Группа I методики АЦТ: 16 инструментов кибербезопасности и управления рисками
В предыдущих материалах серии разобраны группа A «Операционное превосходство», группа B «Управление проектами и процессами», группа C «Люди и культура», группа D «Клиенты и рынок», группа E «Стратегия и инновации», группа F «Логистика и цепочки поставок», группа G «Цифровые технологии трансформации» и группа H «Данные и аналитика».
Возьмем промышленное предприятие, прошедшее через цикл цифровизации по предыдущим группам методики. Производство переведено на бережливые принципы, проектный офис ведет портфель, выстроены программы обучения, работает CRM, склад управляется через WMS, на цехе стоит MES, а поверх всего этого собирается аналитический контур с прогнозными моделями. Каждая группа на своем месте и дает измеримый эффект.
Результативная атака затрагивает любой из этих участков. Зашифрованная производственная система означает простой цеха, скомпрометированная клиентская база — утечку и штраф, выведенная из строя АСУ ТП — остановку выпуска. Результат предыдущих восьми групп при этом сохраняется, но воспользоваться им во время инцидента нельзя: системы выстроены корректно, а их защитой на многих предприятиях занимается один специалист, у которого это не единственная задача.
В 2025 году 47% кибератак на российские промышленные предприятия оказались успешными и привели к сбоям в основной деятельности; в 2024 году к таким последствиям привел 31% инцидентов. За год доля результативных атак выросла в полтора раза.
💡 По данным Solar 4RAYS и Positive Technologies, в 2025 году число кибератак на российский бизнес выросло на 42% и достигло 22 тысяч ИТ-инцидентов, при этом промышленность вошла в число наиболее атакуемых отраслей с ростом числа заражений вдвое. Утечки данных сопровождали 64% инцидентов, а средний выкуп за расшифровку составлял от 4 до 40 млн рублей.
Почему кибербезопасность работает как слой поверх всех групп
Группа I «Кибербезопасность и управление рисками» в методике АЦТ занимает особое положение. Все предыдущие восемь групп создают ценность: производят продукцию, доводят проекты до результата, развивают людей, удерживают клиентов, формируют стратегию, обеспечивают поставки, дают технологии и аналитику. Группа I ничего из этого не создает. Ее работа — сохранить созданное от уничтожения, кражи и остановки.
В оркестровой логике методики, где каждой группе соответствует свой инструмент, группе I отвечают тромбоны и тубы — медные басы оркестра. Большую часть произведения их не слышно: мелодию ведут скрипки, соло держит первая партия, ритм задают литавры. Вступают тромбоны в моменты, требующие предельной серьезности, и тогда их слышно поверх всего оркестра. На этих моментах и держится ценность группы I: в спокойное время кибербезопасность остается фоном, а во время атаки от нее зависит, останется ли инцидент управляемым.
Что такое АЦТ — простыми словами
«Аккордная цифровая трансформация» — это методика Ассоциации цифровой трансформации, построенная на трех слоях:
| Шаг | Что дает |
| 1. Диагностика | Помогает понять, где конкретно теряются деньги, время, качество |
| 2. Каталог | Описывает 211 инструментов в 11 группах с карточками: цель, часы теории и практики, уровень сложности |
| 3. Аккорды | Подсказывает, как собирать инструменты в рабочие комбинации под конкретную задачу |
Аккорд — связка из 2–5 инструментов разной природы, работающих синхронно. У каждого инструмента есть уникальный код: I1-03 — Соответствие требованиям (Compliance), I2-04 — Архитектура нулевого доверия (Zero Trust), I3-03 — Операционная технологическая безопасность (OT Security), I4-02 — Цифровая криминалистика (Digital Forensics), I5-03 — ИИ в кибербезопасности.
Где проходит граница группы I с предыдущими
Первые восемь групп методики последовательно разбирают разные стороны работы предприятия: производство (A «Операционное превосходство»), проекты и процессы (B «Управление проектами и процессами»), команду (C «Люди и культура»), клиентов (D «Клиенты и рынок»), стратегию (E «Стратегия и инновации»), логистику (F «Логистика и цепочки поставок»), технологии (G «Цифровые технологии трансформации») и данные (H «Данные и аналитика»). У каждой — своя зона ответственности и свой вклад в результат.
Группа I относится сразу ко всем этим зонам. Утечка может произойти из клиентской базы группы D «Клиенты и рынок», остановка — на производственной системе группы A «Операционное превосходство», компрометация — через технологический контур группы G «Цифровые технологии трансформации», а потеря данных обесценивает аналитику группы H «Данные и аналитика». Кибербезопасность нельзя локализовать в одном подразделении, потому что атаковать могут любой узел из выстроенной цепочки.
