исследование 3 июня 2026

Этапы проекта по построению системы информационной безопасности

Построение системы информационной безопасности — это не разовая закупка средств защиты, а проект с понятной последовательностью этапов: обследование, моделирование угроз, проектирование, внедрение средств защиты информации (СЗИ), аттестация и сопровождение. Каждый этап даёт измеримый результат и оставляет за собой комплект артефактов — модель угроз, техническое задание, проектную документацию, аттестат соответствия. **Если коротко:** успех проекта определяется не «брендом» СЗИ, а тем, насколько корректно пройдены ранние этапы — обследование и моделирование угроз. Ошибка на старте тянется через весь проект и всплывает на аттестации. Ниже — из чего состоит проект по шагам, что должно быть на выходе каждого этапа и как выбрать подрядчика, который проведёт вас от обследования до сопровождения. Сравнить интеграторов по подтверждённым сигналам можно в [рейтинге ИБ-интеграторов](/rating/security-integrators).

7 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Этапы проекта по построению системы информационной безопасности — Тематическая иллюстрация к исследованию: Этапы проекта по построению системы информационной безопасности. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему важна последовательность этапов

Систему защиты строят «снизу вверх»: сначала понимают, что и от кого защищают, и только потом подбирают конкретные средства. Если перепрыгнуть через обследование и моделирование угроз сразу к закупке СЗИ, проект почти гарантированно упрётся в одну из типовых проблем: купленные средства не закрывают реальные угрозы, не проходят аттестацию или избыточны и дороги в эксплуатации.

Для значимых объектов критической информационной инфраструктуры (КИИ), государственных информационных систем (ГИС) и информационных систем персональных данных (ИСПДн) последовательность этапов и состав документации задаются требованиями регуляторов — ФСТЭК и ФСБ России. Поэтому проект построения системы ИБ — это всегда связка «техника + документирование»: каждый шаг должен оставлять проверяемый артефакт.

Проект построения системы ИБ: коротко в цифрах

Базовых этапов 6

Обследование → моделирование угроз → проектирование → внедрение → аттестация → сопровождение

Ключевой ранний артефакт модель угроз

Определяет состав и класс СЗИ на всех последующих этапах

Финальный артефакт аттестат / заключение

Подтверждает соответствие требованиям по защите информации

Сопровождение непрерывно

Защита «живёт» только при поддержке и пересмотре модели угроз

Этапы проекта построения системы ИБ: 6 шагов

01 Обследование (предпроектное)
Инвентаризация активов, информационных систем и
02 Моделирование угроз
Определение актуальных угроз и нарушителей под конкретный
03 Проектирование
Разработка технического задания и проектной документации на систему
04 Внедрение СЗИ
Поставка, установка и настройка средств защиты, интеграция с
05 Аттестация (оценка соответствия)
Аттестационные испытания системы защиты,
06 Сопровождение
Поддержка и эксплуатация СЗИ, контроль защищённости, реагирование на

Что получается на выходе каждого этапа

Главный признак зрелого проекта — каждый этап завершается конкретным результатом и комплектом документов, а не «устной готовностью». Таблица ниже связывает этап, его результат и ключевые артефакты, которые стоит требовать от подрядчика при приёмке.

Этап	Результат	Ключевые артефакты
Обследование	Понятен объект защиты и его класс	Отчёт об обследовании, перечень активов, акт классификации/категорирования
Моделирование угроз	Зафиксированы актуальные угрозы и нарушители	Модель угроз, модель нарушителя
Проектирование	Спроектирована система защиты	Техническое задание, проектная и рабочая документация
Внедрение СЗИ	СЗИ установлены и настроены	Настроенные средства защиты, эксплуатационная и ОРД-документация
Аттестация	Подтверждено соответствие требованиям	Программа и протоколы испытаний, аттестат соответствия / заключение
Сопровождение	Защита поддерживается в актуальном состоянии	Регламенты, журналы, актуализированная модель угроз

Распределение трудоёмкости проекта по этапам

Усреднённая редакционная оценка доли усилий по этапам типового проекта по открытым данным. Это ориентир, а не норматив: реальное распределение зависит от масштаба и типа системы.

