РАЗРАБОТКА КОМПЛЕКСНОЙ ЭТАЛОННОЙ МОДЕЛИ ЗРЕЛОСТИ СИСТЕМ КИБЕРБЕЗОПАСНОСТИ С УЧЕТОМ ОТРАСЛЕВОЙ СПЕЦИФИКИ И СОВРЕМЕННЫХ УГРОЗ

АННОТАЦИЯ

В статье рассматривается проблема оценки эффективности систем защиты информации в организациях в условиях усложнения ландшафта киберугроз и ужесточения регуляторных требований. Автор анализирует ограничения существующих подходов к оценке зрелости кибербезопасности, отмечая разрыв между формальным соответствием стандартам (комплаенсом) и фактической устойчивостью систем к современным атакам. Сформирована концептуальная база и алгоритмический аппарат для расчета целостного показателя зрелости. Определена система критериев и измеримых индикаторов в разрезе каждого домена.

ABSTRACT

This article examines the problem of assessing the effectiveness of information security systems in organizations in the face of an increasingly complex cyberthreat landscape and increasingly stringent regulatory requirements. The author analyzes the limitations of existing approaches to assessing cybersecurity maturity, noting the gap between formal compliance and the actual resilience of systems to modern attacks. A conceptual framework and algorithmic apparatus for calculating a comprehensive maturity indicator are developed. A system of criteria and measurable indicators is defined for each domain.

 Ключевые слова: кибербезопасность, зрелость кибербезопасности, модель зрелости организации, математическое моделирование.

Keywords: cybersecurity, cybersecurity maturity, organization maturity model, mathematical modeling.

Введение

Стремительная цифровая трансформация ключевых отраслей экономики, переход к облачным технологиям и повсеместное внедрение систем искусственного интеллекта привели к качественному изменению ландшафта киберугроз. Современные атаки характеризуются высокой степенью целенаправленности (APT-атаки), использованием уязвимостей «нулевого дня» и деструктивным воздействием на критическую информационную инфраструктуру (КИИ). В этих условиях традиционные подходы к обеспечению информационной безопасности (ИБ), ориентированные исключительно на выполнение нормативных требований («безопасность на бумаге»), доказывают свою неэффективность.

В Российской Федерации государственное регулирование в области ИБ, представленное стандартами ГОСТ (в частности, ГОСТ Р 50922-2006, ГОСТ Р 53114-2008) и приказами ФСТЭК России (№117, №21, №235), задает необходимый базис защиты [1, 2, 3, 4, 5]. Кроме того, важно отметить методику оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации [6]. Однако для эффективного стратегического планирования и оптимизации инвестиций в кибербезопасность организациям требуется не только соблюдение комплаенса, но и понимание реального уровня зрелости своих систем защиты. Отсутствие научно обоснованных инструментов для измерения этой зрелости в отечественном контексте ведет к нерациональному распределению ресурсов и неспособности систем ИБ адаптироваться к новым вызовам.

Существующие международные модели оценки зрелости (NIST CSF, CMMI, C2M2) обладают высокой степенью абстракции и не в полной мере учитывают специфику российского законодательства, требования отечественных регуляторов и особенности импортозамещения в сфере ИТ [7, 8, 9]. С другой стороны, отечественные стандарты зачастую носят описательный или узкоспециализированный характер (например, ГОСТ Р 56546-2015 по классификации уязвимостей), не предлагая единой метрики для интегральной оценки состояния ИБ [10]. Таким образом, возникает научное противоречие между необходимостью комплексной, динамической оценки зрелости систем кибербезопасности и отсутствием универсальных эталонных моделей, учитывающих как отраслевую специфику, так и актуальный ландшафт угроз.

Целью настоящей работы является разработка концептуальной и алгоритмической основы комплексной эталонной модели зрелости (ЭМЗ) систем кибербезопасности, обеспечивающей объективную оценку и управляемое развитие защищенности организаций.

Для достижения поставленной цели решаются следующие задачи:

1. Проанализировать существующие отечественные и международные подходы к оценке зрелости ИБ.

2. Сформировать понятийный аппарат и структуру эталонной модели в разрезе ключевых доменов (управленческого, операционного, технического, человеческого).