Внутри группы важно развести два контура защиты, которые на практике предприятий часто смешивают, — IT и операционные технологии. Если IT — это привычные информационные системы (офисные сети, почта, ERP, базы данных), то операционные технологии (Operational Technology, OT) — это системы, управляющие физическим производством: АСУ ТП, промышленные контроллеры, датчики на линии. IT-контур защищают по правилам, отработанным десятилетиями: антивирусы, межсетевые экраны, резервное копирование. OT-контур живет по другим законам: здесь нельзя просто остановить систему для установки обновления, оборудование работает по специфическим протоколам. Большинство средств защиты, рассчитанных на офис, в цеху не работают.
Именно OT-контур стал главной мишенью 2025 года. По исследованию центра Solar 4RAYS, промышленность и топливно-энергетический комплекс атакуют ради физического ущерба через автоматизированные системы управления технологическими процессами. Логика атакующего изменилась: 76% критических инцидентов в 2025 году включали шифрование без возможности восстановления, полное удаление данных или вывод из строя систем управления — демонстративные акции прошлого сменились стратегией максимального ущерба.
Архитектура методики: 11 групп и 211 инструментов
| Группа | Область | Количество инструментов | За что отвечает |
| A | Операционное превосходство | 41 | Lean, Кайдзен, 5S, OEE, SMED, SPC, MES, EAM, ISO |
| B | Управление проектами и процессами | 26 | Waterfall, Agile, Scrum, BPMN, Ганта, портфели, PMBOK |
| C | Люди и культура | 28 | Развитие персонала, мотивация, культура, оценка |
| D | Клиенты и рынок | 19 | CRM, NPS, продажи решений, клиентский опыт, аналитика |
| E | Стратегия и инновации | 15 | BSC, SWOT, сценарное планирование, Blue Ocean, ИИ в стратегии |
| F | Логистика и цепочки поставок | 12 | Управление потоками, оптимизация цепочек, риски |
| G | Цифровые технологии трансформации | 16 | ERP, MES, цифровые двойники, генеративный ИИ, ИИ-агенты, low-code |
| H | Данные и аналитика | 10 | BI, Process Mining, прогнозная аналитика, управление данными |
| I | Кибербезопасность и управление рисками | 16 | Защита данных, управление рисками, ICS/SCADA, OT, Zero Trust, ИИ в ИБ |
| J | Устойчивое развитие и ESG | 15 | Экологические, социальные, корпоративные стандарты |
| K | Инновации и исследования | 14 | R&D, виртуальные лаборатории, краудсорсинг инноваций |
Группа I — одна из самых технически сложных в методике. Из 16 инструментов 11 имеют статус «сложный» и 3 — «очень сложный»; точкой входа служат только два базовых инструмента подгруппы I1. Диапазон освоения — от 18 до 62 часов. Это отражает реальность: в кибербезопасности почти нет «легких» инструментов, которые дают эффект без серьезной подготовки.
Как это выглядит на практике
В отличие от производственных или логистических кейсов, публичную сторону кибербезопасности составляют в основном провалы, а не успехи.
Самый показательный российский кейс 2025 года — атака на «Аэрофлот», произошедшая 28 июля. Атака на ИТ-системы национального перевозчика стала одним из крупнейших киберинцидентов в истории российской авиации: в этот день компания отменила более 50 рейсов в оба конца. Показательна не сама остановка, а то, что ей предшествовало: по данным расследования, злоумышленники находились внутри инфраструктуры компании около года, а одним из факторов проникновения называли устаревшие пароли и халатность сотрудников. На протяжении этого года присутствие атакующего в сети не фиксировалось.
Реакция компании показывает, какие именно инструменты группы I оказались востребованы постфактум. После инцидента «Аэрофлот» усилил центр операционной безопасности и привлек профильных партнеров по информационной безопасности — по части непрерывного мониторинга и сканирования сети компания стала сотрудничать с BI.ZONE и «Бастионом», а также внедрила оценку рисков компрометации внутри сети. То, что в логике методики называется активным поиском угроз (I4-01) и мониторингом, выстраивали уже после того, как ущерб был нанесен.
Важно и то, что атака на «Аэрофлот» не была единичной. В июне 2025 года была обрушена инфраструктура бренда одежды 12Storeez, в середине июля от массового взлома пострадала сеть магазинов «ВинЛаб», а в конце месяца последовали проблемы в аптечных сетях «Столичка» и «НеоФарм». За один-два летних месяца под удар попали компании разного масштаба из разных отраслей.
