Как построить систему информационной безопасности: от угроз и регуляторов до SIEM и защиты КИИ

Каждая четвертая атака на российские компании в 2025 году завершилась утечкой, простоями или серьезным ущербом. При этом большая часть рисков связана не с технологиями, а с человеческим фактором. 

Разбираемся, какие угрозы сегодня наиболее опасны, как меняются требования регуляторов, какие технические и организационные меры обязательны, и как на практике построить систему ИБ — от розничной торговли до КИИ.

Понятие информационной безопасности

Если компания обрабатывает данные — она уязвима. Преступники ищут слабые места не только в серверах, но и в действиях сотрудников. Информационная безопасность (ИБ) сегодня — это не просто набор программ, а система, которая защищает деньги, процессы и репутацию. Она объединяет технологии, регламенты и контроль так, чтобы бизнес мог работать без сбоев и штрафов — даже в условиях удаленного формата работы, регуляторного давления и сложной IT-инфраструктуры.

В основе ИБ — три принципа:

• Конфиденциальность — доступ к информации только у авторизованных лиц.
• Целостность — данные не меняются без ведома владельца.
• Доступность — системы работают непрерывно, когда это нужно компании.

Почему это важно

Ущерб от одного инцидента может достигать миллионов. По данным IBM Security, средняя стоимость утечки составляет $4,45 млн — это около 400 млн рублей. В сумму входят:

• штрафы от регуляторов;
• судебные и восстановительные расходы;
• потери клиентов и ущерб репутации.

‍

Рынок ритейла в России уже столкнулся с этим: в 2024 году сеть «ВинЛаб» допустила утечку данных. Проверки и штрафы составили до 860 млн рублей.

‍

{{cta}}

Какая информационная безопасность необходима компаниям

В условиях санкций, ужесточения контроля и цифровизации бизнесу нужна гибкая, управляемая и соответствующая требованиям государства система защиты. Три ключевых изменения, которые важно учитывать:

1. Рост регуляторных требований — особенно в процессе импортозамещения и защиты критической инфраструктуры.
2. Смещение угроз — от массовых атак к целевым, часто с участием внутренних нарушителей.
3. Сложность IT-среды — удаленка, облачные сервисы, микросервисы.

‍

Решение — переход от разрозненных средств защиты к централизованным платформам. Приведем пример: логистическая компания внедрила отечественную SIEM-систему с интеграцией DLP и контроля доступа после обновления регламентов перевозок. Результаты:

• соответствие требованиям ФСТЭК;
• снижение времени реагирования на инциденты на 40%;
• автоматизация анализа и хранения логов.

‍

Угрозы информационной безопасности: от вирусов до инсайдеров

В 2025 году число киберинцидентов в бизнесе выросло на 42% — до 22 тысяч случаев. Каждый четвертый из них — с серьезными последствиями: от утечек до остановки операций. Согласно исследованиям, Россия стабильно входит в топ-3 стран по числу атак: от 14% до 16% всех инцидентов в мире приходится на российские компании.

Уязвимость №1 — человек

По данным ФСТЭК,  до 85% атак начинаются с человеческого фактора. Причины — нехватка обучения, усталость, отсутствие цифровой гигиены или прямая мотивация навредить. Современные атаки становятся все более психологически точными: фальшивые звонки, дипфейки, письма «от руководителя» — все это снижает порог доверия и повышает риск.

Внешние угрозы: как работают киберпреступники

Злоумышленники действуют системно — как ИТ-компании, только с противоположной целью. Они делят роли, арендуют инструменты и выбирают организации, которые проще всего взломать.

• Целевые атаки (APT) и промышленный шпионаж. Растянуты во времени и малозаметны. Цель — доступ к данным о госзакупках, технологиях, оборонных контрактах. В зоне риска — предприятия ОПК, телеком и подрядчики, через которых часто и осуществляется проникновение.
• Фишинг и дипфейки на базе ИИ. Письма от «руководства», звонки с поддельными голосами, видеосозвоны с дипфейками — все это становится частью повседневной практики. Пример: мошенники сгенерировали видео, убедили менеджера перевести $25 млн — и исчезли.
• Атаки через цепочку поставок. Вместо прямого взлома — атака через сервисного подрядчика с низким уровнем защиты. Чаще всего страдают промышленность (34%) и телеком (26%). Многие компании до сих пор не проверяют своих поставщиков на предмет ИБ.
• Ransomware нового поколения. Теперь вымогатели не просто шифруют файлы. Они копируют данные, угрожают публикацией, а при отказе платежного давления переключаются на клиентов и партнеров. Такие атаки стали доступны даже непрофессионалам благодаря концепции Ransomware-as-a-Service — когда киберпреступники предлагают зловредное ПО в аренду, как обычную услугу.

