Методология и проект модернизации системы защиты информации ЛВС администрации: Анализ угроз (ФСТЭК/ФСБ), выбор сертифицированных СЗИ и количественное экономическое обоснование (ROSI)

В 2023 году государственный сектор России стал мишенью для 15% всех успешных кибератак на организации, а к первой половине 2024 года эта цифра лишь незначительно снизилась до 14%. При этом общий ущерб от киберпреступлений в стране может достигать впечатляющих 250 миллиардов рублей ежегодно, а только от дистанционных мошенничеств в 2024 году потери уже превысили 200 миллиардов рублей. Эти ошеломляющие цифры убедительно демонстрируют не просто актуальность, но и критическую необходимость обеспечения информационной безопасности в государственных и муниципальных учреждениях. Локальные вычислительные сети (ЛВС) администраций, обрабатывающие конфиденциальные данные граждан, секретную информацию и обеспечивающие непрерывность государственных функций, являются особенно привлекательной целью для злоумышленников. Без адекватной, соответствующей современным угрозам и нормативным требованиям системы защиты информации (СЗИ) такие организации остаются уязвимыми, что ставит под угрозу государственную стабильность и доверие общества. Иными словами, недостаточная защита информации сегодня — это прямая угроза национальной безопасности завтра.

Целью настоящей работы является разработка всеобъемлющей методологии и детализированного проекта модернизации СЗИ локальной вычислительной сети на примере организации государственного/муниципального управления. Мы не просто проанализируем существующие вызовы, но и предложим конкретные решения, опираясь на строгие академические и профессиональные стандарты. Работа будет структурирована в три ключевые части: аналитическую, посвященную нормативно-правовой базе и ландшафту угроз; проектную, где будет предложен выбор конкретных сертифицированных средств защиты; и экономическую, которая представит количественное обоснование инвестиций в безопасность. Такой подход позволит не только глубоко проработать тему, но и создать основу для практической реализации проекта модернизации.

Теоретические и нормативно-правовые основы защиты информации

Для формирования прочной теоретической базы и обеспечения методологической корректности любого проекта в сфере информационной безопасности необходимо прежде всего обратиться к основополагающим российским стандартам и нормативным документам. Именно они задают рамки, определяют терминологию и устанавливают обязательные требования, без которых невозможно выстроить эффективную и легитимную систему защиты. Ведь что может быть важнее, чем уверенность в том, что наша защита строится на твердой нормативной почве?

Определение понятий (ГОСТ)

Понимание ключевых терминов является краеугольным камнем в любой научно-технической работе. Согласно ГОСТ Р 53113.1, который служит одним из базовых документов в области информационной безопасности, мы можем выделить следующие фундаментальные определения:

• Автоматизированная система (АС): Это сложный комплекс, состоящий из персонала и совокупности средств автоматизации его деятельности. Его основная задача — реализация определенной информационной технологии для выполнения установленных функций. В контексте ЛВС администрации, АС включает в себя все компьютеры, серверы, сетевое оборудование, программное обеспечение и, что крайне важно, пользователей, которые с этой системой взаимодействуют.
• Информационная безопасность (ИБ): Не просто набор мер, а всеобъемлющий процесс, охватывающий аспекты определения, достижения и поддержания конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки. Это означает, что ИБ — это не только защита от внешних атак, но и обеспечение того, что информация всегда будет доступна авторизованным пользователям, что она не будет искажена, а действия с ней могут быть достоверно отслежены.
• Триада ЦДС (Конфиденциальность, Целостность, Доступность): Этот принцип является фундаментальной основой информационной безопасности.
  • Конфиденциальность гарантирует, что информация доступна только авторизованным лицам.
  • Целостность обеспечивает сохранность информации от несанкционированных изменений или уничтожения.
  • Доступность означает, что авторизованные пользователи могут получить доступ к информации и связанным активам тогда, когда это необходимо. Любое нарушение одного из этих трех принципов считается инцидентом ИБ.
• Система защиты информации (СЗИ): Это комплекс аппаратных, программных и организационных мер, направленных на противодействие угрозам безопасности информации. СЗИ является неотъемлемой частью Автоматизированной системы в защищенном исполнении (АСЗИ), реализуя требования по защите информации и обеспечивая выполнение триады ЦДС.
• Нарушитель безопасности информации (adversary): Это физическое лицо (субъект), которое, случайно или преднамеренно, совершает действия, приводящие к нарушению безопасности информации при ее обработке техническими средствами в информационных системах. Понимание мотивов, возможностей и методов нарушителей является критически важным для построения эффективной СЗИ. Важно отметить, что нарушители ИБ подразделяются на две основные категории: Внешние нарушители, не имеющие прав доступа к компонентам системы, и Внутренние нарушители, обладающие постоянным или разовым доступом. Согласно статистике, доля внутренних нарушителей составляет 75-80% от общего числа зафиксированных нарушений, что подчеркивает значимость защиты от инсайдерских угроз. Что из этого следует? Защита от внутренних угроз требует не меньшего, а зачастую и большего внимания, чем от внешних, поскольку инсайдер уже находится «за воротами» системы.

