Аудит информационной безопасности: комплексная модель оценки зрелости процессов

Вопрос зрелости практик информационной безопасности волнует практически каждую российскую компанию: кибератаки становятся изощреннее, требования регуляторов ужесточаются, а импортозамещение требует быстро перестраивать ИТ-процессы. Как понять, насколько ваша система действительно надежна, где скрываются слабые места и как обосновать инвестиции в защиту? Ответ — в комплексной модели оценки зрелости, которую я нашла, перевела и теперь делюсь с вами.

Этот фреймворк — не просто очередной чек-лист: он синтезирует лучшие практики мировых стандартов (COBIT, ISO 27001, NIST, DNB/BIO) и позволяет провести оценку по пяти уровням зрелости с однозначными, понятными критериями для каждой практики. 

Основа модели оценки — синтез мировых стандартов

Модель синтезирует лучшие практики из 5+ международных стандартов:

1. COBIT 4.1/5 — глобальный стандарт корпоративного управления ИТ, разработанный международной ассоциацией ISACA.

2. ISO 27001:2013 — Система менеджмента информационной безопасности. Международный стандарт, который определяет требования к созданию, внедрению, поддержанию и непрерывному улучшению системы управления информационной безопасностью

3. NIST Cybersecurity Framework — структура для управления киберрисками критической инфраструктуры, разработанный NIST(Identify-Protect-Detect-Respond-Recover).

4. DNB 2017 – De Nederlandsche Bank (Голландский центральный банк) – руководящие принципы по управлению ИКТ-рисками для финансовых институтов, находящихся под надзором DNB. Документ устанавливает минимальные требования к управлению информационно-коммуникационными технологиями в финансовом секторе Нидерландов.

5. BIO 2019 — Базовая норма информационной безопасности для правительственных организаций Нидерландов, адаптированная для банковского сектора. BIO 2019 является обновленной версией национального стандарта безопасности.

📌 Важно: каждый пункт оценки в модели содержит прямые ссылки на конкретные пункты стандартов (например, A.14.2.5 ISO 27001).

Однозначная оценка уровня зрелости

Оценка зрелости по пяти-уровневой модели (от хаотичных процессов до оптимизации). Для оценки применяются понятные индикаторы на каждый уровень.

Например, для области управления «Управления изменениями» практики «Экстренные изменения» уровень 3 требует:

• Документированный регламент — утверждённая процедура управления экстренными изменениями, доступная всем сотрудникам.

• Стандартизированное выполнение — все запросы обрабатываются по единому алгоритму (чек-лист, шаблон заявки).

• Чёткое распределение ролей — матрица RACI с ответственными за авторизацию, реализацию и постконтроль.

• Обязательная пост-авторизация — все изменения проходят ретроспективный анализ после внедрения.

• Журнал отклонений — фиксация и расследование случаев нарушения процедуры.

Структура модели

Модель охватывает все аспекты защиты информации — от стратегического планирования до технических контролей. Каждая область содержит конкретные элементы управления с чёткими индикаторами для оценки.

1. Управление

• GO.01 Стратегия

• GO.02 Политика

• GO.03 План/дорожная карта

• GO.04 Архитектура

• GO.05 Независимая гарантия

Область фокусируется на стратегическом управлении информационной безопасностью, включая разработку политик, архитектуры и обеспечение независимого аудита.

2. Организация

• OR.01 Право собственности, роли, подотчетность и обязанности

• OR.02 Разделение обязанностей

Область определяет организационную структуру управления безопасностью и принципы разделения ответственности.

3. Управление рисками

• RM.01 Структура управления информационными рисками

• RM.02 Оценка риска

• RM.03 План действий по снижению риска и его смягчению

Критически важная область, охватывающая полный цикл управления рисками информационной безопасности.

4. Человеческие ресурсы

• HR.01 Набор персонала

• HR.02 Сертификация, обучение и образование

• HR.03 Зависимость от отдельных лиц

• HR.04 Изменение работы и увольнение

• HR.05 Обмен знаниями

• HR.06 Осведомленность о безопасности

Объемная область, признающая человеческий фактор как ключевой элемент информационной безопасности.

5. Управление конфигурацией

• CO.01 Идентификация и обслуживание элементов конфигурации

• CO.02 Конфигурационный репозиторий и базовый уровень

Область обеспечивает контроль за изменениями в ИТ-инфраструктуре и поддержание актуальной документации конфигураций.

6. Управление инцидентами/проблемами

• IM.01 Управление инцидентами

• IM.02 Эскалация инцидента

• IM.03 Реагирование на инциденты, связанные с кибербезопасностью

• IM.04 Управление проблемами

Область фокусируется на эффективном реагировании на инциденты безопасности и системные сбои, включая их эскалацию и устранение коренных причин.