Внутренние угрозы: где бизнес теряет контроль

• Ошибки и халатность. Слабые пароли, случайная отправка конфиденциальных документов, использование домашних устройств — все это создает риски. Особенно при удаленной работе, где ИТ-отдел теряет часть контроля.
• Злонамеренные инсайдеры. Финансовая мотивация, конфликты или интерес конкурентов. Сотрудник может внедрить «закладки» в систему, украсть базу или саботировать работу. Опасность в том, что такие действия часто остаются незамеченными месяцами.
• Технические дыры внутри компании. Уязвимые системы, публичные облачные хранилища, устаревшее оборудование. Все это — часть внутреннего периметра, который легко обходится, если нет единого контроля и предприятие не соблюдает принцип Zero Trust («нулевое доверие»).

‍

Нормативная база: какие законы регулируют информационную безопасность

ИБ в бизнесе невозможна без соответствия законодательству. Несоблюдение требований не только повышает риск атак, но и ведет к штрафам, блокировке деятельности и, в ряде случаев, — к уголовной ответственности. Особенно строго регуляторы подходят к обработке персональных данных, работе с критической инфраструктурой и импортозамещению.

С 2025 года усилился контроль за соблюдением норм, особенно для тех, кто работает в госсекторе, цепочках поставок и сферах с повышенной чувствительностью данных. 

‍

‍

Важно! Субъекты КИИ обязаны использовать только сертифицированное отечественное ПО и оборудование. Это касается:

• баз данных и операционных систем;
• инструментов защиты информации (SIEM, DLP, межсетевые экраны и др.);
• средств криптографической защиты.

‍

Выбор решений теперь должен учитывать не только технические характеристики, но и обязательную сертификацию средств защиты (ФСТЭК/ФСБ).

Почему важно следовать требованиям комплексно

Законодательные акты — это не просто формальность. Каждый из них закрепляет конкретные действия:

• 152-ФЗ требует составления «модели угроз» — на ее основе IT-отдел выстраивает архитектуру защиты и выбирает решения для шифрования, разграничения доступа и хранения логов;
• 187-ФЗ обязывает сегментировать ИТ-сеть, установить непрерывный мониторинг и внедрить SIEM для фиксации угроз в реальном времени;
• ГОСТ 27001 помогает стандартизировать процессы: от управления инцидентами до внутреннего аудита.

‍

Технические и организационные способы защиты: что работает в реальности

Эффективная информационная безопасность строится на балансе двух компонентов: технологий и организации процессов. Только совмещение технических решений и управленческих практик дает устойчивый результат.

{{cta}}

Технические меры: как технологии помогают сдерживать атаки

Технические средства — это программные и аппаратные инструменты, которые выявляют, предотвращают и сдерживают угрозы без участия человека.

• NGAV и EDR-системы. Антивирусы нового поколения и платформы обнаружения угроз (EDR) анализируют поведение программ, а не только сигнатуры. Компания обнаруживает неизвестные атаки и аномалии в реальном времени.
• Межсетевые экраны и сегментация сети. Firewall-фильтры регулируют доступ во внутреннюю сеть, а сегментация разделяет ее на зоны. Это сдерживает движение преступника внутри инфраструктуры, даже если ему удалось пробраться внутрь.
• Системы DLP. Контролируют передачу данных по всем каналам: email, мессенджеры, внешние носители. Автоматически блокируют отправку конфиденциальной информации неавторизованным адресатам.
• Шифрование данных. Защищает информацию на всех этапах — от хранения до передачи. Даже если носитель утерян или данные перехвачены, без ключа расшифровать их невозможно.
• SIEM-платформы. Собирают логи со всех устройств, анализируют поведение систем и пользователей, выявляют подозрительные события и автоматизируют реагирование на инциденты.

Организационные меры: безопасность начинается с процессов

Даже самая продвинутая система может быть отключена «по ошибке» или обойдена сотрудником. Организационные меры создают культуру безопасности и обеспечивают контроль.

• Политика информационной безопасности. Базовый документ, который описывает правила доступа, хранения и передачи данных. Он должен быть понятным, регулярно обновляться и доводиться до каждого сотрудника.
• Обучение персонала. Слабое звено в ИБ — человек. Регулярные тренинги, тесты на внимательность, симуляции фишинга — все это снижает вероятность ошибок и повышает устойчивость к социальным атакам.
• Принцип минимального доступа. Специалист владеет лишь теми правами, которые нужны для работы. При изменении должности или увольнении доступ автоматически пересматривается или блокируется.
• Управление инцидентами. Важно заранее определить, кто и как реагирует при атаке: изоляция угрозы, уведомление руководства, взаимодействие с ИБ-службой и, при необходимости, с регуляторами.

‍

Как правильно выстроить систему ИБ в ритейле: пошаговый план

Система ИБ должна защищать конкретные бизнес-процессы магазина — от хранения персональных данных до работы касс. Ниже — практический план построения системы ИБ для крупного магазина, например, сети, торгующей электроникой и бытовой техникой.

1. Аудит: определить риски и уязвимости

Первый этап — инвентаризация цифровых активов и точек входа угроз. Задача — понять, что нужно защищать и какие последствия возможны при инциденте.

