Система управления информационной безопасностью (СУИБ): построение, компоненты и лучшие практики

Что такое СУИБ

Система управления информационной безопасностью (СУИБ, англ. ISMS — Information Security Management System) — это структурированная совокупность политик, процессов, организационных структур, ролей и технологий, направленных на систематическое управление рисками информационной безопасности в организации.

Что такое СУИБ — вопрос, с которого начинается переход от реактивной защиты к управляемой безопасности. Принципиальное отличие СУИБ от «набора средств защиты» — системный подход: не отдельные файрволы и антивирусы, а взаимосвязанная система, в которой каждое решение обосновано оценкой рисков, задокументировано и регулярно пересматривается.

ISMS: международное определение

Международный стандарт ISO/IEC 27001:2022 определяет СУИБ как систему, основанную на оценке бизнес-рисков, для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Стандарт применим к организациям любого масштаба и отрасли.

В российском контексте применяется гармонизированный ГОСТ Р ИСО/МЭК 27001, а также отраслевые стандарты:

• ГОСТ Р 57580.1 — для финансовых организаций;
• Приказы ФСТЭК 17, 21, 239 — для ГИС, ИСПДн, субъектов КИИ;
• 152-ФЗ — для операторов персональных данных.

СУИБ объединяет выполнение этих разнородных требований в единый управляемый процесс.

Зачем нужна система, а не набор мер

Без СУИБ организация сталкивается с типичными проблемами:

• Фрагментарность. Средства защиты закрывают отдельные угрозы, но нет единой картины рисков. Уязвимость в одном сегменте компенсируется избыточными мерами в другом.
• Отсутствие подотчётности. Нет ответственных за конкретные активы, решения принимаются ситуативно, без привязки к бизнес-приоритетам.
• Невозможность измерить результат. Руководство не понимает текущий уровень защищённости, потому что нет метрик и отчётности.
• Провалы на аудитах. При проверках регуляторов отсутствует документальное подтверждение процессов: политики устарели, журналы не ведутся, сотрудники не обучены.

СУИБ решает эти проблемы через цикл непрерывного управления: планирование → внедрение → проверка → улучшение.

Компоненты СУИБ

Полноценная система управления ИБ включает пять взаимосвязанных компонентов.

1. Политики и нормативная база

Основа СУИБ — документированные политики, стандарты и процедуры. Минимальный пакет:

• Политика ИБ — верхнеуровневый документ, утверждённый руководством, определяющий цели и принципы. Является обязательным по ISO 27001 (п. 5.2).
• Частные политики — управление доступом, классификация информации, допустимое использование, удалённый доступ, управление инцидентами.
• Процедуры и инструкции — пошаговые документы для исполнителей: порядок реагирования на инцидент, процедура предоставления доступа, инструкция по работе с СКЗИ.
• Реестры и журналы — реестр активов, реестр рисков, журнал инцидентов, журнал учёта СКЗИ.

Управление документами ИБ — один из процессов, который быстрее всего окупает автоматизацию: согласование, версионирование и контроль актуальности в ручном режиме занимают до 30% рабочего времени ИБ-специалиста.

2. Организационная структура и роли

СУИБ требует формального закрепления ответственности. Кто принимает решения о рисках, кто исполняет меры, кто проверяет — всё это должно быть задокументировано и доведено до персонала. ISO 27001 (п. 5.3) требует, чтобы высшее руководство назначило ответственных за поддержание СУИБ и наделило их полномочиями. На практике это означает приказ о назначении ответственного за ИБ, утверждённую организационную структуру подразделения ИБ и матрицу распределения ответственности (RACI). Подробно о ролях — в разделе ниже.

3. Процессы управления рисками

Ядро СУИБ — управление рисками. Процесс включает:

• Идентификацию активов — что защищаем (информационные системы, данные, оборудование, персонал).
• Оценку угроз и уязвимостей — что может произойти и через какие слабые места.
• Оценку рисков — вероятность × ущерб. Методики: качественная (низкий/средний/высокий), количественная (ALE), смешанная.
• Обработку рисков — принять, снизить (мера защиты), передать (страхование), избежать (отказ от актива).
• Мониторинг остаточных рисков — периодическая переоценка при изменении ландшафта угроз или инфраструктуры.

