Контакты
Подписка 2026

Обзор уровня зрелости процессов ИБ: о трендах и методологиях

Илья Борисов, 11/03/19

Каждое предприятие в процессе своего развития проходит определенные этапы, которые характеризуются различными стратегическими подходами, технологиями, уровнем управленческой деятельности, компетентностью персонала и другими качественными и количественными характеристиками.

Зачем компании используют модели зрелости

Переход на каждый следующий, более высокий уровень развития осуществляется путем улучшения показателей деятельности организации при положительной динамике ключевых характеристик, что делает организацию более конкурентоспособной, динамично реагирующей на требования рынка и оптимально использующей свои внутренние ресурсы. Существуют определенные подходы, позволяющие оценить каждый уровень развития компании. Примером являются модели, описывающие этапы развития организации, которые называются моделями уровней зрелости.

В контексте кибербезопасности модели зрелости могут помочь разграничить организации, в которых информационная безопасность полноценно встроена в бизнес-деятельность компании, и те, в которых она выполняет в основном вспомогательную комплаенс-функцию.

Одной из основных причин использования моделей зрелости является то, что улучшения в масштабах всей организации занимают существенное время; в кибербезопасности модель зрелости дает руководству организации способ оценить прогресс, достигнутый в обеспечении безопасности в повседневных и стратегических задачах. Модель зрелости является инструментом оценки эффективности внедрения бизнес-процессов в организации и позволяет руководству использовать долгосрочное целеполагание, а также эффективно отслеживать прогресс. Применение моделей зрелости позволяет организациям определять собственные сильные и слабые стороны.

Как правило, модель зрелости информационной безопасности описывает ряд характеристик, которые вы ожидаете увидеть в организации с эффективным подходом к кибербезопасности. Эти характеристики включают в себя такие функции, как эффективное руководство и управление, процессы управления рисками ИБ, используемый набор технологий. Каждая характеристика содержит описание видов деятельности и процессов, которые типичны для организаций на разных уровнях зрелости. Организация, стремящаяся оценить зрелость своей системы обеспечения кибербезопасности, сравнивает свою собственную практику с теми, которые описаны в уровнях каждой характеристики. Оценки подкрепляются доказательствами.

Проблемы моделей оценки зрелости

Существует два принципиально разных подхода к использованию моделей зрелости в практической плоскости:

  • сравнение текущих характеристик и уровня зрелости с каким-либо моментом в прошлом, для отслеживания прогресса;
  • сравнение с другими организациями.

На состояние кибербезопасности внутри организации влияет огромное количество часто сложных и трудно измеряемых факторов, в том числе факторов, которые, возможно, не имеют ничего общего с кибербезопасностью, но существенно влияют на зрелость организации в области ИБ. Например, слияние с другой компанией требует формирования новых подходов и стандартов в области ИБ, синхронизации требований и даже культурного кода. На показатели программы повышения осведомленности и, как следствие, количества выявляемых инцидентов может существенно влиять высокая текучка кадров.

Поэтому использование моделей оценки зрелости для ретроспективного отслеживания улучшений требует привязки к контексту изменений контролируемых отслеживаемых параметров, что обычно не представляет проблемы из-за доступности контекстных данных.

Однако если предполагается использовать данную модель для сопоставления уровня зрелости двух организаций, то контекст предприятия будет иметь решающую роль для конечных выводов. К сожалению, информация о контексте крайне редко становится доступной публично или третьим лицам, поэтому сравнительная оценка в реальной жизни практически невозможна.

Другими словами, использование моделей зрелости для сравнения нескольких организации – это чаще всего сравнение яблок с апельсинами.

Обзор существующих моделей зрелости ИБ

Практически все современные модели зрелости основаны на модели CMM (Capability Maturity Model), разработанной и опубликованной в начале 1990-х гг. Институтом программной инженерии Карнеги – Меллона.

Для всех моделей зрелости ИБ можно выделить ряд общих компонентов. Рассмотрим их далее.

Уровни зрелости

Большинство моделей используют пятиуровневую структуру для оценки состояния безопасности каждого из доменов. Эти пять уровней могут быть представлены в виде трехэтапного процесса.

Первый этап представляет собой отправную точку с отсутствующими процессами менеджмента ИБ и неопределенными политиками безопасности. На втором этапе акцент делается на внедрение стандартов безопасности и формализованных процессов управления. Последний этап предполагает практически полностью автоматизированное управление безопасностью предприятия. На данном этапе достигается максимально возможный уровень защиты от киберугроз, а сама организация обретает устойчивость к кибератакам.

Домены безопасности

Модели предлагают оценивать широкий диапазон доменов безопасности от инфраструктуры, данных и сетей до людей, приложений, процессов управления и реагирования, требований по соблюдения правовых норм и управления контрактными обязательствами.

Диагностические методы оценки, измерения, идентификации недостатков и проведения бенчмаркинга

Для оценки текущего уровня и бенчмаркинга широко используются международные стандарты, такие как NIST, ISO 27k и COBIT.

Дорожные карты для руководства и методологии непрерывного улучшения

Как правило, основаны на цикле Деминга – Крюгера (Plan-Do-Check-Act) или цикле OODA (Observe-Orient-Decide-Act).

Все модели являются многомерными, рассматривают процессы как в разрезе доменов безопасности, так и уровней зрелости.

