• Главная
  • Новости
  • Информационная безопасность в холдинге: как перестать управлять ДЗО вслепую

22.05.2026

Информационная безопасность в холдинге: как перестать управлять ДЗО вслепую

blog picture detail

Одна группа компаний - разные уровни зрелости ИБ


Представьте типичную ситуацию для крупного российского холдинга в 2026 году. Головная компания выстроила зрелую службу ИБ: есть CISO, внедрён SIEM, регулярно проводятся аудиты, документация и соответствие требованиям регуляторов в порядке. А теперь откройте отчёт по любому из десяти ДЗО и с высокой вероятностью увидите иную картину: у одного нет выделенного ИБ-специалиста, у другого критические уязвимости не закрывались полгода, у третьего вовсе нет актуального реестра активов.

Это не халатность, это системная проблема структурного управления. Дочерние общества исторически развивались самостоятельно, у каждого своя инфраструктура, своя история, свои подрядчики и контрагенты. Головная компания физически не может держать под контролем десятки разрозненных ИБ-систем без единого инструмента агрегации. Ответственность за выполнение минимальных требований ИБ в ДЗО несут генеральные директора дочерних компаний, но это не снимает риск с холдинга в целом.

В реалиях 2026 года цена этой разрозненности стала конкретной и измеримой. Штрафы за утечки персональных данных достигли 500 млн рублей, требования к субъектам КИИ ужесточились, а с 1 марта 2026 года новый Приказ ФСТЭК № 117 закрепил обязательный мониторинг состояния защищённости в постоянном режиме, не раз в год, а непрерывно. Одно слабое ДЗО становится точкой входа для атаки на весь холдинг.


Три боли CISO холдинга


Боль 1: Я не знаю, что происходит в дочерних компаниях прямо сейчас

Консолидированная отчётность по ИБ собирается вручную: CISO запрашивает данные у ответственных в каждом ДЗО, те выгружают данные из своих разрозненных систем или заполняют Excel-шаблоны. К моменту, когда отчёт готов, половина данных устарела. Среднее время на ручную подготовку одного цикла отчётности около 15-20 человеко-дней ежеквартально.


Боль 2: Каждое ДЗО живёт по своим стандартам

В одном ДЗО уязвимость считается критической при CVSS ≥ 9, в другом при ≥ 7. В одном выполнены требования по 152-ФЗ, в другом - нет. Унифицировать подход без общей платформы практически невозможно: даже если написать единую политику, контролировать её исполнение становится сложной организационной задачей.


Боль 3: Инцидент в одной з компаний - сюрприз для холдинга

Когда в дочерней компании происходит инцидент, головная структура узнаёт о нём с опозданием, иногда в часах, иногда в сутках. А по требованиям 187-ФЗ уведомить ГосСОПКА необходимо в строго установленный срок. Промедление = нарушение, нарушение = протокол, протокол = административная ответственность.

Как SECURITM решает задачу холдинга


Архитектура SECURITM изначально создавалась с поддержкой возможности развернуть отдельные изолированные рабочие пространства для каждого ДЗО в рамках единой системы. Это не просто разграничение прав доступа: у каждой дочерней организации своя база активов, свои требования, свои риски, свои задачи, при этом управляющая компания может видеть сводную картину по всей группе в одном дашборде.


Единый реестр активов по всей группе

Фундамент всей работы в SECURITM - модуль активов (AM). Каждое ДЗО ведёт свой реестр: серверы, АСУ ТП, бизнес-приложения, сетевое оборудование, ПО. Данные обогащаются автоматически через интеграции с Active Directory, Kaspersky Security Center, MaxPatrol VM, Zabbix и ещё более чем 40 источниками. Управляющая компания получает агрегированную картину: сколько активов в группе, где критические узлы, у каких ДЗО реестр неполный.

Именно реестр активов становится отправной точкой для всей дальнейшей работы: на его базе строятся метрики защищённости, рассчитываются риски, проверяется соответствие требованиям.


Консолидированная отчётность по требованиям

Модуль требований содержит 200+ нормативных документов, от 152-ФЗ и 187-ФЗ до ГОСТ Р 57580, Приказов ФСТЭК № 235 и № 239. Каждое требование привязано к конкретным активам и мерам защиты в реестре конкретного ДЗО.

При использовании SECURITM CISO холдинга видит единую карту соответствия не со слов ответственного, а конкретный процент выполнения по каждому стандарту в каждом ДЗО. Для отстающих дочерних компаний список конкретных невыполненных требований с ответственными и сроками.


bottom picture detail bottom second picture detail

Метрики без ручной аналитики

Модуль метрик строится на базе данных из реестра активов через механизм телеметрии. Для каждого ДЗО можно настроить собственный набор метрик: покрытие антивирусной защитой, доля активов с устаревшим ПО, количество критических уязвимостей, среднее время закрытия инцидента и т.д. Управляющая компания получает агрегированные показатели по группе в режиме реального времени, без сбора данных вручную.

Пороговые значения метрик напрямую влияют на статусы рисков и защитных мер: если покрытие АВЗ опускается ниже порога «Хорошо», соответствующий риск автоматически повышает приоритет, также они являются триггерами, запускающими автоматические процессы внутри системы:

  • При обнаружении нового устройства в AD дочернего общества автоматически ставится задача ответственному на его классификацию и внесение в реестр

  • При изменении метрики соответствия ниже порогового значения происходит уведомление CISO управляющей компании и постановка задачи в ДЗО

  • При регистрации инцидента на объекте КИИ запускается автоматический плейбук с задачами по уведомлению ГосСОПКА в установленный срок 

Реальный сценарий: как это работает в холдинге

Ситуация: промышленный холдинг с 8 ДЗО в разных регионах. Три из них - субъекты КИИ. Готовятся к плановой проверке ФСТЭК через месяц.


До SECURITM: CISO запрашивает данные у ответственных в каждом ДЗО. Получает 8 Excel-файлов в разных форматах. Тратит неделю на сведение. Выясняет, что у двух ДЗО не актуализированы сведения об объектах - IP-адреса изменились после миграции серверов. Начинается авральная подготовка.


С SECURITM: CISO открывает сводный дашборд холдинга. Видит, что у 2 ДЗО метрика «Соответствие Приказу ФСТЭК № 239» в красной зоне, конкретные невыполненные требования с указанием ответственных. RPA-триггер уже отправил уведомления в ДЗО 3 дня назад. Задачи на устранение поставлены. До проверки остается три недели, время на подготовку есть.


Что получает каждый участник процесса

Роль

Без SECURITM

С SECURITM

CISO холдинга


Ручной сбор данных из ДЗО неделями


Сводный дашборд в реальном времени


Ответственный за ИБ в ДЗО


Изолирован, нет стандарта


Единая платформа, методология холдинга


Методолог ИБ


Готовит отчёты для каждого ДЗО отдельно


Единый шаблон, автовыгрузка по группе


Генеральный директор ДЗО


Не знает своих рисков


Видит свой уровень зрелости ИБ


Юридическая служба


Нет доказательной базы при проверках


Хранилище выполненных требований



 

Быстрый старт для холдинга

Внедрение начинается с пилота в одном-двух ДЗО, это занимает 6 недель. После отработки методологии тиражирование на остальные дочерние компании происходит значительно быстрее: структура платформы уже настроена, остаётся подключить интеграции и перенести реестр активов.

Начните с одного ДЗО. Уже через шесть недель CISO получит первую честную картину его защищённости и поймёт, насколько она отличается от того, что писали в отчётах.