Во всех этих случаях проблема заключалась в отсутствии выстроенной системы — мониторинга, который замечает чужого в сети на ранней стадии; дисциплины управления доступом; готового сценария реагирования. Задача группы I в том, чтобы собрать эту систему заранее, до инцидента.
16 инструментов группы I в пяти подгруппах
Инструменты группы I разделены на пять подгрупп: от фундаментальных систем безопасности и продвинутых средств защиты через промышленные и IoT-решения до аналитики, расследований и инновационных технологий на базе ИИ и квантовых методов.
I1 — Ключевые системы безопасности (4 инструмента)
Фундамент группы. Здесь сосредоточены инструменты, без которых остальная конструкция защиты не имеет основания: осведомленность персонала, оценка рисков, соответствие требованиям и управление информационной безопасностью.
| Код | Инструмент | Часы освоения (теория + практика) |
| I1-01 | Осведомленность о безопасности (Security Awareness) | 18 ч |
| I1-02 | Управление рисками качества (QRM) — оценка рисков ИБ по NIST | 24 ч |
| I1-03 | Соответствие требованиям (Compliance) | 30 ч |
| I1-04 | Управление информационной безопасностью — моделирование угроз по MITRE ATT&CK | 42 ч |
I1-01. Осведомленность о безопасности. Самый легкий по часам освоения инструмент группы и при этом один из самых результативных по соотношению затрат и эффекта. Стандарт ISO 27001 прямо требует, чтобы все, кто работает под контролем организации, понимали политику безопасности, свой вклад в нее и последствия несоответствия. Кейс «Аэрофлота» — прямая иллюстрация цены отсутствия этой работы: устаревшие пароли и халатность сотрудников оказались точкой входа в инфраструктуру национального перевозчика. Человеческий фактор остается ведущей причиной успешных проникновений, и обучение персонала закрывает тот слой, который не закрывается никакими техническими средствами.
I1-02. Управление рисками качества (QRM). В методике за этим названием стоит оценка рисков информационной безопасности по методологии NIST: структурированный подход к идентификации, оценке и приоритизации рисков, связанных с информационными системами. Задача инструмента — перевести разговор о безопасности из плоскости «нас могут взломать» в плоскость конкретных решений: какие активы критичны, какие угрозы для них актуальны, какова вероятность реализации и потенциальный ущерб, и в каком порядке закрывать уязвимости.
I1-03. Соответствие требованиям (Compliance). Система мер, обеспечивающих соблюдение законов, нормативных актов, стандартов и внутренних политик. Для российского предприятия в 2025–2026 годах требования в этой части меняются особенно часто, и цена их несоблюдения выросла.
💡 С 30 мая 2025 года в России действуют оборотные штрафы за утечки персональных данных: за повторную утечку — от 1 до 3% годовой выручки компании. Параллельно, с 11 декабря 2024 года, введена уголовная ответственность по статье 272.1 УК РФ за незаконный оборот персональных данных. В апреле 2025 года вступил в силу приказ ФСТЭК № 117, а правила категорирования объектов критической информационной инфраструктуры (КИИ) по 187-ФЗ были ужесточены и увязаны с требованиями импортозамещения.
Для промышленного предприятия это означает, что комплаенс из формальной функции «папки с документами на случай проверки» превратился в инструмент с прямым финансовым измерением.
I1-04. Управление информационной безопасностью. В методике этот инструмент раскрыт через моделирование угроз по матрице MITRE ATT&CK — структуре, которая разбивает процесс атаки на тактики (цели атакующего) и техники (методы их достижения). Инструмент отвечает на вопрос «как именно нас будут атаковать» и позволяет проверить, какие из известных техник предприятие способно обнаружить и остановить, а какие проходят незамеченными. Между I1-02 и I1-04 проходит первый методический водораздел подгруппы: оценка рисков (I1-02) отвечает на вопрос «что и насколько ценно защищать», а моделирование угроз (I1-04) — на вопрос «от каких конкретных действий злоумышленника».
I2 — Продвинутые инструменты защиты (4 инструмента)
Подгруппа технических средств, которые выстраивают активную защиту периметра и инфраструктуры. Все четыре инструмента имеют статус «сложный».
| Код | Инструмент | Часы освоения (теория + практика) |
| I2-01 | Облачная безопасность (Cloud Security) | 30 ч |
| I2-02 | Анализ угроз (Threat Intelligence) | 34 ч |
| I2-03 | Управление кибер-рисками — квантовая и постквантовая криптография | 36 ч |
| I2-04 | Архитектура нулевого доверия (Zero Trust Architecture) | 40 ч |
I2-01. Облачная безопасность. Совокупность технологий, политик и процедур для защиты данных, приложений и инфраструктуры, размещенных в облаке: управление доступом, шифрование, защита сети, обнаружение угроз, резервное копирование и восстановление, соответствие нормативам. По мере того как предприятия выносят в облако все больше систем (об этом подробно говорилось в статье про группу G), этот инструмент перестает быть опциональным — цена ошибки растет вместе с объемом данных, к которым открыт удаленный доступ.