3. Разработать систему измеримых критериев и индикаторов зрелости, коррелирующих с требованиями ГОСТ и ФСТЭК России.

4. Предложить методологию адаптации модели к отраслевой специфике и динамически меняющимся угрозам.

Научная новизна исследования заключается в обосновании многофакторной модели зрелости, которая, в отличие от существующих аналогов, интегрирует регуляторные требования РФ с процессным подходом и техническими метриками эффективности. Предложен алгоритм агрегации разнородных данных в единый индекс зрелости.

Практическая значимость работы состоит в создании инструментария для руководителей служб ИБ и топ-менеджмента, позволяющего проводить бенчмаркинг, выявлять «узкие места» в системе защиты и формировать обоснованные стратегии повышения киберустойчивости организации в условиях высокой неопределенности внешней среды.

Анализ существующих подходов к оценке зрелости систем кибербезопасности.

Необходимо систематизировать существующие подходы, выделив их сильные и слабые стороны. Анализ целесообразно разделить на три группы: международные универсальные модели, специализированные модели зрелости ИБ и отечественная нормативная база.

 1. Международные универсальные методологии и стандарты

A. NIST Cybersecurity Framework (CSF) – США [7]

• Суть: Предлагает пять функций (Identify, Protect, Detect, Respond, Recover). Уровни реализации (Implementation Tiers) от 1 до 4 оценивают строгость управления рисками.

• Плюсы: Гибкость, ориентация на бизнес-риски, понятный для руководства язык.

• Минусы: Tiers в NIST CSF не являются полноценными уровнями зрелости в классическом понимании (они описывают подход к управлению рисками, а не качество процессов); отсутствие жесткой связи с техническими метриками.

B. ISO/IEC 27001 и ISO/IEC 21827 (SSE-CMM) [11, 12]

• Суть: ISO 27001 задает требования к СУИБ. ISO/IEC 21827 (Systems Security Engineering Capability Maturity Model) - исторический стандарт, адаптирующий модель CMMI для безопасности.

• Плюсы: Глубокая проработка процессного подхода, международное признание.

• Минусы: ISO 27001 дает бинарную оценку («соответствует / не соответствует»), что не позволяет измерить постепенный рост. SSE-CMM считается несколько устаревшим и громоздким для современных гибких ИТ-инфраструктур.

C. CMMI-SVC / CMMI-DEV [13, 14]

• Суть: Классическая модель зрелости (5 уровней).

• Плюсы: Жесткая иерархия, идеальна для аудита зрелости организационных процессов.

• Минусы: Избыточная бюрократизация; отсутствие специфических для кибербезопасности технических доменов (например, реагирование на APT-атаки).

 2. Специализированные модели зрелости кибербезопасности

A. Cybersecurity Capability Maturity Model (C2M2) [9]

• Суть: Разработана Министерством энергетики США. Содержит 10 доменов и уровни MIL (Maturity Indicator Levels).

• Плюсы: Детальная проработка зависимости безопасности от ИТ-операций.

• Минусы: Сильная ориентация на энергетику и критическую инфраструктуру, сложность адаптации для малого и среднего бизнеса.

B. CMMC (Cybersecurity Maturity Model Certification) [15]

• Суть: Новейший стандарт для оборонного сектора США. Сочетает требования NIST и процессную модель зрелости.

• Плюсы: Четкая связь между уровнями (1–3) и конкретными техническими практиками.

• Минусы: Закрытость/специфичность для ВПК, высокая стоимость сертификации.

 3. Отечественный контекст и нормативное регулирование (РФ)

A. ГОСТ Р ИСО/МЭК 27001 и серия 27000 [16, 17]

• Статус: Прямая адаптация международных стандартов. Применяется для построения СУИБ, но страдает от тех же проблем - отсутствие градиентной оценки «зрелости».

B. Приказы ФСТЭК России и методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (№117, №21, №235) [3, 4, 5, 6]

• Суть: Методики определяют классы защищенности (ГИС, ИСПДн, КИИ) и перечни необходимых мер.

• Особенности: это модели комплаенса (соответствия), а не зрелости. Организация может выполнить все требования регулятора (получить аттестат), но иметь низкую «зрелость» (например, процессы выполняются формально, без анализа эффективности).

