Владислав Прокопович пишет:

Уровень 3 зрелости ИБ: «У нас уже есть система, но не всё отлажено»

Компания выросла. Клиентов больше, процессы сложнее, зависимость от IT и данных очевидна. Уже есть опыт инцидентов, проверок, требований крупных клиентов.

ИБ оформлена как отдельное направление. Есть ответственный, набор документов, регулярные активности. Руководство понимает — без системного подхода бизнес слишком хрупкий.

Системный подход:

✓ ИБ — отдельная функция или отдел ✓ Регламенты реально работают (управление доступами, бэкапы, работа с инцидентами) ✓ ИБ участвует в проектах заранее, не только «после того как всё случилось» ✓ Первые метрики и отчёты для руководства ✓ Инциденты разбирают и делают выводы → системные изменения

Документы и реальность всё ближе друг к другу. Появляется цикл: планирование → реализация → контроль → улучшение.

Слабые места уровня:

⚙️ Неравномерность по подразделениям Офис и основная инфраструктура защищены, филиалы и отдельные проекты — «как получится».

👤 Зависимость от ключевых людей Есть человек (или небольшая команда), которые «тянут» знания и решения. Если уйдут или выгорят — многое встанет.

🔗 Слабое звено в цепочке Общий уровень вырос, но остаются «дыры»: внешний подрядчик, старый сервис, забытый сервер. Серьёзные проблемы идут через них.

⚔️ Конфликты при внедрении «Мы уже всё придумали и продали клиенту, а ИБ говорит что так нельзя». Напряжение и попытки обойти правила.

🔍 Неполная управляемость инцидентов Инциденты не превращаются в хаос, но не все фиксируются, не все разбираются глубоко. Опыт не всегда становится системным изменением.

Точки роста:

→ Выравнивание процессов по всей компании (филиалы, проекты, удалёнка) → Формализация знаний — снижение зависимости от конкретных людей → Регулярные разборы инцидентов и «почти инцидентов» → Сегментация и приоритизация (не всё защищать одинаково) → Системная работа с подрядчиками (требования, проверки, контроль) → Первые понятные метрики для отслеживания динамики

Цель уровня: работающая «скелетная» система, на которую можно навешивать более сложные элементы.

На этом уровне многие застревают — система есть, но местами «скрипит». Чтобы идти дальше, нужен переход от «процессы работают» к управлению рисками и деньгами.

Следующий пост — Уровень 4: «Управляем рисками и считаем деньги». Когда безопасность начинает говорить на языке бизнеса.

#ИнформационнаяБезопасность #ИБ #Кибербезопасность #CIO #ЗрелостьИБ #УправлениеРисками #БизнесПроцессы #ITБезопасность #Комплаенс