Комплексная система защиты: проектирование и оценка эффективности¶

• Содержание
• Комплексная система защиты: проектирование и оценка эффективности
  • Введение
  • Принципы построения КСЗИ
    • Принцип системности
    • Принцип комплексности
    • Принцип обоснованности
    • Принцип непрерывности
    • Принцип адаптивности
  • Жизненный цикл КСЗИ
    • Стадия 1. Формирование требований
    • Стадия 2. Разработка системы защиты
    • Стадия 3. Внедрение
    • Стадия 4. Аттестация
    • Стадия 5. Эксплуатация
    • Стадия 6. Вывод из эксплуатации
  • Проектирование КСЗИ: от угроз к мерам
    • Алгоритм выбора мер защиты по ФСТЭК
    • Покрытие угроз мерами: матрица соответствия
  • Оценка эффективности КСЗИ
    • Подходы к оценке эффективности
    • Метрики эффективности КСЗИ
    • Зрелость КСЗИ: модель CMM применительно к ИБ
  • Экономика защиты информации
    • Стоимость защиты vs стоимость инцидента
    • Структура затрат на КСЗИ
  • Сквозной итог: КСЗИ для ИСПДн кадровой службы
  • Тренды развития КСЗИ: что актуально в 2025–2026 годах
    • Импортозамещение СЗИ
    • Искусственный интеллект в ИБ
    • Безопасность облачных и гибридных сред
    • Автоматизация управления уязвимостями
  • Структура компетенций специалиста по КСЗИ
  • Итоги курса
  • Список литературы и нормативных актов

Введение¶

Одиннадцать предыдущих лекций выстраивали систему защиты по частям: объект, активы, угрозы, нарушитель, методология, технические меры, организационные меры, аттестация. Финальная лекция решает другую задачу — показать, как всё это собирается в единую систему и как оценить, работает ли она.

Понятие «комплексная система защиты информации» (КСЗИ) — не просто набор купленных и установленных СЗИ. КСЗИ — это управляемая, задокументированная, проверяемая система, в которой каждый элемент обоснован моделью угроз, каждая мера направлена против конкретной угрозы, а эффективность всей системы периодически оценивается и улучшается.

Специалист, понимающий этот принцип, принципиально отличается от «настройщика файерволов»: он проектирует систему защиты сверху вниз — от угроз к мерам, а не снизу вверх — от имеющихся инструментов к придуманным для них угрозам.

Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
(ГОСТ Р 50922-2006)

Принципы построения КСЗИ¶

Прежде чем проектировать систему, необходимо усвоить принципы, которые определяют качество архитектурных решений.

Принцип системности¶

Защита не может быть реализована на одном уровне. Нарушитель всегда ищет наиболее слабое звено — и именно оно определяет реальный уровень защищённости всей системы. Цепь прочна настолько, насколько прочно её слабейшее звено.

Системность означает охват всех компонентов объекта (ОТС, ВТСС, ПО, персонал, помещения), всех видов угроз (антропогенных, техногенных, стихийных) и всех этапов жизненного цикла.

Принцип комплексности¶

Используются меры трёх классов в совокупности:

• Технические — СЗИ, криптография, сетевая защита, DLP.
• Организационные — политики, процедуры, обучение, управление инцидентами.
• Правовые — режим коммерческой тайны, договорные обязательства, выполнение требований регуляторов.

Технические меры без организационных неэффективны: идеальный МЭ бессилен против сотрудника, который передаёт пароль по телефону. Организационные меры без технических невыполнимы: невозможно соблюдать политику паролей без технического принуждения к её выполнению.

Принцип обоснованности¶

Каждая мера защиты должна быть обоснована моделью угроз. Если мера не нейтрализует ни одной актуальной угрозы — она избыточна и создаёт лишние операционные расходы. Если актуальная угроза не нейтрализована ни одной мерой — это брешь в системе защиты.

Формальная связь: актуальная угроза → выбор мер (Приказы ФСТЭК) → реализация → контроль эффективности.