I2-02. Анализ угроз (Threat Intelligence). Методика сбора, анализа и интерпретации данных об актуальных угрозах. Анализ угроз обеспечивает организацию информацией, которая позволяет предугадывать атаки до их реализации и распознавать угрозы на ранних стадиях. Инструмент объединяет три элемента: контекст (кто атакует, с какими целями и методами), индикаторы компрометации (технические маркеры угрозы) и взаимосвязи между ними. С этим инструментом защита перестает быть только реакцией на уже начавшуюся атаку: предприятие заранее знает, какие группы и методы характерны для его отрасли, и готовится к ним.
I2-03. Управление кибер-рисками. В методике этот инструмент описан как защита данных квантовыми и постквантовыми методами от угрозы, исходящей от квантовых компьютеров. Классическая криптография опирается на сложность факторизации больших чисел (RSA) или вычисления логарифмов на эллиптических кривых (ECC) — задачи, которые квантовый компьютер способен решать экспоненциально быстрее классического. Постквантовая криптография (PQC) строит алгоритмы на математических задачах, остающихся сложными даже для квантовых вычислений. Для большинства предприятий это пока горизонт планирования, а не немедленная задача, но данные с длительным сроком конфиденциальности (конструкторская документация, долгосрочные контракты) имеет смысл защищать с учетом этой перспективы уже сейчас.
I2-04. Архитектура нулевого доверия (Zero Trust). Принцип «никому не доверяй, проверяй всех»: каждый запрос проверяется, даже если он исходит из внутренней сети. Ключевые элементы — многофакторная аутентификация и минимальные привилегии (доступ только к тому, что необходимо для работы). Здесь снова можно вспомнить кейс «Аэрофлота»: если злоумышленник проник внутрь периметра, классическая защита «крепостной стены» его уже не останавливает — внутри сети он год перемещается с правами легитимного пользователя. Архитектура нулевого доверия исходит из того, что периметр уже скомпрометирован, и проверяет каждое действие независимо от того, откуда оно пришло.
I3 — Промышленные и IoT-решения (3 инструмента)
Ядро отстройки группы I для промышленной аудитории. Именно эта подгруппа отличает индустриальную кибербезопасность от офисной и работает с тем контуром, который стал главной мишенью 2025 года.
| Код | Инструмент | Часы освоения (теория + практика) |
| I3-01 | Безопасная разработка (DevSecOps) | 36 ч |
| I3-02 | Безопасность интернета вещей (IoT Security) | 36 ч |
| I3-03 | Операционная технологическая безопасность (OT Security) | 46 ч |
I3-01. Безопасная разработка (DevSecOps). Интеграция процессов безопасности на всех этапах жизненного цикла программного обеспечения, от проектирования до развертывания, по принципу «Secure by Design». Вместо ручного контроля — автоматизированные проверки: статический анализ кода (SAST) находит уязвимости в исходниках, динамическое тестирование (DAST) проверяет работающее приложение. Принцип раннего поиска: чем раньше найдена уязвимость, тем дешевле ее исправить. Инструмент релевантен для предприятий, у которых есть собственная разработка ПО — а в промышленности это часто блок MES-разработки или продуктовая платформа. По смыслу I3-01 соединяется с B3-05 «Интеграция разработки и операций (DevOps)» из группы B, добавляя к скорости поставки слой безопасности.
I3-02. Безопасность интернета вещей (IoT Security). Методика защиты IoT-устройств и сетей, к которым они подключены. Промышленный интернет вещей — датчики, контроллеры, измерительные системы — собирает данные по всему производству и одновременно расширяет поверхность атаки: каждое подключенное устройство потенциально уязвимо. Инструмент особенно важен для предприятий, которые внедрили предиктивное обслуживание и цифровые двойники из групп A «Операционное превосходство» и G «Цифровые технологии трансформации»: эти технологии работают на потоке данных с датчиков, и компрометация датчика искажает всю модель.
I3-03. Операционная технологическая безопасность (OT Security). Центральный инструмент подгруппы и главная точка отстройки промышленной кибербезопасности. Различие IT и OT разобрано выше; здесь важно следствие из него для защиты. Средства, спроектированные для офисного IT, в OT-контуре либо не работают, либо сами способны вызвать остановку процесса — поэтому OT Security выделяется в отдельную дисциплину со своими инструментами и требует постоянного взаимодействия между IT- и OT-подразделениями.