C. ГОСТ Р 58412-2019 (Защита информации. Разработка безопасного ПО) [18]

• Особенности: Одна из немногих попыток в РФ внедрить уровневый подход к процессам (через жизненный цикл разработки), но она узкоспециализирована.

Ключевые выводы и "Пробелы"

Проведенный анализ выявил следующие недостатки существующих подходов:

1. Разрыв между "Бумажной" и "Реальной" безопасностью: Отечественные модели (ФСТЭК) сфокусированы на выполнении обязательного перечня мер, что не всегда коррелирует с фактической устойчивостью к атакам.

2. Статичность: Большинство моделей оценивают состояние "на текущий момент" и не учитывают скорость адаптации системы защиты к появлению новых уязвимостей (например, по ГОСТ Р 56546-2015) [10].

3. Сложность агрегации: нет единого алгоритма, который бы позволял объединить технические метрики (количество уязвимостей), процессные показатели (время реагирования) и уровень соответствия ГОСТам в один интегральный индекс зрелости.

4. Игнорирование ресурсов: Существующие модели говорят, что должно быть, но не учитывают ограничения в финансах и кадрах, что делает их трудноприменимыми для стратегического планирования в реальных организациях.

Это обосновывает необходимость разработки вашей модели, которая должна стать «мостом» между жесткими требованиями российского законодательства и гибкими международными практиками оценки зрелости.

Разработка концептуальной основы комплексной эталонной модели зрелости.

В основу предлагаемой эталонной модели зрелости (далее — ЭМЗ) закладывается принцип системного подхода, при котором кибербезопасность организации рассматривается не как статический набор средств защиты, а как динамический процесс, интегрированный в общую стратегию управления рисками. В отличие от существующих методик комплаенса, ориентированных на бинарную оценку («выполнено/не выполнено»), концептуальная основа ЭМЗ базируется на измерении качественных и количественных характеристик устойчивости системы.

Определение и структура модели

Под уровнем зрелости системы кибербезопасности в рамках данной работы понимается интегральная характеристика способности организации обеспечивать конфиденциальность, целостность и доступность информационных активов, а также противодействовать актуальным угрозам (согласно ГОСТ Р 56546-2015) при оптимальном использовании имеющихся ресурсов и соблюдении регуляторных требований [10].

Структура модели включает в себя:

1. Домены (Области анализа): Группировка процессов ИБ (например, управление идентификацией, реагирование на инциденты, обеспечение безопасности КИИ, управление уязвимостями).

2. Уровни зрелости: Шкала качественного состояния процессов.

3. Контекстные факторы: Внешние и внутренние переменные, определяющие целевой уровень зрелости.

Декомпозиция системы на домены кибербезопасности

Для обеспечения соответствия отечественному терминологическому аппарату (ГОСТ Р 50922-2006, ГОСТ Р 53114-2008) и международным практикам, модель декомпозируется на следующие ключевые домены [1, 2]:

• Управленческий: Стратегия, политика ИБ, поддержка руководства и соответствие требованиям ФСТЭК России.

• Операционный: Процессы мониторинга, управления конфигурациями и инцидентами.

• Технический: Эффективность применения СКЗИ, систем защиты периметра и конечных точек.

• Человеческий: Культура кибербезопасности, осведомленность персонала и уровень компетенций специалистов.

Иерархия уровней зрелости

Предлагается пятиуровневая шкала оценки, адаптированная под специфику ИБ-процессов:

• Уровень 1 (Начальный): Процессы носят реактивный характер, защита строится на ситуативном реагировании.

• Уровень 2 (Повторяемый): Наличие базовых регламентов и стандартизированных инструментов защиты.

• Уровень 3 (Определенный): Процессы полностью документированы, интегрированы в ИТ-инфраструктуру и соответствуют отраслевым ГОСТам.

• Уровень 4 (Управляемый): применяются количественные метрики эффективности, осуществляется постоянный мониторинг рисков.

• Уровень 5 (Оптимизирующий): Непрерывное совершенствование на основе анализа угроз, автоматизация реагирования и использование методов машинного обучения.

