Разработка комплексного плана курсовой работы по управлению информационной безопасностью предприятия: актуальные вызовы 2025 года и передовые решения

В 2025 году мировые расходы на информационную безопасность достигнут 212 миллиардов долларов США, что на 15,1% больше, чем в предыдущем году. В России объем рынка ИБ, по прогнозам, составит 345-373 миллиарда рублей, а средний бюджет компаний на кибербезопасность уже превысил 294 миллиона рублей. Эти цифры красноречиво свидетельствуют о беспрецедентном внимании к вопросам информационной безопасности, обусловленном не только переходом на облачные технологии и дефицитом квалифицированных специалистов, но и высоким уровнем киберугроз.

В условиях, когда информационные активы становятся одной из главных ценностей любого предприятия, а киберпреступность приобретает все более изощренные формы, эффективное управление информационной безопасностью (ИБ) превращается из технической задачи в стратегический приоритет. Быстро меняющаяся регуляторная среда, появление новых стандартов, ужесточение ответственности за нарушения в области защиты данных и критической информационной инфраструктуры (КИИ) — все это формирует сложный, но крайне актуальный контекст для исследований в данной области.

Целью настоящей курсовой работы является разработка комплексного плана исследования и написания проекта по управлению информационной безопасностью предприятия. Мы рассмотрим теоретические основы, проанализируем актуальные стандарты, изучим практические аспекты внедрения, оценки эффективности и рисков, а также предложим передовые подходы к защите. Эта работа призвана стать ценным руководством для студентов специальностей «Информационная безопасность», «Прикладная информатика», «Менеджмент» и «Экономическая безопасность», предоставляя глубокий и актуальный анализ, который может послужить фундаментом для будущих дипломных проектов. В конечном итоге, наша задача — создать не просто академический труд, но и практически применимый инструмент для понимания и построения эффективной системы ИБ на современном предприятии.

Теоретические основы и принципы управления информационной безопасностью

Управление информационной безопасностью предприятия – это не просто набор технических мер, это комплексная философия, пронизывающая все уровни организации. Чтобы понять, как строить эффективную систему защиты, необходимо сначала разобраться в ее фундаментальных концепциях и принципах, тем самым заложив прочный фундамент для всего дальнейшего анализа и практических решений.

Понятие и сущность информационной безопасности предприятия

В мире, где данные стали новой нефтью, информационная безопасность предприятия (ИБП) – это краеугольный камень стабильности и устойчивого развития. Что же она собой представляет? Информационная безопасность – это состояние защищенности информационных ресурсов и информационной инфраструктуры от внутренних и внешних угроз, обеспечивающее конфиденциальность, целостность и доступность информации. Это триада, известная как CIA (Confidentiality, Integrity, Availability), которая лежит в основе любой стратегии ИБ.

Стратегия ИБ – это долгосрочный план действий, определяющий цели, задачи и направления развития системы информационной безопасности предприятия, синхронизированный с его бизнес-целями. Она отвечает на вопрос: «Куда мы движемся в области ИБ?». В свою очередь, Политика ИБ – это набор утвержденных руководством правил, процедур и руководящих инструкций, которые регламентируют поведение сотрудников и функционирование систем для достижения стратегических целей ИБ. Это наш «навигатор» на пути к безопасности.

Неотъемлемой частью ИБ является понимание риска ИБ, который определяется как комбинация вероятности возникновения нежелательного события (например, кибератаки, утечки данных) и уровня негативного воздействия (ущерба) на активы предприятия в случае его реализации. Угрозы, в свою очередь, – это потенциальные действия или события, которые могут привести к нарушению ИБ (например, хакерские атаки, вирусы, ошибки персонала). Уязвимости – это слабости в системах или процессах, которые могут быть использованы угрозами. Методы защиты информации – это средства и меры, направленные на предотвращение угроз и снижение уязвимостей. Классификация этих элементов является первым шагом к построению глубоко эшелонированной обороны, позволяя адресно применять защитные механизмы.

Политика информационной безопасности как основополагающий документ

Если стратегия ИБ – это наш компас, то Политика информационной безопасности (Политика ИБ) – это детальная карта, без которой невозможно успешно пройти маршрут. Она представляет собой основополагающий документ, регламентирующий все процессы обеспечения ИБ в организации. Политика ИБ не просто описывает «что» нужно делать, но и «как», «кто» и «когда». Она включает в себя:

• Принципы: Общие положения, определяющие подход к ИБ (например, принцип наименьших привилегий).
• Правила: Конкретные требования к поведению пользователей и конфигурации систем (например, правила использования паролей).
• Процедуры: Последовательность действий для выполнения конкретных задач (например, процедура реагирования на инциденты).
• Руководящие инструкции: Детальные указания по работе с информационными активами.

Разработка Политики ИБ – это не самодеятельность. Она должна строго соответствовать российским и международным стандартам. Среди ключевых российских стандартов можно выделить ГОСТ Р 57580.1 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности» и ГОСТ Р 57580.2 «Безопасность финансовых (банковских) операций. Управление доступом к информационным ресурсам». На международном уровне ориентиром выступает серия ISO/IEC 27000, в частности ISO/IEC 27001 (Системы менеджмента информационной безопасности) и ISO/IEC 27002 (Свод правил для мер по информационной безопасности), а также публикации NIST SP 800. Эти стандарты предоставляют проверенные временем рамки и лучшие практики, обеспечивая комплексный и систематизированный подход к защите информации, что критически важно для предотвращения регуляторных нарушений.

Принципы непрерывности и риск-ориентированного подхода в ИБ

В мире киберугроз статичная защита – это не защита вовсе. Поэтому в основе современного управления ИБ лежат два ключевых принципа: непрерывность и риск-ориентированный подход.

Принцип непрерывности означает, что обеспечение информационной безопасности не является разовым проектом, а представляет собой постоянный, динамичный процесс. Он должен быть встроен во все этапы процессов и стадий жизненного цикла информационных систем (ИС), от их планирования и проектирования до эксплуатации и вывода из строя. Этот цикл включает:

• Планирование: Определение целей, стратегий, политик и ресурсов.
• Реализация: Внедрение технических и организационных мер.
• Контроль: Мониторинг, аудит и оценка эффективности.
• Анализ: Выявление слабых мест, инцидентов и угроз.
• Поддержка и совершенствование: Корректировка и развитие системы ИБ на основе полученных данных.

Такой подход позволяет оперативно адаптироваться к изменяющимся угрозам и технологиям.

Риск-ориентированный подход – это не просто модное словосочетание, а философия, которая ставит риск во главу угла всех решений в области ИБ. Вместо того чтобы пытаться защитить все от всего, мы фокусируемся на наиболее значимых рисках. Как уже упоминалось, риск в информационной безопасности определяется как комбинация вероятности возникновения инцидента и уровня негативного воздействия, который он может оказать на бизнес-процессы и активы. Именно на основе оценки рисков принимаются решения о том, какие активы нуждаются в наибольшей защите, какие угрозы наиболее вероятны и какой уровень защиты является оптимальным с точки зрения затрат и выгод. Отход от риск-ориентированного подхода может привести либо к избыточным затратам на защиту второстепенных активов, либо к критическим упущениям в защите наиболее важных элементов, что неизбежно ведет к неэффективному расходованию ресурсов.