4. Технические и организационные меры защиты

Конкретные меры, выбранные по результатам оценки рисков. ISO 27001:2022 содержит Приложение A с 93 мерами контроля, сгруппированными в 4 темы:

• Организационные (37 мер) — политики, роли, разделение обязанностей, взаимодействие с регуляторами.
• Людские (8 мер) — проверка при найме, осведомлённость, обучение, дисциплинарные процедуры.
• Физические (14 мер) — периметр безопасности, контроль доступа в помещения, защита оборудования.
• Технологические (34 меры) — управление доступом, криптография, защита от вредоносного ПО, мониторинг, резервное копирование.

Применимость каждой меры фиксируется в Заявлении о применимости (Statement of Applicability, SoA) — обязательном документе ISO 27001.

5. Мониторинг, измерение и улучшение

СУИБ — не проект с конечной датой, а непрерывный процесс. Компонент мониторинга включает:

• Сбор метрик и KPI (раздел ниже).
• Внутренний аудит ИБ — не реже одного раза в год.
• Анализ со стороны руководства (management review) — ежеквартально или по итогам значимых изменений.
• Корректирующие действия по результатам аудитов и инцидентов.

СУИБ по российским стандартам: ГОСТ Р ИСО 27001 и требования ФСТЭК

ГОСТ Р ИСО 27001-2021: российский национальный стандарт

ГОСТ Р ИСО 27001-2021 — официальный перевод и адаптация ISO 27001:2013, принятый Росстандартом. Стандарт добровольный, но служит фундаментом для построения СУИБ в российских организациях: его структура понятна аудиторам, а требования полностью совместимы с практикой ИБ-менеджмента.

Главное отличие от актуальной версии ISO 27001:2022 — структура Приложения А. В российском ГОСТе используется перечень мер из издания 2013 года: 114 мер, сгруппированных в 14 доменов. ISO 27001:2022 заменил их на 93 меры в 4 категориях с обновлённой классификацией. Организации, которые сертифицируются по международной версии, работают с мерами 2022 года; те, кто строит СУИБ по национальному стандарту, — по мерам 2013 года.

Требования ФСТЭК к СУИБ для субъектов КИИ

Приказ ФСТЭК №239 прямо предписывает субъектам КИИ строить систему управления ИБ для значимых объектов 1 категории: организационные меры должны охватывать управление рисками, документирование, контроль изменений и реагирование на инциденты. Это фактически требование СУИБ, сформулированное через отраслевую терминологию ФСТЭК.

Параллельно действуют:

• Приказ ФСТЭК №117 — для государственных информационных систем: требования к документированию, контролю конфигураций, управлению уязвимостями.
• Приказ ФСТЭК №21 — для ИСПДн: процессы обнаружения и реагирования на инциденты, учёт мер защиты.
• 152-ФЗ — оператор ПДн обязан принять организационные и технические меры, что требует СУИБ-подхода к их документированию и контролю.

Что входит в СУИБ по ГОСТ Р ИСО 27001

Стандарт требует следующих обязательных элементов:

• Политика ИБ — утверждена руководством, доведена до персонала.
• Оценка рисков по ГОСТ Р ИСО 27005 — идентификация, анализ и обработка рисков с документированным результатом.
• План обработки рисков — конкретные меры, сроки, ответственные по каждому риску.
• Декларация о применимости (SoA) — перечень мер Приложения А с обоснованием включения или исключения.
• Процедуры контроля и улучшения — внутренние аудиты, анализ руководством, корректирующие действия.

