На троечку. Уровень зрелости ИБ в российских компаниях оказался на уровне 40%

Таковы выводы исследования АО "Актив-софт" (AKTIV.CONSULTING) об уровне зрелости информационной безопасности (ИБ) российских компаний. Объектом исследования специалистов стали 52 российских компании с выделенной функцией информационной безопасности, представляющие промышленность, финансовую, ИТ и ИБ отрасли, здравоохранение, строительную индустрию и другие направления. В исследовании приняли участие 28 компаний с выручкой до 2 млрд руб. в год, 15 компаний с выручкой от 2 до 10 млрд руб. и 9 компаний с выручкой более 10 млрд. руб.

Исследование оценивало уровень зрелости по пяти основным критериям: "Управление информационной безопасностью" - это управление процессами обеспечения ИБ; "Базовая ИТ- и ИБ-гигиена"; "Обеспечение ИБ" - это техническое оснащение службы ИБ; "Мониторинг, реагирование и восстановление" и "Комплаенс", связанный с выполнением требований регуляторов.

В среднем по всем компаниям наиболее высокая оценка была по направлениям "Базовая ИТ и ИБ гигиена" - 46% (компании в среднем набрали 6,85 баллов из 15 возможных). Аналитики объясняют это тем, что это направление не требует существенных вливаний бюджета и позволяет решать задачи собственными силами специализации.

Затем идет оценка комплаенса - в среднем он реализован в компаниях на 45%. Уровень управления ИБ исследователи оценили в 40%, мониторинг, реагирование и восстановление - тоже в 40%, обеспечение ИБ - в 29%.

В разбивке по масштабу компаний результат исследования таков, что у крупных компаний уровень обеспечения ИБ оказался ниже, чем у малых и средних - всего 24% по сравнению с 30% и 31% соответственно. Уровень управления ИБ у крупных компаний также оказался чуть ниже, чем у малых, - 35% против 44%.

Председатель Ассоциации пользователей стандартов по информационной безопасности и руководитель AKTIV.CONSULTING Анастасия Харыбина объяснила, что дельта от малого к крупному бизнесу по направлениям "Управление ИБ" и "Обеспечение ИБ" (6-9%) обусловлена тем, что обеспечить грамотное управление ИБ в небольшой компании проще и дешевле - с ростом компании растет и составляющая бюрократизации процессов.

Согласно выводам исследователей, небольшие и средние компании относительно преуспели в комплаенсе, потому что он является в некотором смысле драйвером для внедрения требований по ИБ и для обоснования выделения ресурсов и финансов на развитие функции ИБ.

Парадокс или закономерность

Директор ООО "Айдеко" (Ideco) Дмитрий Хомутов находит результаты исследования правдоподобными: "Уровень зрелости около 40% по совокупности критериев соответствует тому, что мы наблюдаем в практике. Компании, как правило, уверенно закрывают базовую ИТ- и ИБ-гигиену, а также формальные требования регуляторов, однако заметно слабее выглядят в части системной архитектуры, технической оснащенности и зрелых процессов мониторинга и реагирования".

Директор по информационной безопасности ПАО "Элемент" Александр Дворянский отметил, что если ранее именно банковский сектор был наибольшим образом озабочен обеспечением ИБ, то теперь ИБ-угрозы касаются компаний почти из всех отраслей.

Вывод исследования о том, что уровень обеспечения ИБ в крупных компаниях ниже, чем в средних и малых, Александр Дворянский объясняет тем, что малой компании до 100 человек зачастую достаточно универсальных аутсорсных решений.

Дмитрий Хомутов считает, что такая картина объяснима масштабом инфраструктуры крупных компаний, фрагментированностью и "наслоением" решений, а также бюрократизацией и сложностью трансформаций.

Комментируя зрелость компаний в области комплаенса, Дмитрий Хомутов сообщил: "Комплаенс остается драйвером развития ИБ в России. Требования регуляторов (ФСТЭК, Банк России и др.) становятся основанием для выделения бюджета и запуска проектов. Поэтому более высокий уровень соответствия по сравнению с техническим обеспечением выглядит закономерно.

В то же время, как отметил Дмитрий Хомутов, 40% - это умеренный, но не высокий показатель. "Это означает, что процессы формально выстроены, однако системность, автоматизация и глубина внедрения требований еще не достигли зрелой стадии. Комплаенс - это минимальный порог. Он задает рамку, но сам по себе не гарантирует устойчивость к современным угрозам. Если техническое обеспечение ИБ оценивается в 29%, а мониторинг и реагирование - в 40%, это указывает на разрыв между формальным регуляторным соответствием и реальной способностью противостоять атакам", - заключил он.

2 апреля 2026 г. в Москве состоится Форум "Территория безопасности 2026", посвященный перспективам развития ИБ и киберзащиты. Это ежегодное новаторское мероприятие, состоящее из четырех конференций и выставки отечественных технологий информационной безопасности.