Культура информационной безопасности и ее стратегическое значение

Даже самые совершенные технические средства и идеально прописанные политики окажутся бессильными, если самым слабым звеном остается человек. Здесь на сцену выходит культура информационной безопасности. Это не просто знание правил, а совокупность сформированных знаний, умений и навыков, а также ценностей и убеждений, обеспечивающих безопасное поведение человека в информационном пространстве. Культура ИБ пронизывает как профессиональную, так и бытовую деятельность граждан, неразрывно связана с корпоративной и личной ИБ.

Стратегическое значение культуры ИБ заключается в ее способности трансформировать поведение сотрудников из источника угроз в мощный барьер против них. Это не только снижение числа случайных ошибок (по данным «СерчИнформ», 67% утечек по вине сотрудников происходят из-за незнания правил), но и противодействие информационно-психологическим угрозам, направленным на манипулирование сознанием или распространение деструктивной информации. Формирование такой культуры – это долгосрочная инвестиция, которая включает:

• Повышение осведомленности: Регулярные тренинги, семинары, информационные кампании.
• Развитие навыков: Обучение безопасным практикам (например, создание сложных паролей, распознавание фишинга).
• Формирование ценностей: Воспитание ответственности за защиту информации как личной, так и корпоративной.

В конечном итоге, формирование зрелой культуры ИБ способствует снижению актуальности угроз и повышению эффективности противодействия им, создавая прочный фундамент для устойчивой и надежной защиты информационных активов предприятия.

Актуальные вызовы и изменения в законодательстве РФ в сфере ИБ (2025 год)

2025 год ознаменовался беспрецедентным усилением внимания к информационной безопасности на всех уровнях – от государственных регуляторов до корпоративных бюджетов. Это не просто эволюция, а качественный скачок, вызванный как геополитическими факторами, так и стремительным развитием технологий, несущих новые угрозы, что требует от бизнеса немедленной адаптации и стратегического пересмотра подходов к защите.

Обзор обновлений законодательства РФ в 2025 году

Законодательная база Российской Федерации в области ИТ и ИБ претерпела значительные изменения в 2025 году, которые кардинально меняют ландшафт требований к предприятиям. Среди наиболее значимых поправок стоит выделить:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»: Получил ряд существенных обновлений, направленных на ужесточение требований к обработке, хранению и защите персональных данных, включая новые правила получения согласия, уведомления об инцидентах и трансграничной передаче.
• Постановление Правительства РФ от 01.11.2012 № 1119: Были внесены изменения, касающиеся требований к защите персональных данных при их обработке в информационных системах, уточняющие классификацию угроз и меры защиты.
• Федеральный закон от 30.11.2024 № 420-ФЗ (вносящий изменения в КоАП РФ): Значительно увеличил административную ответственность за нарушения в сфере ИБ, что будет подробно рассмотрено ниже.
• Федеральный закон от 28.02.2025 № 23-ФЗ (вносящий изменения в ФЗ-152): Продолжил линию ужесточения, касаясь специфических аспектов обработки персональных данных, например, для биометрических систем.
• Федеральный закон «Об информации, информационных технологиях и о защите информации»: Формализовал статус государственных и муниципальных информационных систем (ГИС), установив для них особые требования к защите.

Эти изменения создают единый, более строгий правовой режим для защиты всех типов информационных систем и данных, вынуждая предприятия кардинально пересматривать свои подходы к ИБ.

Ужесточение ответственности за нарушения в области ИБ

Новые законодательные нормы не только определяют требования, но и значительно усиливают ответственность за их несоблюдение. Это ключевой фактор, который должен побудить бизнес к активным действиям.

1. Защита критической информационной инфраструктуры (КИИ):

• Федеральный закон от 26.05.2021 № 141-ФЗ: Ввел повышенные административные штрафы за несоблюдение требований по защите КИИ.
  • Должностные лица: от 10 000 до 50 000 рублей (за нарушение порядка обмена информацией – от 25 000 рублей).
  • Юридические лица: от 50 000 до 100 000 рублей за ошибки в организации безопасности, и от 100 000 до 500 000 рублей за несоблюдение порядка работы с инцидентами КИИ и передачи данных в ГосСОПКА.
• Уголовная ответственность (статья 274.1 УК РФ): За неправомерное воздействие на КИИ, повлекшее причинение вреда, предусматривается лишение свободы на срок от 5 до 10 лет при тяжких последствиях.

2. Защита персональных данных:

• С мая 2025 года: Усилилась ответственность операторов персональных данных за отсутствие основания их обработки: штрафы до 300 000 рублей за первое нарушение и до 500 000 рублей за повторное.
• Единая биометрическая система (ЕБС): Штрафы до 500 тысяч – 1 миллиона рублей за несанкционированное использование ЕБС и от 1 до 2 миллионов рублей за обработку данных без аккредитации.

Примечательно, что законодатель предусмотрел возможность смягчения штрафов, если компания тратит не менее 0,1% выручки на ИБ, что стимулирует инвестиции в эту сферу. Эти меры призваны не только наказать за нарушения, но и создать мощный стимул для проактивного внедрения систем ИБ.

Актуализация Доктрины информационной безопасности и стандартов ФСТЭК

В 2025 году происходит не только ужесточение законов, но и стратегическое переосмысление подхода к информационной безопасности на государственном уровне.

1. Доктрина информационной безопасности России:

• Планируется завершение актуализации Доктрины ИБ, которая ляжет в основу дальнейшего развития государственной политики.
• Основные направления обновления:
  • Введение единого правового режима для защиты всех информационных систем (ГИС, ИСПДн, объекты КИИ и другие системы).
  • Совершенствование механизмов контроля выполнения требований по ИБ.
  • Повышение эффективности предупреждения и скоординированного противодействия угрозам.

Это создаст более целостную и унифицированную систему регулирования.

2. Стандарты ФСТЭК и ГОСТ Р:

• ГОСТ Р 57580.1 и ГОСТ Р 57580.2: Обновляются стандарты, регулирующие ИБ в финансовой отрасли, с расширением субъектного состава (включены финтех-организации), пересмотром понятий и процессов для соответствия современным требованиям.
• Новые документы ФСТЭК для ПО:
  • Новые редакции требований к средствам антивирусной защиты и межсетевым экранам.
  • Планируется разработка требований к средствам обнаружения и реагирования уровня узла (EDR).
  • В июле 2025 года утвержден методический документ ФСТЭК России «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств».
  • Строгие временные рамки для реагирования: Критические уязвимости необходимо устранять в течение 24 часов, высокие — не позднее 7 рабочих дней.
• Взаимодействие с ГосСОПКА: Организации, работающие с ГИС, будут обязаны взаимодействовать с ГосСОПКА, что включает непрерывную связь с регулятором, своевременное обнаружение и уведомление об инцидентах ИБ.

Эти изменения подчеркивают переход к более стандартизированному, оперативному и системному подходу к обеспечению ИБ.

Ключевые киберугрозы и тренды 2025 года

Помимо изменений в законодательстве, предприятия сталкиваются с постоянно эволюционирующим ландшафтом киберугроз. 2025 год демонстрирует несколько тревожных тенденций:

• Программы-вымогатели (ransomware): Остаются одной из самых разрушительных угроз. Жертвами чаще всего становятся производственные, строительные, фармацевтические, ИТ-компании, предприятия добывающей промышленности, ВПК и сфера услуг.
• Фишинг и социальная инженерия: Человеческий фактор продолжает оставаться основным вектором атак. Злоумышленники используют все более изощренные методы обмана.
• DDoS-атаки: Сохраняют свою актуальность как инструмент выведения из строя веб-ресурсов и инфраструктур.
• Злоупотребление учетными данными и атаки через цепочку поставок: Злоумышленники ищут слабые звенья в цепочке поставок программного обеспечения или через скомпрометированные учетные данные.
• Уязвимости публичных сервисов и атаки на облачную инфраструктуру: Рост облачных технологий порождает новые поверхности атаки.
• Угрозы для критической инфраструктуры и ОТ-систем: Атаки на промышленные системы могут иметь катастрофические последствия.
• Рост прогосударственных APT-группировок: В 2024 году число таких групп, атакующих Россию и СНГ, увеличилось до 27 (по сравнению с 14 в 2023 году), было выявлено 12 новых групп.
• Утечки данных: Остаются одной из основных угроз. В 2024 году было обнаружено 455 ранее неопубликованных баз данных российских и белорусских компаний (против 246 в 2023 году), содержащих более 457 миллионов записей.
• Использование искусственного интеллекта (ИИ) и дипфейков: Генеративный ИИ используется злоумышленниками для создания правдоподобных поддельных видео и аудио с целью обмана сотрудников. Существует также риск утечек конфиденциальной информации через ИИ-сервисы, если конфиденциальные данные обрабатываются общедоступными или некорректно настроенными ИИ-инструментами.

Таблица 1: Динамика киберугроз в 2024-2025 гг.

Тип угрозы	2024 (факт)	2025 (прогноз)	Основные векторы
Программы-вымогатели (Ransomware)	Высокий	Высокий	Фишинг, эксплуатация уязвимостей, удаленный доступ
Фишинг и социальная инженерия	Очень высокий	Очень высокий	Электронная почта, мессенджеры, голосовые сообщения
DDoS-атаки	Средний	Средний	Перегрузка сетевых ресурсов, отказ в обслуживании
Утечки данных	Высокий	Высокий	Несанкционированный доступ, ошибки персонала, инсайдеры
Использование ИИ/Дипфейков	Низкий (начинает расти)	Средний	Мошенничество, обман персонала, дезинформация
Атаки на КИИ и ОТ-системы	Средний	Средний/Высокий	Целевые атаки, эксплуатация уязвимостей, цепочки поставок

Экономические аспекты ИБ: бюджеты и инвестиции

Ответом на растущие угрозы и ужесточение законодательства становится значительный рост инвестиций в информационную безопасность.

• Мировые расходы: В 2025 году ожидается рост на 15,1%, достигнув 212 миллиардов долларов США.
• Российский рынок: Объем рынка ИБ, по оценке IBS, составит 345-373 млрд рублей, а «Лаборатория Касперского» прогнозирует рост более 20%.
• Корпоративные бюджеты: По данным ЦСР, в 2025 году средний бюджет компании на ИБ составил более 294 млн рублей, что на 29% выше показателя 2024 года. 56% российских корпораций увеличили расходы на кибербезопасность на 20–40%.

Этот рост обусловлен не только требованиями регуляторов, но и объективными факторами: переходом на облачные технологии, дефицитом квалифицированных специалистов по ИБ и необходимостью внедрения новых, более сложных решений. Инвестиции в ИБ из «необходимого зла» превращаются в стратегически важную статью расходов, определяющую конкурентоспособность и устойчивость бизнеса.

Методологии оценки рисков информационной безопасности предприятия

В условиях растущего числа и сложности киберугроз способность предприятия эффективно оценивать и управлять рисками информационной безопасности становится не просто желательной, а критически важной. Без четкого понимания потенциальных угроз и их влияния невозможно построить адекватную систему защиты, что прямо влияет на устойчивость бизнеса.

Обзор основных подходов к оценке рисков (качественный, количественный, полуколичественный)

Оценка рисков — это процесс идентификации, анализа и приоритизации рисков, который позволяет организации принимать обоснованные решения о мерах контроля. Существуют три основных подхода к оценке рисков, каждый из которых имеет свои особенности и область применения:

1. Качественный подход:

• Особенности: Использует описательные шкалы для оценки вероятности (например, «низкая», «средняя», «высокая») и воздействия (например, «незначительное», «умеренное», «катастрофическое»). Не оперирует конкретными числовыми значениями ущерба.
• Преимущества: Относительная простота и скорость проведения, не требует точных исходных данных, подходит для быстрой оценки и приоритизации рисков, особенно на начальных этапах.
• Недостатки: Субъективность оценок, сложность сравнения рисков между собой и обоснования инвестиций.
• Применение: Часто используется для первичной идентификации и ранжирования рисков, когда точные данные отсутствуют или ресурсы ограничены.

2. Количественный подход:

• Особенности: Оперирует конкретными числовыми значениями, такими как стоимость ущерба, время простоя, годовые ожидаемые потери (ALE — Annualized Loss Expectancy). Требует детализированных данных о стоимости активов, частоте инцидентов и стоимости мер контроля.
• Преимущества: Высокая объективность, возможность точного анализа выгод и затрат от внедрения мер безопасности, легкость в обосновании инвестиций.
• Недостатки: Крайне ресурсоемкий, требует большого объема точных данных, сложных расчетов и высококвалифицированных специалистов.
• Применение: Подходит для детального анализа критически важных систем и активов, где требуется точное понимание финансовых последствий рисков.

3. Полуколичественный подход:

• Особенности: Комбинирует элементы качественного и количественного подходов. Использует шкалы с числовыми рангами или диапазонами для оценки вероятности и воздействия, что позволяет присваивать рискам численные баллы, но не требует полной детализации, как количественный.
• Преимущества: Снижает субъективность качественного подхода, при этом менее ресурсоемкий, чем количественный. Обеспечивает лучшее сравнение рисков, чем качественный.
• Недостатки: Все еще может быть подвержен определенной степени субъективности при определении шкал и рангов.
• Применение: Является золотой серединой для большинства организаций, позволяя получить достаточно точную картину рисков без чрезмерных затрат.

Выбор подхода зависит от целей оценки, доступных ресурсов, размера и сложности организации, а также уровня критичности информационных систем.

Методология NIST SP 800-30 «Guide for Conducting Risk Assessments»

Одним из наиболее авторитетных и широко используемых стандартов в области оценки рисков является NIST SP 800-30 «Guide for Conducting Risk Assessments» («Руководство по проведению оценок риска»), разработанный Национальным институтом стандартов и технологий США. Этот документ представляет собой фундаментальный компонент общего процесса управления риском и описывает систематический, четырехшаговый подход:

1. Подготовка к оценке (Prepare for the Assessment):

• Определение цели и области: Что именно оценивается, какие системы и активы входят в периметр.
• Определение предположений и ограничений: Например, бюджетные ограничения, сроки, доступные ресурсы.
• Сбор предварительной информации: О прошлых инцидентах, существующих мерах контроля.
• Определение модели рисков: Как будут взаимодействовать угрозы, уязвимости и последствия.
• Выбор подхода к анализу: Качественный, количественный или полуколичественный.