Принцип непрерывности¶

Защита должна функционировать непрерывно, а не только «на время проверки». Угрозы не берут выходных: инцидент может произойти в 3 часа ночи в воскресенье. Это означает:

• Мониторинг безопасности — круглосуточно (SIEM, SOC).
• Дежурство по инцидентам — 24/7 для критичных объектов.
• Резервирование защитных механизмов — отказ одного СЗИ не оставляет объект незащищённым.

Принцип адаптивности¶

Ландшафт угроз меняется. Новые техники атак, новые уязвимости, новые нормативные требования — система защиты должна эволюционировать вместе с ними. Статичная система защиты деградирует: её эффективность снижается с каждым месяцем без обновления.

Принцип адаптивности реализуется через цикл PDCA, лежащий в основе СУИБ по ISO 27001 и в основе требований к периодическому контролю по Приказам ФСТЭК. Связь с курсом «Основы менеджмента ИБ»: 6. Создание СУИБ.

Жизненный цикл КСЗИ¶

КСЗИ создаётся и функционирует в соответствии с жизненным циклом, закреплённым в ГОСТ Р 51583-2014 «Порядок создания АС в защищённом исполнении».

Стадия 1. Формирование требований¶

• Классификация информационной системы (класс защищённости, уровень защищённости ПДн).
• Разработка модели угроз и модели нарушителя (Лекция 5).
• Определение актуальных угроз и требуемых мер защиты на основе Приказов ФСТЭК.
• Формирование технического задания на КСЗИ.

Ключевой документ: Техническое задание на создание КСЗИ — содержит требования к составу мер, характеристикам СЗИ, срокам реализации.

Стадия 2. Разработка системы защиты¶

• Проектирование архитектуры КСЗИ: выбор СЗИ, схема их взаимодействия, сетевая архитектура.
• Разработка технического проекта КСЗИ.
• Разработка рабочей документации (инструкции по эксплуатации СЗИ, схемы информационных потоков).
• Разработка организационно-распорядительной документации (Лекция 10).

Ключевой документ: Технический проект КСЗИ — содержит архитектурные решения, спецификацию применяемых СЗИ, схему защиты.

Стадия 3. Внедрение¶

• Закупка и сертификация СЗИ (проверка наличия действующих сертификатов ФСТЭК / ФСБ).
• Установка и настройка СЗИ согласно техническому проекту.
• Настройка политик ИБ, правил МЭ, политик DLP, ролевых моделей доступа.
• Обучение персонала.
• Предварительные испытания: проверка работоспособности реализованных мер.

Стадия 4. Аттестация¶

• Проведение аттестационных испытаний органом по аттестации (Лекция 11).
• Устранение выявленных несоответствий.
• Получение аттестата соответствия.
• Ввод объекта в эксплуатацию с защищаемой информацией.

Стадия 5. Эксплуатация¶

• Поддержание актуальности мер защиты (обновление сигнатур, патчей, правил).
• Мониторинг безопасности и реагирование на инциденты.
• Периодический контроль соответствия (ежегодный аудит).
• Управление изменениями: контроль влияния изменений на уровень защищённости.
• Пересмотр модели угроз при существенных изменениях.

Стадия 6. Вывод из эксплуатации¶

• Гарантированное уничтожение защищаемой информации на носителях (Лекция 9).
• Уничтожение ключевых документов СКЗИ (Лекция 7).
• Уведомление ФСТЭК об аннулировании аттестата.
• Архивирование документации.

Проектирование КСЗИ: от угроз к мерам¶

Центральный практический навык специалиста по ИБ — умение перевести перечень актуальных угроз в конкретный набор технических и организационных мер. Рассмотрим этот процесс системно.

Алгоритм выбора мер защиты по ФСТЭК¶

Приказы №21, №117, №239 предусматривают единый алгоритм:

1. Определить базовый набор мер — выбрать из таблиц приказа все меры, отмеченные для данного класса (уровня) защищённости. Базовый набор не зависит от конкретных угроз — это минимальный обязательный уровень.
2. Адаптировать базовый набор — исключить меры, неприменимые к данному объекту (с обоснованием), добавить меры, обусловленные спецификой объекта.
3. Уточнить набор мер на основе модели угроз — добавить меры, нейтрализующие актуальные угрозы, не покрытые базовым набором.
4. Дополнить компенсирующими мерами — если техническая реализация какой-либо меры невозможна, заменить её компенсирующей мерой с обоснованием эквивалентного уровня защиты.