Отдельно стоит отметить, что для сравнения с рынком можно ограниченно использовать данные о сертификациях по стандартам PCI-DSS, ISO 27001 и аналогичным благодаря тому, что данные о сертификатах есть  в публичном доступе. В частности, ISO Survey, доступный на официальном сайте ISO (https://www.iso.org/the-iso-survey.html), позволяет получить статистку по сертификатам ISO 27001 с 2006 по 2017 г. в разрезе региона, страны, а также отрасли, к которой относится организация. Например, для предприятий сектора "Кожа и изделия из кожи" количество выданных сертификатов в среднем за год стремится к одному, что косвенно может свидетельствовать о том, что компании данного сектора существенных преимуществ от сертификации не получают.

Какие модели наиболее распространены

В публичном доступе практически отсутствует статистика по использованию предприятиями и организациями моделей зрелости в области ИБ. Исследователи из Технического университета Мадрида и Национального политехнического института Мехико провели анализ публикаций в научных профильных изданиях с 2012 по 2016 г. и получили список упоминаний моделей зрелости, который представлен в таблице 1, а также частоту их упоминаний в первоисточниках (рис. 1).

Borisov_tabl

  Рис. 1

borisov_ris

Выводы и прогнозы

В настоящее время как для коммерческих, так и для государственных организаций и учреждений доступен большой набор моделей оценки зрелости ИБ, построенных на схожих принципах. При этом реальное использование таких моделей достаточно ограниченно, в первую очередь из-за слабой привязки к особенностям конкретных организаций. Отчасти данная проблема решается адаптацией существующих подходов в виде отраслевых моделей (например, ES-C2M2 для компаний энергетического сектора, ONG-C2M2 для компаний нефтегазового сектора).

Основным заказчиком внедрения является высший менеджмент, который через оценку зрелости получает возможность высокоуровневого контроля прогресса внедрения процессов и технологий ИБ и соответствующим образом корректировать стратегические планы. Отсутствие публичных бенчмарков по рынку и отраслям и, как следствие, невозможность оценить уровень ИБ в своей компании по сравнению с конкурентами – один из факторов, обуславливающих относительно низкое распространение существующих моделей зрелости.

В ближайшем будущем можно ожидать развития существующих моделей, построенных на широко распространенных фреймворках NIST CSF, а также моделей, изначально созданных для информационной безопасности, таких как SSE-CMM.

Более того, очень вероятным выглядит появление новой модели, включающей не только качественный анализ через набор характеристик/доменов, но и количественную оценку состояния кибербезопасности, что позволит использовать оценку как для стратегического, так и для оперативного планирования, а также создать продвинутую экспертную аналитическую систему.

Оптимальным решением на сегодня выглядит начало внедрения любой из существующих моделей оценки с последующей адаптацией и расширением под собственные потребности. Схожие принципы построения моделей позволят в будущем достаточно безболезненно мигрировать на более подходящую, при этом накопленный опыт в оценке, а также статистические данные позволят судить о прогрессе развития процессов ИБ на предприятии, причем, что немаловажно, в удобной и понятной для высшего менеджмента форме.

Поэтому, безусловно, модели зрелости – полезный и важный инструмент ИБ, который  требует для внедрения определенных ресурсов и, как ни странно, определенного уровня зрелости организации. Но и первое и второе являются нормальным эволюционным процессом для информационной безопасности.

Темы:УправлениеКомпанииПроблемы и решения
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Зрелость ИБ – в необходимости адаптироваться быстрее угроз
    Пока вы готовите отчет для аудита, инфраструктура успевает измениться, подрядчики ухитряются обновиться, а атакующие – освоить новые техники проникновения. И выигрывает не тот, у кого больше средств защиты, а тот, кто способен быстрее адаптироваться к изменениям. Зрелость ИБ измеряется не процентом защищенности, а скоростью реакции системы на новые угрозы.
  • Почему вы хотите одной кнопки безопасности?
    Ольга Попова, главный юрист продуктовой группы Контур.Эгида и Staffcop
    Киберугрозы становятся все изощреннее, и руководители мечтают о простом решении -- волшебной кнопке, которая одним нажатием обеспечит полную защиту компании. Возможно ли это в принципе?
  • Киберинцидент как юридический факт
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Для специалиста по ИБ киберинцидент – это аномалия в логах, срабатывание системы обнаружения вторжений или зашифрованные файлы на сервере. Для юриста – юридический факт. Разница в подходах часто становится причиной конфликтов внутри компаний: технари удаляют следы, чтобы восстановить бизнес-процессы, а юристы потом не могут доказать вину злоумышленника или обосновать страховой случай.
  • Как перейти на ущерб-ориентированный подход
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Многим компаниям кажется, что обеспечение кибербезопасности и непрерывности бизнеса требует больших инвестиций, оценить целесообразность которых трудно. Малый и средний бизнес часто считает, что защитные решения стоят дорого и не являются обязательными, ведь якобы основная цель злоумышленников – большие компании. Крупный бизнес с высоким уровнем зрелости сталкивается с другой сложностью: руководство не всегда понимает, как именно кибербезопасность влияет на устойчивость компании и как оценить эффективность инвестиций. У этих разных парадигм одна общая проблема: безопасность существует отдельно от бизнеса.
  • Система управления ИБ в интересах бизнеса: от теории к практике
    Ольга Папина, эксперт продуктовой команды R-Vision SGRC
    В 2025 г. информационная безопасность перестала быть исключительно технической функцией. Для бизнеса она теперь является фактором устойчивости – от того, как выстроено управление ИБ, напрямую зависят непрерывность процессов, выполнение обязательств перед клиентами и способность компании масштабироваться без потери контроля.
  • Управление кибербезопасностью в 2026 году: какие метрики нужны CISO и CEO
    Тимофей Поляков, руководитель направления BI.ZONE Consulting
    Топ-менеджмент требует цифр, а команда кибербезопасности – осмысленных KPI. Давай посмотрим, какая система метрик закрывает запросы обеих сторон.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...