2. Проведение оценки (Conduct the Assessment):

• Идентификация и характеризация источников угроз: Кто может атаковать (хакеры, инсайдеры, стихийные бедствия) и каковы их возможности.
• Идентификация потенциальных событий угроз: Какие инциденты могут произойти (DDoS, утечка, заражение вирусом).
• Идентификация уязвимостей и предварительных условий: Слабые места в системах, отсутствие патчей, ошибки конфигурации, а также условия, которые могут привести к реализации угрозы.
• Анализ вероятности: Оценка вероятности реализации угрозы с использованием уязвимостей.
• Анализ воздействия: Оценка потенциального ущерба в случае реализации угрозы.
• Определение величины риска: Расчет или оценка риска, который часто определяется как произведение вероятности инцидента и уровня негативного воздействия (Риск = Вероятность × Воздействие).

3. Информирование о результатах (Communicate the Results):

• Документирование: Подробное описание всех этапов оценки, выявленных рисков, их величины и потенциальных последствий.
• Передача результатов: Представление отчета заинтересованным сторонам (руководству, владельцам систем) с рекомендациями по смягчению рисков и обоснованием предложенных мер.

4. Поддержание достигнутых результатов (Maintain the Assessment):

• Непрерывный мониторинг: Постоянное отслеживание изменений в активах, угрозах, уязвимостях и средствах контроля.
• Актуализация оценки: Регулярный пересмотр оценки рисков для обеспечения ее актуальности, поскольку ландшафт угроз постоянно меняется.

NIST SP 800-30 обеспечивает структурированный и всеобъемлющий подход к оценке рисков, позволяя организациям получать глубокое понимание своего риск-профиля.

Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

Еще одной широко признанной методологией для оценки информационных рисков и внедрения процессов управления рисками является OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Разработанная Институтом программной инженерии (SEI) Университета Карнеги-Меллон, она ориентирована на людей, процессы и технологии в контексте организации.

Методология OCTAVE имеет несколько модификаций, адаптированных под различные размеры и типы организаций:

• OCTAVE Method: Предназначена для крупных организаций (более 300 человек), требует значительного вовлечения сотрудников и глубокого анализа.
• OCTAVE-S: Оптимизирована для небольших организаций (до 100 человек), фокусируется на ключевых информационных активах.
• OCTAVE Allegro: Наиболее гибкая и оптимизированная методология, подходит для организаций любого размера. Она ориентирована на операционные аспекты и информационные активы, может применяться консультантами без широкого вовлечения всех сотрудников, обеспечивая получение необходимых результатов с минимальными затратами. Именно эта модификация часто используется в современных условиях.

Процесс OCTAVE (включая Allegro) предполагает три основные фазы анализа:

1. Разработка профиля угроз (Phase 1: Build Asset-Based Threat Profiles):

• Инвентаризация и оценка ценности активов: Определение наиболее важных информационных активов и их значимости для бизнеса.
• Идентификация применимых законодательных требований: Какие законы и стандарты регулируют защиту данных активов.
• Осмысление угроз: Определение потенциальных угроз для выявленных активов.
• Оценка вероятности угроз: Насколько вероятно, что та или иная угроза будет реализована.
• Определение организационных мер: Какие административные и процедурные меры уже существуют для поддержания режима ИБ.

2. Идентификация инфраструктурных уязвимостей (Phase 2: Identify Infrastructure Vulnerabilities):

• Технический анализ уязвимостей: Производится глубокий анализ уязвимостей информационных систем организации в отношении выявленных угроз (например, сканирование на уязвимости, тестирование на проникновение).
• Оценка величины уязвимостей: Насколько критична каждая обнаруженная уязвимость.

3. Разработка стратегии и планов безопасности (Phase 3: Develop Security Strategy and Plans):

• Определение величины и вероятности ущерба: На основе анализа угроз и уязвимостей оценивается потенциальный ущерб.
• Разработка стратегии защиты: Формирование общего подхода к управлению рисками.
• Разработка планов по обработке рисков: Детальные планы по смягчению, принятию, передаче или избеганию рисков.

OCTAVE, и особенно OCTAVE Allegro, делает акцент на бизнес-целях и критически важных активах, предоставляя практический инструмент для создания индивидуальной стратегии управления рисками.

Практическое применение методологий для критичных информационных инфраструктур (КИИ)

Оценка рисков приобретает особую значимость применительно к критичным информационным инфраструктурам (КИИ). С учетом ужесточения законодательства РФ (ФЗ-187 «О безопасности КИИ РФ» и сопутствующие подзаконные акты) и увеличенных штрафов, а также уголовной ответственности, предприятиям, владеющим или оперирующим объектами КИИ, необходимо применять наиболее строгие и детализированные подходы к оценке рисков.

Методологии NIST SP 800-30 и OCTAVE идеально подходят для КИИ, поскольку они обеспечивают:

• Всестороннюю идентификацию активов: КИИ включает не только ИТ-системы, но и АСУ ТП, ОТ-системы, что требует расширенного подхода к инвентаризации.
• Глубокий анализ угроз и уязвимостей: Для КИИ характерны специфические угрозы (например, атаки на промышленные протоколы, физический доступ к оборудованию) и уязвимости (устаревшее ПО, отсутствие патчей).
• Оценку воздействия с учетом каскадных эффектов: Нарушение работы одного элемента КИИ может вызвать цепную реакцию, приводящую к масштабным сбоям в целых отраслях (энергетика, транспорт). Именно поэтому величина риска часто определяется как произведение вероятности инцидента и уровня негативного воздействия (Риск = Вероятность × Воздействие). Для КИИ это воздействие может быть катастрофическим.

Пример: При оценке риска для объекта КИИ в энергетической отрасли, методология NIST SP 800-30 позволит:

1. Подготовить оценку: Определить, что целью является защита автоматизированной системы управления подстанцией.
2. Провести оценку: Идентифицировать угрозу (например, целевая APT-атака с целью вывода из строя оборудования), уязвимость (например, устаревший программный модуль в SCADA-системе). Оценить вероятность атаки (например, «средняя» из-за геополитической напряженности) и воздействие (например, «высокое» – отключение электроэнергии в регионе на несколько часов, финансовые потери, репутационный ущерб).
3. Информировать: Предоставить руководству расчет, что риск отключения электроэнергии из-за данной уязвимости неприемлемо высок.
4. Поддерживать: Регулярно проверять актуальность оценки и выполнение мер по устранению уязвимости.

Таким образом, комплексное применение этих методологий позволяет не только выявить критические риски, но и разработать адекватные и обоснованные меры по их снижению, что является фундаментом для обеспечения устойчивости и безопасности КИИ.

Организационные и технические меры обеспечения информационной безопасности

Эффективная система информационной безопасности – это не просто набор программ и устройств; это сложный механизм, где технологии гармонично сочетаются с человеческим фактором и организационными процессами. В современном мире, где киберугрозы постоянно эволюционируют, предприятия должны применять комплексный подход, охватывающий как обучение персонала, так и внедрение передовых архитектурных решений.

Повышение киберграмотности и обучение персонала

Человеческий фактор по-прежнему остается одним из наиболее уязвимых звеньев в цепи информационной безопасности. По данным «СерчИнформ» за 2024 год, 48% российских компаний сталкивались с утечками данных по вине сотрудников, при этом в 67% случаев утечки были случайными из-за ошибок и незнания базовых правил кибергигиены. Это подчеркивает критическую значимость непрерывного обучения персонала в области ИБ.

Ключевые аспекты программ обучения пользователей должны включать:

• Осознание рисков: Понимание того, какие угрозы существуют и как они могут повлиять на личную и корпоративную информацию.
• Безопасные практики: Обучение созданию сильных, уникальных паролей, осторожности при работе с электронной почтой (распознавание фишинга), безопасной работе в интернете.
• Защита физических и мобильных устройств: Правила использования корпоративных устройств, блокировки экрана, защиты от потери или кражи.
• Безопасность удаленной работы: Правила использования VPN, защищенных Wi-Fi сетей, работы с конфиденциальной информацией вне офиса.

Для формирования устойчивой культуры ИБ рекомендуется применять комплексные методы:

• Аудит текущих знаний: Регулярная оценка уровня киберграмотности сотрудников для выявления пробелов.
• Разработка простых регламентов: Создание понятных и доступных инструкций по ИБ, избегая излишней бюрократии.
• Регулярные обучающие мероприятия: Семинары, вебинары, интерактивные курсы, которые не только информируют, но и вовлекают.
• Имитационные фишинговые кампании: Практические упражнения, позволяющие сотрудникам на практике отработать навыки распознавания угроз в контролируемой среде.
• Геймификация обучения: Превращение процесса обучения в игру с баллами, рейтингами и поощрениями для повышения вовлеченности.
• Использование DLP-систем (Data Loss Prevention): Эти системы не только предотвращают несанкционированную передачу конфиденциальной информации за пределы периметра организации, но и могут служить инструментом мониторинга, выявляя сотрудников, нуждающихся в дополнительном обучении.

Повышение уровня киберграмотности – это инвестиция, которая снижает риск инцидентов, вызванных человеческим фактором, и значительно укрепляет общую систему безопасности предприятия.

Системы управления информацией и событиями безопасности (SIEM)

В условиях, когда каждую секунду генерируются терабайты данных о сетевой активности, попытках входа, работе приложений, ручной анализ становится невозможным. Здесь на помощь приходят Системы управления информацией и событиями безопасности (SIEM).

SIEM-системы – это мощные решения, предназначенные для сбора, агрегации, анализа и корреляции данных о безопасности из различных источников (серверы, сетевое оборудование, приложения, средства защиты информации). Их основные возможности включают:

• Агрегация и хранение данных: Сбор логов и событий со всей ИТ-инфраструктуры в централизованное хранилище.
• Аналитика угроз: Обнаружение паттернов, аномалий и индикаторов компрометации (IOC).
• Корреляция и оповещения: Выявление взаимосвязей между seemingly несвязанными событиями для обнаружения сложных атак и формирование оповещений для операторов.
• Реагирование на инциденты: Предоставление инструментов для анализа инцидентов и помощи в принятии решений.
• Автоматизация сбора данных: Для обеспечения соответствия нормативным требованиям (compliance).

SIEM не является самостоятельным средством защиты, а служит мощным инструментом мониторинга, анализа и автоматизации процессов ИБ, связывая воедино разрозненные средства защиты.

Однако внедрение SIEM-систем – это серьезная инвестиция, которая требует значительных ресурсов. Она целесообразна для организаций с более чем 1000 устройств. Для таких компаний SIEM позволяет оправдать затраты на сложную инфраструктуру и персонал, необходимый для их эффективного управления и анализа большого объема данных.

Применение экспертных систем и искусственного интеллекта в ИБ

Будущее информационной безопасности неразрывно связано с развитием искусственного интеллекта. Экспертные системы (ЭС), являющиеся одним из первых направлений ИИ, используют знания, правила и логическое мышление для имитации способностей человека-эксперта в определенной области.

В контексте ИБ, применение экспертных систем способствует:

• Автоматизации процедур аудита безопасности: ЭС могут анализировать конфигурации систем, политики доступа, соответствие стандартам, значительно снижая нагрузку на аудиторов.
• Снижению нагрузки на аудиторов: ЭС могут выполнять рутинные задачи, высвобождая время экспертов для более сложных проблем.
• Обнаружению аномальных событий: На основе заложенных правил и опыта, ЭС могут выявлять отклонения от нормального поведения систем и пользователей.
• Анализу и оценке ИБ: Позволяют специалистам по защите информации проводить более глубокий анализ без привлечения дополнительных квалифицированных кадров.

Современные ИИ-системы безопасности пошли гораздо дальше классических ЭС. Они способны обнаруживать сложные кибератаки за секунды, анализируя миллионы параметров сетевого трафика и поведения пользователей с использованием методов машинного обучения, таких как:

• Обнаружение аномалий: Выявление необычного поведения, которое может указывать на атаку (например, необычное время входа, доступ к нетипичным ресурсам).
• Поведенческая аналитика: Анализ поведенческих паттернов пользователей и систем для выявления отклонений.
• Предиктивное моделирование: Прогнозирование потенциальных угроз на основе имеющихся данных.

Такие системы способны находить аномалии и выявлять неизвестные типы угроз (Zero-day-атаки), что делает их незаменимыми в борьбе с постоянно меняющимся ландшафтом киберугроз.

Современные архитектуры сетевой безопасности: SASE

С распространением удаленной работы, облачных сервисов и мобильных устройств традиционные периметровые модели безопасности устарели. На смену им приходит концепция SASE (Secure Access Service Edge), которая представляет собой радикально новый подход к архитектуре сетевой безопасности.

SASE объединяет сетевые функции и функции безопасности в единое облачное решение, обеспечивая защищенный доступ к корпоративным ресурсам из любой точки мира. Ключевые компоненты SASE включают:

• Сетевые функции:
  • SD-WAN (Software-Defined Wide Area Network): Обеспечивает оптимизированное и безопасное подключение к облачным ресурсам.
• Функции безопасности:
  • FWaaS (Firewall-as-a-Service): Облачный файрвол.
  • SWG (Secure Web Gateway): Защита от веб-угроз.
  • CASB (Cloud Access Security Broker): Контроль доступа к облачным приложениям и данным.
  • ZTNA (Zero Trust Network Access): Принцип нулевого доверия к пользователям и устройствам.

Преимущества SASE:

• Уменьшение затрат: Снижение необходимости в приобретении и обслуживании множества разрозненных аппаратных и программных решений.
• Снижение сложности: Единая платформа для управления сетью и безопасностью.
• Унификация сетевых политик и политик безопасности: Централизованное управление правилами доступа и защиты.
• Уменьшение количества инцидентов: Благодаря комплексному подходу и сквозной видимости.
• Бесперебойная работа пользователей: Оптимизированный и безопасный доступ к ресурсам независимо от местоположения.

SASE представляет собой эволюцию подхода к безопасности, позволяя организациям защищать своих сотрудников и данные в динамичной, распределенной среде, характерной для современного бизнеса.

Жизненный цикл политики ИБ и стратегии развития защиты

Разработка и внедрение политики информационной безопасности – это лишь начало пути. Для того чтобы она оставалась эффективной и актуальной, необходимо рассматривать ее как динамичный документ, проходящий через определенный жизненный цикл. Этот подход, в сочетании с современными стратегическими архитектурами защиты, такими как Zero Trust и XDR, формирует основу для устойчивой и адаптивной системы ИБ.