Многофакторная динамическая составляющая модели

Ключевой особенностью предлагаемой концепции является введение динамических коэффициентов, которые корректируют эталонный профиль в зависимости от:

1. Внешней среды: Ландшафт угроз в конкретной отрасли и изменения в нормативных актах регуляторов.

2. Внутренних факторов: Сложность ИТ-архитектуры, уровень цифровизации бизнес-процессов.

3. Ресурсных ограничений: Доступный бюджет, наличие квалифицированных кадров и технологический стек.

Разработанная концептуальная основа позволяет не только зафиксировать текущее состояние системы кибербезопасности, но и сформировать дорожную карту достижения целевого уровня, обоснованную с точки зрения регуляторных рисков и экономической эффективности.

Разработка критериев и индикаторов зрелости в разрезе доменов.

Для обеспечения практической применимости разработанной концептуальной модели необходим переход от абстрактных уровней зрелости к конкретным измеримым параметрам. В данном разделе рассматривается система критериев (качественных признаков) и индикаторов (количественных метрик), структурированных по ключевым доменам кибербезопасности.

Трансформация концептуальной модели в инструмент оценки требует декомпозиции каждого домена на контролируемые области. Критерии определяют «что» оценивается, а индикаторы - «как» измеряется достижение целевого состояния.

Домен «Управление и стратегия» (Governance)

Критерии в данном домене направлены на оценку интеграции кибербезопасности в бизнес-логику организации и выполнение требований регуляторов (ФСТЭК России, ФСБ России).

• Критерий: Регуляторное соответствие (Compliance).

• Индикатор: Процент реализованных мер защиты из перечней, установленных приказами ФСТЭК №117, №21 или №235 (в зависимости от типа системы) [3, 4, 5].

• Индикатор: Показатель состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ [6].

• Индикатор: Наличие и актуальность аттестатов соответствия и лицензий на деятельность в области защиты информации.

• Критерий: Стратегическое планирование.

• Индикатор: Наличие утвержденной стратегии ИБ, согласованной с целями развития организации на горизонте 3-5 лет.

• Индикатор: Объем выделяемого бюджета на ИБ как доля от ИТ-бюджета и его динамика.

Домен «Операционные процессы» (Operations)

Здесь оценивается качество реализации повседневных процедур защиты в соответствии с ГОСТ Р 53114-2008 [2].

• Критерий: Управление уязвимостями (Vulnerability Management).

• Индикатор: Среднее время от обнаружения уязвимости до её устранения (MTTR) в соответствии с классификацией по ГОСТ Р 56546-2015 [10].

• Индикатор: Охват инфраструктуры регулярным сканированием (процент инвентаризированных активов).

• Критерий: Реагирование на инциденты.

• Индикатор: Среднее время обнаружения инцидента (MTTD) и время локализации (MTTC).

• Индикатор: Доля инцидентов, расследование которых привело к автоматизированному обновлению правил детектирования (показатель самообучаемости системы).

Домен «Технологический стек» (Technology)

Критерии фокусируются на эффективности применяемых технических средств защиты информации (СЗИ) и средств криптографической защиты информации (СКЗИ).

• Критерий: Защищенность инфраструктуры.

• Индикатор: Коэффициент использования сертифицированных СЗИ в критических узлах сети.

• Индикатор: Уровень автоматизации контроля доступа и мониторинга событий (доля событий, обрабатываемых без участия оператора).

• Критерий: Целостность и доступность данных.

• Индикатор: Частота успешного восстановления данных из резервных копий (RTO/RPO).

Домен «Человеческий фактор»

Оценивается уровень компетенций персонала и общая культура кибербезопасности.

• Критерий: Осведомленность персонала (Security Awareness).

• Индикатор: Процент сотрудников, успешно прошедших имитированные фишинговые атаки.

• Индикатор: Периодичность обучения персонала правилам ИБ (согласно ГОСТ Р ИСО/МЭК 27001) [16].

• Критерий: Экспертиза ИБ-службы.

• Индикатор: Соответствие квалификации специалистов требованиям профессиональных стандартов в области ИБ.

