Современный ландшафт киберугроз характеризуется ростом числа профессиональных APT-группировок, усложнением векторов атак и смещением целей злоумышленников в сторону деструктивных действий. Данные за 2025 год показывают, что подавляющая часть инцидентов включала шифрование, уничтожение данных или вывод систем из строя. В этих условиях проектирование системы информационной безопасности перестает быть формальной процедурой.
Проектирование систем информационной безопасности превращается в критически важный процесс, требующий проф. подхода, глубокого понимания архитектуры организации и постоянной адаптации к изменяющейся среде угроз.
Утверждение нового ГОСТ Р 72118-2025, вводящего методологию разработки систем с конструктивной информационной безопасностью, подтверждает переход от реактивной модели защиты к проактивной, где безопасность закладывается на этапе проектирования, а не добавляется как надстройка к готовой инфраструктуре.
Модель угроз как основа архитектуры безопасности
Разработка любой системы защиты начинается с построения модели угроз. Этот процесс не сводится к составлению абстрактного списка потенциальных опасностей. Модель угроз это систематизированный перечень актуальных угроз безопасности, которые могут быть реализованы в конкретной информационной системе с учетом ее назначения, условий и особенностей функционирования.
Базовая модель угроз, разработанная ФСТЭК России, содержит единые исходные данные по угрозам, связанным с перехватом информации по техническим каналам, несанкционированным доступом с использованием программных и программно-аппаратных средств, а также деструктивными воздействиями на элементы системы.
Ключевая задача моделирования угроз выделение из всего множества потенциальных угроз тех, которые действительно актуальны для конкретной организации. Актуальной признается угроза, которая может быть реализована в информационной системе и представляет реальную опасность для защищаемых данных.
Для этого проводится оценка исходной защищенности системы, анализируются базовые характеристики инфраструктуры, после чего вычисляется коэффициент реализуемости каждой угрозы. На следующем этапе оценивается опасность каждой угрозы, и из общего перечня выделяются те, которые требуют первоочередного внимания. Такой подход позволяет сфокусировать ресурсы на наиболее критичных направлениях, избегая распыления средств на противодействие маловероятным или незначительным рискам.
Важно отметить, что модель угроз не является статичным документом. Внесение изменений в модель осуществляется по мере выявления новых источников угроз, развития способов и средств реализации атак.
Регулярный пересмотр модели угроз с учетом данных Threat Intelligence, статистики инцидентов и новых уязвимостей обязательное условие поддержания системы защиты в актуальном состоянии. Только при таком подходе модель угроз становится практическим инструментом, а не формальным требованием для регуляторов.
Периметр безопасности и его трансформация
Традиционное понимание периметра безопасности как четкой границы между внутренней корпоративной сетью и интернетом в современных условиях пересматривается. Периметр уязвим для внешних угроз, и для его защиты традиционно используются антивирусы, межсетевые экраны и шлюзы безопасности. Однако облачные сервисы, мобильные устройства и распределенные команды размывают эту границу, делая классическую модель "замок и ров" недостаточной.
В новой реальности периметр безопасности смещается к идентичности пользователя и устройства. Контроль доступа осуществляется на основе множества факторов: местоположения, состояния устройства, поведения пользователя, времени доступа.
Это требует перехода от жесткой сетевой границы к динамической системе доверия, где каждый запрос на доступ проверяется независимо от его источника.
Внешний периметр по-прежнему защищается с помощью межсетевых экранов нового поколения, систем обнаружения вторжений и WAF. Но эти средства рассматриваются как первый, а не единственный рубеж обороны.
Сканирование внешних уязвимостей становится обязательным упреждающим мероприятием, проводимым как в автоматическом режиме, так и с привлечением экспертов для выявления сложных цепочек уязвимостей.
Регулярный пентест и анализ защищенности периметра позволяют выявлять точки входа до того, как их обнаружат злоумышленники. Однако основной акцент смещается с защиты периметра на защиту данных, которые могут перемещаться за его пределы. Шифрование данных, управление доступом и постоянный мониторинг становятся приоритетами, обеспечивающими безопасность независимо от местоположения информации.