Этапы жизненного цикла политики безопасности

Политика безопасности не может быть статичной. Она должна постоянно пересматриваться и актуализироваться, отражая изменения в бизнес-процессах, технологиях и ландшафте угроз. Жизненный цикл политики безопасности включает пять последовательных этапов:

1. Первоначальный аудит безопасности:

• Цель: Сбор полной информации о текущем состоянии ИБ.
• Действия: Обследование ИТ-инфраструктуры, бизнес-процессов, существующих мер контроля, оценка соответствия нормативным требованиям. Идентификация информационных активов, угроз, уязвимостей и оценка рисков. Выявление критичных областей, которые требуют первоочередного внимания. Этот этап позволяет понять «где мы находимся сейчас».

2. Разработка:

• Цель: Создание документа Политики ИБ.
• Действия: Формирование принципов, правил, процедур и руководящих инструкций на основе результатов аудита, требований регуляторов (например, ГОСТ Р 58900-2025, ФЗ-152) и лучших практик. На этом этапе определяются «как мы должны работать».

3. Утверждение:

• Цель: Формальное принятие Политики ИБ.
• Действия: Получение одобрения и подписи высшего руководства организации. Этот этап критически важен, так как придает Политике официальный статус и обеспечивает ее юридическую силу и поддержку со стороны руководства.

4. Внедрение:

• Цель: Интеграция Политики ИБ в повседневную деятельность.
• Действия: Доведение Политики до всех сотрудников, реализация необходимых технических и организационных мер контроля. Обязательное обучение персонала для обеспечения понимания и соблюдения новых правил. Это этап «делаем, как договорились».

5. Поддержание и совершенствование:

• Цель: Обеспечение непрерывной актуальности и эффективности Политики.
• Действия: Регулярный пересмотр и актуализация Политики в соответствии с изменениями киберугроз, развитием технологий, изменением бизнес-процессов и появлением новых нормативных требований. Мониторинг эффективности внедренных мер, проведение внутреннего и внешнего аудита, анализ инцидентов ИБ и внесение корректировок в Политику и связанные с ней процедуры. Этот этап отвечает на вопрос «что делать, чтобы оставаться в безопасности».

Этот итеративный подход гарантирует, что система ИБ не просто существует, а постоянно развивается и адаптируется к динамично меняющемуся миру кибербезопасности.

Концепция Zero Trust (нулевого доверия)

В последние годы традиционные модели безопасности, основанные на концепции «защищенного периметра», оказались неэффективными перед лицом сложных и целевых атак. На смену им приходит радикально иной подход – Концепция Zero Trust (нулевого доверия).

Zero Trust – это стратегический подход к информационной безопасности, который полностью исключает доверие по умолчанию ко всем элементам (устройствам, пользователям, внешним и внутренним системам) корпоративной среды. Его можно сформулировать как «Без проверки нет доверия». Это означает, что ни один пользователь или устройство не получают автоматического доступа к ресурсам, даже если они находятся внутри корпоративной сети.

Ключевые принципы Zero Trust включают:

• Непрерывная проверка доступа: Каждый запрос на доступ к любому ресурсу должен быть проверен и авторизован, независимо от того, откуда он исходит.
• Доступ с наименьшими привилегиями (Least Privilege): Пользователям и системам предоставляется только минимально необходимый доступ к ресурсам, требуемый для выполнения их задач.
• Предположение о взломе: Организация всегда должна действовать, исходя из предположения, что ее системы уже скомпрометированы или могут быть скомпрометированы в любой момент.
• Микросегментация: Разделение сети на небольшие, изолированные сегменты, что ограничивает распространение атаки в случае компрометации одного сегмента.
• Многофакторная аутентификация (MFA): Обязательное использование нескольких факторов для подтверждения личности пользователя.

Zero Trust применяется ко всей ИТ-экосистеме предприятия и обеспечивает детальную защиту приложений, данных, конечных точек, удостоверений, инфраструктуры и сети. Внедрение Zero Trust позволяет блокировать внешние угрозы, уменьшать риски, связанные с устаревшими правами доступа, ошибками пользователей и недостатком прозрачности внутри корпоративной сети, создавая значительно более устойчивую и адаптируемую среду безопасности.

Расширенное обнаружение и реагирование (XDR)

По мере того как кибератаки становятся все более сложными и многовекторными, традиционные разрозненные средства защиты (антивирусы, файрволы, SIEM) уже не могут обеспечить адекватный уровень защиты. На смену им приходит XDR (Extended Detection and Response) – расширенное обнаружение и реагирование.

XDR-решения представляют собой эволюцию EDR (Endpoint Detection and Response) и объединяют возможности различных систем безопасности для обеспечения унифицированной видимости и скоординированного реагирования на угрозы по всей инфраструктуре. Ключевые системы, которые интегрирует XDR, включают:

• SIEM (Security Information and Event Management): Сбор и корреляция событий безопасности.
• SOAR (Security Orchestration, Automation and Response): Автоматизация процессов реагирования на инциденты.
• EDR (Endpoint Detection and Response): Защита конечных точек.
• NDR (Network Detection and Response): Мониторинг сетевого трафика.
• CASB (Cloud Access Security Broker): Контроль доступа к облачным приложениям.
• Инструменты управления идентификацией: Управление доступом пользователей.

Ключевые преимущества XDR:

• Унифицированная видимость: Представление всех поверхностей атаки в единой консоли, что позволяет операторам безопасности видеть полную картину инцидента.
• Ускоренное обнаружение и реагирование: Благодаря глубокой корреляции данных из разных источников и автоматизации.
• Улучшенная аналитика угроз: Использование машинного обучения и ИИ для выявления скрытых угроз и поведенческих аномалий.
• Автоматизация операций безопасности: Возможность автоматического реагирования на определенные типы угроз, снижая нагрузку на аналитиков.

XDR позволяет предприятиям переходить от реактивного устранения последствий к проактивному обнаружению и предотвращению атак, значительно повышая эффективность своих операций по безопасности.

Роль руководства и человеческого фактора в обеспечении информационной безопасности

Даже самые совершенные технологии и продуманные политики бессильны без адекватной поддержки со стороны высшего руководства и активного участия каждого сотрудника. Человеческий фактор и лидерство являются критически важными элементами успешной стратегии информационной безопасности.

Влияние поддержки руководства на стратегию ИБ

Поддержка высшего руководства – это не просто желательный, а решающий фактор для формирования благоприятной среды обеспечения информационной безопасности. Без нее любая инициатива в области ИБ обречена на провал. Эта поддержка выражается в нескольких ключевых аспектах:

1. Выделение достаточного бюджета на ИБ: Современная кибербезопасность требует значительных инвестиций. По данным за 2025 год, 56% российских корпораций увеличили расходы на кибербезопасность на 20–40%. Руководство должно понимать, что это не расходы, а инвестиции в устойчивость и непрерывность бизнеса. Достаточное финансирование позволяет приобрести необходимые технологии, нанять квалифицированных специалистов и обеспечить непрерывное обучение.
2. Формирование четких политик безопасности: Руководство должно инициировать и утверждать политики ИБ, обеспечивая их соответствие бизнес-целям и регуляторным требованиям. Это не просто формальность, а установление стандартов поведения и процедур.
3. Информирование сотрудников о важности ИБ: Высшее руководство должно на личном примере и через коммуникационные кампании доносить до каждого сотрудника, что информационная безопасность – это общая ответственность.
4. Личное соблюдение правил безопасности: Руководители, которые сами не соблюдают правила ИБ (например, используют слабые пароли или открывают подозрительные письма), подрывают доверие к системе безопасности и создают прецеденты для несоблюдения правил другими сотрудниками.