7. Управление изменениями

• CH.01 Изменить стандарты и процедуры

• CH.02 Оценка воздействия, расстановка приоритетов и авторизация

• CH.03 Экстренные изменения

• CH.04 Тестовая среда

• CH.05 Тестирование изменений

• CH.06 Продвижение к производству

Область обеспечивает контролируемое внедрение изменений в ИТ-среде с минимизацией рисков для бизнес-процессов.

8. Разработка системы

• SD.01 Методология безопасной разработки и внедрения программного обеспечения

• SD.02 Доступ разработчиков к производству

• SD.03 Преобразование и миграция данных

Область обеспечивает внедрение принципов «безопасность по дизайну» в процессы разработки и развертывания ПО.

9. Управление данными

• DM.01 Право собственности на данные и систему

• DM.02 Классификация

• DM.03 Требования безопасности к управлению данными

• DM.04 Условия хранения и удержания

• DM.05 Обмен конфиденциальными данными

• DM.06 Утилизация

Область охватывает полный жизненный цикл управления данными от классификации до безопасной утилизации.

10. Управление идентификацией и доступом

• ID.01 Правила доступа

• ID.02 Администрирование прав доступа

• ID.03 Супер пользователи

• ID.04 Конвертная процедура

• ID.05 Периодический пересмотр прав доступа

Область обеспечивает контроль доступа к информационным ресурсам на основе принципа минимальных привилегий.

11. Управление безопасностью

Самая техническая и объемная область, включающая:

• SM.01 Базовые показатели безопасности

• SM.02 Механизмы аутентификации

• SM.03 Мобильные устройства и удаленная работа

• SM.04 Ведение журнала

• SM.05 Тестирование безопасности, наблюдение и мониторинг

• SM.06 Управление исправлениями

• SM.07 Управление угрозами и уязвимостями

• SM.08 Защита и доступность ресурсов инфраструктуры

• SM.09 Техническое обслуживание инфраструктуры

• SM.10 Управление криптографическими ключами

• SM.11 Сетевая безопасность

• SM.12 Управление вредоносными атаками

• SM.13 Защита охранных технологий

Самая техническая и объемная область, охватывающая технические аспекты защиты информации и ИТ-инфраструктуры.

12. Физическая безопасность

• PH.01 Физические меры безопасности

• PH.02 Управление правами физического доступа

Область обеспечивает физическую защиту информационных активов и контроль доступа к помещениям и оборудованию.

13. Компьютерные операции

• OP.01 Обработка заданий

• OP.02 Процедуры резервного копирования и восстановления

• OP.03 Управление мощностью и производительностью

Область фокусируется на операционных процессах ИТ-инфраструктуры, включая резервное копирование и обеспечение производительности.

14. Управление непрерывностью бизнеса

• BC.01 Планирование непрерывности бизнеса

• BC.02 Тестирование восстановления после сбоев

• BC.03 Внешнее хранилище резервных копий

• BC.04 Репликация данных

• BC.05 Управление кризисом

Область обеспечивает готовность организации к восстановлению критически важных бизнес-процессов после серьезных инцидентов.

15. Управление цепочками поставок

• SC.01 Соглашение об уровне обслуживания

• SC.02 Управление уровнем обслуживания

• SC.03 Управление рисками поставщиков

• SC.04 Внутренний контроль у третьих лиц

Область охватывает управление рисками, связанными с внешними поставщиками и подрядчиками, включая контроль качества их услуг.

Для кого модель оценки полезна

Руководителям по информационной безопасности (CISO) для определения стратегии развития, аргументов для защиты бюджета и визуализации объективной картины зрелости процессов.

Для руководителей отделов — ИТ, HR, управления рисками — инструмент для самостоятельной оценки зрелости в своих зонах ответственности, выявления слабых мест и планирования точечных улучшений.

Аудиторам для проведения комплексной проверки на соответствие международным и отраслевым стандартам (например, DNB, BIO, NIST), отсылки на требования стандартов в модели помогут быстро сориентироваться из какой области знаний требование.

Для стартапов и быстрорастущих компаний модель станет готовым фреймворком для быстрого запуска процессов информационной безопасности без необходимости «изобретать велосипед».  

Где может быть применима? 

1. Слияние компаний — оценка зрелости ИБ в организациях для выравнивания процессов.

2. Подготовка к аудиту и проверкам регуляторов — предварительный self-assessment.

3. Развитие практик управления ИБ и самооценка — поиск областей улучшения.

Если в вашей организации уже выстроен процесс оценки, то это способ посмотреть на то, как проводят аудит другие организации и перенять опыт или подтвердить полноту вашей модели.

📥 Где взять? Файл с моделью и расчетами в файле по ссылке.

---

Материал бережно подготовлен: