“Стратегия безопасности — это не список мер, а умение сказать, от чего вы не защищаетесь, чтобы защитить что-то другое. Если всё важно, значит, всё одинаково уязвимо.”
Анализ угроз и оценка рисков как основа стратегии ИБ
Любая попытка защитить всё подряд ведёт к распылению ресурсов и условной безопасности. Стратегия начинается с жёсткого выбора. Анализ угроз и оценка рисков — это инструмент для такого выбора, который переводит абстрактную «угрозу кибератаки» в конкретный язык: вероятность, уязвимость и ущерб для бизнеса. Без этого документа требования регуляторов превращаются в бессмысленный чек-лист, а бюджет на ИБ расходуется на красивые, но бесполезные решения.
В российском контексте формальная оценка рисков — обязательный элемент для соответствия 152-ФЗ и требованиям ФСТЭК. Однако её реальная ценность не в галочке для проверяющего, а в том, чтобы выявить, какие именно активы могут стать причиной санкций или остановки деятельности при компрометации. Простая таблица из трёх столбцов — угроза, вероятность, потенциальный ущерб — часто даёт больше понимания, чем многостраничные отчёты по шаблону.
Классификация активов по уровню критичности
После оценки рисков вы не просто знаете об угрозах, вы понимаете, где они бьют сильнее всего. Классификация активов — это следующий логический шаг, который превращает знание в план действий. Её цель — создать иерархию, где защита пропорциональна последствиям отказа.
Попытка защитить тестовый стенд разработчиков с той же тщательностью, что и сервер 1С с налоговой отчётностью, — это не благоразумие, а расточительство. Классификация позволяет сфокусироваться.
Критический уровень: основа непрерывности бизнеса
Компрометация любого актива из этой категории приводит либо к остановке ключевых операций, либо к прямым юридическим последствиям, таким как штрафы за нарушение 152-ФЗ. Ресурсы на их защиту выделяются в первую очередь и без компромиссов.
- Контроллеры домена (Active Directory) — падение этого актива парализует всю инфраструктуру. Сброс пароля администратора здесь опаснее, чем вирус на сотне рабочих станций.
- Серверы баз данных — хранят ядро: персональные данные, финансовые транзакции, коммерческую тайну. Утечка отсюда — это не просто инцидент, а событие, о котором, возможно, придётся уведомлять Роскомнадзор.
- Серверы 1С — для большинства российских компаний это синоним бухгалтерии и расчёта зарплат. Их недоступность останавливает платежи и нарушает сроки сдачи отчётности.
- Почтовые серверы — критичны не только как средство коммуникации, но и как главный канал целевых фишинговых атак на ключевых сотрудников.
- Серверы резервного копирования — их целостность проверяется не при аварии, а до неё. Шифрование резервных копий от программ-вымогателей стало таким же обязательным элементом, как и их создание.
- Гипервизоры (VMware ESXi, Hyper-V) — одиночная точка отказа для десятков виртуальных машин. Атака на уязвимость гипервизора сегодня — один из самых разрушительных сценариев.
- Системы управления доступом (СКУД, биометрия) — подпадают под требования защиты персональных данных. Их взлом — это не только физическая угроза, но и прямое нарушение 152-ФЗ.
Защита здесь строится по принципу «глубокой эшелонированной обороны»: сегментация сети, строгий контроль привилегий, системное журналирование (включая SIEM), регулярное тестирование на проникновение и обязательное соответствие профильным требованиям ФСТЭК.
Высокий уровень: важная, но не жизненно необходимая инфраструктура
Сбой этих систем создаст серьёзные операционные трудности, но не парализует компанию полностью. Время на восстановление (RTO) может измеряться часами.
- Терминальные серверы и VPN-шлюзы — обеспечивают удалённую работу. Их отказ сегодня равнозначен остановке офиса.
- Веб-серверы — публичные сайты и внутренние порталы. Компрометация ведёт к репутационным потерям и потенциальной утечке данных из админ-панелей.
- Серверы видеонаблюдения и аналитики СКУД — данные с них также являются персональными и подлежат защите.
- Файловые серверы и файловые хранилища — часто становятся жертвой шифровальщиков из-за слабого контроля доступа.
- Серверы управления безопасностью (консоли EDR, антивирусов) — потеря управления средствами защиты делает их бесполезными.
- Прокси-серверы и шлюзы — ключевой элемент фильтрации входящих угроз и контроля исходящего трафика.
- Системы мониторинга (Zabbix, Prometheus) — их отказ ослепляет службу эксплуатации, но не останавливает сами бизнес-процессы.
Защита строится на надёжных, но не обязательно избыточных решениях: своевременное обновление, чёткие правила доступа, обязательное ведение журналов событий для расследования инцидентов.
Средний уровень: системы поддержки и разработки
Влияют на эффективность работы отдельных команд. Их долгосрочный простой (сутки и более) может замедлить разработку или ухудшить качество сервиса, но не приведёт к штрафам или остановке продаж.
- Серверы для разработки и тестирования — могут содержать копии реальных данных, но не актуальные производственные данные.
- Git-серверы (GitLab, Gitea) — потеря исходного кода — это катастрофа для разработки, но не для текущей работы бизнеса.
- Серверы непрерывной интеграции (CI/CD) — автоматизируют процессы, но ручные методы могут их временно заменить.
- Тестовые и стендовые среды — их назначение — поглощать риски, связанные с изменениями.
- Внутренние системы документооборота — важны для workflow, но не для сиюминутных операций.
Достаточно базовых мер: минимальный набор правил безопасности, регулярные обновления, изоляция от наиболее критичных сегментов сети. Основная цель — не допустить использования этих систем как плацдарма для атаки на активы более высокого уровня.
Низкий уровень: временные и вспомогательные ресурсы
Сюда попадают забытые виртуальные машины, демонстрационные стенды, персональные среды разработчиков. Парадокс в том, что из-за слабого контроля они часто становятся самой лакомой целью для атакующего и точкой входа в инфраструктуру.
- Не содержат актуальных производственных данных.
- Имеют недокументированную конфигурацию.
- Часто создаются в обход регламентов.
Стратегия для таких активов жёсткая: либо включить их в регламент и поднять уровень защиты, либо ликвидировать. Регулярная инвентаризация и принцип «по умолчанию запрещено» для сетевого доступа — основные инструменты управления.
Непрерывное управление и актуализация классификации
Классификация, сделанная раз в три года, хуже, чем её отсутствие. Она создаёт ложное чувство защищённости. Инфраструктура меняется: разрабатывается новый продукт, подключается облачный сервис, меняется бизнес-процесс. Вчерашний тестовый стенд сегодня может стать платформой для обработки персональных данных клиентов.
Ключевые триггеры для пересмотра классификации:
- Внедрение новой информационной системы.
- Изменения в законодательстве (новые разъяснения ФСТЭК или Роскомнадзора).
- Результаты аудита безопасности или расследования инцидента.
- Смена бизнес-процессов (например, запуск онлайн-продаж).
Процесс управления жизненным циклом актива должен включать этап его классификации. Ни один сервер не должен появиться в сети без ответа на вопрос: «К какой категории критичности он относится и какие меры защиты ему требуются?».
От классификации к стратегии защиты
Сама по себе таблица с уровнями критичности бесполезна. Её ценность — в привязке к конкретным мерам.
| Уровень критичности | Цель восстановления (RTO) | Пример мер защиты | Требования регуляторов |
|---|---|---|---|
| Критический | Минуты – часы | Горячее резервирование, WAF/IPS, строгий контроль доступа, ежедневное резервное копирование, мониторинг SIEM. | Обязательное выполнение всех применимых требований ФСТЭК и 152-ФЗ (УЗ-1, УЗ-2, УЗ-3). Регулярные аттестации. |
| Высокий | Часы – день | Холодное/теплое резервирование, сегментация, EDR, обязательное журналирование. | Выполнение базовых требований 152-ФЗ, защита персональных данных. |
| Средний | 1–3 дня | Периодическое резервное копирование, базовые правила сетевой безопасности, обновления ПО. | Минимальные организационные меры. |
| Низкий | Не регламентировано | Изоляция, планирование вывода из эксплуатации. | Не применимы. |
Итоговый документ стратегического планирования — это не красивая презентация, а живой реестр активов с чётко определёнными уровнями защиты, владельцами, требованиями к восстановлению и привязкой к регуляторным нормам. Такой подход превращает информационную безопасность из статьи затрат в управляемый инструмент поддержки бизнеса и соблюдения закона.