«Если ваш план по информационной безопасности на пять лет — это просто документ, который будет пылиться в папке, а не живая карта действий, то вы не двигаетесь от рисков к контролю, а просто фиксируете проблемы на бумаге. Реальный переход начинается, когда вы перестаете описывать ‘что должно быть’ и начинаете определять ‘что мы делаем завтра, а что через квартал’.»
Целевое состояние и план действий в ИБ
От анализа рисков к конкретным действиям и измеримым результатам
Анализ рисков без последующего планирования — это диагностика без назначения лечения. После того как вы оценили угрозы и уязвимости, следующий шаг — не просто осознать проблему, а определить конкретное будущее. На каком уровне защищённости должна находиться ваша компания через год или два? Ответ на этот вопрос и есть целевое состояние информационной безопасности.
Определение целевого состояния: от абстракции к метрикам
Целевое состояние — это не расплывчатые формулировки вроде «повысить безопасность». Это точное описание архитектуры, процессов и метрик, к которым вы стремитесь. Оно превращает стратегические намерения в измеримый ориентир.
Архитектурная модель: от периметра к Zero Trust
Многие организации до сих пор работают в модели «крепости», где защищён периметр. Целевым состоянием сегодня всё чаще становится архитектура Zero Trust («нулевое доверие»). Она не предполагает автоматического доверия никому и ничему, проверяя каждый запрос на доступ как извне, так и изнутри сети. Это не просто модный термин, а ответ на размытие корпоративного периметра из-за удалённой работы и облачных сервисов.
Конкретный результат: вместо цели «защититься от утечек» формулируется «внедрить сегментацию сети на уровне микросегментов и обязательную многофакторную аутентификацию для всех критичных систем к концу года».
Операционная модель: от реактивной к проактивной
Целевым состоянием может быть переход от тушения инцидентов к их предотвращению. Это означает внедрение системы управления уязвимостями, регулярное тестирование на проникновение (пентесты), а не после факта взлома, и создание центра мониторинга безопасности (SOC), который занимается поиском угроз, а не только реагированием на сработавшие алерты.
Конкретный результат: «снизить среднее время обнаружения угроз (MTTD) с 7 дней до 1 часа за 18 месяцев за счёт развёртывания SIEM-системы и автоматизации анализа логов».
Нормативная база и лучшие практики
Часто целевое состояние привязано к соответствию требованиям. Для российского IT-сектора это, прежде всего, 152-ФЗ и акты ФСТЭК. Однако останавливаться на минимуме, предписанном регулятором, рискованно. Целесообразно ориентироваться на лучшие практики, адаптированные под ваш контекст. Например, использовать структурированные подходы вроде CIS Controls или NIST Cybersecurity Framework как каркас, дополняя их конкретными требованиями российского законодательства.
Ключевые показатели эффективности: как измерить движение к цели
Если вы не можете измерить прогресс, вы не можете им управлять. Целевое состояние должно быть выражено в показателях, которые делятся на технические и организационные.
| Категория | Показатель (KPI) | Пример целевого значения |
|---|---|---|
| Техническая защита | Доля систем, охваченных антивирусной защитой / EDR | 100% |
| Снижение количества критических и высоких уязвимостей | на 80% за год | |
| Среднее время на установку критических обновлений (patch) | менее 72 часов | |
| Обнаружение и реакция | Среднее время до обнаружения инцидента (MTTD) | менее 30 минут |
| Среднее время на устранение инцидента (MTTR) | менее 16 дней (для сложных инцидентов) | |
| Человеческий фактор | Успешность прохождения тестов на фишинг сотрудниками | более 90% устойчивости (менее 10% кликов) |
| Доля сотрудников, прошедших ежегодное обучение ИБ | 100% | |
| Соответствие | Количество несоответствий требованиям ФСТЭК / 152-ФЗ | 0 по результатам ежегодного внутреннего аудита |
Разработка дорожной карты: от цели к задачам на завтра
Дорожная карта — это декомпозиция целевого состояния на последовательные, реалистичные шаги с чёткими сроками и ответственными. Это мост между стратегией и тактикой.
Типичная годовая дорожная карта может выглядеть так, выстраивая меры по нарастанию сложности:
Квартал 1: Фундамент и оценка
- Проведение полной инвентаризации информационных активов (что у нас есть и где?).
- Уточнение и формализация оценки рисков, расстановка приоритетов.
- Внедрение базовой политики управления паролями и учётными записями.
- Обеспечение 100% покрытия рабочих станций актуальным антивирусным ПО.
Квартал 2: Усиление контроля доступа и реакция
- Внедрение многофакторной аутентификации для административных учётных записей и критичных систем (почта, финансовые системы).
- Разработка и согласование базового плана реагирования на инциденты ИБ.
- Запуск первого теста на фишинг для оценки текущего уровня осведомлённости сотрудников.
- Настройка базового централизованного сбора и анализа логов для ключевых серверов.
Квартал 3: Продвинутая защита и проверка
- Начало пилотного внедрения SIEM-системы для корреляции событий безопасности.
- Проведение первого регулярного тестирования на проникновение внешнего периметра.
- Реализация сегментации сети для изоляции наиболее ценных активов (например, базы данных).
- Проведение первых киберучений для команды ИБ и IT по утверждённому плану реагирования.
Квартал 4: Аудит, автоматизация и планирование нового цикла
- Проведение внутреннего аудита на соответствие целевым показателям и требованиям 152-ФЗ.
- Автоматизация рутинных задач ИБ: рассылка уведомлений об инцидентах, сбор отчётов.
- Анализ эффективности внедрённых мер, корректировка дорожной карты на следующий год.
- Проектирование и начало поэтапного внедрения элементов Zero Trust (например, для новых проектов).
Что делает дорожную карту рабочей, а не формальной
Привязка к рискам. Каждый пункт в дорожной карте должен быть ответом на конкретный риск, выявленный на этапе оценки. Нет риска утечки с привилегированных учётных записей? Тогда внедрение PAM-системы может подождать.
Реалистичность ресурсов. План должен учитывать бюджет, человеческие ресурсы и нагрузку на операционные IT-процессы. Нельзя одновременно внедрять SIEM, DLP и проводить масштабные учения, если в отделе ИБ два человека.
Гибкость. Дорожная карта — не догма. Новые угрозы, изменения в инфраструктуре или бизнес-процессах компании требуют её пересмотра. Регулярный (например, ежеквартальный) review плана — обязательная практика.
Ответственность и метрики. У каждой задачи должен быть ответственный и критерий её завершения. «Внедрить MFA» — это плохо. «Ответственный: Иванов А.И. К 25.10 обеспечить работу MFA для всех пользователей домена при входе в VPN, с долей успешных подключений >98%» — это конкретная задача.