Стандарты и специфика обеспечения информационной безопасности: комплексный анализ российской практики и мирового опыта

В 2024 году совокупное число ИТ-атак на российские компании выросло в 2,5 раза по сравнению с 2023 годом, достигнув около 130 тысяч инцидентов, из которых порядка 26 тысяч были высококритичными. Эта ошеломляющая статистика – не просто цифры, а яркое свидетельство того, что информационная безопасность (ИБ) перестала быть узкоспециализированной задачей и превратилась в критически важный аспект выживания и развития любой организации, будь то государственное учреждение или коммерческая структура. В условиях стремительной цифровизации всех сфер жизни, от личных данных до критической инфраструктуры, обеспечение защищенности информации становится краеугольным камнем стабильности и процветания.

Настоящая работа представляет собой всесторонний анализ стандартов, методов, правовых и организационных аспектов обеспечения информационной безопасности. Мы рассмотрим ее эволюцию от первых шагов до современных вызовов, изучим международные и национальные (российские) подходы, а также углубимся в специфику внедрения и управления системами ИБ, учитывая «человеческий фактор» и перспективы государственной политики. Цель данного исследования — не просто систематизировать данные, но и предложить глубокий, многослойный взгляд на проблему, вооружив читателя комплексным пониманием одной из самых динамичных и значимых областей XXI века.

Введение в информационную безопасность: от истоков до современности

Современный мир, пронизанный цифровыми технологиями, столкнулся с парадоксом: чем больше мы взаимодействуем с информацией, тем более уязвимыми становимся. От банковских транзакций до медицинских записей, от государственных тайн до персональных данных — информация стала новой нефтью, а ее защита — стратегическим императивом. В этом разделе мы заложим фундамент для дальнейшего анализа, определив ключевые термины и проследив исторический путь, который привел нас к нынешнему пониманию и стандартам информационной безопасности.

Что такое информационная безопасность и кибербезопасность?

Прежде чем погрузиться в дебри стандартов и регуляций, необходимо четко разграничить два фундаментальных понятия, которые часто используются как синонимы, но имеют принципиальные различия: информационная безопасность (ИБ) и кибербезопасность.

Информационная безопасность (ИБ) — это широкое, всеобъемлющее понятие, охватывающее теорию и практику предотвращения посягательств на три ключевых атрибута информации:

• Конфиденциальность: обеспечение того, что информация доступна только авторизованным лицам.
• Целостность: гарантирование точности и полноты информации, а также методов ее обработки.
• Доступность: обеспечение доступа к информации и соответствующим активам авторизованным пользователям в нужный момент.

Основная задача ИБ заключается именно в сбалансированной защите этих трех столпов, при этом важно учитывать целесообразность применения мер безопасности, чтобы они не наносили ущерба производительности организации. Универсальность ИБ заключается в том, что она применима независимо от формы данных – будь то электронные документы, бумажные архивы, устные переговоры или даже визуальные данные.

Кибербезопасность, в свою очередь, является более узкой, но крайне важной частью ИБ. Это область информационных технологий, которая занимается защитой исключительно цифрового пространства: сетей, компьютеров, программ, устройств и данных, хранящихся в них, от атак, повреждений или несанкционированного доступа. Ее фокус — предотвращение цифровых атак, исходящих от хакеров, вредоносного программного обеспечения и других угроз в киберпространстве.

Таким образом, кибербезопасность можно рассматривать как одну из разновидностей информационной безопасности, концентрирующуюся на защите цифровых активов. Если ИБ — это зонтичный термин, охватывающий все аспекты защиты информации, то кибербезопасность — это специализированное направление внутри этого зонта, направленное на защиту информации в цифровой среде.

История и эволюция стандартов информационной безопасности

Путь стандартизации в области информационной безопасности — это увлекательная хроника постоянной адаптации к меняющимся угрозам и технологиям. От первых попыток защитить государственные секреты до современных глобальных фреймворков, каждая новая итерация стандартов адресовала конкретные вызовы и формировала более зрелые подходы, что позволяет нам сегодня говорить о комплексной защите.

Все началось в 1980-х годах в Великобритании, где была создана первая группа по разработке правил обеспечения ИБ, осознавшая необходимость систематизации защитных мер. Однако истинный прорыв произошел в США гораздо раньше, с появлением одного из первых значимых стандартов – DES (Data Encryption Standard). Разработанный корпорацией IBM в 1972-1975 годах, DES был официально принят 15 января 1977 года как федеральный стандарт США Национальным бюро стандартов (NBS). Его целью была защита важной, но несекретной информации в государственных и правительственных учреждениях. Появление DES стало первым шагом к унификации криптографических методов на национальном уровне.

Следующим краеугольным камнем стала «Оранжевая книга» (Trusted Computer System Evaluation Criteria, TCSEC), выпущенная Министерством обороны США в 1983 году. Этот документ заложил основу для оценки надежности компьютерных систем с точки зрения безопасности, предложив иерархическую систему классов защиты, от минимального (D) до максимального (A1). «Оранжевая книга» оказала колоссальное влияние на последующие разработки в области криптографии и механизмов безопасности, став де-факто стандартом для системных разработчиков. Она адресовала ключевую проблему того времени: отсутствие единых критериев для оценки защищенности операционных систем и программного обеспечения.

Однако американская «Оранжевая книга» имела свои ограничения, в основном сфокусированные на государственных и военных системах. В ответ на это, в 1990 году европейские страны разработали ITSEC (Information Technology Security Evaluation Criteria). Этот стандарт стал альтернативой американскому подходу, предложив более гибкую методологию оценки, которая разделяла функциональные требования безопасности и требования к гарантиям (уверенности в корректности реализации). ITSEC стал важным шагом к унификации стандартов в глобальном масштабе, преодолевая географические и политические барьеры.

Кульминацией усилий по гармонизации стандартов стало утверждение Международного стандарта ISO/IEC 15408, более известного как «Общие критерии оценки безопасности информационных технологий» (Common Criteria), 8 июня 1999 года. Этот стандарт объединил лучшие практики TCSEC и ITSEC, предложив единый фреймворк для оценки безопасности продуктов и систем ИТ. Common Criteria отличается полнотой требований, гибкостью применения (позволяя настраивать профили защиты под конкретные нужды) и открытостью для развития, став универсальным языком для поставщиков и потребителей защищенных ИТ-решений. Его появление адресовало проблему разрозненности национальных стандартов, создав глобальную платформу для взаимного признания сертификатов безопасности.

Эволюция стандартов наглядно демонстрирует переход от реактивного подхода (защита от известных угроз) к проактивному (построение систем с изначально высоким уровнем безопасности) и от национальных инициатив к глобальной гармонизации. Каждый новый стандарт не просто добавлял новые требования, но и переосмысливал сам подход к обеспечению ИБ, делая его более комплексным, системным и применимым в условиях постоянно меняющегося ландшафта угроз.