I4 — Аналитика и расследования (2 инструмента)
Подгруппа, отвечающая на вопрос «что делать, когда стандартные средства защиты не сработали»: проактивный поиск скрытых угроз и расследование уже случившихся инцидентов.
| Код | Инструмент | Часы освоения (теория + практика) |
| I4-01 | Активный поиск угроз (Threat Hunting) | 38 ч |
| I4-02 | Цифровая криминалистика (Digital Forensics) | 48 ч |
I4-01. Активный поиск угроз (Threat Hunting). Проактивный подход, при котором специалисты намеренно ищут признаки атак, не обнаруженные автоматическими средствами мониторинга. Антивирусы и межсетевые экраны ловят известные угрозы по сигнатурам; Threat Hunting рассчитан на то, что осталось за их пределами — целевые атаки, заранее подготовленные под конкретную жертву.
I4-02. Цифровая криминалистика (Digital Forensics). Методика исследования электронных данных для обнаружения и анализа цифровых доказательств с сохранением их целостности. Включает идентификацию источников, сохранение доказательств, сбор, анализ, документацию и презентацию результатов для юридических или организационных целей. I4-01 и I4-02 различаются по моменту применения: Threat Hunting работает до инцидента или в его ходе (ищем атакующего, пока он действует), Digital Forensics — после (восстанавливаем картину произошедшего, фиксируем ущерб, готовим доказательную базу). Для предприятия второй инструмент важен и в контексте новой уголовной ответственности за утечки: грамотно проведенное расследование определяет, удастся ли доказать обстоятельства инцидента.
I5 — Инновационные технологии (3 инструмента)
Самые сложные по освоению инструменты группы — на стыке кибербезопасности с искусственным интеллектом и квантовыми технологиями. Все три имеют статус «очень сложный».
| Код | Инструмент | Часы освоения (теория + практика) |
| I5-01 | Этический ИИ в управлении рисками (Ethical AI in Risk Management) | 52 ч |
| I5-02 | Квантовая безопасность (Quantum Security) | 54 ч |
| I5-03 | ИИ в кибербезопасности (AI in Cybersecurity) | 62 ч |
I5-01. Этический ИИ в управлении рисками. Подход к ответственному проектированию и внедрению систем ИИ, в котором приоритетны справедливость, прозрачность и подотчетность. Когда ИИ заходит в управленческие и рисковые функции, у предприятия появляются собственные риски его применения: алгоритмическая предвзятость, непрозрачность решений, неясная ответственность за вред, причиненный системой. Инструмент описывает, как этими рисками управлять: предотвращать дискриминацию в алгоритмах, обеспечивать объяснимость решений (XAI), фиксировать, кто отвечает за результат работы системы.
I5-02. Квантовая безопасность. Использование принципов квантовой механики для создания методов шифрования, устойчивых к атакам. Здесь проходит тонкий, но важный водораздел с инструментом I2-03. В I2-03 (в методике — «Управление кибер-рисками») речь о постквантовой криптографии: это классические по своей природе алгоритмы, построенные так, чтобы их не мог взломать квантовый компьютер; они защищают от квантовой угрозы классическими средствами. Квантовая безопасность (I5-02) использует сами законы квантовой физики, при которых любая попытка перехвата ключа немедленно обнаруживается. Разница в природе защиты: в первом случае это усиленная классическая криптография, рассчитанная на новый класс атак, во втором — шифрование, построенное на квантовых эффектах.
I5-03. ИИ в кибербезопасности. Применение ИИ для анализа больших объемов данных, выявления аномалий и автоматического реагирования на угрозы. Машинное обучение создает профиль «нормального» поведения систем и пользователей и мгновенно замечает отклонения; поведенческий анализ предсказывает попытки атаки до того, как они станут успешными; предиктивная аналитика прогнозирует угрозы на основе исторических данных. Для отрасли с кадровым дефицитом это способ закрыть рутину первичного анализа машиной и оставить дефицитным специалистам разбор сложных случаев.
💡 По оценкам рынка, нехватка специалистов по информационной безопасности в России достигает 45% от числа занятых в отрасли — это около 50 тысяч человек. При этом отраслевой консенсус (опрос конца 2025 — начала 2026 года) состоит не в замене человека искусственным интеллектом: 69% респондентов видят будущее как симбиоз ИИ и ИБ-специалистов, и лишь 4% допускают полную замену сотрудника системами с ИИ. ИИ воспринимается как усилитель существующих команд, а не их замена.