Регулирование ИБ в ГИС/МИС (Приказ ФСТЭК России № 17)

Защита государственных информационных систем (ГИС) и муниципальных информационных систем (МИС) регулируется одним из ключевых нормативно-правовых актов в российской сфере ИБ — Приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Этот приказ является обязательным для всех ГИС, а для МИС он применяется по умолчанию, если иное не установлено специальным законодательством РФ о местном самоуправлении.

Приказ № 17 не просто декларирует необходимость защиты, но и детализирует конкретный состав мер, которые необходимо реализовать. Эти меры сгруппированы в 15 основных групп (типов) мер, охватывающих все аспекты жизненного цикла системы защиты информации. Среди них можно выделить:

• Идентификация и аутентификация (ИАФ): Меры по однозначному определению и подтверждению подлинности субъектов доступа (пользователей, процессов, устройств).
• Управление доступом (УПД): Регулирование прав доступа субъектов к объектам доступа (информации, ресурсам системы) на основе заданных политик.
• Ограничение программной среды (ОПС): Меры по контролю и ограничению использования программного обеспечения, разрешая запуск только доверенных приложений.
• Антивирусная защита (АВЗ): Комплекс мер по обнаружению, блокированию и нейтрализации вредоносного программного обеспечения.
• Обнаружение вторжений (СОВ): Технические средства и организационные процедуры для выявления несанкционированных или аномальных действий в системе.
• Обеспечение целостности (ОЦЛ): Меры по предотвращению несанкционированных изменений информации и программного обеспечения.
• Реагирование на инциденты (ИНЦ): Процедуры по оперативному выявлению, локализации, устранению последствий и расследованию инцидентов ИБ.

Кроме того, Приказ ФСТЭК России № 17 обязывает организации проводить анализ угроз безопасности, осуществлять управление системой защиты и ее конфигурацией, проводить обучение персонала, а также регулярно контролировать уровень защищенности информации. Эти требования формируют комплексный подход к ИБ, где технологические решения неразрывно связаны с организационными процессами.

Регулирование ИСПДн (Приказ ФСТЭК России № 21)

Когда речь заходит о защите персональных данных (ПДн), вступает в силу еще один важнейший документ — Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Этот приказ детализирует требования Федерального закона № 152-ФЗ «О персональных данных» и является обязательным для всех операторов, обрабатывающих ПДн.

Центральным элементом Приказа № 21 является концепция четырех уровней защищенности персональных данных (УЗ1, УЗ2, УЗ3, УЗ4), где УЗ1 представляет собой самый высокий уровень требований к защите. Уровень защищенности ИСПДн определяется на основе комплексного анализа четырех ключевых факторов:

1. Тип актуальных угроз: Определяется согласно «Методике определения актуальных угроз безопасности персональных данных», разработанной ФСТЭК России. Различают три типа угроз:
   • Тип 1: Угрозы, связанные с возможностью несанкционированного доступа к информации и нарушения ее конфиденциальности, целостности и доступности из-за наличия недекларированных возможностей (НДВ) в системном программном обеспечении (операционных системах, СУБД). Это наиболее серьезный тип угроз.
   • Тип 2: Угрозы, связанные с возможностью несанкционированного доступа к информации и нарушения ее конфиденциальности, целостности и доступности из-за наличия НДВ в прикладном программном обеспечении.
   • Тип 3: Угрозы, связанные с возможностью несанкционированного доступа к информации и нарушения ее конфиденциальности, целостности и доступности из-за отсутствия или некорректной реализации мер защиты, предусмотренных для конкретной ИСПДн.
2. Категория персональных данных: ПДн классифицируются по степени чувствительности:
   • Специальные персональные данные: Расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь.
   • Биометрические персональные данные: Сведения, характеризующие физиологические и биологические особенности человека (отпечатки пальцев, радужная оболочка глаза, голос).
   • Общедоступные персональные данные: Сведения, которые были сделаны общедоступными самим субъектом ПДн или с его согласия.
   • Иные персональные данные: Все остальные ПДн, не отнесенные к вышеуказанным категориям (например, ФИО, адрес, паспортные данные).
3. Объем обрабатываемых данных: Делится на две категории:
   • Менее 100 000 субъектов персональных данных.
   • Более 100 000 субъектов персональных данных.
4. Форма взаимоотношений: Определяется, являются ли обрабатываемые ПДн данными сотрудников оператора или не сотрудников.

На основании комбинации этих факторов и определяются требования к мерам защиты. Например, обработка специальных категорий ПДн для более 100 000 субъектов при наличии угроз 1-го типа потребует максимального (УЗ1) уровня защищенности. Приказ № 21 также устанавливает требование по оценке эффективности реализованных мер безопасности ПДн не реже одного раза в 3 года, что подчеркивает необходимость постоянного мониторинга и адаптации СЗИ.

Анализ угроз и моделирование нарушителя для муниципального сектора (УИП: Интеграция ФСТЭК и ФСБ)

Понимание актуального ландшафта киберугроз и детализированной модели нарушителя является краеугольным камнем в проектировании эффективной системы защиты информации. Для муниципального сектора, в частности для администраций, эти аспекты приобретают особую значимость ввиду специфики обрабатываемой информации и высокой привлекательности для злоумышленников. Наш подход будет основан на интеграции требований ФСТЭК и ФСБ России, а также на актуальных статистических данных.

Актуальный ландшафт угроз (дата-дривен)

Необходимость модернизации СЗИ для государственных и муниципальных структур не является абстрактной. Она диктуется неуклонным ростом числа и сложности кибератак, о чем свидетельствует ряд тревожных статистических данных:

• Государственный сектор остается одной из главных мишеней. В 2023 году на него приходилось 15% всех успешных кибератак на организации, а в первой половине 2024 года эта доля составила 14%. Это говорит о стабильном интересе злоумышленников к данным и инфраструктуре госучреждений.
• Общий рост киберпреступности. В России в 2022 году общее количество кибератак увеличилось на 21% по сравнению с 2021 годом. Более того, общее количество преступлений, совершенных с использованием информационных технологий, составило около 680 тысяч в 2023 году, что представляет собой рост на 30% по сравнению с 2022 годом. Эти цифры указывают на масштабы проблемы и постоянное расширение «поля боя» в киберпространстве.
• DDoS-атаки как инструмент воздействия. В 2023 году российские госструктуры столкнулись с беспрецедентным ростом DDoS-атак — на 700%, до 1,26 миллиона инцидентов за год. Хотя в 2024 году рост замедлился, сам факт такой массированной кампании подчеркивает уязвимость инфраструктуры перед отказами в обслуживании, что критично для государственных сервисов.
• Вредоносное программное обеспечение (ВПО) — лидер атак. Наиболее распространенным способом успешных атак является использование ВПО, доля которого достигла 68% в первом полугодии 2024 года. Это включает в себя вирусы-шифровальщики, трояны, шпионское ПО и другие виды вредоносных программ, способных нарушить конфиденциальность, целостность и доступность информации.
• «Living off the land» как новая тактика. Злоумышленники все чаще используют методы «living off the land» – угон учетных данных и применение легитимных средств администратора для достижения своих целей. До 79% обнаруженных вторжений могут при этом не содержать отдельных вредоносных файлов, что делает их крайне труднообнаружимыми традиционными антивирусными средствами. Это требует более совершенных систем мониторинга поведения и корреляции событий.

Базовая модель угроз безопасности для ГИС/МИС разрабатывается на основе «Методики определения угроз безопасности информации в информационных системах» ФСТЭК России и ее Банка данных угроз (БДУ). Этот подход позволяет систематизировать потенциальные угрозы, исходя из их источников, способов реализации и потенциальных последствий.

Модель нарушителя: Скрытая угроза внутренних инсайдеров

Традиционно внимание при разработке СЗИ часто фокусируется на внешних злоумышленниках. Однако статистика рисует иную картину: 75-80% нарушений безопасности информации совершается внутренними нарушителями. Это могут быть как недобросовестные сотрудники, целенаправленно идущие на нарушение, так и невнимательные пользователи, случайно совершающие ошибки или попадающиеся на уловки социальной инженерии.

Внутренние нарушители представляют особую опасность, поскольку они уже имеют легитимный доступ к инфраструктуре и зачастую знают особенности ее функционирования. Их действия могут быть трудноотличимы от обычной рабочей активности, особенно когда используются методы «living off the land» – применение встроенных системных утилит и административных инструментов для скрытного перемещения по сети, сбора информации и закрепления в системе. Это может быть PowerShell, PsExec, Mimikatz (для извлечения учетных данных) и другие. Для противодействия таким угрозам необходимы не только технические средства, но и строгие организационные меры, включая контроль доступа, мониторинг действий пользователей и обучение персонала.

Слепая Зона: Детализированная Модель Нарушителя ФСБ

Хотя методики ФСТЭК дают хорошее представление о типовых угрозах, для более чувствительных сегментов, особенно тех, где обрабатывается информация, составляющая государственную тайну, или используется криптографическая защита информации (СКЗИ), необходимо углубляться в требования ФСБ России. Какой важный нюанс здесь упускается? Модель ФСБ учитывает не только технические, но и агентурные возможности нарушителя. Модель нарушителя по рекомендациям ФСБ включает 6 категорий возможностей, которые значительно расширяют представление о потенциальных угрозах и позволяют проектировать более надежные системы защиты. Эти категории различаются по уровню доступа нарушителя и его специализации:

1. Нарушители, атакующие только за пределами зоны криптографической защиты (КЗ): Это самая базовая категория, включающая внешних злоумышленников, не имеющих доступа к компонентам СКЗИ и пытающихся проникнуть в сеть извне.
2. Нарушители, имеющие временный/постоянный доступ к помещениям и оборудованию, но не имеющие доступа к СКЗИ: Могут быть сотрудниками или подрядчиками, способными использовать физические уязвимости или устанавливать вредоносное ПО до активации СКЗИ.
3. Нарушители, имеющие доступ к криптографическим ключам или обладающие возможностью их получения: Это уже инсайдеры или высококвалифицированные внешние злоумышленники, способные скомпрометировать криптографические средства.
4. Нарушители, способные использовать недокументированные возможности (НДВ) прикладного программного обеспечения: Квалифицированные хакеры, способные находить и эксплуатировать уязвимости в легитимных приложениях, которые используются в системе.
5. Нарушители, способные использовать НДВ программно-аппаратных компонентов среды функционирования СКЗИ: Это высшая категория квалификации, включающая государственных спонсируемых хакеров или инсайдеров с глубокими знаниями системного ПО и аппаратного обеспечения, способных эксплуатировать скрытые функции или уязвимости на низком уровне.
6. Нарушители, способные привлекать специалистов в области анализа сигналов, обладающие средствами радиоразведки: Наиболее опасная категория, которая предполагает возможность перехвата электромагнитных излучений или иных побочных каналов утечки информации, что требует применения специальных средств защиты информации от побочных электромагнитных излучений и наводок (ПЭМИН).