Матрица верификации индикаторов по уровням зрелости

Для каждого индикатора устанавливаются пороговые значения, соответствующие пяти уровням зрелости. Например, для индикатора «Управление уязвимостями»:

• Уровень 1: Сканирование проводится эпизодически, процесс не регламентирован.

• Уровень 3: Регулярное сканирование всех ГИС/КИИ, классификация по ГОСТ Р 56546-2015, наличие регламентированных сроков устранения [10].

• Уровень 5: Процесс полностью автоматизирован, интегрирован с Threat Intelligence, устранение уязвимостей происходит в режиме, близком к реальному времени.

Агрегация показателей

Для получения итоговой оценки вводится система весовых коэффициентов w_(ij), определяемых экспертным путем или на основе отраслевой специфики. Итоговый индекс зрелости домена (I_D) рассчитывается как средневзвешенное значение индикаторов:

Где Ind_j — нормализованное значение j-го индикатора.

Нормализованное значение j-го индикатора получают с помощью Min-Max нормализации.

Методология учета отраслевой специфики и современных угроз.

Реализация комплексной оценки зрелости кибербезопасности в современных условиях невозможна без адаптации к уникальным условиям деятельности каждой организации. Отраслевая специфика и динамично меняющийся ландшафт угроз оказывают непосредственное влияние на приоритеты, необходимые ресурсы и целевые показатели уровня защищенности. Предлагаемая методология направлена на обеспечение гибкости и релевантности эталонной модели (ЭМЗ) для различных секторов экономики.

Идентификация и анализ факторов отраслевой специфики

Ключевыми факторами, определяющими специфику отраслей, являются:

• Нормативно-правовое регулирование: Требования ФСТЭК России, ФСБ России, Банка России, отраслевых регуляторов (например, для ТЭК, финансового сектора, здравоохранения).

• Типы обрабатываемой информации: характер данных (персональные, государственная тайна, платежные данные, промышленные секреты, критические данные КИИ) и их ценность.

• Ландшафт угроз: специфические векторы атак, характерные для отрасли (например, атаки на АСУ ТП в промышленности, DDoS и мошенничество в финансах, атаки на медицинские системы).

• Технологическая база: Уровень использования облачных сервисов, мобильных технологий, Интернета вещей (IoT), искусственного интеллекта (AI) и их специфические риски.

• Бизнес-процессы: Ключевые процессы, которые необходимо обеспечить в первую очередь, и их зависимость от непрерывности ИТ-систем.

Механизмы адаптации ЭМЗ к отраслевой специфике

Для учета выявленных факторов предлагаются следующие механизмы:

1. Динамическое взвешивание доменов и индикаторов:

• Разрабатываются отраслевые профили, где каждому домену и индикатору присваивается весовой коэффициент, отражающий его критичность для данной отрасли.

• Пример: для финансового сектора домен "Операционные процессы" (с акцентом на противодействие мошенничеству и быстрым транзакциям) и "Технологический стек" (с фокусом на криптографию и защиту платежных систем) будут иметь более высокий вес, чем для, например, образовательного учреждения.

2. Выбор приоритетных индикаторов:

• Некоторые индикаторы могут быть добавлены или исключены в зависимости от специфики. Например, для организаций, работающих с КИИ, индикаторы, связанные с безопасностью критической инфраструктуры (согласно ФЗ-187), становятся приоритетными.

3. Корректировка целевых уровней зрелости:

• В зависимости от уровня риска, отраслевых стандартов и бизнес-приоритетов, целевой уровень зрелости может быть установлен выше или ниже максимально возможного. ЭМЗ позволяет оценить не только текущее, но и необходимое состояние.

Интеграция учета современных угроз

ЭМЗ должна обеспечивать динамическую адаптацию к эволюции угроз. Это достигается следующими способами:

1. Актуализация базы знаний об угрозах и уязвимостях:

• Модель должна иметь механизм регулярного обновления перечня актуальных угроз и соответствующих им индикаторов (например, на основе данных CERT, Threat Intelligence платформ, ГОСТ Р 56546-2015).

• Включение в модель индикаторов, отражающих эффективность противодействия специфическим угрозам (APT, атаки на цепочки поставок, атаки с использованием AI, угрозы IoT).