Покрытие угроз мерами: матрица соответствия¶

Результатом проектирования является матрица соответствия угроз и мер — документ, показывающий, какая мера нейтрализует какую угрозу. Отсутствие меры для актуальной угрозы — брешь. Наличие меры без соответствующей угрозы — избыточность.

Актуальная угроза	Мера защиты	Группа мер	СЗИ / Инструмент
Эксплуатация уязвимостей веб-приложения	WAF, сканирование уязвимостей, патч-менеджмент	СМЭ, АНЗ	UserGate WAF, MaxPatrol
Фишинг → компрометация учётной записи	МФА, обучение, симуляции фишинга	ИА, ИПО	OTP-токен, KnowBe4
Злоупотребление правами администратора	PAM, разделение обязанностей, запись сессий	УПД	Indeed PAM
Ransomware	Резервное копирование, ЗПС, антивирус, изоляция сегментов	ОЦЛ, ЗИС, АВЗ	Kaspersky EDR, сегментация
Утечка через USB	DLP endpoint, запрет USB, теневое копирование	ЗНИ, ПУИ	DeviceLock DLP
Использование учётных данных уволенного	Процедура увольнения, IAM-интеграция с HR, блокировка в день увольнения	УПД, ОРД	1IDM + процедура HR
Перехват трафика	ГОСТ TLS, VPN с российской криптографией	ЗТСС, ЗИС	КриптоПро TLS, ViPNet

Оценка эффективности КСЗИ¶

Построить систему защиты — половина задачи. Вторая половина — убедиться, что она работает так, как задумано, и измерить степень её эффективности.

Подходы к оценке эффективности¶

Подход 1. Оценка соответствия (compliance-based).
Проверяется, реализованы ли все требуемые меры из нормативных документов. Инструмент — аттестация (Лекция 11) или аудит (курс аудита). Недостаток: соответствие требованиям не гарантирует отсутствие уязвимостей — нарушитель не читал приказы ФСТЭК.

Подход 2. Оценка защищённости (risk-based).
Проверяется, насколько реализованные меры снижают вероятность и последствия реализации актуальных угроз. Инструменты — тестирование на проникновение, Red Team учения, анализ уязвимостей. Ближе к реальности, но дороже и сложнее.

Подход 3. Непрерывный мониторинг (metrics-based).
Постоянное измерение показателей защищённости — метрик ИБ. Позволяет отслеживать деградацию защиты в реальном времени.

Оптимальный подход — комбинация всех трёх: compliance как базовый уровень, регулярный пентест как проверка реальной защищённости, непрерывный мониторинг метрик как индикатор состояния системы.

Метрики эффективности КСЗИ¶

Метрика	Что измеряет	Целевое значение
MTTD (Mean Time to Detect)	Среднее время обнаружения инцидента	Чем меньше — тем лучше; цель < 24 ч для критичных угроз
MTTR (Mean Time to Respond)	Среднее время реагирования и устранения	Определяется RTO (Recovery Time Objective)
Patch Cadence	Доля уязвимостей, устранённых в срок	> 95% критичных уязвимостей устранены за 30 дней
Phishing Click Rate	Доля сотрудников, кликнувших на симулированный фишинг	Снижение на 50%+ после обучения; цель < 5%
Privileged Account Ratio	Доля привилегированных учётных записей от общего числа	Минимизация; отслеживание роста
SLA соответствия	Доля мер защиты в актуальном состоянии	100% базового набора
Число инцидентов по категориям	Динамика инцидентов в разрезе типов угроз	Тренд на снижение; рост — сигнал о неэффективности меры

Зрелость КСЗИ: модель CMM применительно к ИБ¶

Для оценки зрелости процессов ИБ применяется адаптация модели зрелости CMM (Capability Maturity Model):