Матрица рисков как инструмент принятия решений
Матрица рисков служит инструментом для визуализации и приоритизации рисков на основе двух измерений: вероятности возникновения события и потенциального ущерба. В контексте информационной безопасности матрица позволяет руководству и профильным специалистам наглядно представить, какие угрозы требуют немедленного реагирования, а какие могут быть приняты с минимальными затратами.
Риски с высокой вероятностью и критическим уровнем ущерба располагаются в "красной зоне" и требуют разработки детальных контрмер, тогда как риски с низкой вероятностью и незначительными последствиями могут находиться в "зеленой зоне", где контрмеры минимальны или отсутствуют.
Построение матрицы рисков включает несколько этапов. Сначала формируется реестр рисков, в котором идентифицируются все потенциальные угрозы для активов организации. Для каждого риска оценивается вероятность реализации и возможный ущерб в финансовом, репутационном или операционном выражении. Полученные оценки наносятся на матрицу, что позволяет визуально выделить наиболее опасные комбинации.
Например, риск компрометации учетных данных при отсутствии многофакторной аутентификации попадает в зону высокого приоритета, так как вероятность атаки высока, а ущерб может быть катастрофическим.

Матрица рисков не является статическим документом и требует регулярного обновления. По мере изменения инфраструктуры, появления новых уязвимостей или изменения бизнес-процессов, позиции отдельных рисков на матрице могут смещаться. Регулярный пересмотр матрицы с участием бизнес-подразделений и ИТ-команды обеспечивает своевременную корректировку стратегии защиты и оптимальное распределение бюджета на информационную безопасность.
Сегментация сети и логическая изоляция
Сегментация сети это фундаментальный архитектурный принцип, разделяющий корпоративную сеть на изолированные сегменты для ограничения распространения угроз и управления доступом. В рамках одной физической инфраструктуры могут одновременно существовать продуктовые, тестовые и изолированные контуры с различными требованиями по доступу и уровню обслуживания.
Логическая сегментация позволяет жестко разделить эти контуры, гарантируя, что сбой, DDoS-атака или некорректная настройка в одном сегменте не приведут к деградации работы всей системы.
Современные межсетевые экраны нового поколения реализуют механизмы логической сегментации через виртуальные контексты, которые рассматриваются как логически изолированные экземпляры МЭ со своим набором политик фильтрации, таблиц маршрутизации и параметров безопасности.
- Ресурсы обработки трафика жестко распределяются между контекстами, что снижает взаимное влияние по производительности и обеспечивает предсказуемое поведение под нагрузкой.
- На одной аппаратной платформе могут обслуживаться разные бизнес-направления, проекты или даже заказчики без риска для остальной инфраструктуры.
- Особое значение сегментация приобретает в распределенных инфраструктурах с множеством филиалов, удаленных пользователей и подрядчиков. Классические подходы на базе VRF решают задачу раздельной маршрутизации, но не обеспечивают полной изоляции сервисов, политик безопасности и нагрузки.
- Для крупных распределенных инфраструктур требуются архитектурные решения, гарантирующие локализацию инцидентов и сбоев в пределах отдельного сегмента. Принцип сетевой сегментации также важен для изоляции зоны ответственности подрядчиков, которые получают доступ только к тем системам, которые необходимы для выполнения их работ.
Двухфакторная аутентификация как барьер для компрометации
Двухфакторная аутентификация является одной из наиболее эффективных мер противодействия атакам, связанным с компрометацией учетных данных, которые остаются одним из главных векторов проникновения в корпоративные системы. Механизм атак отлажен: стилеры собирают пароли, данные попадают на теневые рынки, а затем используются для входа в корпоративные системы.
Многофакторная аутентификация делает украденный пароль бесполезным, требуя подтверждения личности через второй фактор временный код на мобильном устройстве, аппаратный токен или биометрию.
Наиболее распространенный метод временные одноразовые пароли (TOTP), генерируемые на смартфоне пользователя. Однако классические TOTP уязвимы для фишинга в реальном времени: атакующие создают поддельные сайты, перехватывают введенные пароль и одноразовый код и ретранслируют их на легитимный сайт, получая доступ к аккаунту. Решение этой проблемы требует верификации домена, на который передается код, чтобы гарантировать его легитимность.