Интеграция такой детализированной модели нарушителя ФСБ в процесс проектирования СЗИ значительно повышает академическую ценность проекта и его практическую применимость для организаций, работающих с конфиденциальной информацией, требующей максимальной защиты. Она позволяет учесть не только типовые угрозы, но и высококвалифицированные атаки, а также инсайдерские угрозы на всех уровнях.

Проектирование модернизированной СЗИ ЛВС (УИП: Техническая детализация)

После глубокого анализа нормативно-правовой базы и ландшафта угроз, переходим к этапу проектирования модернизированной СЗИ. Цель — создать систему, способную эффективно противостоять актуальным угрозам, включая вредоносное программное обеспечение (ВПО) и инсайдерские действия, а также соответствующую всем классам защиты, определенным регуляторами. Ключевым аспектом здесь является выбор конкретных, сертифицированных российских средств защиты информации.

Выбор современных сертифицированных СЗИ (Закрытие слепой зоны)

Для государственных и муниципальных учреждений критически важным требованием является использование СЗИ, имеющих действующие сертификаты соответствия ФСТЭК России или ФСБ России. Это гарантирует, что продукты прошли необходимые испытания и соответствуют установленным стандартам безопасности.

В нашем проекте модернизации ЛВС администрации мы предлагаем использовать следующие категории и конкретные примеры сертифицированных решений:

1. Межсетевые экраны нового поколения (МЭНП — Next-Generation Firewall):

   Традиционные межсетевые экраны уже не способны эффективно противостоять сложным и многовекторным атакам. МЭНП объединяют в себе функции классического МЭ с возможностями систем обнаружения вторжений/предотвращения вторжений (СОВ/СПВ), контроля приложений, фильтрации URL и глубокого анализа пакетов.

   • UserGate NGFW: Этот программно-аппаратный комплекс является флагманом среди российских МЭНП. Он сертифицирован ФСТЭК России по 4-му уровню доверия, что позволяет его использовать в государственных информационных системах, обрабатывающих несекретную информацию. UserGate NGFW соответствует требованиям к межсетевым экранам типа «А» (защита периметра сети) и «Б» (защита сегментов сети) 4 класса, а также к средствам обнаружения вторжений (СОВ) 4 класса защиты. Его возможности включают:
     • Глубокий анализ пакетов (DPI) для выявления сложных угроз.
     • Контроль приложений на уровне L7.
     • Встроенная антивирусная защита и фильтрация спама.
     • Система предотвращения вторжений (IPS).
     • Web Application Firewall (WAF) для защиты веб-приложений.
     • VPN-функциональность для безопасного удаленного доступа.
   • InfoWatch ARMA «Стена» (МЭНП): Еще одно мощное российское решение, также сертифицированное ФСТЭК России по 4-му уровню доверия. Оно соответствует требованиям к МЭ типа «Б» (защита сегментов) и «Д» (для АСУ ТП) 4 класса, а также СОВ 4 класса защиты. Особенность InfoWatch ARMA «Стена» заключается в его способности работать в АСУ ТП, что важно для критической информационной инфраструктуры (КИИ). Его функционал аналогичен UserGate, но с акцентом на защиту промышленных систем.
2. Системы управления событиями ИБ (СУСИБ — Security Information and Event Management):

   СУСИБ-системы являются центральным звеном в мониторинге и реагировании на инциденты ИБ. Они собирают, анализируют и коррелируют события безопасности со всех источников в сети (серверы, СЗИ, сетевое оборудование), позволяя оперативно выявлять аномалии и атаки, особенно «living off the land» и инсайдерские действия.

   • RuSIEM: Это российская СУСИБ-система, которая получила сертификат соответствия ФСТЭК России по 4-му уровню доверия. Это позволяет использовать ее в ГИС 1-го класса защищенности и на значимых объектах КИИ 1-й категории. RuSIEM предлагает широкий спектр возможностей:
     • Централизованный сбор и хранение журналов событий.
     • Автоматическая корреляция событий и выявление инцидентов.
     • Мониторинг поведения пользователей и сущностей (UEBA).
     • Интеграция с ГосСОПКА.
     • Гибкие отчеты и дашборды для аналитиков.
   • Security Capsule SIEM (SC SIEM): Полностью сертифицированная ФСТЭК (сертификат №4735, уровень доверия 4) и внесенная в реестр отечественного ПО. Применяется в ГИС, имеет функционал для интеграции с ГосСОПКА, ИИ-ассистент, мониторинг угроз, управление уязвимостями.
   • R-Vision SIEM: Также сертифицирована ФСТЭК России, что позволяет использовать ее в ГИС 1-го класса защищенности и на значимых объектах КИИ 1-й категории. R-Vision SIEM, помимо базовых функций, обладает развитыми возможностями по управлению инцидентами (УИП) и оркестровке безопасности (СОАР), что значительно повышает оперативность реагирования.
3. Сертифицированные Средства Антивирусной Защиты (АВЗ):

   Антивирусная защита остается базовым, но критически важным элементом СЗИ для противодействия ВПО, которое, как мы видели, является основным вектором атак.

