они сгруппированы в четыре категории (организационные, человеческие, физические и технологические) и снабжены атрибутами для более гибкого применения. Также стандарт требует учитывать влияние климатических и экологических рисков на информационную безопасность^[43]. В России принят соответствующий национальный стандарт ГОСТ Р ИСО/МЭК 27001-2023^[44]. NIST Cybersecurity Framework 2.0 — обновлённая версия фреймворка от Национального института стандартов и технологий США, выпущенная 26 февраля 2024 года. В отличие от предыдущих версий, CSF 2.0 предназначен для организаций любого размера и отрасли, а не только для объектов критической инфраструктуры. К пяти базовым функциям (идентификация, защита, обнаружение, реагирование и восстановление) добавлена шестая — «управление» (Govern), которая подчёркивает важность интеграции кибербезопасности с общей стратегией управления рисками предприятия. COBIT 2019 — фреймворк по управлению и руководству ИТ, предлагающий комплексный подход к управлению корпоративными информационными системами. Он включает 40 целей управления и интегрируется с другими стандартами, включая ISO/IEC 27001 и NIST CSF^[45].