Современные протоколы аутентификации автоматически передают одноразовый пароль через защищенный канал, сокращая время входа и исключая человеческий фактор, связанный с переписыванием кодов.
Помимо TOTP, все большее распространение получают аппаратные ключи безопасности на основе протокола FIDO2. Они обеспечивают максимальную защиту от фишинга, так как аутентификация основана на криптографической проверке домена и не требует ввода кодов.
Однако внедрение таких решений сталкивается с проблемами пользовательского принятия и совместимости с существующими системами. Наиболее сбалансированным подходом является комбинация методов, позволяющая пользователям выбирать удобный для них способ подтверждения входа, при этом требования безопасности ужесточаются для привилегированных учетных записей.
Политика безопасности как стратегический документ
Политика безопасности является планом высокого уровня, описывающим цели и задачи мероприятий в сфере безопасности. Она не это ни директиву, ни инструкцию, ни средство управления. Политика описывает безопасность в обобщенных терминах без специфических деталей, обеспечивая планирование всей программы безопасности. Прежде чем приступать к разработке политики, необходимо определить глобальные цели: что нужно защищать и почему именно это должно быть защищено.
Правила политики безопасности разрабатываются для защиты аппаратных средств, программного обеспечения, средств доступа к информации, внутренних коммуникаций, сети и телекоммуникаций. Для каждой системы и каждой подзадачи, на которые разбивается глобальная цель, разрабатывается отдельный документ.
Перечень разрабатываемых правил включает политики управления доступом, регистрации и аудита, шифрования, внешнего доступа, безопасности интернета, доступа к виртуальным сетям, а также политики для пользователей и физической защиты.

Лучшее время для разработки политики стадия становления инфраструктуры, когда легче внедрить правила, чем модифицировать уже существующий режим деятельности. После того как правила осмыслены, разработаны и утверждены, политика начинает претворяться в жизнь. Если отдельные правила не приводятся в исполнение, это нарушает целостность всей политики.
Правила политики безопасности не заменяют инструкции и стандарты, они обеспечивают качественное управление и последовательную защиту вместо разрозненных усилий.
Инцидент безопасности и управление реагированием
В условиях агрессивного киберландшафта нельзя полагаться только на предупредительные и превентивные механизмы. Подход Assumed Breach исходит из того, что ни одна компания не может быть на 100% уверена в своей защищенности, поэтому необходимо уделять внимание детективным, сдерживающим, корректирующим и восстановительным мерам.
Управление инцидентами информационной безопасности строится на поэтапном процессе, который включает подготовку, обнаружение, анализ, сдерживание, устранение, восстановление и пост-инцидентные действия.
На этапе подготовки настраиваются средства защиты, которые будут использоваться для выявления и реагирования на инциденты. Конечные устройства, сетевые устройства и бизнес-приложения оснащаются системами логирования, настроенными в соответствии с лучшими практиками. Системы управления событиями информационной безопасности (SIEM) используются для сбора, парсинга, хранения и корреляции событий, формируя инциденты для анализа.
Платформы реагирования на инциденты (SOAR) автоматизируют управление инцидентами, запуская сценарии реагирования и управляя средствами защиты через интеграции.
Обнаружение инцидента и его передача в SOAR-систему запускает процесс обработки. Аналитик центра мониторинга оценивает, не является ли инцидент ложноположительным, а данные автоматически обогащаются из внутренних и внешних источников: информация об устройстве подтягивается из ITAM-системы, данные по пользователю из HR-системы, а из внешних сервисов загружаются данные по хэшам файлов и IP-адресам.
На этапе анализа определяется вектор атаки, точка входа злоумышленников и предугадывается маршрут дальнейшего перемещения. Глубокое расследование может затянуться, но в критических случаях важно оперативно изолировать зараженное устройство, чтобы не допустить распространения угрозы.
Векторы атак и эволюция угроз
Векторы атак в 2025 году сохранили свою преемственность, но их исполнение усложнилось. Уязвимости в веб-приложениях остаются главной точкой входа, составляя 31% всех успешных атак. Периметр компании постоянно расширяется за счет новых сервисов, API и интеграций, а безопасность не всегда успевает за скоростью разработки.