   • Dr.Web Enterprise Security Suite: Один из ведущих российских антивирусных продуктов, имеющий сертификаты соответствия ФСТЭК России и ФСБ России. Может применяться для защиты ИСПДн до 1-го уровня защищенности включительно, а также для защиты сведений, составляющих государственную тайну. Предоставляет централизованное управление, защиту рабочих станций, серверов, почтовых и файловых систем.
   • Kaspersky Security для бизнеса: Еще одно широко известное и сертифицированное российское решение от «Лаборатории Касперского», также имеющее необходимые сертификаты ФСТЭК и ФСБ. Предлагает комплексную защиту от вредоносного ПО, сетевых атак, веб-угроз, контроль приложений и устройств.

Состав организационных мер и документации

Технические средства, какими бы совершенными они ни были, не могут обеспечить полную защиту без адекватных организационных мер и соответствующей документации. Человеческий фактор остается одним из самых слабых звеньев в цепи безопасности. А может ли какая-либо, даже самая продвинутая, технология полностью исключить ошибки человека?

Ключевые организационные меры:

• Обучение персонала: Регулярное обучение всех сотрудников основам информационной безопасности, правилам работы с конфиденциальной информацией, распознаванию фишинговых атак и социальной инженерии. Должны проводиться как вводные инструктажи, так и периодические повышения квалификации.
• Управление конфигурацией: Процедуры по обеспечению того, что все аппаратное и программное обеспечение в ЛВС настроено безопасно, регулярно обновляется и соответствует утвержденным политикам. Это включает управление патчами, контроль изменений и инвентаризацию активов.
• Управление доступом: Строгие правила предоставления, изменения и отзыва прав доступа к информационным ресурсам. Реализация принципа наименьших привилегий (Least Privilege) и регулярный аудит прав доступа.
• Реагирование на инциденты: Разработка и тестирование плана реагирования на инциденты, включающего шаги по выявлению, локализации, устранению последствий, восстановлению и расследованию инцидентов ИБ.
• Резервное копирование и восстановление: Регулярное создание резервных копий критически важных данных и конфигураций, а также проверка их целостности и возможности восстановления.

Перечень разрабатываемых документов:

• Политика информационной безопасности организации: Основной документ, определяющий общие цели, принципы и требования к обеспечению ИБ.
• Модель угроз безопасности информации и модель нарушителя: Документы, подробно описывающие актуальные угрозы и потенциальных нарушителей, специфичных для данной ЛВС, с учетом требований ФСТЭК и ФСБ.
• Техническое задание (ТЗ) на создание/модернизацию СЗИ: Документ, описывающий требования к СЗИ, ее составу, функциям и характеристикам.
• Концепция СЗИ: Документ, описывающий основные подходы и принципы построения системы защиты.
• План мероприятий по обеспечению ИБ: Детализированный план реализации организационных и технических мер защиты.
• Регламенты и инструкции: Документы, описывающие конкретные процедуры и правила работы с СЗИ, реагирования на инциденты, управления доступом и т.д.
• План реагирования на инциденты информационной безопасности: Отдельный документ, детализирующий действия при возникновении инцидентов.

Оценка эффективности и экономическое обоснование модернизации (УИП: Количественный расчет)

Даже самая передовая система защиты информации требует не только технического, но и экономического обоснования. Инвестиции в ИБ должны быть оправданы, а их эффективность — поддаваться оценке. Для органов государственной и муниципальной власти, где бюджеты строго регламентированы, это особенно важно.

Обобщенный критерий эффективности СЗИ

На самом базовом уровне обобщенный критерий эффективности системы защиты информации (Э) часто определяется как отношение уровня защищенности (У_з) к стоимости затрат на обеспечение ИБ (Б_сзи). Упрощенная математическая модель:

Э = Уз / Бсзи

Где:

• У_з — количественная оценка уровня защищенности (например, на основе соответствия требованиям регуляторов, результатов аудитов или экспертных оценок).
• Б_сзи — общая стоимость системы защиты информации, включающая затраты на приобретение, внедрение, обслуживание и обучение.

Однако, несмотря на кажущуюся простоту, системные подходы к количественной оценке ущерба от утечек информации и, как следствие, к оценке эффективности СЗИ, в российских организациях развиты недостаточно. Почти у половины организаций (47%) отсутствует методика такой оценки, что затрудняет принятие обоснованных решений об инвестициях. Это создает потребность в более продвинутых метриках, способных четко показать экономическую выгоду от вложений в безопасность.