Международные стандарты обеспечения информационной безопасности

В современном глобализированном мире, где информация не знает границ, международные стандарты выступают в роли универсального языка и методологической опоры для обеспечения информационной безопасности. Они не только повышают защищенность ИТ-активов, но и помогают организациям соблюдать нормативные требования в различных юрисдикциях, обеспечивая доверие и прозрачность в цифровых взаимодействиях.

Серия стандартов ISO/IEC 27000: основа для СМИБ

Одним из наиболее влиятельных и широко признанных международных сводов стандартов в области информационной безопасности является серия ISO/IEC 27000. Это не просто набор документов, а комплексная система, предназначенная для помощи организациям в создании, внедрении, поддержании и постоянном улучшении Системы менеджмента информационной безопасности (СМИБ).

В центре этой серии стоит ISO/IEC 27001 (и его российский аналог ГОСТ Р ИСО/МЭК 27001) – это ключевой стандарт, признанный во всем мире. Он определяет требования к созданию, внедрению, функционированию, мониторингу, анализу, поддержанию и совершенствованию СМИБ. Его значение невозможно переоценить, поскольку он предоставляет организациям всех отраслей и масштабов – от малого бизнеса до транснациональных корпораций – структурированный подход к управлению безопасностью таких критически важных активов, как финансовая информация, интеллектуальная собственность, данные сотрудников и прочие конфиденциальные сведения. Сертификация по ISO/IEC 27001 демонстрирует приверженность компании лучшим практикам в области ИБ и повышает доверие со стороны партнеров и клиентов.

Стандарт ISO/IEC 27001:2013, ныне актуализированный до версии 2022 года, состоит из двух основных частей:

1. Основная часть: Описывает общий подход к созданию и функционированию СМИБ, базирующийся на циклической модели PDCA (Plan-Do-Check-Act – Планируй-Делай-Проверяй-Действуй). Здесь изложены требования к контексту организации, лидерству, планированию, поддержке, функционированию, оценке результативности и улучшению СМИБ.
2. Приложение А: Это каталог из 14 категорий (разделов), содержащих 114 контролей (мер) информационной безопасности и средства их реализации. Эти контроли охватывают широкий спектр аспектов, от политики безопасности и организации ИБ до управления инцидентами, физической безопасности и обеспечения непрерывности бизнеса. Организация должна провести оценку рисков и выбрать применимые контроли из Приложения А для их реализации.

Помимо ISO/IEC 27001, серия включает множество других стандартов, каждый из которых детализирует определенные аспекты ИБ:

• ISO/IEC 27000 (Общий обзор и терминология): Предоставляет базовые понятия и определения, необходимые для понимания всей серии, а также общие принципы управления ИБ.
• ISO/IEC 27002:2013 (Руководство по применению контролей ИБ): Этот стандарт более детально раскрывает практические аспекты управления ИБ, уточняя высокоуровневые требования ISO/IEC 27001. Он предоставляет набор практических правил и рекомендаций по выбору, внедрению и управлению мерами безопасности, перечисленными в Приложении А ISO/IEC 27001.
• ISO/IEC 27003 (Руководство по внедрению СМИБ): Оказывает помощь в практическом внедрении системы менеджмента информационной безопасности, разъясняя требования ISO/IEC 27001.
• ISO/IEC 27004 (Метрики и измерения): Фокусируется на метриках и измерениях, помогая организациям оценивать эффективность своей СМИБ.
• ISO/IEC 27005 (Управление рисками): Детально описывает процесс управления рисками информационной безопасности, включая идентификацию, анализ, оценку и обработку рисков.
• ISO/IEC 27017 (Защита в облачных средах): Предоставляет рекомендации по управлению информационной безопасностью в облачных средах, дополняя общие требования ISO/IEC 27002 специфическими контролями для облачных сервисов.
• ISO/IEC 27035 (Управление инцидентами ИБ): Руководство по управлению инцидентами информационной безопасности, включая их планирование, обнаружение, анализ, реагирование и восстановление.

Таким образом, серия ISO/IEC 27000 представляет собой мощный и гибкий инструментарий для построения эффективной системы защиты информации, способной адаптироваться к динамичному ландшафту угроз.

Фреймворк NIST и другие методологии

Помимо стандартов ISO, в мире существует ряд других значимых фреймворков и методологий, которые дополняют и расширяют подходы к управлению информационной безопасностью.

NIST (Национальный институт стандартов и технологий США) является ключевым игроком в разработке стандартов и руководств по кибербезопасности, особенно в США. Один из самых известных его продуктов – NIST Cybersecurity Framework (CSF). Этот фреймворк не является стандартом в строгом смысле слова, а скорее набором рекомендаций и передовых практик, предназначенных для улучшения управления рисками кибербезопасности. CSF определяет кибербезопасность как защиту цифрового пространства организаций от внешних и внутренних кибератак и структурирован вокруг пяти ключевых функций:

• Идентификация (Identify): Понимание активов, рисков и возможностей организации.
• Защита (Protect): Разработка и внедрение соответствующих гарантий для обеспечения критически важных услуг.
• Обнаружение (Detect): Разработка и внедрение действий по выявлению событий кибербезопасности.
• Реагирование (Respond): Разработка и внедрение действий по реагированию на обнаруженные события кибербезопасности.
• Восстановление (Recover): Разработка и внедрение действий по восстановлению после событий кибербезопасности.

CSF предназначен для гибкого применения в организациях любого размера и сектора, позволяя им оценить свой текущий уровень кибербезопасности, определить целевой уровень и разработать план по достижению этого уровня.

Еще одним важным инструментом для управления ИТ-сервисами и, как следствие, информационной безопасностью, является библиотека ITIL (Information Technology Infrastructure Library). ITIL описывает общую организацию безопасной работы ИТ-сервисов и содержит ключевые рекомендации по поддержанию СМИБ. В контексте ИБ ITIL фокусируется на процессном подходе к управлению ИТ, включая такие аспекты, как управление инцидентами и проблемами безопасности, управление изменениями и управление доступом. Хотя ITIL не является стандартом ИБ в прямом смысле, его принципы и процессы тесно интегрируются с требованиями ИБ, обеспечивая операционную эффективность и надежность ИТ-инфраструктуры.

В то время как ITIL фокусируется на процессах управления ИТ-сервисами, COBIT (Control Objectives for Information and Related Technologies), разработанный ISACA, определяет ИТ-цели и управленческие задачи на более высоком уровне. COBIT предоставляет всеобъемлющий фреймворк для управления и регулирования ИТ, помогая организациям достигать своих бизнес-целей путем эффективного и ответственного использования информационных технологий. В контексте ИБ COBIT помогает интегрировать информационную безопасность в общую стратегию управления предприятием, обеспечивая соответствие регуляторным требованиям и снижая риски. Таким образом, COBIT определяет «что» нужно делать с точки зрения целей, а ITIL указывает «как» это делать на уровне процессов.

Наконец, для оценки зрелости функционирования процессов СМИБ компании существует модель O-ISM3 (Open Information Security Management Maturity Model), разработанная консорциумом The Open Group. Эта модель позволяет организациям оценить свой текущий уровень зрелости в управлении ИБ по четырем уровням:

• Базовый: Процессы ИБ носят неформальный, часто реактивный характер.
• Стратегический: Процессы документированы и повторяемы, но не всегда оптимизированы.
• Тактический: Процессы хорошо определены, управляются и измеряются.
• Операционный: Процессы постоянно оптимизируются и интегрируются в общую стратегию бизнеса.

O-ISM3 помогает организациям не только понять, где они находятся в плане зрелости ИБ, но и разработать дорожную карту для улучшения своих процессов, делая их более эффективными и устойчивыми к угрозам.

Взаимодействие этих международных стандартов и методологий создает комплексную экосистему, позволяющую организациям подходить к информационной безопасности стратегически, системно и с учетом специфики своих бизнес-процессов и технологического ландшафта.

Национальное законодательство и стандарты Российской Федерации в сфере ИБ

Российская Федерация, осознавая стратегическую важность информационной безопасности, выстроила собственную, достаточно развитую систему законодательных и нормативных актов. Эта система направлена на защиту информации на всех уровнях – от персональных данных граждан до государственной тайны и критической информационной инфраструктуры.

Основы правового регулирования: Федеральные законы

Фундамент российской системы информационной безопасности заложен в двух ключевых федеральных законах, которые определяют основные понятия, принципы и требования к защите информации.

Первым из них является Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. Этот закон играет роль базового нормативного акта, регулирующего широкий круг отношений, возникающих:

• При осуществлении права на поиск, получение, передачу, производство и распространение информации.
• При применении информационных технологий.
• При обеспечении защиты информации.

В законе № 149-��З определены такие ключевые понятия, без которых невозможно представить современную сферу ИБ:

• «Информация» — это сведения, сообщения, данные независимо от формы их представления. Это определение подчеркивает, что защита требуется для любой информации, будь то цифровая или аналоговая, текстовая или графическая.
• «Информационные технологии» — это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Это понятие охватывает весь жизненный цикл данных.
• «Информационная система» — это совокупность информации, содержащейся в базах данных, и обеспечивающих ее обработку информационных технологий и технических средств. Здесь акцент сделан на системном характере обработки информации.
• Закон также ввел понятие «конфиденциальность информации» — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать ее третьим лицам без согласия обладателя. Это является краеугольным камнем для защиты коммерческой тайны, персональных данных и другой чувствительной информации.

Второй, не менее важный закон — Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 г. Этот акт специально регулирует отношения, связанные с обработкой персональных данных, осуществляемой как государственными органами и органами местного самоуправления, так и юридическими и физическими лицами, независимо от того, используются ли при этом средства автоматизации.

Ключевые определения закона № 152-ФЗ:

• «Персональные данные» — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Это включает ФИО, адрес, телефон, паспортные данные, биометрические данные и многое другое.
• «Обработка персональных данных» — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Закон № 152-ФЗ постоянно развивается, адаптируясь к меняющимся реалиям. Особо стоит отметить значимые изменения, вступившие в силу в последние годы:

• С 1 сентября 2022 года операторы персональных данных обязаны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных, за исключением предусмотренных законом случаев (например, обработки данных, необходимых для исполнения международных договоров или российского законодательства). Это значительно расширило сферу государственного контроля за оборотом персональных данных.
• С 1 марта 2023 года введен новый, более строгий порядок информирования Роскомнадзора о трансграничной передаче персональных данных (то есть передаче данных на территорию иностранного государства, иностранному государственному органу, иностранному физическому или юридическому лицу). Теперь Роскомнадзор получил право запрещать или ограничивать такую передачу. Основания для запрета или ограничения включают:
  • Необеспечение иностранным государством адекватного уровня защиты персональных данных.
  • Признание деятельности зарубежного контрагента нежелательной в РФ.
  • Угроза основам конституционного строя РФ, нравственности, здоровью, правам и законным интересам граждан, обеспечению обороны страны и безопасности государства, а также экономическим и финансовым интересам России.

Эти изменения подчеркивают усиление государственного регулирования в сфере защиты персональных данных и стремление к обеспечению суверенитета в информационной сфере. Современные вызовы требуют такой бдительности.

Государственная политика и регуляторы

Государственная политика в области информационной безопасности в России формируется на основе стратегических документов и реализуется через деятельность специализированных регуляторов.

Центральным стратегическим документом является Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 05.12.2016 № 646. Этот документ представляет собой систему официальных взглядов на обеспечение национальной безопасности Российской Федерации в информационной сфере. Доктрина определяет:

• Информационная безопасность Российской Федерации — это состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, обеспечивающее реализацию конституционных прав и свобод граждан, достойное качество их жизни, суверенитет, территориальную целостность, устойчивое социально-экономическое развитие, оборону и безопасность государства.
• Стратегические цели Доктрины: включают укрепление государственного суверенитета, поддержание политической и социальной стабильности, защиту критической информационной инфраструктуры Российской Федерации, а также обеспечение прав и законных интересов граждан и организаций в информационной сфере.
• Документ также определяет силы и средства обеспечения информационной безопасности, включающие правовые (законодательство), организационные (регламенты, политики) и технические (средства защиты информации) меры.

Ключевую роль в практической реализации государственной политики и регулировании технической защиты информации играет Федеральная служба по техническому и экспортному контролю (ФСТЭК России). ФСТЭК разрабатывает и внедряет нормативные требования к защите информации, не составляющей государственную тайну, но являющейся ограниченного доступа (например, персональные данные, коммерческая тайна).

Основные аспекты требований ФСТЭК:

• Техническая защита информации: Требования ФСТЭК распространяются на программное обеспечение (адаптация к новым угрозам, шифрование данных, контроль доступа, аутентификация, регулярные обновления), оборудование, внешние носители, средства связи, шифрования/дешифрования данных, операционные системы и даже специалистов по ИБ.
• Лицензирование и сертификация: Соблюдение требований ФСТЭК является обязательным для получения лицензий на деятельность по технической защите конфиденциальной информации (ТЗКИ) и средства криптографической защиты (СКЗИ). Эти лицензии необходимы для компаний, работающих с государственной и банковской тайной, а также для операторов персональных данных.
• Государственные информационные системы (ГИС): Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» устанавливал обязательные требования к защите информации ограниченного доступа в ГИС, включая создание систем защиты информации. Важно отметить, что данный приказ утратит силу 1 сентября 2025 года с вступлением в действие новых требований, которые будут дифференцировать меры защиты в зависимости от уровня возможностей нарушителя, что свидетельствует о стремлении к более гибкому и риск-ориентированному подходу.

ФСТЭК также устанавливает требования к защите среды виртуализации, технических средств, самой информационной системы, ее средств, каналов и линий связи и передачи данных, обеспечивая комплексный подход к защите информации.

Национальные стандарты (ГОСТы)

Помимо законодательных актов, в России действует система национальных стандартов (ГОСТов), которые детализируют требования и терминологию в области информационной безопасности, гармонизируя их с международными практиками.

Среди наиболее значимых ГОСТов можно выделить:

• ГОСТ 15971-90 «Системы обработки информации. Термины и определения»: Хотя это и более старый стандарт, он заложил основу для терминологии в области систем обработки информации.
• ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»: Более современный стандарт, который унифицирует основные термины и определения, используемые в сфере защиты информации в Российской Федерации.
• ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»: Этот стандарт детализирует терминологию, относящуюся непосредственно к обеспечению информационной безопасности в рамках организации, что делает его крайне полезным для построения внутренних систем управления ИБ.
• ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования»: Этот стандарт имеет критическое значение для криптографической защиты информации. Он регулирует требования к функции хеширования, которая используется для обеспечения целостности данных, создания электронной подписи, аутентификации и других криптографических операций. Использование стандартизированных функций хеширования гарантирует надежность и совместимость средств криптографической защиты, что особенно важно в контексте защиты государственных информационных систем и электронного документооборота.

В совокупности, федеральные законы, стратегические доктрины, регуляторные требования ФСТЭК и национальные стандарты формируют комплексную и многоуровневую систему обеспечения информационной безопасности в Российской Федерации, направленную на защиту интересов личности, общества и государства в условиях постоянно меняющихся угроз.

Современные вызовы и угрозы информационной безопасности: актуальный взгляд

Ландшафт угроз информационной безопасности никогда не был статичен, но в 2024-2025 годах он переживает беспрецедентную трансформацию. Стремительное внедрение новых технологий, геополитическая напряженность и постоянная эволюция методов киберпреступности создают сложную и динамичную картину, требующую от организаций и государств постоянной бдительности и адаптации.

Эскалация кибератак и новые техники злоумышленников

Статистика последних лет красноречиво свидетельствует о значительном росте числа и сложности кибератак. В 2024 году совокупное число ИТ-атак на российские компании выросло в 2,5 раза по сравнению с 2023 годом, достигнув около 130 тысяч инцидентов. Из них порядка 26 тысяч были классифицированы как высококритичные, что подчеркивает серьезность последствий. Во втором квартале 2024 года было зафиксировано 381 тысяча атак, что на 17% больше, чем за аналогичный период 2023 года. Эти цифры указывают на экспоненциальный рост активности злоумышленников.

Параллельно с количественным ростом происходит и качественное усложнение угроз:

• Социальная инженерия: Атаки становятся всё более изощрёнными. Мошенники активно используют психологические манипуляции, чтобы заставить пользователей раскрыть конфиденциальную информацию или совершить действия, выгодные злоумышленникам. Примеры включают имитацию писем от руководства, банков или IT-служб.
• Фишинг: Эволюция фишинговых атак достигла нового уровня. Теперь это не только массовые рассылки, но и высокоцелевые атаки (спирфишинг), направленные на конкретных сотрудников или организации, с использованием персонализированных данных, полученных из открытых источников или предыдущих утечек.
• Расширенное использование ИИ: Киберпреступники активно применяют искусственный интеллект для автоматизации своих действий. ИИ может использоваться для автоматического поиска уязвимостей в программном обеспечении, анализа больших объемов информации для выявления слабых звеньев в компании, а также для создания более убедительных текстов для фишинговых писем или даже дипфейков, делая атаки более целенаправленными, масштабируемыми и труднораспознаваемыми.

Этот постоянный цикл «атака-защита» требует от компаний не просто реагирования на инциденты, а непрерывного опережения злоумышленников в способах выявления и предупреждения инцидентов.

Угрозы, связанные с Интернетом вещей (IoT) и искусственным интеллектом (AI)

Быстрое развитие новых технологий, таких как Интернет вещей (IoT) и искусственный интеллект (AI), приносит не только новые возможности, но и совершенно новые, часто не до конца осознаваемые уязвимости и угрозы.

Интернет вещей (IoT): Устройства IoT, от «умных» термостатов до промышленных датчиков, стремительно интегрируются в нашу жизнь и бизнес. Однако их повсеместное распространение создает обширное поле для кибератак по ряду причин:

• Слабые пароли и отсутствие шифрования: Многие IoT-устройства поставляются с паролями по умолчанию, которые редко меняются пользователями, или вовсе не поддерживают сложные пароли. Отсутствие шифрования данных, передаваемых устройствами, позволяет злоумышленникам перехватывать конфиденциальную информацию.
• Устаревшее или плохо защищенное ПО: Производители часто не уделяют достаточного внимания безопасности программного обеспечения в IoT, а также не предоставляют регулярные обновления безопасности.
• Уязвимые протоколы связи: Многие протоколы, используемые в IoT (например, MQTT, CoAP), изначально не были разработаны с учетом высоких требований безопасности, что делает их уязвимыми для перехвата и манипуляций.
• Недостаточная физическая защита: IoT-устройства часто легко доступны физически, что позволяет злоумышленникам получать локальный контроль или использовать устройства для формирования ботнетов и проведения DDoS-атак.

Искусственный интеллект (AI): ИИ, будучи мощным инструментом, также становится двойным оружием в руках киберпреступников:

• Автоматизация атак и генерация вредоносного ПО: ИИ может быть использован для создания адаптивного вредоносного ПО, способного обходить традиционные средства защиты, а также для автоматизации поиска уязвимостей в системах.
• Дипфейки и социальная инженерия: С помощью ИИ создаются крайне реалистичные дипфейки (изображения, аудио и видео), которые могут быть использованы для убедительных атак социальной инженерии, имитируя голоса или внешность руководителей для обмана сотрудников.
• «Отравление» моделей ИИ (Poisoning Attacks): Злоумышленники могут внедрять вредоносные данные в обучающие наборы ИИ, что приводит к некорректному или вредоносному поведению модели в будущем, например, к пропуску вредоносного ПО или ошибочной классификации.
• Утечки данных через LLM: Распространение публичных больших языковых моделей (LLM) создает новый риск утечек данных, когда сотрудники, не осознавая последствий, вводят конфиденциальную информацию в чат-боты для анализа или генерации контента, делая ее доступной для потенциальных злоумышленников.

Кадровый дефицит и постквантовая криптография

Помимо технологических угроз, существует и серьезная структурная проблема – острый дефицит специалистов в сфере информационной безопасности. В 2024 году российский бизнес ощутил это особенно остро: число вакансий выросло на 17-50% (например, на HeadHunter до 27,3 тыс. вакансий), тогда как количество резюме сократилось на 6%. По прогнозам, к 2027 году дефицит кадров на рынке ИБ России может достигнуть 60 тысяч человек. Эта нехватка квалифицированных специалистов приводит к перегрузке существующих команд, снижению качества защиты и увеличению времени реагирования на инциденты. И что из этого следует? Компании вынуждены либо переплачивать за имеющиеся кадры, либо жертвовать уровнем безопасности, что создает благодатную почву для новых атак.

