Управление информационной безопасностью

Проблема управления информационной безопасностью встала ещё во времена появления Windows NT и Интернета как массового продукта. Получившие доступ к новым технологиям хакеры начали активно их использовать для воровства данных кредитных карт и других видов мошенничества^[3].

Британский институт стандартов (BSI) при участии коммерческих организаций начал разработку стандарта управления информационной безопасностью. Результатом работы BSI в 1995 году стало принятие национального британского стандарта BS 7799 по управлению информационной безопасностью организаций. Стандарт состоял из двух частей: первая часть стандарта (BS 7799:1) носила рекомендательный характер, а вторая (BS 7799:2) предназначалась для сертификации и содержала ряд обязательных требований, не входивших в первую часть.

В 1999 году в Международной организации по стандартизации (ISO) было принято решение взять за основу стандарта в области информационной безопасности BS 7799:1. В результате был принят стандарт ISO 17799, который базируется на стандарте BS 7799:1. Новейшей редакцией данного стандарта является ISO/IEC 17799:2005.

Стандарт ISO/IEC 17799:2005 объединяет лучший мировой опыт управления информационной безопасностью компании. Стандарт определяет принципы и является руководством по разработке, внедрению, сопровождению и совершенствованию системы управления информационной безопасностью. Он описывает механизмы постановки целей по контролю и определению средств контроля в различных областях управления информационной безопасностью.

Изначально была предусмотрена только сертификация по стандарту BS 7799:2. Процедура сертификации по стандарту ISO появилась после выхода в 2005 году стандарта ISO 27001:2005.

Стандарт ISO/IEC 27001:2005 устанавливает требования к системе управления информационной безопасностью предприятия. Он служит руководством по определению, снижению и управлению опасностями и угрозами, которым может подвергаться информация. Стандарт ISO/IEC 27001:2005 разработан для помощи в выборе эффективных и адекватных средств и для создания уверенности у потребителей и партнёров организации в том, что информация защищена должным образом.

Стандарт может применяться в большинстве организаций независимо от их типа деятельности.

Организация, использующая ISO/IEC 27001:2005 в качестве основы для системы управления информационной безопасностью, может быть зарегистрирована в Британском институте стандартов (British Standards Institute, BSI), что продемонстрирует всем заинтересованным сторонам соответствие системы управления информационной безопасностью предприятия международному стандарту^[4].

С начала 2000-х годов, когда хакерство превратилось в прибыльный бизнес, которым стали страдать государства и крупные международные корпорации, ИТ-компании начали разрабатывать конкретные решения в области управления информационной безопасностью, включающие не только антивирусные программы, но и утилиты, занимающиеся мониторингом системных журналов (лог-файлов).

После кибератаки на Sony в США было создано специализированное агентство по кибербезопасности, одной из задач которого стала разработка новых стандартов управления информационной безопасностью^[5].

В 2013 году была выпущена версия стандарта ISO/IEC 27001:2013, которая привела его в соответствие с новой высокоуровневой структурой и обновила перечень мер контроля информационной безопасности^[6].^[7]

В 2022 году была опубликована версия ISO/IEC 27001:2022, адаптировавшая стандарт к современным угрозам. В ней Приложение А было реорганизовано в 93 элемента контроля, распределённых по четырём темам (организационные, человеческие, физические и технологические). Также были добавлены новые меры безопасности, включая анализ информации об угрозах и обеспечение информационной безопасности при использовании облачных сервисов^[8].

Управление информационной безопасностью выходит за рамки централизованного удалённого управления антивирусами и другими решениями, обеспечивающими защиту информации. Менеджмент информационной безопасности — это не только централизованный контроль над своевременным обновлением антивирусных баз, регулярным антивирусным сканированием и выполнением на клиентской стороне других задач, связанных с защитой информации. Это важная часть управления всей организации, обеспечивающая эффективность процессов и решающая как тактические, так и стратегические задачи.

Основные функции систем управления информационной безопасностью (СУИБ):

— выявление и анализ рисков информационной безопасности, включая использование искусственного интеллекта и машинного обучения для предиктивной аналитики и непрерывной оценки^[9];

— планирование и практическая реализация процессов, направленных на минимизацию рисков информационной безопасности;

— контроль этих процессов;

— внесение необходимых корректировок в процессы минимизации информационных рисков.

Качественное управление информационной безопасностью основывается на следующих принципах:

— комплексный подход — управление информационной безопасностью должно быть всеобъемлющим, охватывать все компоненты информационной системы и учитывать все актуальные рискообразующие факторы, действующие в информационной системе предприятия или государственного учреждения и за их пределами;

— согласование с задачами и стратегией организации;

— высокий уровень управляемости;

— адекватность используемой и генерируемой информации;

— эффективность — оптимальный баланс между возможностями, производительностью и издержками СУИБ;

— непрерывность управления;

— процессный подход — связывание процессов управления в замкнутый цикл планирования, внедрения, проверки, аудита и корректировки и поддержание неразрывной связи между этапами цикла, что позволяет сохранять и постоянно повышать качество СУИБ^[10].