Слепая Зона: Расчет ROSI (Return on Security Investment)

Для комплексного и академически корректного экономического обоснования модернизации СЗИ необходимо использовать метрику ROSI (Return on Security Investment), которая показывает окупаемость инвестиций в информационную безопасность через снижение годового ожидаемого ущерба (ГОУ, Annualized Loss Expectancy). Эта метрика позволяет не просто оценить затраты, но и количественно показать, сколько денег организация «сэкономит», предотвратив потенциальные инциденты.

Формула для расчета ROSI выглядит следующим образом:

ROSI = ((ГОУдо - ГОУпосле) - Затраты) / Затраты

Где:

• ГОУ_до (Годовой Ожидаемый Ущерб до модернизации): Ежегодный ожидаемый ущерб до внедрения новой СЗИ.
• ГОУ_после (Годовой Ожидаемый Ущерб после модернизации): Ежегодный ожидаемый ущерб после внедрения новой СЗИ.
• Затраты: Общие инвестиции в модернизацию СЗИ (капитальные (CAPEX) и операционные (OPEX) затраты за первый год).

Значение ROSI, превышающее 0, указывает на положительную окупаемость инвестиций в ИБ. Чем выше ROSI, тем более выгодным является проект. И что из этого следует? Положительный ROSI — это не просто экономия, это инвестиция в стабильность и непрерывность бизнес-процессов, которая приносит ощутимую финансовую отдачу.

Оценка предотвращенного ущерба (ГОУ)

Расчет ГОУ является ключевым шагом для определения ROSI. ГОУ вычисляется по формуле:

ГОУ = ЕОУ × ЧВИ

Где:

• ЕОУ (Единовременный Ожидаемый Ущерб): Единовременный ожидаемый ущерб от одного инцидента безопасности. ЕОУ включает в себя прямые убытки (стоимость ликвидации инцидента, восстановления данных и систем, юридические издержки) и косвенные затраты (репутационный ущерб, потеря клиентов/доверия, штрафы за нарушение законодательства, упущенная выгода).
• ЧВИ (Частота Возникновения Инцидентов): Ежегодная частота возникновения инцидентов. Этот показатель может быть основан на внутренней статистике, отраслевых бенчмарках или экспертных оценках.

Пример оценки ГОУ для ЛВС администрации:

Оценим потенциальные потери, используя актуальные данные об ущербе в РФ. По данным МВД России, ущерб от дистанционных мошенничеств в 2024 году увеличился на 36% и составил 200 млрд рублей, по сравнению с 147 млрд рублей в 2023 году. Общий ущерб России от киберпреступлений в 2024 году оценивается Минцифры в 160-250 млрд рублей.

Предположим, для конкретной администрации:

1. ЕОУ (Единовременный ущерб):
   • Прямые убытки (восстановление систем, ликвидация инцидента, экспертные услуги): 500 000 рублей.
   • Штрафы за утечку ПДн (согласно 152-ФЗ, до 15 млн рублей за первый случай): 1 000 000 рублей (усредненное значение).
   • Косвенные затраты (репутационный ущерб, потеря доверия граждан, простой сервисов). Зарубежные оценки показывают, что убытки от ущерба бренду и репутации могут быть в 7,5 раз больше прямых затрат на восстановление после взлома. Возьмем консервативно 3-кратный коэффициент от прямых убытков: 500 000 × 3 = 1 500 000 рублей.
   • Общий ЕОУ = 500 000 + 1 000 000 + 1 500 000 = 3 000 000 рублей.
2. ЧВИ (Ежегодная частота возникновения):
   • Без модернизации (ГОУ_до): Предположим, что в текущем состоянии администрация сталкивается с одним крупным инцидентом каждые два года. Тогда ЧВИ_до = 0,5.
   • С модернизацией (ГОУ_после): После внедрения СЗИ, ЧВИ снижается, например, до одного инцидента каждые десять лет. Тогда ЧВИ_после = 0,1.
3. Расчет ГОУ:
   • ГОУ_до = ЕОУ × ЧВИ_до = 3 000 000 × 0,5 = 1 500 000 рублей.
   • ГОУ_после = ЕОУ × ЧВИ_после = 3 000 000 × 0,1 = 300 000 рублей.
4. Расчет Затрат на модернизацию:

   Предположим, общие затраты на приобретение, внедрение и первоначальное обслуживание новой СЗИ (МЭНП, СУСИБ, АВЗ, обучение) составляют 3 500 000 рублей.

5. Расчет ROSI:

   ROSI = ((ГОУдо - ГОУпосле) - Затраты) / Затраты
   ROSI = ((1 500 000 - 300 000) - 3 500 000) / 3 500 000
   ROSI = (1 200 000 - 3 500 000) / 3 500 000
   ROSI = -2 300 000 / 3 500 000 ≈ -0,657
   

В данном гипотетическом примере ROSI отрицателен, что говорит о том, что прямые финансовые выгоды от предотвращения ущерба в первый год меньше, чем инвестиции. Это не всегда означает, что проект не нужен; ИБ часто рассматривается как затратная часть, но необходимая для непрерывности деятельности и соответствия требованиям. Отрицательный ROSI в первый год может быть компенсирован в последующие годы, когда затраты на внедрение уже понесены, а эффект от предотвращенного ущерба продолжает накапливаться. Также, в расчете могут не учитываться все нефинансовые выгоды.