Уровень	Характеристика	Признаки
0. Отсутствующий	Процессы ИБ не определены	Нет документации, нет ответственных, инциденты не регистрируются
1. Начальный	Процессы хаотичны	Реакция только на инциденты; зависимость от конкретных людей
2. Повторяемый	Базовые процессы есть, но не формализованы	Есть политики, выполняются нерегулярно
3. Определённый	Процессы документированы и выполняются	Аттестация пройдена; регулярный мониторинг
4. Управляемый	Процессы измеряются и контролируются	Метрики ИБ; SLA на инциденты; регулярный аудит
5. Оптимизирующий	Непрерывное совершенствование	Red Team, Threat Intelligence, автоматизация реагирования

Для большинства организаций, обязанных соответствовать требованиям ФСТЭК, целевой уровень зрелости — 3 (Определённый). Уровни 4–5 — характерны для крупных финансовых организаций, телекомов, объектов КИИ 1-й категории.

Экономика защиты информации¶

Система защиты требует инвестиций — и руководство организации вправе требовать обоснования этих инвестиций. Специалист по ИБ должен уметь говорить на языке экономики.

Стоимость защиты vs стоимость инцидента¶

Базовая модель принятия решений: инвестировать в меру защиты имеет смысл, если её стоимость меньше ожидаемого ущерба от угрозы.

Вспомним из Лекции 2:

ROI меры защиты = (ALE до внедрения меры − ALE после внедрения меры) − Стоимость меры
Где ALE = SLE × ARO (ожидаемый годовой ущерб).

Если ROI > 0 — мера экономически обоснована.

Структура затрат на КСЗИ¶

Категория затрат	Примеры
Капитальные (CAPEX)	Закупка СЗИ, лицензии, оборудование серверной, СКУД
Операционные (OPEX)	Техническая поддержка СЗИ, обновление сигнатур, обучение, аудиты
Затраты на соответствие	Аттестация, лицензии ФСТЭК, сертификация СЗИ
Затраты на реагирование	Расследование инцидентов, восстановление, юридические издержки

Часто недооцениваемые статьи — операционные затраты: стоимость владения СЗИ в течение 3–5 лет нередко превышает стоимость его первоначальной покупки.

Сквозной итог: КСЗИ для ИСПДн кадровой службы¶

Завершим сквозной пример, который вёлся через весь курс. Сведём все принятые решения в единую таблицу.

Лекция	Результат	Документ
Лекция 1	Определены границы объекта, состав ОТС/ВТСС, КЗ-1–3	Технический паспорт
Лекция 2	Реестр активов; критичные активы: БД ПДн, резервные копии, учётные записи	Реестр активов
Лекция 3	Перечень потенциальных угроз из БДУ ФСТЭК по категориям	Предварительный перечень угроз
Лекция 4	Актуальные нарушители Н1–Н2; 8 из 13 категорий	Модель нарушителя (раздел 5.1)
Лекция 5	7 актуальных угроз в формате УБИ_i с сценариями	Модель угроз (полный документ)
Лекция 6	Secret Net Studio (СЗИ от НСД), МФА, PAM, SIEM	Технический проект КСЗИ (СЗИ)
Лекция 7	КриптоПро CSP (КС1), ГОСТ TLS, ViPNet Client	Технический проект КСЗИ (СКЗИ)
Лекция 8	UserGate NGFW (МЭ Тип А кл.3), сегментация VLAN, ViPNet IDS	Технический проект КСЗИ (сеть)
Лекция 9	InfoWatch Traffic Monitor DLP, СКУД, видеонаблюдение	Технический проект КСЗИ (DLP+физ.)
Лекция 10	Политика ИБ, матрица доступа, процедура увольнения, план реагирования	Комплект ОРД
Лекция 11	Аттестат соответствия (УЗ3, срок 3 года)	Аттестат соответствия

Итог: объект информатизации — ИСПДн кадровой службы — защищён комплексно, аттестован, соответствует требованиям Приказа ФСТЭК №21 для уровня защищённости УЗ3.

Тренды развития КСЗИ: что актуально в 2025–2026 годах¶

Импортозамещение СЗИ¶

С 2022 года российский рынок СЗИ развивается в условиях отсутствия западных вендоров. Ключевые тенденции:

• Зрелость российских NGFW (UserGate, «Континент 4») приближается к уровню ушедших Cisco, Palo Alto.
• Российские SIEM (MaxPatrol SIEM, KUMA) активно развиваются, но по глубине аналитики уступают западным аналогам.
• Дефицит решений класса SOAR (Security Orchestration, Automation and Response) — автоматизации реагирования на инциденты.