Другой, пока еще гипотетической, но крайне значимой угрозой является квантовый компьютер. Прогнозируется, что к 2030 году квантовые компьютеры смогут расшифровать большинство современных систем защиты данных, включая широко используемые асимметричные алгоритмы шифрования. Это создает острую необходимость в развитии постквантовой криптографии – новых криптографических алгоритмов, которые будут устойчивы к атакам даже со стороны мощных квантовых компьютеров. Исследования в этой области активно ведутся, но переход к постквантовым стандартам потребует значительных инвестиций и времени.

Совокупность этих вызовов – от растущего числа атак и их сложности до новых технологических угроз и кадровых проблем – формирует беспрецедентный уровень неопределенности и требует от всех участников цифрового пространства глубокого переосмысления подходов к информационной безопасности.

Методы и средства обеспечения информационной безопасности: от реактивного к проактивному подходу

В условиях стремительно меняющегося ландшафта угроз обеспечение информационной безопасности требует не просто установки защитных решений, а комплексного, многоуровневого подхода, центральным элементом которого является управление рисками и переход от пассивного реагирования к активному предвосхищению угроз.

Управление рисками и проактивные стратегии

В основе эффективной системы информационной безопасности лежит многоэтапный процесс управления рисками. Он начинается не с покупки антивируса, а с глубокого понимания того, что именно мы защищаем и от кого. Этот процесс включает:

1. Идентификация активов: Определение всех информационных активов организации (данные, системы, оборудование, ПО, люди) и их ценности.
2. Идентификация источников угроз: Выявление потенциальных злоумышленников (хакеры, инсайдеры, киберпреступные группировки, конкуренты) и их мотивации.
3. Идентификация уязвимостей: Обнаружение слабых мест в системах, процессах и человеческом факторе, которые могут быть использованы для реализации угроз.
4. Оценка потенциальной степени воздействия: Анализ того, какой ущерб (финансовый, репутационный, операционный) может нанести реализация угрозы.
5. Оценка возможностей управления рисками: Анализ существующих мер защиты и определение того, насколько они эффективны для снижения рисков до приемлемого уровня.

Исторически подход к ИБ часто был реактивным: мы защищались от того, что уже произошло или было широко известно. Однако в современном мире это крайне неэффективно. Эффективные методы обеспечения ИБ предполагают решительный переход к проактивному подходу. Это означает не просто реагировать на инциденты, но и активно искать, обнаруживать и нейтрализовывать угрозы до того, как они нанесут ущерб. Среди ключевых проактивных стратегий:

• Threat Intelligence (Разведка угроз): Сбор и анализ информации о текущих и потенциальных угрозах, тактиках, техниках и процедурах (TTP) злоумышленников. Это позволяет организациям понимать, с какими угрозами они могут столкнуться, и заранее готовиться к ним.
• Threat Hunting (Охота за угрозами): Активный поиск скрытых угроз и аномалий в сети и системах, которые могли быть пропущены традиционными средствами защиты. Это требует глубоких знаний и аналитических навыков ИБ-специалистов.
• Регулярный аудит безопасности: Периодические проверки систем, конфигураций, политик и процедур на соответствие стандартам и лучшим практикам, а также на наличие уязвимостей.
• Мониторинг аномалий через SIEM-системы (Security Information and Event Management): Непрерывный сбор и корреляция событий безопасности из различных источников (логи систем, сетевой трафик, данные с устройств защиты) для выявления подозрительной активности и быстрого реагирования.

Этот сдвиг от реакции к предвосхищению позволяет организациям строить более устойчивые и адаптивные системы защиты.

Технические, организационные и правовые средства

Обеспечение информационной безопасности – это комплексная задача, требующая гармоничного сочетания технических решений, организационных процессов и правовых механизмов.

Технические средства:

Технические средства представляют собой аппаратные и программные решения, непосредственно реализующие защитные функции:

• Операционные системы (ОС): Современные ОС (Windows, Linux, macOS) содержат встроенные алгоритмы проверки и сканирования на наличие возможных угроз, включая функции контроля доступа (ACL), аутентификации пользователей, межсетевые экраны (брандмауэры) и антивирусные модули. Эти компоненты являются первой линией обороны.
• Системы управления паролями и многофакторная аутентификация (МФА): Для управления человеческим фактором используются системы управления паролями, которые помогают пользователям создавать и хранить надежные пароли. Многофакторная аутентификация (например, пароль + код из СМС или биометрия) значительно снижает риск несанкционированного проникновения, даже если пароль был скомпрометирован.
• Системы предотвращения утечек данных (DLP): DLP-системы играют критическую роль в защите конфиденциальной информации. Они отслеживают операции с данными на съемных устройствах, регистрируют действия пользователей (например, попытки отправки файлов по электронной почте или загрузки в облако) и сигнализируют о подозрительной активности, предотвращая несанкционированное копирование или передачу данных.
• Системы обнаружения и предотвращения вторжений (IDS/IPS): Эти программно-аппаратные комплексы непрерывно анализируют сетевой трафик на предмет аномалий и известных сигнатур атак. IDS (Intrusion Detection System) предупреждает об угрозах, а IPS (Intrusion Prevention System) активно блокирует их.
• Мониторинг и протоколирование: Системы мониторинга и протоколирования собирают информацию о событиях в IT-инфраструктуре, что позволяет обнаруживать подозрительные действия, проводить расследования инцидентов и обеспечивает быстрое реагирование.
• Сертифицированные средства защиты информации (СЗИ): В Российской Федерации, особенно для государственных информационных систем и компаний, обрабатывающих персональные данные, требования ФСТЭК предусматривают применение только сертифицированных программных и технических средств защиты информации. Это гарантирует, что СЗИ соответствуют установленным стандартам безопасности и прошли необходимые испытания.

Важным аспектом является также обеспечение соблюдения требований по защите среды виртуализации, технических средств, самой информационной системы, ее средств, каналов и линий связи и передачи данных, что требует комплексного подхода к проектированию и эксплуатации IT-инфраструктуры.

Организационные меры:

Организационные меры – это политики, процедуры и процессы, которые определяют, как информация должна быть защищена, и как сотрудники должны действовать в отношении безопасности:

• Разработка четких политик безопасности: Это основополагающий документ, регламентирующий правила работы с информацией, использования паролей, правила доступа к конфиденциальным данным, действия при инцидентах и другие аспекты ИБ. Политики должны быть понятны, актуальны и обязательны для исполнения.
• Проведение внутреннего аудита информационной безопасности: Регулярные проверки позволяют выявлять недостатки в системе ИБ, оценивать соответствие требованиям политик и стандартов, а также улучшать процессы.
• Соблюдение организационных требований ФСТЭК: ФСТЭК предъявляет не только технические, но и организационные требования к защите информации ограниченного доступа, касающиеся разграничения доступа, процедур обработки информации, обучения персонала и т.д.

