Имя автора: Алексей Дранько

25 октября 2025 года в Ханое состоялось подписание Конвенции ООН против киберпреступности (UN Cybercrime Convention) — первого в истории глобального соглашения, направленного на борьбу с преступлениями в киберпространстве и укрепление международного сотрудничества. Документ, разработанный под эгидой Управления ООН по наркотикам и преступности (UNODC), стал результатом многолетних переговоров и объединяет усилия государств в противодействии угрозам, которые давно перестали иметь национальные границы.Инициатором и основным разработчиком Конвенции выступила Российская Федерация, предложившая проект документа и внесшая ключевые положения, легшие в основу итогового текста соглашения. Что представляет собой Конвенция Принята Генеральной Ассамблеей ООН в декабре 2024 года и открыта для подписания с октября 2025 года. Конвенция закрепляет: криминализацию ключевых видов киберпреступлений, включая фишинг, атаки с использованием вредоносного ПО, вымогательство (ransomware) и онлайн-эксплуатацию; создание глобальной сети обмена электронными доказательствами — механизм круглосуточного взаимодействия между странами для расследования киберинцидентов; гармонизацию законодательства: страны-участницы обязуются адаптировать свои нормы под единые международные принципы расследования и пресечения преступлений в цифровой сфере. На сегодняшний день документ подписали более 70 государств, что уже делает его крупнейшим международным соглашением в области кибербезопасности. Почему это событие называют историческим До сих пор каждая страна вырабатывала собственные подходы к реагированию на киберпреступления. Конвенция впервые формирует унифицированную правовую рамку, где обмен доказательствами, расследования и правовая помощь становятся международными по определению. Это не просто политическое заявление, а формирование правового поля для глобального «киберправа», в рамках которого: цифровое пространство признаётся зоной коллективной ответственности; киберпреступления рассматриваются как трансграничные акты, требующие международного реагирования; государства обязуются развивать инфраструктуру кибербезопасности на уровне национальных стратегий. Экспертная оценка Для профессионального сообщества это событие сопоставимо с принятием международных норм в области авиационной или морской безопасности.Впервые вопросы защиты цифровой инфраструктуры закреплены на уровне международного права, а это означает, что: компании, работающие с данными и ИТ-инфраструктурой, будут вовлечены в более жёсткие процедуры контроля и отчётности; расследование инцидентов и утечек может приобретать международный характер, даже если инцидент произошёл на локальном уровне; сотрудничество между государствами приведёт к выработке глобальных стандартов реагирования, что создаст новые ориентиры для корпоративных политик ИБ. Что это значит для отрасли Подписание Конвенции отражает переход от национальных стратегий к глобальной экосистеме цифровой безопасности, где границы между ИТ, ИБ и юриспруденцией постепенно стираются. Мировое сообщество признало: безопасность — это не конкурентное преимущество, а инфраструктура доверия, от которой зависит функционирование экономики, коммуникаций и государственных систем. Итог Подписание Конвенции ООН против киберпреступности — исторический шаг в формировании международной системы цифровой безопасности.Это событие подтверждает: эпоха разрозненных мер защиты заканчивается. Впереди — этап глобальной координации, обмена данными, общих стандартов и коллективной ответственности за безопасность в цифровом пространстве. 📄 Источник: UNODC, Reuters  

О приоритизации мер, типичных ошибках при выборе подрядчика и реальных способах оптимизировать затраты без потери качества Современные компании сталкиваются с противоречием: требования регуляторов к информационной безопасности растут, а бюджеты на ИБ — ограничены. Особенно остро эта проблема стоит для региональных организаций, предприятий госсектора и компаний среднего бизнеса. Многие ошибочно считают, что качественная защита требует крупных инвестиций. Однако практика показывает: эффективную систему ИБ можно выстроить даже при ограниченных ресурсах, если грамотно расставить приоритеты и избежать типичных ошибок. 