Роль руководителя отдела информационной безопасности (CISO) или аналогичной должности в этом процессе центральна. CISO не просто отвечает за технические аспекты, но и является стратегическим лидером, координирующим деятельность рабочей группы по разработке и внедрению политики безопасности на протяжении всего жизненного цикла. Его функции включают:

• Разработка и реализация стратегии ИБ.
• Управление рисками.
• Обеспечение соответствия нормативным требованиям.
• Надзор за операциями безопасности.
• Реагирование на инциденты.
• Управление бюджетом ИБ.
• Взаимодействие с высшим руководством и донесение важности ИБ.

Таким образом, поддержка руководства формирует необходимый фундамент, на котором строится вся система ИБ.

Управление человеческим фактором: снижение рисков

Как уже упоминалось, человеческий фактор является одним из самых уязвимых звеньев в системе безопасности. По данным InfoWatch за 2024 год, 15,1% инцидентов были вызваны действиями сотрудников, а 3,4% — действиями руководства; при этом 95% инцидентов по вине сотрудников имели умышленный мотив. Культура информационной безопасности, охватывающая как профессиональную, так и бытовую деятельность, играет ключевую роль в снижении этих рисков.

Для эффективного управления человеческим фактором и снижения рисков, связанных с ошибками и умышленными действиями сотрудников, рекомендуется применять комплекс методов:

1. Регулярные тренинги по ИБ: Не одноразовые, а постоянные, интерактивные обучающие программы, охватывающие новые угрозы и лучшие практики. Они должны быть адаптированы к разным категориям сотрудников.
2. Имитационные фишинговые кампании: Это мощный инструмент для практического обучения. Сотрудники получают имитацию фишинговых писем, и те, кто попадается на уловку, получают дополнительное обучение. Это позволяет в безопасной среде выявить и устранить слабые места.
3. Геймификация обучения: Превращение обучения в игру с элементами соревнований, наградами и рейтингами повышает вовлеченность и запоминаемость материала. Например, можно ввести систему баллов за успешное прохождение курсов или обнаружение подозрительных писем.
4. Электронные курсы и микрообучение: Короткие, легкоусвояемые онлайн-модули, доступные в любое время, позволяют сотрудникам освежать знания и получать актуальную информацию.
5. Разработка простых и понятных внутренних политик безопасности: Избегать излишней бюрократии и сложной терминологии. Политики должны быть четкими, легкодоступными и ориентированными на практическое применение.
6. Использование DLP-систем для мониторинга: Системы предотвращения утечек данных (DLP) могут не только блокировать несанкционированную передачу информации, но и служить инструментом для выявления подозрительного поведения сотрудников. Анализ данных DLP позволяет выявить тех, кто нуждается в дополнительном обучении или находится под повышенным риском инсайдерских угроз.

Эффективное управление человеческим фактором требует постоянных усилий и инвестиций, но эти вложения окупаются снижением числа инцидентов, сохранением конфиденциальности данных и укреплением общего уровня безопасности предприятия.

Заключение

В завершение нашего исследования по разработке комплексного плана курсовой работы по управлению информационной безопасностью предприятия, мы можем с уверенностью констатировать, что поставленные цели и задачи по созданию глубокого, актуального и практически ориентированного аналитического материала были успешно достигнуты. Мы провели всесторонний анализ теорет��ческих основ управления ИБ, включая ключевые концепции, роль политики безопасности, принципы непрерывности и риск-ориентированного подхода, а также стратегическое значение культуры ИБ.

Особое внимание было уделено актуальным вызовам 2025 года: мы детально рассмотрели изменения в законодательстве РФ, касающиеся персональных данных и критической информационной инфраструктуры, ужесточение ответственности, а также актуализацию Доктрины ИБ и стандартов ФСТЭК. Проведенный анализ ключевых киберугроз и экономических аспектов ИБ подтвердил беспрецедентный рост инвестиций и внимания к данной сфере.

В разделе о методологиях оценки рисков был выполнен сравнительный анализ качественных, количественных и полуколичественных подходов, а также подробно изучены стандарты NIST SP 800-30 и методология OCTAVE (включая OCTAVE Allegro), с акцентом на их практическое применение для критичных информационных инфраструктур. Это позволило нам определить наиболее эффективные инструменты для идентификации, анализа и приоритизации рисков.

Мы также описали современные организационные и технические меры обеспечения ИБ, подчеркнув важность повышения киберграмотности персонала, роль SIEM-систем, применение экспертных систем и искусственного интеллекта для обнаружения угроз, а также инновационные архитектуры сетевой безопасности, такие как SASE.

Раздел, посвященный жизненному циклу политики ИБ, позволил нам рассмотреть полный пятиэтапный процесс ее создания, внедрения и постоянного совершенствования. Были представлены передовые стратегические подходы, такие как концепция Zero Trust и решения XDR, которые сегодня формируют основу адаптивной и устойчивой системы защиты.

Наконец, мы подчеркнули критическую роль руководства и человеческого фактора в обеспечении информационной безопасности, доказав, что без поддержки высшего менеджмента и активного управления поведением сотрудников даже самые совершенные технологии окажутся неэффективными.

Данная курсовая работа является не просто академическим упражнением, но и ценным руководством для студентов и практикующих специалистов, позволяющим ориентироваться в сложной и динамично меняющейся области информационной безопасности.

Перспективы дальнейших исследований в области управления ИБ представляются чрезвычайно широкими. В условиях постоянного развития киберугроз, технологий (таких как квантовые вычисления, блокчейн в ИБ) и регуляторной среды, необходимо продолжать изучение:

• Эффективности применения ИИ для превентивного анализа угроз и автоматизации реагирования.
• Влияния новых международных стандартов на российскую практику ИБ.
• Разработки новых подходов к управлению рисками в условиях гибридных облачных инфраструктур.
• Психологических аспектов человеческого фактора и методов формирования устойчивого киберповедения.

Информационная безопасность – это непрерывный процесс, и постоянное развитие знаний и навыков в этой области является залогом успешного противостояния вызовам будущего.