Правовые методы:

Правовые методы создают внешние рамки и регуляторную среду, в которой функционирует система ИБ:

• Законодательные и нормативно-правовые акты: Федеральные законы № 149-ФЗ и № 152-ФЗ, а также другие нормативные акты, устанавливают правовые рамки для защиты информации, определяют ответственность за нарушения и права субъектов данных.
• Обеспечение технологического суверенитета: На государственном уровне проводится политика, направленная на обеспечение целостности, устойчивости функционирования и безопасности информационной инфраструктуры Российской Федерации с использованием отечественных информационных технологий и продукции. Это снижает зависимость от иностранных решений и повышает общий уровень национальной безопасности.

Интеграция этих трех видов средств – технических, организационных и правовых – создает мощный и эшелонированный механизм защиты, способный противостоять современным угрозам и обеспечить надежную информационную безопасность. Человеческий фактор, однако, остается важнейшим элементом этой системы.

Человеческий фактор и формирование культуры информационной безопасности

Вне всякого сомнения, самые совершенные технологии и самые строгие регламенты могут оказаться бессильными перед лицом одного из самых непредсказуемых и критически важных элементов любой системы защиты — человеческого фактора. Статистика безжалостна: до 80% инцидентов информационной безопасности связаны с человеческими ошибками. Это подчеркивает огромную роль, которую играет каждый сотрудник в общей цепи безопасности, и делает формирование сильной культуры информационной безопасности не просто желательным, а жизненно необходимым.

Роль человеческого фактора в инцидентах ИБ

Человеческий фактор — это не только злонамеренные действия инсайдеров, но чаще всего ошибки, халатность, недостаточная осведомленность и невнимательность сотрудников. Последствия таких ошибок могут быть катастрофическими: утечки конфиденциальных данных, финансовые потери, нарушение операционной деятельности и серьезный ущерб репутации компании.

Типичные человеческие ошибки, приводящие к инцидентам ИБ, включают:

• Несоблюдение политик безопасности: Игнорирование установленных правил работы с информацией или IT-ресурсами.
• Использование слабых или повторно используемых паролей: Подбор таких паролей для злоумышленников – дело техники и времени.
• Открытие подозрительных ссылок и вложений: Фишинговые письма остаются одним из самых эффективных векторов атак.
• Неосторожное обращение с конфиденциальными данными: Например, отправка чувствительной информации не тому адресату, хранение на незащищенных носителях или публичное обсуждение.

Актуальная статистика подтверждает эти тенденции. В России наблюдается рост инцидентов, связанных с компрометацией учетных записей (до 35% к концу 2024 года), что напрямую связано с человеческим фактором и слабыми паролями. Более того, атаки через личные устройства сотрудников выросли на 30% в первой половине 2025 года, что говорит о размывании периметра безопасности и необходимости обучать персонал правилам безопасного использования личных гаджетов в корпоративной среде. Эти данные свидетельствуют о том, что злоумышленники активно эксплуатируют психологические уязвимости и недостаточную цифровую гигиену пользователей.

Стратегии управления человеческим фактором

Управление человеческим фактором в ИБ требует не столько ужесточения наказаний, сколько системного подхода к формированию осознанного и ответственного поведения.

1. Обучение и повышение осведомленности персонала: Это краеугольный камень стратегии. Регулярное, интерактивное обучение сотрудников необходимо для:
   • Повышения их осведомленности в вопросах безопасности.
   • Обучения распознаванию признаков кибератак (фишинг, социальная инженерия).
   • Формирования навыков соблюдения политик безопасности и правильных действий в случае инцидентов (например, куда сообщать о подозрительном письме).
   • Обучение должно быть непрерывным и адаптироваться к новым угрозам.
2. Разработка четких политик безопасности: Документы, регламентирующие правила работы с информацией, использования паролей и доступа к конфиденциальным данным, должны быть не просто формальностью, а живым, понятным и доступным руководством к действию. Важно, чтобы сотрудники не только знали о существовании политик, но и понимали их смысл и важность.
3. Создание культуры безопасности: Это не просто набор правил, а трансформация образа мышления сотрудников. Культура информационной безопасности – это принципы работы с критически важными ресурсами, которым сотрудники должны следовать, осознавая возможные последствия непрофессиональных или небрежных действий. Это означает, что защита информации становится естественной частью повседневной работы.
   

   Культура ИБ подразумевает формирование, знание, понимание, уважение, соблюдение и совершенствование правил по защите информации, происходящее по собственной инициативе – как снизу вверх (инициатива сотрудников), так и сверху вниз (поддержка руководства).

   В этом процессе могут помочь DLP-системы. Они не только защищают конфиденциальные активы, контролируя потоки данных, но и способствуют формированию культуры информационной безопасности. Мониторинг действий сотрудников, выявление нарушений политик и последующий анализ этих инцидентов позволяют наглядно демонстрировать последствия несоблюдения правил и корректировать поведение. Например, если DLP-система обнаруживает попытку отправки конфиденциального документа на личную почту, это становится поводом для дополнительного обучения и разъяснения.

   Однако интеграция информационной безопасности в корпоративную культуру напрямую зависит от первичных целей организации. В небольших коммерческих структурах, где ресурсы ограничены, а фокус сделан на быстрый рост, полноценная культура ИБ может не находить полного понимания среди работников без активной поддержки руководства и целенаправленных усилий. Так почему же организации часто упускают из виду этот критически важный аспект?

4. Этапы формирования корпоративной культуры в области информационной безопасности:
   • Информирование: Распространение базовых знаний об угрозах и правилах безопасности.
   • Обучение: Проведение целевых тренингов, имитационных атак (например, фишинговых) для отработки навыков.
   • Контроль сотрудников: Мониторинг соблюдения политик (в том числе с помощью DLP), обратная связь.
   • Выявление, проверка и расследование нарушений: Оперативный анализ инцидентов, определение причин и применение корректирующих мер, а не только карательных.

Формирование сильной и осознанной культуры информационной безопасности – это долгосрочный процесс, требующий постоянных усилий, инвестиций в обучение и демонстрации примера со стороны руководства. Только так можно превратить «слабое звено» – человека – в самую надежную линию обороны.

Перспективы развития государственной политики и правовых методов обеспечения ИБ в РФ

Государственная политика в сфере информационной безопасности в Российской Федерации является динамичной и постоянно адаптирующейся к глобальным и внутренним вызовам. Она направлена на укрепление национального суверенитета в цифровом пространстве, защиту граждан, бизнеса и критической инфраструктуры.

Реализация Доктрины и федеральных проектов

Основополагающим документом, определяющим стратегические направления государственной политики в сфере ИБ, остается Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 05.12.2016 № 646. Эта Доктрина представляет собой систему официальных взглядов на место РФ в современном мире информационных технологий, на угрозы суверенитету страны, а также на средства, используемые для выстраивания взаимодействия между государствами в цифровом обществе.