Что проверять:

• Каналы поступления и передачи данных: онлайн-кассы, CRM, программы лояльности, связь с банками и поставщиками.
• Хранилища информации: серверы, облачные сервисы, локальные базы данных.
• Уровень доступа: кто имеет доступ к каким данным, как защищены учетные записи, используются ли двухэтапная проверка входа и автоматическое обновление всех систем.

‍

Что важно получить: не просто список проблем, а оценку потенциального ущерба — простой касс, утечка клиентской базы, штраф по 152-ФЗ. Это основа для приоритезации действий.

2. Формирование стратегии: установить правила и цели

На основе аудита формируется стратегия защиты, которая включает как регламенты, так и целевые показатели.

Что должно быть сделано:

• Разработка и утверждение политики информационной безопасности — с конкретными правилами для сотрудников.
• Определение бюджета на защиту на основе возможных убытков.
• Установка метрик: например, сокращение инцидентов с ПДн, доля обученных сотрудников, скорость реагирования на угрозы.

3. Внедрение базовых технических и организационных мер

На этом этапе реализуются основные меры, закрывающие распространенные сценарии атак.

Технические действия:

• Сегментация сети: отделение платежной инфраструктуры от гостевого Wi-Fi и личных устройств.
• Введение резервного копирования по принципу 3-2-1.
• Обязательное обновление ПО на кассах, терминалах, серверах и ноутбуках.

‍

Организационные меры:

• Обучение команды на реальных примерах: как распознать фишинговое письмо, почему нельзя вводить пароли на сторонних сайтах.
• Ограничение доступа: права назначаются только в пределах должностных обязанностей и регулярно пересматриваются.

4. Внедрение продвинутых решений для защиты критичных данных

Когда базовый уровень защиты налажен, стоит перейти к контролю более сложных угроз. Цель — предотвратить утечку клиентских данных и зафиксировать попытки обхода защиты.

Решения:

• DLP-система — контролирует передачу конфиденциальных данных и блокирует несанкционированные действия.
• SIEM — собирает логи со всех систем и выявляет аномалии, связанные с атаками или нарушениями доступа.

‍

На что обратить внимание при выборе подрядчика: опыт в ритейле, понимание специфики торговых систем и умение адаптировать решения под бизнес-процессы, а не только поставить продукт.

5. Постоянный контроль и улучшение

ИБ — это процесс, требующий регулярной проверки и корректировки.

Что нужно делать:

• Тестирование защиты: проводить внешние и внутренние проверки (включая pentest) не реже одного раза в год.
• Актуализация документации и обучение при запуске новых сервисов (например, при запуске доставки через приложение).
• Анализ инцидентов: изучать причины срабатываний DLP или SIEM и вносить корректировки в политику безопасности.

‍

Как ТМК централизовала управление безопасностью: кейс по защите КИИ, доступа и команды

ТМК, крупный промышленный холдинг с десятками предприятий, столкнулась с классической проблемой распределенного периметра безопасности. Требовалось построить защиту для своей критической инфраструктуры с нуля, соответствуя строгим требованиям регуляторов (ФСТЭК) для ОПК и обеспечивая безопасность коммерческих данных при активной цифровизации. Отдельная задача — централизованное управление доступом для 60 000 сотрудников.

Решение: компания внедрила комплексную защиту систем и данных от киберугроз. Основой стала интеграция ИБ в существующую ИТ-среду компании:

1. Для контроля ИТ-инфраструктуры эксперты использовали SIEM-систему, которая в реальном времени анализирует события с более чем 200 объектов. Она помогает быстро выявлять инциденты, автоматизирует анализ угроз и поддерживает расследования, являясь ядром архитектуры ИБ.
2. Централизованная система аутентификации TMK ID объединила 15+ доменов и обеспечила единый вход (SSO) с многофакторной защитой. Это повысило безопасность, упростило доступ и снизило нагрузку на техподдержку.
3. ТМК регулярно проводит учения по отражению атак. Команда отрабатывает действия по реальным сценариям вместе с партнерами, выявляя уязвимости и адаптируя защиту под бизнес-процессы.

‍

Результаты:

• Контроль всего периметра безопасности — SIEM обеспечивает видимость и управление всей ИТ-инфраструктурой, что критично для объектов КИИ.
• Безопасный и стабильный доступ для сотрудников — TMK ID упростил вход и снизил число инцидентов, связанных с доступом.
• Готовность к атакам и соответствие требованиям — компания выполняет нормативы ФСТЭК и поддерживает высокий уровень подготовки команды.

‍

Кейс показывает, как можно выстроить централизованную, управляемую и соответствующую требованиям систему информационной безопасности. Вместо точечных решений холдинг создал единую архитектуру защиты, которая встроена в повседневную работу и масштабируется под задачи бизнеса. Это не просто техническая реализация, а платформа для безопасной цифровой трансформации.

‍

{{cta}}