Методика оценки зрелости служб кибербезопасности
Интегрированный методический инструмент оценки и развития служб кибербезопасности для финансово-кредитной сферы Российской Федерации с возможностью отраслевой адаптации для иных секторов экономики.
Зачем эта работа нужна отрасли
Сегодня в России отсутствует единая, применимая в практике методика оценки зрелости служб кибербезопасности, которая бы одновременно учитывала российские нормативные требования, международные методические рамки и отраслевую специфику финансовых организаций. Существующие подходы либо ограничиваются формальной проверкой соответствия отдельным требованиям, либо строятся на западных моделях, не учитывающих российскую регуляторную и технологическую специфику.
Финансово-кредитные организации находятся в особо чувствительной зоне: они одновременно подпадают под требования Банка России, ГОСТ Р 57580.1/.2/.3/.4, Федерального закона № 161-ФЗ, Федерального закона № 187-ФЗ и Федерального закона № 152-ФЗ, и при этом должны выстраивать защиту в соответствии с международной практикой — NIST CSF 2.0, C2M2 версии 2.1, ISO/IEC 27001:2022, Профиль CRI 2.1, регламент DORA, программа SWIFT CSP/CSCF/IAF, принципы операционной устойчивости Базельского комитета (BCBS 516).
Задача методики — собрать эти требования в единую методически обоснованную и применимую в практике рамку оценки, дать организации возможность измерить уровень зрелости своей службы кибербезопасности по ключевым доменам, выявить дефициты и сформировать обоснованную дорожную карту развития.
С кем мы работаем над методикой
Работа ведётся в кооперации с научно-образовательной средой одного из ведущих университетских факультетов в области математики и информатики Московского государственного университета имени М. В. Ломоносова, при участии экспертного и регуляторного сообщества в области кибербезопасности финансово-кредитной сферы.
Методика разрабатывается как академически обоснованный методический инструмент, прошедший содержательную научную проработку и согласованный с международной практикой. Это даёт результату работы статус, который позволяет использовать методику в экспертной, аналитической, научно-исследовательской, методической и образовательной деятельности.
Как устроена методика
Методика построена по принципу «базовое (универсальное) ядро + отраслевая надстройка». Универсальное ядро применимо к организациям различных секторов экономики, а банковская надстройка детализирует требования для финансово-кредитной сферы Российской Федерации.
Архитектура методики
Многоуровневая модель: домены оценки → шкалы зрелости → подтверждающие материалы → профиль зрелости → реестр дефицитов → дорожная карта развития. Каждый домен формализован, каждый уровень зрелости имеет правила интерпретации, каждый результат — доказательную базу.
Источники методики
Российские нормативные источники интегрируются с международными рамками: NIST CSF 2.0, C2M2 v2.1, ISO/IEC 27001:2022, CRI Profile v2.1, DORA, SWIFT CSP, BCBS 516, NIST AI RMF 1.0.
Режимы применения
Методика применима в нескольких режимах одновременно: самооценка силами организации, проверка внутренним аудитом, основа независимой внешней оценки, инструмент для регуляторной и методической работы.
Связанная экосистема продуктов
Методика — ядро более широкой экосистемы: модуль операционной модели службы кибербезопасности, матрица компетенций персонала на основе SFIA-9, платформа компетенций на онтологической основе, доверенная многослойная база знаний по КБ.
Что получает отрасль по итогам работы
Результат проекта — комплект методических, шаблонных и аналитических материалов, готовых к практическому применению в финансово-кредитных организациях, аудиторских и экспертных компаниях, научно-исследовательских и образовательных коллективах.
Методический комплект
Текст методики оценки зрелости, доменная модель, шкала зрелости, модель подтверждающих материалов, рабочие шаблоны и формы применения, методические рекомендации для практики.
Научно-аналитический пакет
Научно-технический отчёт, публикационный пакет (научные публикации по теоретико-методологическим основаниям, доменной модели, экспертной верификации), презентационный комплект.
Связанные продукты экосистемы
Модуль операционной модели СКБ, матрица компетенций SFIA-9 (8 категорий, 73 навыка, 7 уровней), платформа компетенций, доверенная многослойная база знаний по КБ, финансово-кредитной безопасности, ПДн и безопасности ИИ.
Образовательный контур
Использование результатов в учебных модулях, специальных курсах, межфакультетских курсах и программах дополнительного профессионального образования по согласованной академической форме.
Как принять участие в проекте
Проект имеет открытый партнёрский контур. Мы приглашаем профильные организации участвовать в одной из ролей.
🏢 Финансовая организация
Стать пилотной площадкой апробации методики на согласованных условиях конфиденциальности. Получить раннюю обратную связь и адаптацию методики под профиль организации.
⚖️ Регулятор
Экспертное сопровождение по согласованным направлениям, формирование обратной связи по проектным материалам, влияние на формирование методической рамки.
🔬 Эксперт по КБ
Войти в рабочую группу проекта, участвовать в формировании методологии, верификации доменов оценки, подготовке публикаций по результатам НИР.
💼 Корпоративный спонсор
Финансировать или ко-инвестировать разработку методики и связанных продуктов экосистемы, получая доступ к результатам в согласованных режимах.
📐 Отраслевая ассоциация
Ко-разработка отраслевых надстроек методики для смежных секторов экономики, формирование отраслевых дорожных карт развития СКБ.
🏛️ Аудиторская компания
Адаптация методики как инструмента независимой внешней оценки, обучение аудиторов работе с методикой, методическое сопровождение пилотных проектов.
Куда работа ведёт дальше
Методика рассматривается как основа для последующей стандартизационной работы и формирования отраслевых рекомендаций. По итогам апробации и научной верификации методика может быть представлена в качестве содержательного входа в работу профильных технических комитетов по стандартизации Российской Федерации.
Связанные продукты экосистемы (модуль компетенций, матрица SFIA-9, платформа компетенций, доверенная база знаний) формируют единое методическое и инструментальное пространство, позволяющее организациям не только провести разовую оценку зрелости, но и выстроить долгосрочную работу по развитию службы кибербезопасности.
В перспективе методика и связанные продукты могут быть адаптированы для использования в смежных секторах экономики: критической информационной инфраструктуре, государственном секторе, корпоративном сегменте.
Связаться по проекту
Если вы представляете финансово-кредитную организацию, регулятора, экспертное или академическое сообщество, или корпоративного партнёра — обсудим формат участия в проекте.