Ключевые стратегические цели, заложенные в Доктрине, продолжают активно реализовываться:

• Обеспечение защиты прав и законных интересов граждан и организаций в информационной сфере: Это достигается через совершенствование законодательства, развитие систем защиты персональных данных и повышение цифровой грамотности населения.
• Оценка состояния информационной безопасности, прогнозирование и обнаружение информационных угроз, определение приоритетных направлений их предотвращения и ликвидации последствий: Для этого развиваются центры ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак), укрепляется взаимодействие между государственными органами и частными компаниями в сфере обмена информацией об угрозах.

Одним из наиболее значимых инструментов реализации государственной политики является федеральный проект «Информационная безопасность», который является частью национальной программы «Цифровая экономика». Цель этого проекта — обеспечение информационной безопасности на основе отечественных разработок для защиты интересов личности, бизнеса и государства. Приоритетами проекта обозначены:

• Обеспечение целостного, устойчивого и безопасного функционирования российского сегмента интернета.
• Усиление защиты государственных информационных систем от хакерских атак.

Это включает в себя развитие отечественного программного обеспечения, аппаратных комплексов, криптографических средств, а также подготовку высококвалифицированных кадров в сфере ИБ.

Важным шагом в обеспечении суверенного и устойчивого функционирования российского сегмента интернета стало принятие Федерального закона № 90-ФЗ от 01.05.2019 «О внесении изменений в Федеральный закон «О связи» и Федеральный закон «Об информации, информационных технологиях и о защите информации». Этот закон, часто называемый «законом о суверенном Рунете», направлен на создание независимой инфраструктуры для обеспечения работоспособности российского сегмента сети Интернет в случае внешних угроз, а также на управление маршрутизацией трафика.

Приоритеты и будущие реформы

Государство активно предпринимает инициативы как со стороны развития методов защиты персональных данных, так и методов предотвращения киберпреступлений. Это проявляется в непрерывном совершенствовании законодательства, усилении контроля за оборотом данных и инвестициях в развитие технологий.

Ключевыми задачами на ближайшую перспективу и направлениями будущих реформ являются:

• Обеспечение защиты финансовой сферы от информационных нападений: Банковская система и финансовые учреждения являются одними из основных целей киберпреступников. Государство усиливает требования к их защите, развивает механизмы оперативного обмена информацией об угрозах и координирует действия в случае масштабных кибератак.
• Создание условий для экономического роста: Надежная информационная безопасность является фундаментом для развития цифровой экономики. Государство стремится минимизировать риски для бизнеса, обеспечивая стабильное и безопасное функционирование IT-инфраструктуры, что способствует привлечению инвестиций и инновационному развитию.
• Снижение риска возникновения угроз, связанных с подрывом экономики страны: Кибератаки на критическую информационную инфраструктуру (энергетика, транспорт, связь) могут иметь катастрофические последствия для экономики. Поэтому одним из важнейших приоритетов является обеспечение надежной защиты этих систем. Это достигается через разработку специальных требований, проведение регулярных учений и внедрение современных средств защиты.

Также можно ожидать дальнейшего ужесточения ответственности за киберпреступления, развитие международной кооперации в борьбе с киберугрозами (при соблюдении национальных интересов) и продолжение курса на импортозамещение в сфере IT и ИБ для обеспечения технологического суверенитета.

Таким образом, государственная политика в сфере информационной безопасности в РФ представляет собой комплексный, многовекторный и стратегически важный элемент национальной безопасности, который постоянно развивается и адаптируется к новым вызовам цифровой эпохи.

Заключение

Путешествие по миру стандартов и специфики информационной безопасности раскрыло перед нами сложную, многогранную картину. От первых попыток криптографической защиты в середине прошлого века до современных глобальных фреймворков и национальных законодательных актов – эволюция ИБ была и остается ответом на постоянно меняющийся ландшафт угроз. Мы увидели, как международные стандарты, такие как серия ISO/IEC 27000, NIST CSF, ITIL и COBIT, формируют методологическую основу для построения эффективных систем управления ИБ, предоставляя организациям инструменты для систематического подхода к защите информации.

Одновременно с этим, детальный анализ российской практики продемонстрировал глубокую проработку национального законодательства, начиная с Федеральных законов № 149-ФЗ и № 152-ФЗ, регулирующих оборот информации и персональных данных, до стратегической Доктрины информационной безопасности РФ и регуляторных требований ФСТЭК. Особое внимание было уделено последним изменениям в регулировании персональных данных и будущим реформам требований ФСТЭК, что подчеркивает динамичность и адаптивность российской системы.

Однако никакие стандарты и законы не смогут гарантировать полную безопасность без понимания и противодействия актуальным вызовам. Мы рассмотрели эскалацию кибератак (рост на 250% в 2024 году), усложнение методов злоумышленников (социальная инженерия, фишинг), а также новые угрозы, связанные с Интернетом вещей (IoT) и искусственным интеллектом (AI), который активно используется для автоматизации атак, создания дипфейков и даже «отравления» моделей. Не менее острым вызовом является и кадровый дефицит ИБ-специалистов (прогнозы до 60 тысяч к 2027 году) и перспективная угроза квантовых компьютеров.

Ключевым выводом является необходимость перехода от реактивного к проактивному подходу в обеспечении ИБ, основанного на глубоком управлении рисками, Threat Intelligence и Threat Hunting. При этом ни одно техническое решение не будет по-настоящему эффективным без учета человеческого фактора, который, как показали данные, является причиной до 80% инцидентов. Формирование осознанной и устойчивой культуры информационной безопасности через обучение, четкие политики и применение DLP-систем становится не просто опцией, а императивом.

Государственная политика Российской Федерации, выраженная в Доктрине ИБ и федеральных проектах, направлена на укрепление суверенитета в цифровом пространстве и создание условий для безопасного экономического роста. Планируемые реформы и акцент на отечественные разработки свидетельствуют о стратегическом видении обеспечения киберустойчивости.

В заключение, информационная безопасность – это непрерывный процесс, требующий постоянного совершенствования, адаптации и глубокого понимания взаимосвязи технологий, людей и правового поля. Только комплексный, системный и проактивный подход позволит организациям и государству успешно противостоять вызовам цифровой эпохи и обеспечить защищенность информации, являющейся основой современного мира, без чего невозможно достичь стабильности и процветания.

