Интереснейшие цифры, факты и комментарии ИБ-знатоков содержатся в 43-страничном отчете «Оценка уровня зрелости информационной безопасности», подготовленном экспертами бизнес-направления AKTIV.CONSULTING компании «Актив» на основе анкетирования 52 специалистов, отвечающих за управление службой информационной безопасности (ИБ) в небольших, средних и крупных компаниях (рис. 1) из 15 с лишним различных отраслей (рис 2).
Рис. 1. Масштабы бизнеса компаний, ИБ-специалисты которых приняли участие в исследовании
Источник: AKTIV.CONSULTING, февраль 2026 г.
Рис. 2. Направления деятельности компаний, ИБ-специалисты которых приняли участие в исследовании
Источник: AKTIV.CONSULTING, февраль 2026 г.
В основу методологии исследования лег опросник для самооценки, разработанный экспертами AKTIV.CONSULTING, и содержащий 100 сценариев по пяти направлениям:
«Управление ИБ» (связано с управлением процессами обеспечения информационной безопасности).
«Базовая ИТ- и ИБ-гигиена» (касается базовых мер обеспечения информационной безопасности).
«Обеспечение ИБ» (связано с техническим оснащением службы ИБ).
«Мониторинг, реагирование и восстановление» (касается обеспечения защиты данных).
«Комплаенс» (связан с выполнением требований регуляторов).
Руководитель AKTIV.CONSULTING Анастасия Харыбина поясняет: «В каждом из представленных выше направлений предлагалось ответить на пять вопросов, которые позволят комплексно посмотреть на обеспечение ИБ. При этом в каждом вопросе необходимо было выбрать один из четырех сценариев, наиболее актуальный для организации на данный момент. Наше аналитическое исследование призвано определить текущее состояние ключевых процессов ИБ в российских компаниях с целью выявления пробелов и выработки рекомендаций по повышению эффективности ИБ. По результатам исследования был сформирован отчет, содержащий описание методологии, сценарии, оценки и ключевые выводы по каждому сценарию. В этом отчете также приводится сравнительный анализ уровня зрелости в зависимости как от размеров компаний, так и от направлений их деятельности».
На рис. 3 приведена паутинообразная диаграмма, которая отображает усредненные цифры, характеризующие ситуацию с пятью направлениями ИБ-зрелости у компаний, ИБ-специалисты которых приняли участие в исследовании.
Рис. 3. Средние цифры, характеризующие уровни ИБ-зрелости компаний, ИБ-специалисты которых приняли участие в исследовании
Источник: AKTIV.CONSULTING, февраль 2026 г.
Есть, конечно, и специфика (рис. 4), которая зависит как от размеров компаний, так и от направлений их деятельности.
Рис. 4. Особенности уровней ИБ-зрелости компаний, имеющих различные размеры бизнеса
Источник: AKTIV.CONSULTING, февраль 2026 г.
Далее приведены основные выводы, которые сделали эксперты AKTIV.CONSULTING по итогам собранной аналитики:
1. Данные, полученные для организаций, отличающихся объемами выручки, позволяют сделать вывод, что в целом тенденции, выявленные на всем массиве данных, актуальны и для каждой группы по отдельности. При этом исследование показывает, что наличие больших ресурсов не гарантирует высокий уровень ИБ-зрелости, так как самые высокие оценки уровня зрелости по направлениям получены на выборке небольших компаний, в отличие от средних и крупных.
2. Направление, в котором получены наивысшие оценки уровня зрелости, близкие к 50% — «Базовая ИТ- и ИБ-гигиена» с совокупной оценкой 6.85 (46%). С высокой вероятностью это обосновано тем, что данное направление не требует существенных вливаний бюджета и позволяет решать свои задачи собственными силами организаций на постоянной основе путем простых подходов.
3. Вторым направлением, которое набрало наибольшую оценку зрелости ИБ для небольших и средних компаний, является «Комплаенс» с совокупной оценкой 6.69 (45%). Это можно объяснить тем, что требования регулятора являются в некотором смысле «драйвером» для внедрения требований информационной безопасности и для обоснования выделения ресурсов и финансов на развитие функции ИБ.
4. Небольшие компании лидируют по эффективности базовых практик ИБ (ИТ- и ИБ-гигиена 49%). С высокой вероятностью это обосновано тем, что данное направление не требует существенных вливаний бюджета.
5. Обеспечение базовой гигиены, а именно: парольная политика, применение двухфакторной аутентификации, регулярное резервное копирование, защищает от 80% атак и это доступно малому бизнесу без бюджета.
6. Комплаенс драйвит средние компании, именно по этому направлению отмечаются самые высокие оценки уровня зрелости для данных компаний (47%), крупные компании фокусируются на мониторинге (SOC, SIEM), самые высокие оценки уровня зрелости отмечаются в направлении «Мониторинга, реагирования и восстановления» (40%).