Список использованной литературы

1. Амитан, В.Н. Экономическая безопасность: концепция и основные модели // Економічна кібернетика. – 2009. – №3-4. – С.13-20.
2. Башлыков, М. Актуальные вопросы информационной безопасности // Финансовая газета. Региональный выпуск. – 2006. – № 4.
3. Биячуев, Т.А. Безопасность корпоративных сетей. – СПб: СПб ГУ ИТМО, 2008. – 161 с.
4. Волков, П. Системы обеспечения информационной безопасности как часть корпоративной культуры современной организации // Финансовая газета. – 2006. – № 34.
5. Гусев, В.С., Демин, В.А., Кузин, Б.Л. и др. Экономика и организация безопасности хозяйствующих субъектов. – 2-е изд. – СПб.: Питер, 2008. – 288 с.
6. Жизненный цикл политики безопасности.
7. Зачем необходимо формирование культуры информационной безопасности и как ее организовать / Ростелеком-Солар. URL: https://rt-solar.ru/blog/security-awareness/zachem-neobkhodimo-formirovanie-kultury-informatsionnoy-bezopasnosti-i-kak-ee-organizovat/ (дата обращения: 28.10.2025).
8. Защита информации, персональные данные и функционирование ИС: изменения в ИТ-законах в РФ в 2025 году / Habr. URL: https://habr.com/ru/articles/762512/ (дата обращения: 28.10.2025).
9. Кибербезопасность в 2025 году: новые угрозы и как от них защититься. URL: https://vc.ru/u/986064-sergey-makarov/934305-kiberbezopasnost-v-2025-godu-novye-ugrozy-i-kak-ot-nih-zashchititsya (дата обращения: 28.10.2025).
10. Кирсанов, К.А., Малявина, А.В., Попов, Н.В. Информационная безопасность: Учебное пособие. – М.:МАЭП, ИИК «Калита», 2010.
11. Концепция «нулевого доверия» (Zero Trust): определение и описание. URL: https://www.kaspersky.ru/resource-center/definitions/zero-trust (дата обращения: 28.10.2025).
12. Концепция Zero Trust: что это такое и как она работает? / CoWork. URL: https://cowork.ru/news/concept-zero-trust/ (дата обращения: 28.10.2025).
13. Культура ИБ — государство для граждан / Культура информационной безопасности. URL: https://www.culture.security.gov.ru/ (дата обращения: 28.10.2025).
14. Курочкин, А.С. Управление предприятием: Уч. пособие. – Киев, 2009.
15. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов. –М.: Горячая линия –Телеком, 2004. – 280 с.
16. Методология OCTAVE для оценки информационных рисков / Управление рисками. URL: https://www.risk-management.ru/glossary/metodologiya-octave-dlya-otsenki-informatsionnykh-riskov/ (дата обращения: 28.10.2025).
17. Мониторинг событий и управление инцидентами информационной безопасности (SIEM) / Открытые Технологии. URL: https://ot.ru/product/siem/ (дата обращения: 28.10.2025).
18. На страже периметра. Как обучить сотрудников основам кибербезопасности / Potok.io. URL: https://potok.io/blog/cybersecurity-training/ (дата обращения: 28.10.2025).
19. NIST 800-30 и структура оценки рисков / Lazarus Alliance. URL: https://lazarusalliance.com/nist-800-30-and-the-risk-assessment-framework/ (дата обращения: 28.10.2025).
20. Новости ИТ и ИБ: изменения в законодательстве 2025 / Securika Moscow. URL: https://securika-moscow.ru/ru/articles/novosti-it-i-ib-izmeneniya-v-zakonodatelstve-2025.html (дата обращения: 28.10.2025).
21. Новые правила защиты данных с 2025 года: что нужно знать / TS Solution. URL: https://tssolution.ru/blog/novye-pravila-zashhity-dannyx-s-2025-goda-chto-nuzhno-znat/ (дата обращения: 28.10.2025).
22. ОБРАЗОВАНИЕ И КУЛЬТУРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ: НАУЧНО-ПРАВОВЫЕ АСПЕКТЫ / КиберЛенинка. URL: https://cyberleninka.ru/article/n/obrazovanie-i-kultura-informatsionnoy-bezopasnosti-grazhdan-rossiyskoy-federatsii-nauchno-pravovye-aspekty (дата обращения: 28.10.2025).
23. Обучение персонала / Inova Tech. URL: https://inova.tech/training/ (дата обращения: 28.10.2025).
24. Обучение сотрудников информационной безопасности (Security Awareness). URL: https://www.icls-security.ru/security-awareness/ (дата обращения: 28.10.2025).
25. Одинцов, А.А. Экономическая и информационная безопасность предпринимательства: учеб. пособие для вузов. – М.: академия, 2008. – 336 с.
26. Политика информационной безопасности организации 2024 / Revision. URL: https://www.revision.ru/articles/politika-informatsionnoy-bezopasnosti/ (дата обращения: 28.10.2025).
27. Политика информационной безопасности компании: что это такое, как регламентируется / Ростелеком-Солар. URL: https://rt-solar.ru/blog/security-awareness/politika-informatsionnoy-bezopasnosti-kompanii/ (дата обращения: 28.10.2025).
28. Применение экспертных систем для анализа и оценки информационной безопасности // Молодой ученый. URL: https://moluch.ru/archive/610/144934/ (дата обращения: 28.10.2025).
29. Процедура применения методологии анализа рисков OCTAVE в соответствии со стандартами серии ИСО/МЭК 27000-27005 / КиберЛенинка. URL: https://cyberleninka.ru/article/n/protsedura-primeneniya-metodologii-analiza-riskov-octave-v-sootvetstvii-so-standartami-serii-iso-mek-27000-27005 (дата обращения: 28.10.2025).
30. Security Awareness: обучение сотрудников по вопросам ИБ / RTM Group. URL: https://rtmtech.ru/services/security-awareness/ (дата обращения: 28.10.2025).
31. SIEM — управление событиями и инцидентами информационной безопасности. URL: https://securitycode.ru/glossary/siem/ (дата обращения: 28.10.2025).
32. Стандарт NIST SP 800-30 «Руководство по управлению информационными рисками IT-систем». URL: https://www.cisa.gov/resources-tools/resources/nist-special-publication-800-30-guide-conducting-risk-assessments-initial-public-draft (дата обращения: 28.10.2025).
33. Тренды кибербезопасности в 2025 году / Notamedia. URL: https://notamedia.ru/blog/trendy-kiberbezopasnosti-v-2025-godu (дата обращения: 28.10.2025).
34. Угрозы ИБ в 2025 году: что нас ждет? – Безопасность в ИТ / IT-World.ru. URL: https://it-world.ru/it-news/security/184136.html (дата обращения: 28.10.2025).
35. Угрозы информационной безопасности в 2025 году: как избежать? / ОБИТ. URL: https://www.obit.ru/articles/ugrozy-informacionnoy-bezopasnosti-v-2025-godu-kak-izbezhat/ (дата обращения: 28.10.2025).
36. Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30 / Security Vision. URL: https://securityvision.ru/blog/risk-management-part-4/ (дата обращения: 28.10.2025).
37. Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137 / Security Vision. URL: https://securityvision.ru/blog/risk-management-part-5/ (дата обращения: 28.10.2025).
38. Что такое безопасность Zero Trust? Принципы архитектуры безопасности Zero Trust / Seqrite. URL: https://www.seqrite.com/blog/what-is-zero-trust-security (дата обращения: 28.10.2025).
39. Что такое SIEM? / Microsoft Security. URL: https://www.microsoft.com/ru-ru/security/business/security-101/what-is-siem (дата обращения: 28.10.2025).
40. Что такое SIEM-система и как ее внедрить / Innostage. URL: https://innostage.com/blog/chto-takoe-siem-sistema-i-kak-ee-vnedrit (дата обращения: 28.10.2025).
41. Что такое архитектура «Никому не доверяй»? / Microsoft Security. URL: https://www.microsoft.com/ru-ru/security/business/security-101/what-is-zero-trust-architecture (дата обращения: 28.10.2025).
42. Что такое экспертная система — Термины и определения в области кибербезопасности. URL: https://securitynews.ru/glossary/chto-takoe-ekspertnaya-sistema/ (дата обращения: 28.10.2025).
43. Шахраманьян, М.А. Новые информационные технологии в задачах обеспечения национальной безопасности России. – М.:ФЦ ВНИИ ГОЧС, 2008. – 222с.