17 февраля 2026 г.
Компания «Актив» провела первое исследование зрелости информационной безопасности российских компаний, рассматривая ситуацию с управленческой точки зрения. Подход, предложенный специалистами направления Active.consulting, интересен новизной и комплексным охватом проблематики — при анализе учитывали 5 групп факторов. Параметры оценки выбраны в следующих группах: «Управление информационной безопасностью» «Базовая ИТ- и ИБ-гигиена», «Обеспечение ИБ», «Мониторинг, реагирование и восстановление» и «Комплаенс». Широта охвата позволяла отразить общий взгляд на комплекс процессов, способных привести к возникновению рисков, связанных с ИБ: от готовности инфраструктуры ИТ/ИБ до потенциальных проблем, связанных с регуляторикой.
В ходе первого исследования методика, созданная «Актив», была опробована на данных опроса 52 российских корпоративных заказчиках разного размера (28 компаний с выручкой до 2 млрд руб. в год, 15 — от 2 до 10 млрд и 9 — более 10 млрд), обладающих выделенным ИБ-подразделением, отметил Олег Симаков, директор по развитию в направлении Active.consulting. Компании отличались как размером, так и работой на разных вертикальных рынках. В число опрошенных вошли структуры из промышленности, финансов, ИТ- и ИБ-отраслей, здравоохранения, строительной индустрии и пр. Наибольшую озабоченность вопросами ИБ традиционно проявляет банковский сектор, но теперь ИБ-угрозы касаются компаний из всех отраслей, подчеркнул Александр Дворянский, директор по информационной безопасности в компании «Элемент».
Количество исследуемых компаний пока не позволяет говорить о статистической достоверности результатов, но уже достаточно для понимания важности нового взгляда и корректности созданной методологии. Некоторые выводы можно сделать даже из первого исследования.
Наиболее высокие показатели при комплексной оценке ИБ-зрелости компаний были получены в номинации «Базовая ИТ- и ИБ-гигиена». Аналитики объясняют это малой ресурсоемкостью данного направления: для развития оно не требует существенных вливаний бюджета и в общем случае позволяет решать задачи собственными силами, без привлечения внешних структур. Однако обучение основам кибергигиены проводить надо регулярно, актуализируя тематику и методику согласно развитию рельефа киберугроз, регулярности требует и проведение киберучений.
На втором месте по уровню показателю — раздел «Комплаенс». Требования к обеспечению кибербезопасности, установленные государством, высокие — особенно для работающих с персональными данными, для субъектов КИИ и пр. — за их соблюдением регуляторы следят строго. Далеко не каждый корпоративный заказчик обладает комплексом компетенций — ИТ, ИБ, юридических и пр. — нужных хотя бы для постановки задач под изменения в инфраструктуре, не говоря уже о выполнении соответствующих изменений, прохождении актуальных проверок и получения нужных сертификатов. Для этого часто приходится привлекать внешние компании, причем зачастую получая нужное в составе IaaS/PaaS, о чем мы писали ранее.
Интересно, что в комплаенсе, по данным исследования, преуспели небольшие и средние компании. Как видно, регуляторное давление выступает драйвером: требования регуляторов мотивирует руководство компаний на выделение ресурсов под развитие функции ИБ.
«Управление ИБ», по данным исследования «Актив-софт», находится на третьем месте по среднему уровню оценок. Это многофакторный перманентный процесс, в который должны быть включены не только «безопасники», но и другие подразделения — от ИТ и финансового отдела до HR и высшего менеджмента компании. Разницу в оценках в зависимости от размера бизнеса в категории «Управление ИБ» объяснила Анастасия Харыбина, председатель Ассоциации пользователей стандартов по информационной безопасности, которая отметила, что в небольшой компании, обладающей компактной ИТ-инфраструктурой, проще и дешевле обеспечить грамотное управление ИБ, а с ростом бизнеса растет как техническая сложность процессов, протекающих в ИТ, так и их бюрократизация.
«Мониторинг, реагирование и восстановление» — на предпоследнем месте. Отметим важность этих факторов, которые характеризуют проработанность компанией сценариев на ситуацию после успешной кибератаки. Полностью непроницаемую «стену» вокруг ИТ-ландшафта воздвигнуть невозможно, количество хакерских атак постоянно растет, какие-то из них окажутся успешными, поэтому необходимо заранее предусмотреть необходимые действия со стороны компании. Это комплекс мер по выдавливанию хакеров из инфраструктуры организации, проведению расследования инцидента, закрытию уязвимостей и, если такое потребуется, восстановление нарушений в работе ИТ, вызванного хакерскими атаками.
«Обеспечение ИБ» — в данном пункте опрашиваемые оценивали уровень соответствия современным вызовам имеющихся у компаний программных и аппаратных компонент для построения системы «кибербеза» — оказалось на последнем месте Это наиболее затратная часть среди всех рассматриваемых в исследовании (тут требуемых денег никогда не бывает «с избытком»). Кроме того, вызовы меняются очень быстро (ситуацию определяет инициатива атакующих), поэтому инструменты, нужные сегодня, следовало бы заказывать вчера — поэтому удовлетворенность опрошенных этом направлением оказалась относительно невысокая.
«Компании, как правило, уверенно закрывают базовую ИТ- и ИБ-гигиену, а также формальные требования регуляторов, однако заметно слабее выглядят в части системной архитектуры, технической оснащенности и зрелых процессов мониторинга и реагирования», — отметил Дмитрий Хомутов, директор компании «Айдеко», комментируя результаты исследования.
Полный вариант исследования доступен здесь. В его планируют проводить регулярно.
Источник: Александр Маляревский, внештатный обозреватель IT Channel News