Связь СУИБ с SGRC-платформой

SGRC автоматизирует ключевые процессы СУИБ, превращая разрозненные документы и таблицы в управляемую систему:

• Документооборот: создание, согласование и версионирование политик и процедур.
• Реестр рисков: оценка по ГОСТ Р ИСО 27005, тепловые карты, план обработки.
• Аудиты: планирование, чек-листы, фиксация несоответствий, контроль корректирующих действий.
• Учёт мер защиты: маппинг на требования ГОСТ, приказов ФСТЭК, 152-ФЗ.

Типовая структура документов СУИБ

Документальная база СУИБ выстраивается по трёхуровневой иерархии. Без полного комплекта документов невозможно пройти ни внутренний аудит по ГОСТ Р ИСО 27001, ни проверку ФСТЭК.

Уровень 1 — Политики (стратегический):

• Политика информационной безопасности

Уровень 2 — Положения и методики (управленческий):

• Положение об управлении рисками ИБ
• Методика оценки рисков
• Реестр рисков ИБ
• План обработки рисков
• Процедуры управления инцидентами
• Программа аудитов ИБ
• Декларация о применимости (только для организаций, работающих по ISO 27001 / ГОСТ Р ИСО 27001)

Уровень 3 — Регламенты и инструкции (операционный):

• Регламенты по конкретным процессам (управление доступом, работа с СКЗИ, резервное копирование)
• Инструкции для исполнителей

КиберОснова содержит готовые шаблоны для всех перечисленных документов. Шаблоны адаптированы под требования российских регуляторов и заполняются с автоподстановкой данных организации. Подробнее — в модуле Документы ИБ.

8 этапов построения СУИБ

Построение системы управления ИБ — последовательный процесс. Ниже — восемь этапов, соответствующих логике ISO 27001.

Этап 1. Определение области применения (scope)

Определите, какие бизнес-процессы, информационные системы, площадки и подразделения входят в scope СУИБ. Типичная ошибка — пытаться охватить всё сразу. Начните с критичных систем: ИСПДн, объекты КИИ, финансовые системы. Scope фиксируется в документе и согласуется с руководством.

Этап 2. Gap-анализ текущего состояния

Проведите оценку текущего состояния ИБ относительно требований ISO 27001 (или целевого стандарта). По каждой из 93 мер контроля Приложения A зафиксируйте статус: реализована / частично / не реализована / неприменима. Оцените также уровень зрелости процессов по шкале от 0 (процесс отсутствует) до 5 (оптимизированный процесс). Gap-анализ выявляет критичные разрывы — области, где отсутствие мер создаёт неприемлемый уровень риска. Результат — дорожная карта с приоритетами и оценкой ресурсов для закрытия каждого разрыва.

Этап 3. Разработка политик и процедур

На основе gap-анализа разработайте или актуализируйте нормативную базу. Критически важно:

• Политика ИБ утверждена первым лицом.
• Частные политики соответствуют реальным процессам, а не скопированы из шаблонов.
• Процедуры написаны понятным языком для исполнителей.

Этап 4. Оценка рисков ИБ

Проведите формальную оценку рисков по утверждённой методике. Определите владельцев активов, идентифицируйте угрозы (используйте БДУ ФСТЭК, MITRE ATT&CK), оцените уязвимости и рассчитайте уровень риска. Для каждого риска определите вариант обработки: снижение (внедрение меры защиты), передача (страхование, аутсорсинг), принятие (осознанное решение руководства) или избежание (отказ от актива или процесса). Сформируйте реестр рисков с указанием владельца, текущего и целевого уровня, и план обработки с конкретными сроками и ответственными.

Этап 5. Выбор и внедрение мер защиты

На основе плана обработки рисков выберите конкретные меры из Приложения A (ISO 27001) и/или требований регуляторов. Подготовьте Заявление о применимости (SoA). Внедрите технические и организационные меры: настройте средства защиты, внедрите процедуры, интегрируйте инструменты.

Этап 6. Обучение и повышение осведомлённости

Обучите персонал в соответствии с их ролями:

• Руководство — стратегия ИБ, ответственность, результаты СУИБ.
• ИБ-специалисты — процедуры, инструменты, реагирование на инциденты.
• Все сотрудники — политика допустимого использования, распознавание фишинга, порядок сообщения об инцидентах.