Искусственный интеллект в ИБ¶

• ИИ применяется в UEBA для построения поведенческих профилей пользователей.
• Генеративные модели используются атакующими для создания убедительных фишинговых писем и deepfake-атак социальной инженерии.
• Автоматизация триажа алертов в SOC — снижение нагрузки на аналитиков.

Безопасность облачных и гибридных сред¶

• Размытие периметра: данные в облаке, пользователи везде — классические модели периметральной защиты недостаточны.
• Требования ФСТЭК к облачным средам закреплены в Приказе №117 (новый раздел об облачной инфраструктуре).
• ZTNA как архитектурный ответ на размытие периметра.

Автоматизация управления уязвимостями¶

• Непрерывное сканирование уязвимостей вместо периодического.
• Интеграция сканера уязвимостей с CMDB и системой патч-менеджмента.
• Приоритизация уязвимостей на основе их эксплуатируемости (EPSS) и критичности актива.

Структура компетенций специалиста по КСЗИ¶

Завершим курс описанием компетентностного профиля специалиста, который умеет проектировать и сопровождать КСЗИ.

Область компетенций	Что умеет	Где изучалось
Нормативная база	Читать и применять Приказы №21/117/239, методику ФСТЭК 2021	Лекции 1, 4, 5, 11
Моделирование угроз	Строить модель угроз и нарушителя по Методике ФСТЭК	Лекции 3, 4, 5
Технические меры	Выбирать и настраивать СЗИ, СКЗИ, МЭ, IDS, DLP	Лекции 6, 7, 8, 9
Организационные меры	Разрабатывать ОРД, выстраивать процессы управления инцидентами и доступом	Лекция 10
Аттестация	Готовить объект к аттестации, понимать процедуру испытаний	Лекция 11
Оценка эффективности	Строить метрики, проводить оценку зрелости, обосновывать ROI	Лекция 12
Смежные области	Аудит ИБ, управление рисками, СУИБ	Курсы «Аудит ИБ», «Менеджмент ИБ»

Итоги курса¶

Курс «Комплексное обеспечение защиты объекта информатизации» построен вокруг единой логической цепочки:

Объект → Активы → Угрозы → Нарушитель → Модель угроз → Меры защиты → Аттестация → Оценка эффективности

Каждое звено этой цепочки обосновывает следующее. Нельзя выбрать меры защиты, не зная актуальных угроз. Нельзя определить актуальные угрозы, не зная объект и его активы. Нельзя подтвердить эффективность системы, не имея критериев оценки.

Специалист, усвоивший эту логику, способен не только выполнить требования регулятора — но и объяснить руководству, зачем каждая мера нужна, сколько она стоит и насколько снижает реальные риски.

Список литературы и нормативных актов¶

• ГОСТ Р 51583-2014 — «Защита информации. Порядок создания АС в защищённом исполнении» — жизненный цикл КСЗИ
• ГОСТ Р 50922-2006 — определение системы защиты информации
• Методика оценки угроз ФСТЭК России (05.02.2021) — алгоритм формирования набора мер
• Приказ ФСТЭК №117 от 11.04.2025 — алгоритм выбора мер для ГИС (п. 14–17)
• Приказ ФСТЭК №21 — алгоритм выбора мер для ИСПДн (п. 8–10)
• Приказ ФСТЭК №239 — алгоритм выбора мер для КИИ (п. 9–11)
• ГОСТ Р ИСО/МЭК 27001-2021 — цикл PDCA; метрики и измерение эффективности СУИБ
• ГОСТ Р ИСО/МЭК 27004-2021 — мониторинг, измерение, анализ и оценка ИБ
• Anderson R. «Security Engineering» (3rd ed., 2020) — фундаментальный учебник по проектированию систем безопасности
• Shostack A. «Threat Modeling: Designing for Security» (2014) — проектирование от угроз к мерам