Уязвимости типа XSS, SQL-инъекции и CSRF присутствуют в большинстве корпоративных приложений, особенно тех, которые были разработаны более пяти лет назад и не проходили регулярный аудит безопасности.
Второй по частоте вектор использование скомпрометированных учетных данных, составляющих 19% от всего объема украденной информации. Стилеры собирают пароли, данные попадают на теневые рынки, а затем используются для входа в корпоративные системы. Ситуацию усугубляет повторное использование паролей: один скомпрометированный личный аккаунт сотрудника часто открывает доступ к корпоративным данным.
Корпоративные менеджеры паролей разрывают эту цепочку, позволяя сотрудникам работать с уникальными сложными паролями, не запоминая их и не дублируя между сервисами.
Фишинг и социальная инженерия эволюционировали с помощью генеративного ИИ, который позволяет создавать персонализированные письма без ошибок, имитировать стиль общения конкретных людей и генерировать дипфейки голоса для атак на топ-менеджмент.
Атаки через подрядчиков обходят защиту через доверенные каналы: атакующий компрометирует поставщика ПО или услуг, а затем использует легитимный доступ для проникновения к целевой жертве. Компания видит соединение от знакомого контрагента и не поднимает тревогу, что делает этот вектор особенно опасным.
Принцип наименьших привилегий
Принцип наименьших привилегий предполагает предоставление пользователям доступа только к тем системам и данным, которые необходимы для выполнения их должностных обязанностей. Предоставление ненужных привилегий увеличивает поверхность атаки, а в случае взлома облегчает злоумышленникам перемещение по сети в горизонтальном направлении.
Ограничение привилегий сокращает возможные пути для взлома систем и данных и препятствует распространению вредоносного ПО и краже данных в случае компрометации учетной записи.
Особенно критичен принцип наименьших привилегий для суперпользователей, взлом которых представляет наибольший риск. Как только злоумышленник получает доступ к привилегированной учетной записи, он может отключить журналы регистрации, удалить их, извлечь данные, и организация может даже не знать о компрометации.
Для таких учетных записей рекомендуется внедрять более строгие меры контроля: ограниченный по времени доступ, несколько уровней аутентификации и отдельные каналы для управления привилегиями.
Реализация принципа наименьших привилегий требует регулярного аудита прав доступа, выявления избыточных прав и их своевременного отзыва. Особого внимания заслуживают учетные записи подрядчиков и временных сотрудников, которым доступ должен предоставляться на ограниченный срок и отзываться сразу после завершения работ.
PAM-решения позволяют контролировать действия внешних администраторов и выдавать временный доступ к конкретным учетным записям без передачи паролей в открытом виде и с полным журналом действий.
Глубокоэшелонированная защита
Глубокоэшелонированная защита это стратегию, при которой безопасность выстраивается в несколько уровней, так что если один уровень скомпрометирован, другие продолжают защищать систему. Эта концепция перекочевала из военной архитектуры, где замки строились со рвами, крепостными стенами и несколькими линиями обороны.
- В контексте информационной безопасности эшелонированная защита означает, что полагаться только на один брандмауэр недостаточно: необходимо наличие нескольких уровней защиты, например брандмауэров разных поставщиков, чтобы снизить риск единой точки отказа.
- Стратегия эшелонированной защиты охватывает множество областей: физическую безопасность, безопасность сети, управление доступом, безопасность конечных точек, шифрование данных и обучение сотрудников
- Регулярное исправление уязвимостей является критически важным аспектом, поскольку закрытие известных брешей предотвращает их эксплуатацию злоумышленниками.
В средах с высокими требованиями к доступности разрабатываются такие процессы управления обновлениями, которые позволяют исправлять компоненты системы в работающем состоянии без отключения системы в целом.
Обучение сотрудников составляет неотъемлемую часть эшелонированной защиты. Обучая персонал распознавать и сообщать о потенциальных инцидентах безопасности, организация сокращает время реагирования на угрозы и снижает их влияние. В сочетании с регулярными фишинговыми симуляциями и тренингами по безопасности, обучение сотрудников превращается в полноценный уровень защиты.
Аппаратное шифрование данных, особенно для портативных носителей, добавляет еще один уровень, защищая данные от физической кражи и атак на программное шифрование.