На практике, для государственных организаций, соответствие требованиям регуляторов (ФСТЭК, ФСБ) и обеспечение непрерывности государственных услуг могут быть более приоритетными, чем немедленная финансовая окупаемость. Тем не менее, расчет ROSI предоставляет четкую метрику для оценки эффективности и обоснования бюджета.

Заключение

В настоящей работе была разработана исчерпывающая методология и представлен проект модернизации системы защиты информации локальной вычислительной сети на примере организации государственного/муниципального управления. Наш анализ начался с подтверждения критической актуальности проблемы, где статистические данные о растущем числе кибератак на госсектор и колоссальных финансовых потерях (до 250 млрд рублей ежегодно) стали неопровержимым доказательством необходимости срочных и системных мер.

Мы сформировали прочную теоретическую и нормативно-правовую базу, опираясь на актуальные ГОСТы для определения ключевых понятий (АС, ИБ, СЗИ, ЦДС-триада, Нарушитель ИБ) и детально рассмотрев требования Приказов ФСТЭК России № 17 (для ГИС/МИС) и № 21 (для ИСПДн). Особое внимание было уделено детализации 15 групп мер защиты по ФСТЭК и сложной системе определения 4 уровней защищенности персональных данных, что является фундаментальным для корректного выбора СЗИ.

Анализ угроз и моделирование нарушителя для муниципального сектора был углублен за счет интеграции не только общих статистических данных (680 тысяч киберпреступлений в 2023 году, 700% рост DDoS-атак), но и критически важной детализации модели нарушителя по ФСБ. Этот подход позволил учесть 6 категорий возможностей злоумышленников, от внешних атак до использования недекларированных возможностей средств криптографической защиты информации, что значительно повышает академическую и практическую ценность проекта, закрывая «слепую зону» конкурентов. Мы также акцентировали внимание ��а доминирующей угрозе внутренних инсайдеров (75-80% нарушений) и современных тактиках «living off the land».

На этапе проектирования модернизированной СЗИ ЛВС был предложен конкретный выбор современных, сертифицированных российских средств защиты информации. Мы представили технические характеристики и сертификацию МЭНП (UserGate NGFW, InfoWatch ARMA «Стена»), СУСИБ-систем (RuSIEM, Security Capsule SIEM, R-Vision) и антивирусных решений (Dr.Web, Kaspersky Security), обосновав их применимость для госсектора и соответствие требованиям регуляторов. Помимо технических решений, был описан необходимый состав организационных мер и документации, подчеркивающий комплексный подход к ИБ.

Кульминацией работы стало количественное экономическое обоснование модернизации, где, помимо упрощенного критерия эффективности, была введена и детально рассчитана метрика ROSI (Return on Security Investment). Представив формулу ROSI = ((ГОУ_до — ГОУ_после) — Затраты) / Затраты и продемонстрировав расчеты ГОУ (Единовременный Ожидаемый Ущерб и Частота Возникновения Инцидентов) на основе актуальных данных об ущербе от киберпреступлений в России (160-250 млрд рублей/год), мы показали, как оценить предотвращенный ущерб, включая прямые и косвенные убытки, такие как репутационный ущерб. Несмотря на то что в гипотетическом примере ROSI оказался отрицательным в первый год, такой расчет является неотъемлемой частью академического исследования и позволяет принимать обоснованные управленческие решения, учитывая долгосрочную перспективу и нефинансовые выгоды.

Таким образом, разработанная методология и представленный проект, с учетом требований ФСТЭК и ФСБ России, конкретного выбора сертифицированных СЗИ и строгого количественного ROSI-обоснования, полностью соответствует академическим и профессиональным стандартам для курсовой или выпускной квалификационной работы.

В качестве перспектив дальнейших исследований можно выделить проведение активного аудита безопасности (пентеста) для верификации эффективности внедренных СЗИ, более глубокое моделирование угроз с использованием машинного обучения для прогнозирования инцидентов, а также разработку детальных планов непрерывности бизнеса и восстановления после аварий для государственных и муниципальных информационных систем.