Пять канонических аккордов под пять типовых болей
🎯 Аккорд 1. Утечка конфиденциальных данных
Проблема. Данные о клиентах, сотрудниках, разработках хранятся в нескольких системах, доступ к ним имеет широкий круг лиц, а кто и когда обращался к чувствительной информации — отследить сложно. Первым сигналом об утечке становится появление базы в открытом доступе или сообщение от злоумышленника с требованием выкупа. При этом цена вопроса с 2025 года выросла кратно: оборотные штрафы и уголовная ответственность превратили утечку из репутационного инцидента в прямой финансовый и правовой риск.
Решение:
— I1-01 Осведомленность о безопасности закрывает человеческий слой: значительная часть утечек начинается не со взлома, а с ошибки сотрудника — перешел по фишинговой ссылке, отправил файл не туда, использовал слабый пароль. Без работы с осведомленностью технические средства защищают периметр, в котором сами сотрудники открывают двери.
— I2-04 Архитектура нулевого доверия ограничивает масштаб утечки: при принципе минимальных привилегий скомпрометированный аккаунт дает доступ только к узкому сегменту данных, а не ко всей базе. Даже проникнув внутрь, злоумышленник получает не всю инфраструктуру сразу, а только тот участок, к которому был привязан захваченный аккаунт.
— I1-03 Соответствие требованиям переводит работу с данными в режим, при котором утечка не добавляет к ущербу еще и штраф в процентах от выручки: корректная обработка персональных данных, своевременные уведомления регулятора, выстроенные процессы согласия.
Связка закрывает цикл «не дать открыть дверь → ограничить, что за дверью → защититься от правовых последствий». По отдельности ни один из трех инструментов не дает результата: обучение без разграничения доступа оставляет масштаб утечки неограниченным, а разграничение без комплаенса не снимает регуляторного риска.
🎯 Аккорд 2. Высокий уровень киберрисков
Проблема. Руководство понимает, что предприятие уязвимо, но не может ответить на простые вопросы: какие именно активы под наибольшей угрозой, откуда вероятнее всего придет атака, что произойдет в худшем сценарии и сколько это будет стоить. Решения о вложениях в защиту принимаются интуитивно или под влиянием последней громкой новости, а не на основе картины реальных рисков.
Решение:
— I1-02 Управление рисками качества (оценка рисков ИБ по NIST) дает базовую карту: какие активы критичны, какие угрозы для них актуальны, какова вероятность и потенциальный ущерб. Эмоциональное «нас могут взломать» сменяется управленческим «вот три актива, по которым риск выше всего, и вот что с ними делать в первую очередь».
— I1-04 Управление информационной безопасностью (моделирование угроз по MITRE ATT&CK) дополняет карту рисков взглядом со стороны атакующего: какими конкретно техниками будут пользоваться против предприятия и какие из них оно сегодня не способно обнаружить.
— I2-02 Анализ угроз (Threat Intelligence) добавляет внешний контекст: кто атакует предприятия отрасли прямо сейчас, какими методами, какие индикаторы компрометации стоит искать. Без этого слоя оценка рисков опирается только на внутренние представления и быстро устаревает.
Усиление кросс-группой. Добавление H2-03 Прогнозная аналитика из группы H и E2-02 Анализ сценариев из группы E выводит управление киберрисками на стратегический уровень: риски ИБ встраиваются в общую систему управления рисками предприятия, а не живут отдельной технической темой, понятной только службе безопасности.
🎯 Аккорд 3. Несоответствие нормативным требованиям
Проблема. Регуляторная нагрузка в сфере ИБ растет быстрее, чем предприятие успевает на нее реагировать. Требования 187-ФЗ по КИИ, новые приказы ФСТЭК, ужесточение ответственности за персональные данные, импортозамещение средств защиты — все это меняется ежегодно. Узнают о несоответствии обычно в момент проверки или после инцидента.
Решение:
— I1-03 Соответствие требованиям (Compliance) выстраивает системную работу: инвентаризация требований, применимых к предприятию, оценка текущего состояния, план приведения в соответствие, регулярный пересмотр при изменении законодательства. Это не разовый проект к проверке, а постоянный контур.
— I1-02 Управление рисками качества (оценка рисков ИБ по NIST) связывает комплаенс с реальной защитой: соответствие на бумаге без реального снижения рисков — это формальность, которая не спасает от атаки. Оценка рисков показывает, где формальное требование совпадает с реальной угрозой.
— I3-03 Операционная технологическая безопасность критична для предприятий, чьи объекты попадают под категорирование КИИ: именно АСУ ТП чаще всего оказываются значимыми объектами, и требования к их защите — самая жесткая часть регуляторики.