2. Разработка адаптивных алгоритмов оценки:

• Алгоритмы должны учитывать вероятность и потенциальный ущерб от актуальных угроз при агрегации показателей. Например, высокий уровень риска от APT-атак может потребовать повышения веса индикаторов, связанных с обнаружением и реагированием на целевые атаки.

3. Прогнозирование трендов:

• В долгосрочной перспективе модель должна включать элементы, позволяющие прогнозировать влияние новых технологических трендов (например, квантовые вычисления, дальнейшее развитие AI) на ландшафт угроз и, соответственно, на требования к зрелости кибербезопасности.

Формирование отраслевых эталонов

На основе предложенной методологии возможно создание отраслевых эталонов зрелости. Каждый этап представляет собой набор целевых уровней зрелости по доменам, адаптированных под специфику конкретной отрасли. Это позволяет организациям проводить бенчмаркинг не только внутри своей компании, но и в сравнении с лучшими практиками аналогичных предприятий.

Применение данной методологии позволяет перейти от универсальной, но зачастую нерелевантной оценки, к контекстно-зависимой, адаптивной и актуальной модели, эффективно отражающей реальное состояние кибербезопасности организации в условиях меняющегося мира.

Заключение

В ходе настоящего исследования была достигнута поставленная цель - разработана концептуальная и алгоритмическая основа комплексной эталонной модели зрелости (ЭМЗ) систем кибербезопасности организаций, способной учитывать отраслевую специфику и динамику современных угроз.

Проведенный анализ существующих международных и отечественных подходов к оценке зрелости выявил их ограничения, связанные преимущественно с отсутствием интеграции регуляторных требований Российской Федерации (ГОСТ, ФСТЭК России) с гибкими методиками оценки процессов, а также недостаточным учетом специфики конкретных отраслей и постоянно эволюционирующего ландшафта киберугроз. Эти пробелы и составили научную проблему, решение которой было предложено в данной работе.

Основными результатами исследования стали:

1. Формирование унифицированного понятийного аппарата и концептуальной структуры ЭМЗ, которая декомпозирует систему кибербезопасности на четыре ключевых домена: управленческий, операционный, технологический и человеческий.

2. Разработка пятиуровневой шкалы зрелости, позволяющей качественно и количественно оценить состояние каждого домена, от начального до оптимизирующего уровня.

3. Определение детализированной системы критериев и измеримых индикаторов для каждого домена, обеспечивающих объективность оценки и коррелирующих с требованиями российских стандартов и регуляторов.

4. Предложение методологии учета отраслевой специфики через механизм динамического взвешивания доменов и индикаторов, а также интеграция учета современных угроз для адаптации модели к актуальным вызовам.

Ключевая научная новизна работы заключается в разработке многофакторной, динамической модели, которая эффективно интегрирует специфику отечественного нормативно-правового поля с лучшими мировыми практиками процессного управления кибербезопасностью. Предложенная методология учета отраслевой специфики и адаптации к изменяющемуся ландшафту угроз обеспечивает актуальность и релевантность оценки для различных секторов экономики.

Практическая значимость разработанной эталонной модели подтверждается её способностью служить универсальным инструментом для объективной оценки текущего уровня защищенности организации, выявления слабых мест и формирования научно обоснованных стратегий повышения киберустойчивости. Модель предоставляет руководству организаций четкие ориентиры для распределения инвестиций в информационную безопасность, позволяет проводить эффективный бенчмаркинг и облегчает процесс соответствия регуляторным требованиям. Это способствует более рациональному использованию ресурсов, повышению эффективности стратегического планирования и, как следствие, снижению рисков информационной безопасности.

Перспективы дальнейших исследований включают разработку программного комплекса для автоматизации процесса оценки зрелости и визуализации результатов. Представляет интерес также интеграция ЭМЗ с системами управления рисками и платформами мониторинга безопасности (SIEM/SOAR) для обеспечения непрерывной адаптации модели. Дополнительным направлением является исследование методов машинного обучения для автоматизированного сбора и анализа данных, а также прогнозирования оптимальных путей развития системы кибербезопасности.