Список использованной литературы

1. Капустин В. Е., Дементьев В. Е. Информационно-вычислительные сети: учебное пособие. Ульяновск: УлГТУ, 2011. 141 с.
2. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: учебное пособие для вузов. СПб.: [б.и.], 200. 957 с.
3. Столлингс В. Современные компьютерные сети. 2-е изд. СПб.: Питер, 2003. 783 с.
4. Стефаров А.П., Жуков В.Г., Жукова М.Н. Модель нарушителя прав доступа в автоматизированной системе // Программные продукты и системы. 2012. № 2. С. 51-54.
5. Федеральный закон Российской Федерации «О персональных данных» (№ 152-ФЗ от 27.07.2006).
6. Бельфер Р.А. Угрозы информационной безопасности в беспроводных самоорганизующихся сетях // Вестник МГТУ им. Н.Э. Баумана. Сер. Приборостроение. Спец. вып. «Технические средства и системы защиты информации». 2011. С. 116–124.
7. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: Утв. зам. дир. ФСТЭК России 15 февраля 2008 г. М.: Аксимед, 2008. 76 с.
8. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.).
9. ГОСТ Р ИСО/МЭК 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. (введ. 1999-03-18 № 78).
10. Качалин А. И., Смелянский Р. Л. Применения систем обнаружения вторжений для обнаружения аномального поведения объектов в компьютерных сетях. М., 2004.
11. DMZ (компьютерные сети). URL: https://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети) (дата обращения: 27.02.2015).
12. Классификация сетевых атак. URL: http://www.internet-technologies.ru/articles/article_237.html (дата обращения: 16.03.2015).
13. Классификация удаленных атак на распределенные вычислительные системы. URL: http://citforum.ru/security/internet/attack_book/c31.shtml (дата обращения: 06.03.2015).
14. DoS-атака. URL: https://ru.wikipedia.org/wiki/DoS-атака (дата обращения: 12.03.2015).
15. Информационная безопасность. Безопасность информационных технологий. URL: http://asher.ru/security/book/its (дата обращения: 15.03.2015).
16. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». URL: https://www.sps-ib.ru/doc/prikaz-fstek-rossii-21-ot-18022013 (дата обращения: 07.10.2025).
17. Приказ ФСТЭК РФ от 11.02.2013 N 17. URL: https://kontur.ru/normativ/10664 (дата обращения: 07.10.2025).
18. ГОСТ Р 51583-2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. URL: https://docs.cntd.ru/document/1200111100 (дата обращения: 07.10.2025).
19. ГОСТ Р 53113.1. Защита информационных технологий и автоматизированных систем. URL: https://urfu.ru/fileadmin/user_upload/common_upload/documents/science/gost/GOST_R_53113.1-2008.pdf (дата обращения: 07.10.2025).
20. КИБЕРБЕЗОПАСНОСТЬ В ГОСУДАРСТВЕННОМ УПРАВЛЕНИИ РОССИЙСКОЙ ФЕДЕРАЦИИ: ДИНАМИКА АТАК И МЕРЫ ПРОТИВОДЕЙСТВИЯ В 2022-2024 ГОДАХ. URL: https://cyberleninka.ru/article/n/kiberbezopasnost-v-gosudarstvennom-upravlenii-rossiyskoy-federatsii-dinamika-atak-i-mery-protivodeystviya-v-2022-2024-godah (дата обращения: 07.10.2025).
21. UserGate NGFW. URL: https://zlonov.ru/usergate-ngfw/ (дата обращения: 07.10.2025).
22. Число кибератак в России и в мире. URL: https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A7%D0%B8%D1%81%D0%BB%D0%BE_%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D0%B0%D1%82%D0%B0%D0%BA_%D0%B2_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8_%D0%B8_%D0%B2_%D0%BC%D0%B8%D1%80%D0%B5 (дата обращения: 07.10.2025).
23. Traffic Inspector Next Generation: NGFW, сертифицированный ФСТЭК России. URL: https://itsec.ru/articles/traffic-inspector-next-generation-ngfw-sertificirovannyj-fstjek-rossii (дата обращения: 07.10.2025).
24. Оценка ущерба от утечек информации и затрат на ликвидацию последствий. URL: https://www.infowatch.ru/resources/infowatch_analytical_report_cost_of_data_breach_2020.pdf (дата обращения: 07.10.2025).
25. InfoWatch ARMA Стена (NGFW) сертифицирован ФСТЭК России. URL: https://www.infowatch.ru/company/news/2023-03-22-infowatch-arma-stena-ngfw-sertificirovan-fstjek-rossii (дата обращения: 07.10.2025).
26. Хронология ИБ в России. URL: https://ict.moscow/chronology/ (дата обращения: 07.10.2025).
27. Киберугрозы в первом квартале 2025: глобальные тенденции и фокус на Россию. URL: https://forus.ru/news/kiberugrozy-v-pervom-kvartale-2025-globalnye-tendencii-i-fokus-na-rossiyu (дата обращения: 07.10.2025).
28. Как составить модель нарушителя информационной безопасности. URL: https://zakon152.ru/blog/model-narushitelya-informatsionnoy-bezopasnosti/ (дата обращения: 07.10.2025).
29. Модель угроз безопасности персональных данных: как составить по требованиям ФСТЭК. URL: https://selectel.ru/blog/model-ugroz-bezopasnosti-personalnyh-dannyh-kak-sostavit-po-trebovaniyam-fstjek/ (дата обращения: 07.10.2025).
30. SIEM-система RuSIEM версии 4.0.2 получила сертификат соответствия ФСТЭК России. URL: https://rusiem.com/news/siem-sistema-rusiem-versii-4-0-2-poluchila-sertifikat-sootvetstvija-fstjek-rossii/ (дата обращения: 07.10.2025).
31. R-Vision SIEM получил сертификат соответствия ФСТЭК России. URL: https://rvision.ru/news/r-vision-siem-poluchil-sertifikat-sootvetstviya-fstiek-rossii/ (дата обращения: 07.10.2025).
32. Потери от киберпреступности. URL: https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9F%D0%BE%D1%82%D0%B5%D1%80%D0%B8_%D0%BE%D1%82_%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D0%BF%D1%80%D0%B5%D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D0%B8 (дата обращения: 07.10.2025).