7. Различия в тех направлениях, которые получают наибольшую оценку уровня зрелости, для малых, средних и крупных компаний — это не случайность, а следствие разных приоритетов бизнеса и ресурсных ограничений.
8. Разница в усредненных показателях по направлениям «Управление ИБ» и «Обеспечение ИБ» (дельта от малого к крупному бизнесу 6-9%) обусловлена тем, что обеспечить грамотное управление и обеспечение ИБ в небольшой компании в разы проще и дешевле, чем в средней или крупной, так как с ростом компании пропорционально растет и составляющая бюрократизации процессов, что также затрудняет реализацию задач ИБ и продлевает сроки их реализации.
9. Зрелость ИБ зависит не от объема ресурсов, а от фокуса на реальных угрозах. Выбираемая стратегия ИБ и применяемые средства защиты должны ориентироваться не на модные тренды, а на реальные потребности и актуальные угрозы конкретной организации.
Для полноты картины добавим: существует 30-страничный ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Системы менеджмента информационной безопасности. Общий обзор и терминология», в котором, среди прочего, не только поясняется, что такое «Система менеджмента информационной безопасности» (СМИБ), но и перечисляются важнейшие факторы успешной реализации СМИБ. Кроме того, в семействе стандартов СМИБ имеются как стандарты, содержащие общие рекомендации (27002, 27003, 27004, 27005, 27007, 27013, 27014, 27021 и ряд других), так и стандарты, содержащие рекомендации для конкретных отраслей (27010, 27011, 27017, 27018, 27019).
Как улучшить ситуацию? (мнения независимых ИБ-экспертов)
Директор по ИБ АО «БИРЖА „ЦТС“» Александр Найко: «Необходим баланс между реальными мерами и регуляторными требованиями, желательно с учетом масштаба и значимости деятельности организации. В части нормативного регулирования необходимо устранить размытые формулировки, четко конкретизировать требования, а зачастую „облегчить“ документ, сделав его более легким, читабельным и понятным».
Начальник управления ИБ ЕВРАЗа Андрей Нуйкин: «Хочу обратить внимание на ценообразование. Доступность средств защиты информации может быть тормозом на пути оснащения служб ИБ малых и средних компаний. Поэтому хочется, чтобы отечественные вендоры гибче подходили к ценообразованию... Также хочу призвать коллег помогать государству в определении требований, чтобы нормативные акты были „ближе к земле“...
Понятно, что у отечественных продуктов шаг за шагом появится весь необходимый функционал, но он не появится мгновенно, этот путь нужно будет пройти. И хотя наши вендоры идут по следам международных производителей, им с одной стороны проще, а с другой — сложнее. Проще в том, что этот путь уже понятен, он уже был пройден другими производителями, его в хорошем смысле можно повторить. Сложнее же в том, что технологии и подходы за это время сильно поменялись, поэтому шишки все равно придется набить».
Бизнес-партнер по ИБ «1С-Битрикс» Леонид Плетнев: «Многие выводы отчета AKTIV.CONSULTING находятся не только в российском, но и общемировом тренде. Например, направление „Базовая ИТ- и ИБ-гигиена“ получило наивысшие оценки зрелости. Это логично, так как не требует от компании больших затрат и является фундаментом для безопасности компании в целом...
Необходимость обеспечения соответствия законодательству понятна руководству большинства компаний и, как правило, имеет хорошую степень выполнения. При этом директор по ИБ продолжает концентрироваться на технических вопросах и метриках (условно, сколько уязвимостей закрыто), а у топ-менеджмента имеется ожидание на вовлеченность в бизнес-процессы, на приоритетное достижение целей компании (условно, какие потери в рублях предотвратила служба ИБ и это подтвердил финансовый директор)...
Специалистам по ИБ необходимо не забывать про рост роли AI-технологий. Понимание, как эти технологии работают „под капотом“, умение защищать AI-инфраструктуру, наличие навыков их применения для противодействия атакам становятся необходимыми компонентами любой зрелой системы ИБ».