Обучение — не разовое мероприятие. Программа повышения осведомлённости должна проводиться регулярно (рекомендуется ежеквартально) с проверкой усвоения.

Этап 7. Внутренний аудит

Проведите внутренний аудит СУИБ до начала эксплуатации. Аудитор должен быть независим от проверяемых процессов. Проверяется:

• Соответствие документации требованиям стандарта.
• Фактическое выполнение процедур.
• Эффективность мер защиты.
• Ведение записей и журналов.

По результатам формируются несоответствия (major/minor) и наблюдения, которые устраняются до ввода СУИБ в эксплуатацию.

Этап 8. Анализ со стороны руководства

Руководство организации проводит формальный анализ СУИБ (management review). Входные данные: результаты аудитов, статус корректирующих действий, реестр рисков, метрики, обратная связь заинтересованных сторон. Выходные данные: решения об изменениях в СУИБ, выделение ресурсов, стратегические приоритеты. Этот этап завершает первый цикл PDCA и запускает непрерывное улучшение.

Роли и ответственность в СУИБ

Чёткое распределение ответственности — обязательное требование ISO 27001 (п. 5.3). Ниже — RACI-матрица основных процессов СУИБ.

RACI-матрица ключевых процессов

R — Responsible (исполняет), A — Accountable (отвечает за результат), C — Consulted (консультирует), I — Informed (информируется).

Описание ключевых ролей

CISO (Chief Information Security Officer) — владелец СУИБ. Определяет стратегию, управляет бюджетом ИБ, докладывает руководству о состоянии рисков. В организациях без выделенного CISO функцию выполняет руководитель ИТ или назначенный ответственный за ИБ.

Аналитик ИБ — операционное ядро СУИБ. Проводит оценку рисков, анализирует инциденты, готовит отчёты, отслеживает метрики. В небольших организациях совмещает функции с администратором безопасности.

Администратор безопасности — настраивает и эксплуатирует средства защиты: NGFW, SIEM, DLP, системы управления доступом. Обеспечивает техническую реализацию мер, определённых аналитиком.

Внутренний аудитор — проверяет соответствие СУИБ установленным требованиям. Ключевое условие — независимость от проверяемых процессов. Может быть внешним специалистом или сотрудником другого подразделения.

Владельцы активов — руководители подразделений, ответственные за информационные системы в своей зоне. Участвуют в оценке рисков, принимают решения об обработке рисков для своих активов, обеспечивают выполнение политик подчинёнными.

ISO 27001 и СУИБ

Цикл PDCA

ISO 27001 построен на цикле Plan-Do-Check-Act (Деминга):

• Plan — определение scope, оценка рисков, разработка политик, планирование мер.
• Do — внедрение мер, обучение персонала, запуск процессов.
• Check — мониторинг, измерение KPI, внутренний аудит.
• Act — корректирующие действия, анализ руководством, улучшение.

Цикл повторяется непрерывно. Каждая итерация повышает зрелость СУИБ.

93 меры контроля (Приложение A)

Версия ISO 27001:2022 заменила прежние 114 мер (сгруппированных в 14 доменов) на 93 меры в 4 категориях:

Каждая мера имеет атрибуты: тип (превентивная, детективная, корректирующая), свойство ИБ (конфиденциальность, целостность, доступность), концепция кибербезопасности (NIST: Identify, Protect, Detect, Respond, Recover).

Сертификация по ISO 27001

Процесс сертификации включает два этапа:

1. Stage 1 (документальный аудит) — аудитор проверяет документацию СУИБ: scope, политики, SoA, результаты оценки рисков, процедуры.
2. Stage 2 (аудит на месте) — проверка фактического функционирования СУИБ: интервью с персоналом, наблюдение за процессами, анализ записей.

Сертификат выдаётся на 3 года с ежегодными надзорными аудитами. Подготовка к сертификации требует минимум 6-12 месяцев зрелой эксплуатации СУИБ: аудитор должен видеть не только документы, но и свидетельства работы процессов — записи об инцидентах, результаты оценки рисков, протоколы анализа руководством, журналы обучения.

Российский контекст

В России ISO 27001 не является обязательным для большинства организаций, но востребован:

• Компаниями, работающими с международными партнёрами и клиентами.
• Финансовыми организациями (дополняет ГОСТ Р 57580.1).
• ИТ-компаниями и облачными провайдерами (конкурентное преимущество).
• Субъектами КИИ — как дополнение к требованиям ФСТЭК.

При построении СУИБ в российских организациях рекомендуется совмещать требования ISO 27001 с обязательными нормативными актами (152-ФЗ, Приказы ФСТЭК, требования ФСБ по СКЗИ). Комплаенс в нескольких стандартах одновременно — задача, которую СУИБ решает через единый реестр требований с маппингом мер.

KPI системы управления ИБ

Измеримость — отличительная черта зрелой СУИБ. Без метрик невозможно доказать руководству, что вложения в безопасность работают. ISO 27001 (п. 9.1) требует определить, что, когда и как измеряется.

Основные метрики СУИБ

Покрытие рисками:

• Процент активов, охваченных оценкой рисков (цель: 100% критичных активов).
• Процент рисков с назначенным владельцем и планом обработки.
• Количество рисков выше допустимого уровня (аппетит к риску).

Инциденты:

• MTTD (Mean Time to Detect) — среднее время обнаружения инцидента.
• MTTR (Mean Time to Respond) — среднее время реагирования.
• Количество инцидентов по категориям в динамике (тренд).
• Процент инцидентов, закрытых в рамках SLA.

Устранение уязвимостей:

• SLA по устранению: критические — 24 часа, высокие — 72 часа, средние — 30 дней.
• Процент просроченных уязвимостей.
• Средний возраст неустранённых уязвимостей.

Обучение:

• Процент сотрудников, прошедших ежегодное обучение ИБ.
• Результаты тестовых фишинговых рассылок (click rate).
• Количество обращений сотрудников о подозрительных событиях.

Комплаенс:

• Compliance rate — процент выполненных требований по каждому стандарту/регулятору.
• Количество несоответствий по результатам аудитов (major/minor).
• Процент корректирующих действий, выполненных в срок.

Дашборд для руководства

Эффективная СУИБ предоставляет руководству понятный дашборд: текущий уровень риска (красный/жёлтый/зелёный), динамика инцидентов, статус комплаенса и прогресс выполнения дорожной карты. Отчёт формируется ежемесячно или ежеквартально и является входными данными для анализа руководством.

Автоматизация СУИБ с помощью SGRC

Управление СУИБ в электронных таблицах и текстовых документах возможно при scope до 50 активов и 1-2 регуляторных требований. При росте масштаба ручные процессы ведут к ошибкам, потере актуальности данных и невозможности формировать отчётность в реальном времени.

SGRC-платформа (Security Governance, Risk, Compliance) — класс решений, автоматизирующих процессы СУИБ:

• Governance — управление политиками, документами, ролями. Автоматическое версионирование, согласование, контроль ознакомления.
• Risk — реестр активов, оценка и мониторинг рисков, heat map, план обработки с отслеживанием статуса.
• Compliance — единый реестр требований с маппингом на меры защиты. Автоматизация ИБ комплаенс-процессов сокращает трудозатраты на подготовку к аудитам в 3-5 раз.

Платформа КиберОснова реализует полный цикл СУИБ:

• Реестр активов и рисков — идентификация, классификация, оценка и мониторинг рисков по ГОСТ или ISO-методике.
• Документы ИБ — создание, согласование, версионирование и контроль актуальности политик и процедур.
• Аудит и комплаенс — планирование аудитов, чек-листы, фиксация несоответствий, отслеживание корректирующих действий.
• Учёт СКЗИ — автоматизированный учёт криптосредств в соответствии с требованиями ФСБ.
• Дашборды и отчётность — KPI СУИБ в реальном времени, отчёты для руководства и регуляторов.

Автоматизация не заменяет экспертизу, но освобождает специалистов от рутины: вместо заполнения таблиц аналитик ИБ фокусируется на анализе рисков и принятии решений. По данным практики внедрений, автоматизация СУИБ через SGRC-платформу сокращает время на подготовку к аудитам на 60-70%, снижает количество ошибок в реестрах на 80% и обеспечивает руководство актуальными данными о состоянии ИБ без ручного сбора информации из разрозненных источников.

Типичные ошибки при построении СУИБ

1. Формальный подход («бумажная безопасность»)

Документы создаются для галочки, но не отражают реальных процессов. Политики скопированы из шаблонов, сотрудники не знают их содержания. При аудите обнаруживается разрыв между документацией и практикой — это major-несоответствие по ISO 27001.

Решение: политики должны писаться на основе реальных процессов, а не наоборот. Привлекайте владельцев процессов к разработке документов.

2. Отсутствие поддержки руководства

СУИБ без mandate от первого лица обречена. Без бюджета, без полномочий CISO, без участия руководства в анализе — система существует только на бумаге.

Решение: на этапе инициации получите формальное решение руководства (приказ, протокол), определите бюджет и KPI, по которым руководство будет оценивать результат.

3. Scope «всё и сразу»

Попытка охватить СУИБ всю организацию с первого дня приводит к затягиванию сроков, перерасходу ресурсов и потере мотивации команды.

Решение: начните с ограниченного scope (критичные системы, одна площадка) и расширяйте поэтапно. Первый цикл PDCA должен пройти за 6-9 месяцев.

4. Игнорирование человеческого фактора

Сосредоточение на технических мерах без работы с персоналом. По статистике, 60-80% инцидентов ИБ связаны с действиями сотрудников (фишинг, слабые пароли, нарушение процедур).

Решение: включите программу повышения осведомлённости в scope СУИБ с первого дня. Проводите тестовые фишинговые кампании, измеряйте результат.

5. Разовая оценка рисков

Оценка рисков проводится один раз при запуске СУИБ и не пересматривается. Через полгода реестр рисков устарел: появились новые системы, изменился ландшафт угроз, уволились ключевые сотрудники.

Решение: определите триггеры для переоценки рисков: изменение инфраструктуры, значимый инцидент, изменение регуляторных требований, плановый пересмотр (минимум ежегодно).

6. Отсутствие метрик

СУИБ работает, но никто не измеряет её результативность. Руководство не видит ценности и сокращает бюджет.

Решение: определите 5-7 ключевых KPI до запуска СУИБ. Настройте регулярную отчётность. Привяжите метрики к бизнес-целям: снижение простоев, уменьшение штрафов, сокращение времени реагирования.

7. Ручное управление при масштабировании

При scope свыше 100 активов и 3+ регуляторных требований ручное управление в Excel и Word приводит к потере данных, нарушению сроков и ошибкам в отчётности.

Решение: внедрите SGRC-платформу на раннем этапе. Стоимость автоматизации окупается сокращением трудозатрат на 40-60% и снижением рисков ошибок при аудитах.

Заключение

Система управления информационной безопасностью — не проект с конечной датой, а непрерывный процесс, встроенный в управление организацией. СУИБ по ISO 27001 даёт структуру: от оценки рисков и разработки политик до измерения результатов и непрерывного улучшения.

Ключевые принципы успешной СУИБ:

• Риск-ориентированность — каждая мера обоснована оценкой рисков.
• Поддержка руководства — бюджет, полномочия, подотчётность.
• Измеримость — KPI, дашборды, регулярная отчётность.
• Непрерывное улучшение — цикл PDCA, а не разовый проект.
• Автоматизация — SGRC-платформа для масштабируемого управления.

Начните с определения scope и gap-анализа. Используйте платформу КиберОснова для автоматизации процессов СУИБ — от реестра рисков до дашбордов для руководства. Запросите демо, чтобы увидеть, как платформа поддерживает каждый этап построения СУИБ.