Этот аккорд имеет ценное свойство: он позволяет рассчитать стоимость соответствия заранее, до проверки и до инцидента. Не «разберемся, когда придет ФСТЭК», а конкретный план: какие объекты категорировать, какие средства защиты внедрить, кого обучить и в какие сроки.
🎯 Аккорд 4. Уязвимости в IT-инфраструктуре
Проблема. В инфраструктуре предприятия накопились уязвимости, о большинстве которых никто не знает: незакрытые обновления, устаревшее ПО, слабые пароли, открытые порты, забытые тестовые системы с открытым доступом. Единого перечня таких уязвимостей у предприятия обычно нет, и с каждым новым внедрением их становится больше. У атакующей стороны такой перечень составляется первым — с разведки уязвимостей начинается подготовка атаки.
Решение:
— I1-04 Управление информационной безопасностью (моделирование угроз по MITRE ATT&CK) дает структуру для проверки: по каждой известной технике атаки видно, способно ли предприятие ее обнаружить и остановить. Это превращает абстрактный «поиск уязвимостей» в системный аудит по понятной матрице.
— I3-01 Безопасная разработка (DevSecOps) закрывает уязвимости в собственном ПО на этапе создания, а не после развертывания: статический и динамический анализ кода ловит проблемы до того, как они попадут в работающую систему. Для предприятий с собственной MES-разработкой или продуктовой платформой это критично.
— I4-01 Активный поиск угроз (Threat Hunting) работает с тем, что уже проникло через существующие уязвимости: целенаправленный поиск следов атакующего, который мог зайти месяцы назад и закрепиться незаметно.
Усиление кросс-группой. Добавление G3-03 Системы управления мастер-данными (MDM) и G3-05 Управление бизнес-системами из группы G дает то, без чего поиск уязвимостей идет вслепую — актуальную карту систем и данных предприятия. Нельзя защитить то, о существовании чего не знаешь; инвентаризация инфраструктуры из группы G — фундамент для работы группы I.
🎯 Аккорд 5. Потери из-за кибератак
Проблема. Предприятие уже несет потери от инцидентов: простои из-за атак на производственные системы, расходы на восстановление, штрафы, репутационный ущерб. Каждый инцидент отрабатывается в авральном режиме как отдельное событие, без подготовленного сценария реагирования. На восстановление уходят дни и недели, в течение которых предприятие работает в ручном режиме или простаивает.
Решение:
— I3-03 Операционная технологическая безопасность защищает самый дорогой по последствиям контур: остановка АСУ ТП — это не потеря данных, а остановка физического производства с прямыми потерями выручки за каждый час простоя.
— I4-02 Цифровая криминалистика обеспечивает быстрое и корректное восстановление после инцидента: понять, что именно произошло, какие системы затронуты, что можно восстанавливать, а что скомпрометировано. Без этого восстановление идет «вслепую» и рискует вернуть в строй уже зараженную систему.
— I5-03 ИИ в кибербезопасности сокращает время обнаружения — главный множитель ущерба. Чем дольше атакующий не обнаружен (год, как в кейсе «Аэрофлота»), тем больше он успевает. ИИ-мониторинг замечает аномалии в потоке событий, который человек физически не способен отследить вручную, особенно в условиях кадрового дефицита.
Усиление кросс-группой. Добавление B4-02 Управление рисками проектов из группы B и C5-03 Управление изменениями из группы C превращает реагирование на инциденты в управляемый процесс: готовый план непрерывности бизнеса, распределенные роли и отработанный сценарий вместо решений, которые принимаются впервые уже во время инцидента.
Где находится ваше предприятие по матрице зрелости АЦТ
В методике АЦТ зрелость описывается через шесть уровней — от «Тишины» до «Симфонии». Для группы I эта шкала показывает, как предприятие управляет кибербезопасностью: через реакцию на уже случившиеся инциденты или через выстроенную систему предотвращения, обнаружения и реагирования.