1. Приоритизация: на что направить ресурсы в первую очередь Главная ошибка многих организаций — стремление «закрыть всё сразу». В результате средства распыляются, а ключевые риски остаются без внимания. Чтобы минимизировать затраты и при этом реально повысить уровень защищённости, важно определить критичные для бизнеса активы и выстроить систему защиты поэтапно. Основные принципы приоритизации: Анализ рисков. Начинать следует с оценки угроз, вероятности их реализации и потенциальных последствий для компании. Фокус на КИИ, ГИС и ИСПДн. При ограниченном бюджете в первую очередь нужно обеспечить выполнение требований законодательства (187-ФЗ, 152-ФЗ, 149-ФЗ, приказы ФСТЭК и ФСБ). Пошаговая реализация. Сначала организационные меры — регламенты, контроль доступа, повышение осведомлённости сотрудников. Затем технические — СЗИ, сегментация сети, антивирусная защита, резервное копирование. Такой подход позволяет достигать устойчивых результатов без перегрузки бюджета. 2. Типичные ошибки при выборе подрядчика Сокращение бюджета часто приводит к попытке экономии на исполнителях. На практике это оборачивается дополнительными расходами. Наиболее распространённые ошибки: Выбор по минимальной цене. Подрядчик, не имеющий опыта в проектах с ФСТЭК/ФСБ, может сэкономить на бумаге, но не обеспечить соответствие требованиям регуляторов. Отсутствие комплексного подхода. Некоторые компании берут на себя только поставку СЗИ, игнорируя проектирование, интеграцию и обучение. В итоге защита остаётся формальной. Неполный пакет документации. Без корректно оформленных нормативных документов система не пройдёт проверку и не будет считаться внедрённой. Ключевой критерий выбора — опыт выполнения аналогичных проектов и наличие аккредитации ФСТЭК России. Это гарантирует не только техническую корректность решений, но и юридическую защиту заказчика. 3. Реальные способы оптимизировать затраты Эффективная оптимизация не означает «урезание». Она строится на грамотной организации процессов: Комбинирование организационных и технических мер.Организационные меры (регламенты, инструкции, контроль учётных записей) стоят дешевле, но приносят существенный эффект. Использование отечественных решений.Импортозамещение снижает стоимость владения и облегчает сопровождение. Российские СЗИ и SIEM-системы сегодня сопоставимы по функционалу с зарубежными аналогами. Централизация и повторное использование наработок.Создание единой базы шаблонов документации, процедур и инструкций сокращает время внедрения и стоимость новых проектов. Постепенное внедрение по уровням зрелости.Можно начать с минимально достаточных мер, обеспечивающих соответствие требованиям, и по мере роста компании усиливать защиту. Аутсорсинг отдельных функций.Передача мониторинга или аудита внешнему партнёру позволяет сократить затраты на содержание собственной команды, сохранив контроль качества. 4. Роль документации в управлении бюджетом Документация — не просто формальность, а инструмент планирования и контроля затрат.Корректно оформленные нормативно-методические документы позволяют: чётко определить зоны ответственности и объём работ; избежать дублирования задач между подразделениями; снизить риск перерасхода бюджета при внедрении СЗИ; оптимизировать процесс закупок и согласований. Компания ЗИКС помогает заказчикам разрабатывать и актуализировать полный пакет документации: от политики ИБ и регламентов до актов категорирования и моделей угроз. Это обеспечивает прозрачность и управляемость всего цикла работ. 5. Опыт компании ЗИКС Компания ЗИКС более десяти лет реализует проекты по созданию и сопровождению систем защиты информации в коммерческих организациях и государственных структурах. Наш опыт показывает: Грамотная приоритизация мер позволяет сократить расходы на 20–30% без потери эффективности. Комплексный подход (организационные + технические решения) обеспечивает соответствие требованиям регуляторов с первого раза. Планирование на этапе проектирования помогает избежать внеплановых затрат на этапе внедрения. Мы сопровождаем заказчиков на всех этапах — от аудита и разработки документации до внедрения СЗИ, аттестации и обучения персонала. Заключение Ограниченный бюджет — не препятствие для построения надёжной системы информационной безопасности.Главное — понимать приоритеты, выбирать опытных исполнителей и выстраивать системный подход, где каждая мера приносит измеримый эффект. Компания ЗИКС помогает заказчикам реализовывать проекты по защите информации с оптимальным соотношением стоимости и эффективности, создавая устойчивую основу для цифровой безопасности бизнеса.