Таким образом, разработанная комплексная эталонная модель зрелости систем кибербезопасности представляет собой значительный вклад в развитие теории и практики управления информационной безопасностью, предлагая эффективный механизм для повышения объективности анализа, рационализации ресурсов и стратегического планирования в условиях постоянно меняющихся вызовов.

Список литературы:

1. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения: утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст: дата введения 2008-02-01. – URL: https://docs.cntd.ru/document/1200058320 (дата обращения: 04.03.2026). – Текст: электронный.
2. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения: утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст: дата введения 2009-10-01. – URL: https://docs.cntd.ru/document/1200075565 (дата обращения: 04.03.2026). – Текст: электронный.
3. Приказ ФСТЭК России от 11.04.2025 №117 Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений. – URL: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-utverzhdeny-prikazom-fstek-rossii-ot-11-aprelya-2025-g-n-117 (дата обращения: 11.03.2026). – Текст: электронный.
4. Приказ ФСТЭК России от 18.02.2013 №21 (ред. от 14.05.2020) Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Зарегистрировано в Минюсте России 14.05.2013 N 28375). – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 04.03.2026). – Текст: электронный.
5. Приказ ФСТЭК России от 21.12.2017 №235 Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования (Зарегистрирован 22.02.2018 № 50118). – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-21-dekabrya-2017-g-n-235 (дата обращения: 04.03.2026). – Текст: электронный.
6. Методический документ ФСТЭК России от 11.11.2025 Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. - URL: https://docs.cntd.ru/document/1314527942 (дата обращения: 11.03.2026). – Текст: электронный.
7. National Institute of Standards and Technology, Cybersecurity Framework: сайт. – URL: https://www.nist.gov/cyberframework (дата обращения: 04.03.2026). – Текст: электронный.
8. CMMI Institute: сайт. – URL: https://cmmiinstitute.com/ (дата обращения: 04.03.2026). – Текст: электронный.
9. Department of Energy, Cybersecurity Capability Maturity Model (C2M2): сайт. – URL: https://www.energy.gov/ceser/cybersecurity-capability-maturity-model-c2m2 (дата обращения: 04.03.2026). – Текст: электронный.
10. ГОСТ Р 56546-2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем: утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 августа 2015 г. N 1181-ст: дата введения 2016-04-01. – URL: https://docs.cntd.ru/document/1200123702 (дата обращения: 04.03.2026). – Текст: электронный.
11. ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection. Information security management systems. Requirements): сайт. – URL: https://www.iso.org/standard/27001 (дата обращения: 04.03.2026). – Текст: электронный.
12. ISO/IEC 21827:2008 Information technology. Security techniques. Systems Security Engineering. Capability Maturity Model (SSE-CMM): сайт. – URL: https://www.iso.org/standard/44716.html (дата обращения: 04.03.2026). – Текст: электронный.
13. CMMI Institute, CMMI Services: сайт. – URL: https://cmmiinstitute.com/cmmi/svc (дата обращения: 04.03.2026). – Текст: электронный.
14. CMMI Institute, CMMI Development: сайт. – URL: https://cmmiinstitute.com/cmmi/dev (дата обращения: 04.03.2026). – Текст: электронный.
15. Cybersecurity Maturity Model Certification (CMMC) Model Overview. Version 2.0. December 2021. // URL: https://dodcio.defense.gov/Portals/0/Documents/CMMC/ModelOverview_V2.0_FINAL2_20211202_508.pdf (дата обращения: 04.03.2026). – Текст: электронный.
16. ГОСТ Р ИСО/МЭК 27001-2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования: утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2021 г. N 1653-ст: дата введения 2022-01-01. – URL: https://docs.cntd.ru/document/1200181890 (дата обращения: 04.03.2026). – Текст: электронный.
17. ГОСТ Р ИСО/МЭК 27000-2021. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология: утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 392-ст: дата введения 2021-11-30. – URL: https://docs.cntd.ru/document/1200179675 (дата обращения: 04.03.2026). – Текст: электронный.
18. ГОСТ Р 58412-2019 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения: утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 21 мая 2019 г. № 204-ст: дата введения 2019-11-01. – URL: https://meganorm.ru/Data2/1/4293729/4293729971.pdf (дата обращения: 04.03.2026). – Текст: электронный.