— принцип киберустойчивости (Cyber Resilience) и адаптивного управления — способность предвидеть, противостоять, восстанавливаться и адаптироваться к атакам (согласно фреймворку NIST CSF 2.0)^[11][12];

— интеграция СУИБ в общую систему управления рисками предприятия (ERM) в качестве стратегического элемента^[13].

Искусственный интеллект (ИИ) и машинное обучение активно применяются для углубленной автоматизации процессов мониторинга информационной безопасности. Системы на базе ИИ способны в реальном времени анализировать большие объемы данных и выявлять аномалии с помощью поведенческого анализа. Это позволяет перевести защиту из реактивной модели в проактивную, прогнозируя и блокируя сложные атаки на ранних стадиях^[1].^[14]

Вместе с тем развитие генеративного ИИ создает новые векторы угроз. Злоумышленники используют данные технологии для масштабирования атак, генерации продвинутого фишинга и создания дипфейков^[15]. Серьезным вызовом для организаций также становится «теневой ИИ» — неконтролируемое использование сотрудниками публичных ИИ-сервисов, что несет риски утечки конфиденциальной информации. Для минимизации этих рисков система управления информационной безопасностью должна адаптироваться посредством внедрения политик безопасного использования ИИ и применения систем контроля за утечками данных^[16].

Переход от традиционной периметральной модели защиты к архитектуре «нулевого доверия» (Zero Trust) стал критически важным для обеспечения безопасности в современных гибридных рабочих средах. В условиях распространения удалённой работы и облачных сервисов классическая защита периметра оказалась недостаточно эффективной. Модель Zero Trust базируется на принципе «никогда не доверяй, всегда проверяй» и предполагает отсутствие доверия по умолчанию к любому пользователю или устройству, независимо от их местоположения. Её реализация основывается на постоянной верификации каждого запроса, микросегментации сети для изоляции возможных угроз и строгом соблюдении принципа минимальных привилегий, при котором доступ предоставляется исключительно в объёме, необходимом для выполнения конкретной задачи^[1].^[17][18]

Управление машинными идентификационными данными (Machine Identity Management, MIM) является важным компонентом современной системы управления информационной безопасностью (СУИБ). Этот процесс направлен на обеспечение безопасности цифровых учётных данных, которые используют для аутентификации и взаимодействия не-человеческие сущности, такие как приложения, устройства, серверы, API, контейнеры и скрипты^[19]. Поскольку в современных ИТ-средах количество машинных идентификаторов значительно превышает число человеческих^[20], без надлежащего управления такие идентификаторы (включая TLS-сертификаты, SSH-ключи и токены API) могут стать серьёзными уязвимостями, приводящими к утечкам данных и сбоям в работе сервисов. Эффективное управление машинными идентификаторами обеспечивает их полный жизненный цикл и автоматизацию процессов выдачи и отзыва^[21]. Кроме того, оно служит фундаментальным элементом для поддержки архитектуры «нулевого доверия» (Zero Trust) в рамках СУИБ, обеспечивая непрерывную проверку подлинности каждого взаимодействия между машинами и применение принципа наименьших привилегий^[22][1].

Острый дефицит квалифицированных кадров в сфере информационной безопасности стимулирует стремительный рост рынка управляемых услуг кибербезопасности (MSSP). Нехватка специалистов и высокая стоимость содержания штатных экспертов вынуждают организации передавать функции по управлению и мониторингу защиты внешним провайдерам. Эта тенденция особенно актуальна для среднего бизнеса, которому требуется комплексная защита, но не хватает ресурсов для формирования собственного штата. В результате российский рынок MSSP демонстрирует высокие темпы роста: его годовой рост оценивается в 25—30 %, а объём рынка, по прогнозам аналитиков, может достичь 54,1 млрд рублей к 2028 году^[23][24][25].

Практики управления информационной безопасностью имеют большое значение в самых различных сферах: коммерческой, банковской, государственной, медицинской и других^[26], так как в этих областях люди имеют дело с тайной информацией.

Для общества грамотное использование технологий управления информационной безопасностью означает обеспечение приватности и защиты идентичности каждого члена.

Зрелость процессов информационной безопасности напрямую влияет на инвестиционную привлекательность, рыночную стоимость и операционную устойчивость компании^[27]. Роль директора по информационной безопасности (CISO) трансформировалась из технического специалиста в стратегического бизнес-партнёра, который взаимодействует с советом директоров на языке бизнес-рисков^[28][29]. При этом человеческий фактор, в частности социальная инженерия, остаётся главным вектором кибератак, что подчёркивает важность постоянного обучения персонала^[30].