| Уровень | Что характерно для контура безопасности | Аккорды группы I |
| 0. Тишина | Защита сводится к антивирусу. За ИБ формально не отвечает никто. Инциденты замечают постфактум | I1-01 + I1-02 |
| 1. Соло | Есть базовые средства защиты, но разрозненные. Реагирование — в ручном авральном режиме | I1-02 + I1-03 + I2-04 |
| 2. Дуэт | Выстроен комплаенс, разграничен доступ, есть регулярная оценка рисков. Мониторинга OT нет | I1-03 + I1-04 + I3-03 |
| 3. Трио | Работает мониторинг, защищен OT-контур, есть процессы реагирования и расследования | I2-02 + I3-03 + I4-01 |
| 4. Квартет | Проактивный поиск угроз, ИИ в мониторинге, Zero Trust, отработанный план непрерывности | I4-01 + I5-03 + I2-04 |
| 5. Симфония | Самоадаптирующаяся защита: ИИ обнаруживает и реагирует автоматически, угрозы прогнозируются | Кросс-групповой аккорд I + G + H + E |
Значительная часть российских средних и крупных промышленных предприятий находится на уровнях «Соло» и «Дуэт»: базовые средства защиты установлены, что-то по комплаенсу сделано, антивирус и межсетевой экран работают. Чего на этих уровнях обычно нет — это мониторинга, который замечает чужого в сети раньше, чем тот нанесет ущерб, защиты OT-контура и отработанного сценария реагирования. Этим объясняется рост доли успешных атак на промышленность с 31% до 47% за 2025 год: установленные средства защиты рассчитаны на известные массовые угрозы, а атаки все чаще готовят под конкретное предприятие и его процессы.
Главный переход для большинства предприятий проходит между «Дуэтом» и «Трио»: от набора разрозненных средств защиты к выстроенной системе с мониторингом, защитой промышленных систем и процессами реагирования. Этот переход не сводится к покупке еще одного продукта, а требует постоянного наблюдения за инфраструктурой и людей или сервиса, которые это наблюдение ведут.
Что можно сделать за ближайший месяц своими силами
Четыре действия, которые имеет смысл выполнить до того, как приглашать подрядчика и согласовывать бюджет на крупный проект.
1. Провести инвентаризацию активов и доступов. В одну таблицу собрать все системы, в которых хранятся или обрабатываются критичные данные, и зафиксировать: какие данные содержит каждая система, кто имеет к ней доступ, как этот доступ контролируется. По опыту, такая инвентаризация впервые показывает реальную поверхность атаки — обычно она в полтора-два раза шире, чем представляет себе руководство, за счет забытых систем, избыточных прав и доступов уволившихся сотрудников. Защитить то, о существовании чего не знаешь, невозможно.
2. Проверить базовую гигиену паролей и доступов. Самый дешевый по затратам и самый дорогой по последствиям отсутствия слой. Кейс «Аэрофлота» показал, что устаревшие пароли могут стать точкой входа в инфраструктуру компании национального масштаба. Минимум: многофакторная аутентификация на критичных системах и административных панелях, отзыв доступов уволившихся, отказ от паролей, не менявшихся годами. Это работа на уровне инструмента I1-01, которая не требует бюджета, только дисциплины.
3. Зафиксировать перечень требований комплаенса, применимых к предприятию. Отдельно проверить, попадают ли объекты предприятия под категорирование КИИ по 187-ФЗ, выполнены ли требования по персональным данным с учетом новых оборотных штрафов, какие приказы ФСТЭК применимы. Учитывая, что цена несоответствия теперь измеряется в процентах от выручки, эта проверка окупается сама по себе — она показывает, где предприятие уже нарушает закон, не зная об этом.
4. Разобрать один реальный или гипотетический сценарий атаки. Не абстрактное «нас могут взломать», а конкретный разбор: что произойдет, если завтра зашифруют производственную систему. Кто это заметит и через сколько времени. Что предприятие будет делать в первый час. Есть ли резервные копии и проверялось ли их восстановление. Кто принимает решение о выплате выкупа. Такой разбор — это упрощенная версия инструментов I1-04 и I4-02, и он почти всегда обнаруживает, что готового ответа на эти вопросы нет и в реальной ситуации решения придется принимать без подготовки и под давлением времени.
Резюме
Группа I методики АЦТ занимает в общей конструкции особое место: из всех одиннадцати групп только она не производит собственного результата, а сохраняет результат остальных. Другие десять групп выстраивают предприятие — производство, проекты, людей, клиентов, стратегию, поставки, технологии, данные. Группа I отвечает за то, чтобы выстроенное продолжало работать при попытке его остановить или скомпрометировать.
💡 Простой тест зрелости службы безопасности занимает пять минут на ближайшей оперативке. Назовите последний киберинцидент на предприятии — даже мелкий, заблокированный антивирусом. Спросите, кто его заметил, через сколько времени, что было сделано в ответ и какой вывод зафиксирован на будущее. Если ответ не складывается из конкретных людей, времени реакции и решений — предприятие находится на нижних уровнях матрицы зрелости группы I, независимо от того, сколько средств защиты у него закуплено. Уровень защиты определяется не количеством установленных продуктов, а тем, работает ли постоянное наблюдение за инфраструктурой и реагирование на инциденты.
В следующей статье серии разберем группу J «Устойчивое развитие и ESG» — 15 инструментов, отвечающих за связь предприятия с экологической, социальной и управленческой средой, в которой оно существует.
