Открыть сервис

Руководство по кибербезопасности

Руководство по кибербезопасности — это совокупность документов, методических материалов, стандартов, инструкций и рекомендаций, предназначенных для организации защиты информации (данных) и информационных систем от несанкционированного доступа, использования, раскрытия, искажения, модификации, уничтожения или нарушения работоспособности. Такие руководства разрабатываются как на уровне государственных органов и международных организаций, так и внутри отдельных компаний для регламентации действий сотрудников и администраторов.

История и предпосылки создания

Потребность в формализованных руководствах по кибербезопасности возникла с развитием компьютерных сетей и ростом числа кибератак. Первые документы, близкие к современным руководствам, появились в 1970-х годах в США и были связаны с защитой военных и правительственных систем. В 1985 году Министерство обороны США опубликовало «Оранжевую книгу» (Trusted Computer System Evaluation Criteria), которая стала одним из первых стандартов оценки безопасности компьютерных систем.

В России системная работа по созданию руководств в области защиты информации началась в 1990-х годах после принятия Закона «О государственной тайне» (1993) и Закона «Об информации, информатизации и защите информации» (1995). Ключевую роль в разработке национальных руководств играют Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная служба безопасности (ФСБ России).

Классификация руководств по кибербезопасности

Руководства по кибербезопасности можно классифицировать по нескольким признакам.

По уровню применения

  • Государственные и отраслевые стандарты. Документы, обязательные для исполнения организациями определённых секторов (например, государственные информационные системы, объекты критической информационной инфраструктуры — КИИ). В России к ним относятся требования ФСТЭК России, приказы Минцифры, методические документы Банка России.
  • Корпоративные политики и инструкции. Внутренние документы организации, разработанные с учётом её специфики, бизнес-процессов и принятых стандартов (например, политика информационной безопасности, инструкция по работе с паролями, регламент реагирования на инциденты).
  • Международные стандарты. Документы, разработанные международными организациями (ISO, NIST, ISACA) и применяемые для сертификации систем менеджмента информационной безопасности (СМИБ). Наиболее известные — ISO/IEC 27001, NIST Cybersecurity Framework (CSF).

По целевому назначению

  • Стратегические. Определяют общие цели, принципы и направления деятельности в области кибербезопасности (например, политика информационной безопасности).
  • Тактические. Описывают процедуры, роли и ответственность для реализации стратегических целей (например, регламент управления доступом, план непрерывности бизнеса).
  • Операционные. Содержат конкретные инструкции для выполнения повседневных задач (например, инструкция по настройке межсетевого экрана, порядок действий при обнаружении вредоносного ПО).

Основные разделы руководства по кибербезопасности

Типовое корпоративное руководство по кибербезопасности обычно включает следующие разделы.

Общие положения и область действия

Определяются цели документа, нормативные ссылки (законы, стандарты), термины и определения, а также границы применения — какие системы, подразделения и сотрудники подпадают под действие руководства.

Политика управления доступом

Описываются правила идентификации, аутентификации и авторизации пользователей. Включает требования к паролям (длина, сложность, срок действия), использование многофакторной аутентификации, управление привилегированными учётными записями.

Защита от вредоносного программного обеспечения

Регламентирует установку и обновление антивирусного ПО, правила проверки съёмных носителей, порядок действий при подозрении на заражение, а также запрет на установку нелицензионного или непроверенного программного обеспечения.

Безопасность сетевой инфраструктуры

Включает требования к сегментации сети, настройке межсетевых экранов, систем обнаружения и предотвращения вторжений (IDS/IPS), защите беспроводных сетей, а также правила удалённого доступа (VPN).

Управление инцидентами информационной безопасности

Определяет порядок выявления, регистрации, классификации и реагирования на инциденты. Описываются роли членов группы реагирования (CSIRT/SOC), процедуры эскалации, сбора цифровых доказательств и восстановления после инцидента.

Обеспечение непрерывности бизнеса и восстановление после сбоев

Содержит планы резервного копирования, процедуры восстановления данных и систем, а также сценарии действий при различных чрезвычайных ситуациях (отказ оборудования, кибератака, стихийное бедствие).

Обучение и повышение осведомлённости персонала

Регламентирует программы обязательного обучения сотрудников основам кибербезопасности, периодичность тренингов, методы проверки знаний (например, симуляция фишинговых атак).

Ответственность и санкции

Устанавливает меры дисциплинарной, административной или материальной ответственности за нарушение требований руководства.

Применение в России

В Российской Федерации разработка и внедрение руководств по кибербезопасности регулируются рядом нормативных правовых актов. Основными из них являются:

  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  • Федеральный закон № 152-ФЗ «О персональных данных».
  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Указ Президента РФ № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации».
  • Методические документы ФСТЭК России (например, «Меры защиты информации в государственных информационных системах», «Профили защиты»).
  • Стандарты Банка России (например, ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций»).

Организации, работающие с государственной тайной или являющиеся субъектами КИИ, обязаны руководствоваться требованиями ФСТЭК России и ФСБ России. Для коммерческих организаций, не относящихся к КИИ, соблюдение государственных стандартов часто носит рекомендательный характер, однако может быть обязательным при обработке персональных данных.

Критика и ограничения

Несмотря на важность, руководства по кибербезопасности имеют ряд недостатков. Критики отмечают, что формальный подход к их созданию может приводить к бюрократизации процессов, когда документы существуют «для галочки», а реальные меры защиты не реализуются. Кроме того, быстрое изменение ландшафта угроз требует постоянного обновления руководств, что не всегда успевают делать организации. Ещё одной проблемой является сложность адаптации международных стандартов (например, NIST) к российской нормативной базе, что может создавать противоречия в требованиях.

См. также

Источники

  1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  3. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  4. Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации».
  5. Методические документы ФСТЭК России (Меры защиты информации в государственных информационных системах, 2014).
  6. ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  7. NIST Cybersecurity Framework (CSF), Version 1.1, National Institute of Standards and Technology, 2018.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →