Стратегия информационной безопасности: как построить работающую систему защиты компании

Стратегия информационной безопасности — это не просто документ, а дорожная карта для всей компании. Как перейти от разрозненных мер к комплексной системе защиты, которая реально работает? Эксперты обсудили путь от разработки до внедрения, от оценки рисков до интеграции в бизнес-процессы.

 

 

 

 

 

 

1. Введение
2. Зачем нужна стратегия в информационной безопасности?
   
   1. 2.1. Если нет стратегии — каковы риски?
   2. 2.2. Как зафиксировать стратегию?
3. Как связать стратегию с цифровой трансформацией компании?
4. Процесс разработки стратегии по шагам
5. Как стратегия ИБ влияет на закупки средств защиты и используемый стек?
   
   1. 5.1. Влияет ли ИИ на стратегические подходы ИБ?
   2. 5.2. Нужно ли учитывать в стратегии потенциальные угрозы?
6. Выводы

Введение

Стратегия информационной безопасности — это компас в мире цифровых рисков. Без неё любые инвестиции в киберзащиту теряют направление и эффективность. Но путь от идеи до её реализации полон вызовов: сопротивление сотрудников, меняющиеся угрозы, сложности интеграции. Успех заключается не в создании идеального документа, а в построении адаптивной системы, которая живёт и развивается вместе с компанией. Эксперты постарались раскрыть ключевые принципы и практические шаги для построения такой системы: как связать воедино политики, людей и процессы для создания реальной, а не виртуальной безопасности.

 

Рисунок 1. Эксперты в студии AM Live

 

Участники эфира:

• Алексей Воронцов, директор департамента консалтинга, Cloud Networks.
• Евгений Баклушин, директор «КИТ», автор блога BESSEC.
• Денис Горчаков, CISO, Lamoda.
• Кирилл Мякишев, CISO, OZON.
• Елизавета Комарова, архитектор ключевых корпоративных проектов, «Лаборатория Касперского».
• Алексей Трипкош, директор по результативной кибербезопасности, Positive Technologies.
• Алексей Иванов, руководитель отдела методологии и консалтинга в департаменте архитектуры стратегических проектов ГК «Солар».

Ведущий и модератор эфира — Вадим Шелест, руководитель направления анализа защищённости, Wildberries & Russ.

 

 

Зачем нужна стратегия в информационной безопасности?

Алексей Воронцов считает, что стратегия ИБ — это лучший способ показать руководству, чем на самом деле занимается информационная безопасность. Она переводит технические задачи на язык бизнес-рисков. Её разработка занимает около полугода, а действует такая стратегия в среднем 3–5 лет.

Евгений Баклушин уверен, что стратегия ИБ — это часть общей стратегии компании. В первую очередь, это договорённость о принципах работы между CEO, собственниками и ИТ-подразделениями: финансирование, приоритеты, устойчивость компании в цифровом мире. В крупных компаниях возможно выстраивание стратегии на 10 лет, а тактические уровни и планы могут меняться через 3–5 лет.

Денис Горчаков добавил, что стратегия отвечает на 3 вопроса — «Что?», «Зачем?» и «Как?». Она нужна не только для самой команды ИБ, но и для того, чтобы проинформировать всех о намерениях, показать соответствие общей стратегии.

 

Денис Горчаков, CISO, Lamoda

 

Если нет стратегии — каковы риски?

Алексей Иванов считает, что новых рисков у бизнеса не появится. Но без стратегии отсутствует комплексность управления рисками: центр мониторинга занимается только реагированием, не выделяются критические системы, не распределяются приоритеты. Теряется ответственность.

Елизавета Комарова добавила, что стратегия помогает увидеть всю систему защиты целиком, чтобы не перекачивать ресурсы в одну область, забывая о других. И эту общую картину нужно регулярно проверять и обновлять.

Алексей Трипкош назвал стратегию ИБ отражением взаимоотношений между топ-менеджером и безопасниками. Это фиксация договорённостей. Нужно стремиться к диалогу, чтобы чётко осознавать, как выстраивать работу с учётом бизнес-процессов.

Кирилл Мякишев дополнил, что стратегия зависит от уровня зрелости ИБ и компании в целом. Нужно понимать, что иногда она может быть только внутри ИБ как инструмент для CISO и его внутренней работы, а не взаимодействия с бизнесом.

 

Кирилл Мякишев, CISO, OZON

 

Как зафиксировать стратегию?

Елизавета Комарова объяснила, что это документ в письменном виде, объёмом не более 10 страниц, где выписаны основные тезисы, а также сопутствующие документы: программа, дорожная карта, низкоуровневые документы, которые расписывают, как будет реализована стратегия.

Для информирования основных отделов в компании используется общая презентация, документы, которые нужно подписать, и сопутствующие акты, более подробно описывающие, что и как нужно предпринять. В идеале стратегию должен подтвердить комитет ИБ, в который входит владелец компании, отделы HR, ИТ, а утверждает в письменном виде владелец бизнеса.

Вадим Шелест интересуется, какой должна быть стратегия: лаконичной, понятной, прозрачной? Или многоуровневой, структурированной, содержащей множество ссылок на другие документы? Верно ли утверждение, что слишком сложная стратегия — это не преимущество, а барьер к её внедрению?

 

Вадим Шелест, руководитель направления анализа защищённости, Wildberries & Russ

 

Кирилл Мякишев считает, что стратегия должна занимать одну страницу. Для топ-менеджмента это быстрый ответ на вопрос, чем занимается ИБ. Она может содержать всего около 10 тезисов. Основной критерий успешности стратегии — быть в открытом доступе. Её необязательно делать формальным документом: главное, чтобы каждый сотрудник, в том числе топ-менеджер, мог в любой момент посмотреть и вспомнить, для чего ему ИБ.

В первом опросе зрители поделились, каково текущее состояние их стратегии ИБ:

• Стратегии нет и не предвидится — 26 %.
• Утверждена и реализуется, есть KPI/метрики/кибериспытания — 20 %.
• Утверждена, но без метрик/кибериспытаний (работаем точечно) — 17 %.
• Есть только политики/IR-план (план реагирования на инциденты), полноценной стратегии нет — 17 %.
• В разработке/на согласовании — 9 %.

Затруднились ответить 11 % зрителей.

 

Рисунок 2. Каково текущее состояние вашей стратегии ИБ?

 

Как связать стратегию с цифровой трансформацией компании?

Алексей Воронцов определил стратегию цифровой трансформации как документ, находящийся по уровню чуть ниже, чем бизнес-стратегия. В неё же можно включить стратегию ИБ. Стратегия цифровой трансформации привязана к растущей роли ИТ. Повышается уровень цифровизации компаний, как и роль безопасников.

Алексей Трипкош определяет цифровизацию как поиск бизнесом принципиально новых способов заработка или сокращения издержек за счёт переосмысления имеющихся данных и технологий. Однако такие фундаментальные изменения бизнес-модели создают и совершенно новые риски, о которых компания может изначально не подозревать. Именно поэтому важно привлекать специалистов по безопасности уже на самых ранних стадиях цифровой трансформации, чтобы предотвратить потенциальные убытки, а не бороться с их последствиями.

 

Алексей Трипкош, директор по результативной кибербезопасности, Positive Technologies

 

Елизавета Комарова отмечает перспективность подхода, при котором методология DevSecOps встраивается непосредственно в бизнес-процессы компании, что позволяет учитывать требования безопасности на этапе запуска любого процесса или проекта цифровизации.

В качестве примера она приводит практику Microsoft, где в рамках концепции экологичности безопасность изначально встраивается во все продукты и технологии. Это позволяет сократить объём громоздких надстроек, которыми традиционно управляют безопасники, и в результате делает компанию более гибкой, масштабируемой и управляемой.

Алексей Иванов подчёркивает, что стратегия ИБ должна формализовать договорённости с ИТ-подразделением о совместном управлении процессами цифровой трансформации. Ключевым моментом является интеграция команды безопасности в цикл управления изменениями, которые внедряет ИТ. Это позволяет встраивать контроль безопасности на каждой стадии проекта, обеспечивая защищённость модернизации без ущерба для операционной деятельности бизнеса.

Во втором опросе выяснилось, что сильнее всего мешает разработке/обновлению стратегии ИБ? (мультивыбор):

• Кадровый дефицит/нет времени, «тушим пожары» — 62 %.
• Нехватка исходных данных: аудит, инвентаризация, риск-оценка — 46 %.
• Неопределённость бюджета и горизонта планирования — 42 %.
• «Не время для стратегии»: фокус на тактических задачах — 33 %.
• Нет buy-in топ-менеджмента/приоритета на уровне бизнеса — 25 %.
• Нет единой методологии/метрик зрелости — 25 %.

Рисунок 3. Что сильнее всего мешает разработке/обновлению стратегии ИБ? (мультивыбор)

 

Процесс разработки стратегии по шагам

Алексей Иванов: «При разработке стратегии ИБ мы включаем видение, миссию, контекст, основные тренды и показываем связь целей бизнеса с целями информационной безопасности. Мы проводим декомпозированную оценку зрелости по процессам, чтобы создать стратегический уровень и тактический план с конкретными проектами и инициативами для его реализации».

 

Алексей Иванов, руководитель отдела методологии и консалтинга в департаменте архитектуры стратегических проектов ГК «Солар»

 

Алексей Трипкош: «Первый шаг — объяснить руководству, какие цели должны стоять перед ИБ, используя для этого понятные им формулировки. Второй — найти в бизнес-подразделениях ответственных лиц, которые будут обеспечивать контекст и своевременно сообщать об изменениях. Третий — сформировать конкретные требования к ИТ-безопасности. И наконец, чётко определить недопустимые события, методы их оценки и желаемые результаты. Только такой подход позволяет создать рабочую стратегию, на основе которой можно выбирать инструменты и выстраивать операционную деятельность».

Елизавета Комарова: «Разработку стратегии стоит начинать с анализа бизнес-целей, оценки текущего состояния ИБ и существующих требований к устойчивости. Необходимо провести общий аудит безопасности, изучить внешние факторы и только затем формировать целевое состояние системы защиты с учётом возможных рисков».

Кирилл Мякишев: «Прежде всего, нужно определить ответственных за разработку документа, круг согласования и целевую аудиторию. Сам процесс можно начать с мозгового штурма, затем структурировать материал и провести согласование. Отдельно важно заранее установить периодичность проверки движения в правильном направлении и сроки полного пересмотра стратегии».

Денис Горчаков: «Процедура разработки стратегии следует стандартной логике: сначала проводим анализ контекста: собираем все необходимые вводные данные, оцениваем стратегический цикл компании и внешние факторы. На основе этого определяем конкретные действия, их обоснование и механизмы реализации. Затем согласовываем план со всеми стейкхолдерами и фиксируем пути достижения целевых показателей».

Евгений Баклушин: «CFO — ключевой стейкхолдер, который подскажет оптимальный формат представления стратегии: будь то презентация, тезисы или слайды, чтобы донести суть до генерального директора. При этом структурный документ, основанный на аудите и инвентаризации, даст детальное понимание текущей ситуации и путей развития».

 

Евгений Баклушин, директор «КИТ», автор блога BESSEC

 

Алексей Воронцов: «Начинаем с самоопределения: кто мы и какую роль играем. Затем договариваемся со стейкхолдерами и проводим диагностику текущего состояния (AS-IS). Учитывая внешние вызовы и ожидания заинтересованных сторон, формируем целевой образ безопасности (TO-BE). После согласования с ключевыми участниками переводим эту картину на язык финансов — формируем для CFO (Chief Financial Officer, финансовый директор) прозрачный бюджет (OPEX/CAPEX) с понятными метриками на трёхлетний горизонт».

В третьем опросе зрители поделились, каковы главные цели их стратегии ИБ на 2026 (мультивыбор):

• Снижение рисков и финансового ущерба — 55 %.
• Соответствие требованиям регуляторов и аудитам — 55 %.
• Устойчивость и сокращение MTTR/простоев критичных сервисов — 41 %.
• Поддержка цифровой трансформации (скорость изменений без «тормоза») — 18 %.
• Оптимизация TCO и консолидация стека — 14 %.
• Другое (напишу в чате) — 9 %.

Рисунок 4. Главные цели вашей стратегии ИБ на 2026? (мультивыбор)

 

Как стратегия ИБ влияет на закупки средств защиты и используемый стек?

Елизавета Комарова подчёркивает важность выстраивания архитектуры безопасности на основе бизнес-стратегии и технологической дорожной карты ИТ. Согласно её подходу, выбор защитных решений должен определяться их способностью эффективно работать в конкретной технологической среде компании, а не следить за общими трендами.

Особое внимание она уделяет сбалансированности: новые инструменты должны дополнять, а не дублировать существующие. В качестве критерия эффективности предлагается использовать расчёт ROI, где затраты сопоставляются со снижением финансовых потерь от реализованных рисков.

 

Елизавета Комарова, архитектор ключевых корпоративных проектов, «Лаборатория Касперского»

 

Алексей Трипкош обращает внимание на сложность формирования портфеля продуктов безопасности, где приходится балансировать между экосистемной интеграцией, удобством использования, конкурентными преимуществами и стоимостью. Ключевым моментом он считает важность диалога с интеграторами и вендорами: нужно понимать, какой конкретный результат будет поставлен. Следует чётко определять, как решение будет использоваться, внедряться и каким образом можно гарантировать его правильное применение для достижения измеримого эффекта.

Кирилл Мякишев считает, что стратегия должна формулировать ключевые векторы инвестиций и приоритеты финансирования, оставляя конкретные технические детали для низкоуровневой документации. Стратегический документ должен отвечать на фундаментальные вопросы: «Куда мы направляем ресурсы?» и «Какой результат ожидаем?». Писать про классы решений, конкретных вендоров или точные суммы нецелесообразно.

Влияет ли ИИ на стратегические подходы ИБ?

Елизавета Комарова заметила, что в ИТ искусственный интеллект используется повсеместно, но в ИБ ситуация другая, особенно на российском рынке. В стратегии ИБ не стоит сильно опираться на ИИ: сейчас нет полноценных решений, основанных на искусственном интеллекте, которые решают проблемы бизнеса и ИБ.

Алексей Трипкош добавил, что всё ещё присутствует проблема дефицита кадров, кроме этого, инструменты хакеров развиваются: они используют ИИ, из-за чего количество атак растёт. Новые технологии должны быть вписаны не в стратегию, а в тактику.

Алексей Воронцов считает, что нужно разделять 2 важные вещи: ИИ для безопасности и безопасность самого ИИ. Если в бизнес-стратегии часто упоминается ИИ, его нужно включить и в стратегию ИБ. Если же бизнес-стратегия не акцентирует внимание на искусственном интеллекте, то и в стратегии ИБ эти вопросы не поднимаются.

 

Алексей Воронцов, директор департамента консалтинга, Cloud Networks

 

Нужно ли учитывать в стратегии потенциальные угрозы?

Кирилл Мякишев убеждён, что успешная стратегия ИБ должна обладать стратегической широтой и гибкостью, описывая долгосрочные цели, но при этом оставаться фундаментальным документом. Её следует формулировать таким образом, чтобы изменения в ландшафте угроз, внешней среде или регуляторных требованиях не были основанием для постоянных пересмотров.

Ключевая идея заключается в создании устойчивой системы приоритетов, которая обеспечивает стабильность и предсказуемость работы специалистов по информационной безопасности независимо от изменяющихся условий.

Алексей Иванов указывает, что учёт потенциальных угроз в стратегии ИБ осуществляется через формирование контекста — комплексного понимания технологических, регуляторных и глобальных рисков. Создание такого контекста требует значительных ресурсов и глубокого исследования. Для организаций с низким уровнем зрелости рекомендуется начинать с базовых мер: внедрения фундаментальных процессов и контроля, откладывая сложный контекстный анализ до достижения необходимого уровня развития.

Финальный опрос показал, каково мнение зрителей о стратегии ИБ после эфира: запустят разработку/обновление стратегии ИБ — 41 %, добавят метрики, кибериспытания и дашборды — 18 %, усилят кросс-функциональную работу (HR/Legal/Risk) — 12 %, пересоберут бюджеты и приоритеты (процессы/сервисы вместо «ещё одного продукта») — 6 %.

 

Рисунок 5. Каково ваше мнение о стратегии ИБ после эфира?

 

Выводы

Разработка и внедрение стратегии информационной безопасности — это не создание идеального, но статичного документа, а запуск живого и адаптивного механизма управления рисками. Как показала дискуссия, успех этого процесса зависит от диалога: стратегия служит фундаментом для договорённостей между бизнесом, ИТ и безопасниками, превращая разрозненные меры в целостную систему защиты. Её главная цель — не слепое следование плану, а обеспечение устойчивости компании в условиях цифровой трансформации и меняющихся угроз.

Ключевой вывод заключается в том, что не существует универсального шаблона. Стратегия должна отражать уникальный контекст компании: её уровень зрелости, бизнес-цели и операционную модель. Она может быть развёрнутым документом или одним слайдом для топ-менеджмента, но обязана быть понятной, доступной и главное — работающей.

Именно такой подход позволяет перейти от тушения постоянных «пожаров» к проактивному построению безопасности, которая не тормозит, а способствует развитию бизнеса, создавая реальную ценность и доверие.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!