Внедрение СЗИ 30 %

30 %

Проектирование 20 %

20 %

Обследование 15 %

15 %

Сопровождение 15 %

15 %

Аттестация 10 %

10 %

Моделирование угроз 10 %

10 %

Где проекты чаще всего срываются

Типовые провалы повторяются от проекта к проекту и почти всегда коренятся на ранних этапах, а проявляются на поздних — особенно на аттестации:

- **Поверхностное обследование.** Пропущенные активы и потоки данных приводят к тому, что часть системы остаётся вне контура защиты. - **Формальная модель угроз.** «Скопированная» модель не отражает реальный объект, и СЗИ подбираются не под те угрозы. - **СЗИ вне реестров.** Выбор средств без проверки сертификата ФСТЭК и наличия в реестре — прямой риск не пройти аттестацию. - **Документы «задним числом».** Организационно-распорядительная документация, дописанная перед аттестацией, не соответствует реальной эксплуатации. - **Нет этапа сопровождения.** После аттестации систему «замораживают», и при первом же изменении инфраструктуры защита и документы расходятся с реальностью.

Чек-лист контроля проекта по этапам

Зафиксирован объект защиты есть отчёт об обследовании, перечень активов и акт классификации/категорирования.

Модель угроз под ваш объект актуальные угрозы и нарушитель, а не шаблон из чужого проекта.

ТЗ и проект до закупки состав и класс СЗИ обоснованы документацией, а не наоборот.

СЗИ из реестров проверены сертификат ФСТЭК и наличие в реестре сертифицированных средств под ваш класс.

ОРД отражает реальность регламенты и инструкции совпадают с фактической эксплуатацией.

План аттестации заранее программа и методика испытаний согласованы до ввода в эксплуатацию.

Сопровождение в договоре поддержка, реагирование и пересмотр модели угроз заложены отдельным этапом.

Подрядчик проверен сравните интеграторов по подтверждённым сигналам в [рейтинге ИБ-интеграторов](/rating/security-integrators).

Как выбрать подрядчика на проект

Построение системы ИБ обычно ведёт ИБ-интегратор, который закрывает все этапы — от обследования до сопровождения. Ключевой критерий выбора — подтверждённый опыт именно полного цикла проектов под ваш тип системы (ГИС, ИСПДн, КИИ), а не только поставка оборудования.

cyber-index.ru не продаёт места в рейтинге. Интеграторы сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация и прозрачность данных. Поэтому статью стоит читать в связке с [рейтингом ИБ-интеграторов](/rating/security-integrators): здесь — этапы и критерии, там — сравнение конкретных компаний по подтверждённым фактам. Если проект начинается с импортозамещения, полезен отдельный разбор — [с чего начать миграцию инфраструктуры](/research/importozameshchenie-szi-migraciya).

Следующий шаг

Разобрались с этапами — переходите к выбору исполнителя: **[рейтинг ИБ-интеграторов →](/rating/security-integrators)**. Полезно прочитать рядом: [как выбрать ИБ-интегратора: чек-лист для CISO](/research/kak-vybrat-ib-integratora), [импортозамещение СЗИ: с чего начать миграцию](/research/importozameshchenie-szi-migraciya) и [методология и лидеры рейтинга ИБ-интеграторов 2026](/research/rejting-ib-integratorov-2026).

Частые вопросы

С чего начинается проект построения системы ИБ?

С обследования: инвентаризации активов и информационных систем, определения класса защищённости и категории значимости объекта. Без этого этапа невозможно корректно смоделировать угрозы и подобрать средства защиты.

Зачем нужна модель угроз и можно ли её пропустить?

Модель угроз определяет, от кого и от чего вы защищаетесь, и задаёт требования к составу и классу СЗИ. Пропустить её нельзя: для ГИС, ИСПДн и значимых объектов КИИ она требуется регуляторами, а на практике без неё средства защиты подбираются вслепую.

Чем аттестация отличается от оценки соответствия?

Это процедуры подтверждения, что система защиты выполняет установленные требования. Для части систем проводится аттестация с выдачей аттестата соответствия, для других — оценка соответствия в иной форме. Конкретную форму определяют тип системы и требования регуляторов; сверяйте их по действующим приказам ФСТЭК и ФСБ.

Сколько длится проект построения системы ИБ?

От нескольких месяцев для небольшой системы до года и более для крупной распределённой инфраструктуры. Сроки зависят от масштаба, класса защищённости, количества СЗИ и готовности исходной документации.

Можно ли остановиться на аттестации и не заказывать сопровождение?

Технически да, но это рискованно: при любом изменении инфраструктуры защита и документы устаревают, а модель угроз перестаёт отражать реальность. Сопровождение поддерживает систему и аттестат в актуальном состоянии.

Где сравнить конкретных интеграторов между собой?

В рейтинге ИБ-интеграторов — там компании ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг ИБ-интеграторов Сравнить поставщиков по подтверждённым сигналам Как выбрать ИБ-интегратора: чек-лист для CISO Импортозамещение СЗИ: с чего начать миграцию инфраструктуры Рейтинг ИБ-интеграторов России 2026: методология и лидеры