Список использованной литературы

1. Федеральный закон РФ от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации».
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 05.12.2016 № 646).
4. Закон РФ «О государственной тайне» (2008).
5. Доктрина информационной безопасности Российской Федерации от 09.09.2000 № Пр-1895 (утратила силу).
6. Словарь терминов Гостехкомиссии при президенте РФ.
7. Носов В.А. Вводный курс по дисциплине “Информационная безопасность”. 2008.
8. Соколов А.В. Методы информационной защиты объектов и компьютерных сетей. 2010.
9. Анин Б. Защита компьютерной информации. 2011.
10. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. 2008.
11. Галатенко В.А. Стандарты информационной безопасности. 2009.
12. Белкин П.Ю., Михальский О.О., Першаков А.С., Правиков Д.И., Проскурин В.Г., Фоменков Г.В. Защита программ и данных. 2009.
13. Безопасность информационных технологий: Вызовы и тенденции. URL: https://guu.ru/iis/bezopasnost-informatsionnyx-texnologij-vyzovy-i-tendentsii/ (дата обращения: 27.10.2025).
14. Кибербезопасность и информационная безопасность. URL: https://iot.ru/internet-veshchey/kiberbezopasnost-i-informatsionnaya-bezopasnost (дата обращения: 27.10.2025).
15. Роль человеческого фактора в информационной безопасности: тенденции и практики. URL: https://sibac.info/journal/student/68/193297 (дата обращения: 27.10.2025).
16. История развития стандартов информационной безопасности — Удоба. URL: https://udoba.org/article/istoriia-razvitiia-standartov-informatsionnoi-bezopasnosti/ (дата обращения: 27.10.2025).
17. Обзор международных стандартов в области ИБ. URL: https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9E%D0%B1%D0%B7%D0%BE%D1%80_%D0%BC%D0%B5%D0%B6%D0%B4%D1%83%D0%BD%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D1%8B%D1%85_%D1%81%D1%82%D0%B0%D0%BD%D0%B4%D0%B0%D1%80%D1%82%D0%BE%D0%B2_%D0%B2_%D0%BE%D0%B1%D0%BB%D0%B0%D1%81%D1%82%D0%B8_%D0%98%D0%91 (дата обращения: 27.10.2025).
18. Цифровая безопасность как стратегический приоритет: новые вызовы и решения. URL: https://www.vedomosti.ru/press_releases/2024/11/18/tsifrovaya-bezopasnost-kak-strategicheskii-prioritet-novie-vizovi-i-resheniya (дата обращения: 27.10.2025).
19. КИБЕРБЕЗОПАСНОСТЬ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: СХОДСТВА И ОТЛИЧИЯ. URL: https://cyberleninka.ru/article/n/kiberbezopasnost-i-informatsionnaya-bezopasnost-shodstva-i-otlichiya (дата обращения: 27.10.2025).
20. Современные вызовы и угрозы информационной безопасности России. URL: https://sibac.info/journal/modern-science/68/192994 (дата обращения: 27.10.2025).
21. Кибербезопасность и информационная безопасность – в чем разница — блог компании «Вкорпе». URL: https://vkorpe.com/blog/kiberbezopasnost-i-informatsionnaya-bezopasnost-v-chem-raznica (дата обращения: 27.10.2025).
22. Доктрина информационной безопасности РФ — RTM Group. URL: https://rtmtech.ru/library/doktrina-informatsionnoy-bezopasnosti-rf/ (дата обращения: 27.10.2025).
23. Техническая защита информации по требованиям ФСТЭК, меры по информационной безопасности ФСТЭК — Integrus. URL: https://integrus.ru/technical-information-protection-fstec-requirements (дата обращения: 27.10.2025).
24. Зачем необходимо формирование культуры информационной безопасности и как ее организовать — Ростелеком-Солар. URL: https://solar.rt.ru/blog/culture/ (дата обращения: 27.10.2025).
25. Все о кибербезопасности: определение, принцип работы, отличия — DDoS-Guard. URL: https://ddos-guard.net/ru/info/blog/chto-takoe-kiberbezopasnost (дата обращения: 27.10.2025).
26. Требования ФСТЭК по защите информации — Контур. URL: https://kontur.ru/articles/6618 (дата обращения: 27.10.2025).
27. Международные стандарты по управлению информационной безопасностью. URL: https://www.myshared.ru/slide/1199344 (дата обращения: 27.10.2025).
28. Информационная безопасность — Википедия. URL: https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C (дата обращения: 27.10.2025).
29. Стандарты работы ИБ — RCNGROUP.RU — ООО «Рубикон». URL: https://rcngroup.ru/blog/standarty-raboty-ib/ (дата обращения: 27.10.2025).
30. Как человеческий фактор помогает злоумышленникам? — Positive Education. URL: https://pt.com/ru/knowledge-base/cybersecurity/human-factor-in-information-security/ (дата обращения: 27.10.2025).
31. Вызовы и угрозы информационной безопасности в XXI веке — Информио. URL: https://informio.ru/article/80746/Vizovy-i-ugrozy-informacionnoi-bezopasnosti-v-xxi-veke (дата обращения: 27.10.2025).
32. Характеристики международных стандартов информационной безопасности и их применение в профессионально-производственной деятельности — КиберЛенинка. URL: https://cyberleninka.ru/article/n/harakteristiki-mezhdunarodnyh-standartov-informatsionnoy-bezopasnosti-i-ih-primenenie-v-professionalno-proizvodstvennoy (дата обращения: 27.10.2025).
33. Человеческий фактор в информационной безопасности — Habr. URL: https://habr.com/ru/articles/346144/ (дата обращения: 27.10.2025).
34. Требования ФСТЭК по защите информации — SearchInform. URL: https://searchinform.ru/useful/blog/trebovaniya-fstek-po-zashchite-informatsii/ (дата обращения: 27.10.2025).
35. Безопасность — CNews. URL: https://www.cnews.ru/reviews/security/articles/2007/04/09/bezopasnost_kak_zakalyalsya_standart (дата обращения: 27.10.2025).
36. Как внедрить культуру ИБ — Акрибия. URL: https://akribia.ru/blog/kak-vnedrit-kulturu-ib (дата обращения: 27.10.2025).
37. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах от 11 февраля 2013. URL: https://docs.cntd.ru/document/499039600 (дата обращения: 27.10.2025).
38. Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети (выписка) от 07 марта 2023. URL: https://docs.cntd.ru/document/726671040 (дата обращения: 27.10.2025).
39. Лекция №3. Стандарты информационной безопасности — ektu.kz. URL: https://www.ektu.kz/sites/default/files/2019-11/lek_3_standarty_ib.pdf (дата обращения: 27.10.2025).
40. Информационная безопасность как часть корпоративной культуры — Академия АйТи. URL: https://www.academyit.ru/about/news/informatsionnaya-bezopasnost-kak-chast-korporativnoy-kultury/ (дата обращения: 27.10.2025).
41. Формирование корпоративной культуры в области информационной безопасности. URL: https://www.elibrary.ru/item.asp?id=48421469 (дата обращения: 27.10.2025).
42. Интеграция ИБ в корпоративную культуру — Information Security — ITSec.Ru. URL: https://www.itsec.ru/articles/it-security/integratsiya-ib-v-korporativnuyu-kulturu (дата обращения: 27.10.2025).
43. Как менялась информационная безопасность за последние 20 лет — Habr. URL: https://habr.com/ru/companies/pt/articles/448830/ (дата обращения: 27.10.2025).