Лидер центра компетенций «Кибербезопасность» НТИ Энерджинет Алексей Петухов обращает внимание на то, что выводы, содержащиеся в отчете AKTIV.CONSULTING, показывают общую картину, и ими можно пользоваться для формирования стратегии развития внутри компании или при разработке мероприятий по развитию зрелости ИБ даже на уровне государства. В то же время он отмечает: «В минувшем году вышел приказ ФСТЭК России № 117 „Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений“. Он заменяет старый приказ № 17 и вводит новые требования, включая метрики КЗИ и ПЗИ. Кроме того, в конце 2025 г. ФСБ России утвердила пакет новых приказов (№ 539, 546, 547, 548, 553, 554), существенно обновляющих требования к ГосСОПКА. Эти и другие документы направлены на расширение нормативной базы в сторону процессов зрелости ИБ. Я считаю, что работа, проводимая в части государственного регулирования, уже является достаточной. Главное, её правильно использовать. Рынок средств защиты ИБ даёт достаточно инструментов для автоматизации функции информационной безопасности. Без автоматизации уже невозможно обеспечивать необходимые процессы ИБ. Думаю, что с учётом скорости развития технологий, возможности подобного рода систем в ближайшее время вырастут многократно, а также повысится их доступность во всех смыслах...
Но мне бы не хотелось, чтобы вся отрасль ИБ развивалась только из-за нормативных требований. Рано или поздно все компании столкнутся с массовой цифровизацией. В этот момент их устойчивость и развитие будет зависеть от уровня зрелости ИБ. Поэтому развитие функции информационной безопасности — это стратегическая задача каждого руководителя. Полагаю, что в зрелой функции ИБ заинтересован, прежде всего, бизнес, так как это база для его дальнейшего устойчивого роста. Поэтому, на мой взгляд, ключевые изменения должны произойти в головах (мышлении). Все участники сферы ИБ, а также руководители компаний должны использовать ИБ как управленческий инструмент, обеспечивающий прозрачность, контролируемость и надёжность процессов. Тогда значительно изменится и зрелость, и фактическая защищённость, и доступность ИБ».
Директор по информационной безопасности ПАО «Элемент» Александр Дворянский: «Роль ИБ — это помощь бизнесу и защита его бесперебойных процессов и данных. Таким образом, решения ИБ, с одной стороны, должны быть согласованы с менеджментом, а с другой — отражать задачи бизнеса, направленные на развитие, а система ИБ должна строиться с учетом специфики бизнеса, его потребностей и долгосрочных целей... Наконец, бизнес понял, что сколько бы у тебя ни было эшелонов защиты, самым слабым звеном остается человек. С этим нужно постоянно работать. При этом по сравнению со стоимостью, например, средств защиты, повышение осведомленности пользователя — одно из самых недорогих направлений ИБ, которые можно обеспечивать чуть ли не своими силами...
Я думаю, что в крупных компаниях в целом уровень зрелости должен быть выше, так как для них цена ошибки намного выше. ИБ в таких компаниях развивается стабильно и гармонично. Для небольших компаний, как правило, этот процесс идет гораздо быстрее, но, к сожалению, не всегда так же качественно. Знаю примеры, когда небольшие компании покупают все необходимые средства защиты информации, местами это может быть даже избыточным. При этом такая ситуация не равна их защищенности, потому что помимо технологической базы необходим выстроенный процесс управления функцией ИБ. Сами по себе классные, дорогие «железки» неэффективны, если они не завязаны на бизнес-процесс...
Хочу отметить, что отечественные производители средств защиты информации научились полноценно взаимодействовать с Заказчиками для получения обратной связи по развитию и адаптации своих продуктов. В качестве примера: если раньше вендор выпускал обновления по своему графику, сейчас они, зачастую, выпускаются как отклик на обратную связь от Заказчика, с учетом его запросов и пожеланий...
В 2022 г., когда произошел исход зарубежных вендоров СЗИ с отечественного рынка, заказчики столкнулись с тем, что у ряда российских аналогов были сложности с производительностью, функциональностью и удобством использования. На данный момент можно смело утверждать, что качество отечественных решений существенно повысилось по всем параметрам. В ряде решений появился так называемый user friendly интерфейс, удобный в использовании и нативно понятный, что не может не радовать. Конечно, классы решений неоднородны, где-то дела обстоят лучше, где-то чуть хуже, но общая ситуация с импортонезависимостью стала значительно лучше«.
Слова Александра Дворянского о том, что в нашей стране ситуация с импортозамещением ИБ-продуктов стала значительно лучше, совершенно справедливы. Вот несколько слов из опубликованного в ноябре минувшего года прогноза Центра стратегических разработок (ЦСР) о развитии рынка кибербезопасности в РФ до 2030 г.: «Темпы роста ИБ-рынка остаются высокими (выше роста ИТ-рынка, который по разным оценкам в 2024 г. составил 9,8–15%). По нашим прогнозам, к 2030 г. данный рынок может достичь 968 млрд. руб., при этом среднегодовой прирост составит 21%. Ожидаем, что при сохранении курса на технологический суверенитет доля продаж иностранных решений упадет до 4% от общего объема рынка к 2030 г. Рост будет обеспечен за счет внутреннего спроса и государственной политики технологического суверенитета».
