Проект

Общее

Профиль

Действия
История

Wiki » ISM »

Управление рисками информационной безопасности

Введение

Представьте, что вы отвечаете за безопасность в компании и перед вами стоит задача: защитить всё от всего. Устанавливаете межсетевые экраны, шифруете диски, внедряете MFA, нанимаете SOC... Бюджет заканчивается, а новые угрозы продолжают появляться каждый день.

Проблема не в нехватке инструментов. Проблема в том, что без системы приоритетов вы защищаете не то, что важнее всего, и тратите деньги не там, где риск наиболее высок.

Управление рисками информационной безопасности — это процесс, позволяющий принимать обоснованные решения о том, какие угрозы требуют немедленного внимания, какие можно принять, а какие — передать третьим сторонам.

Именно этот процесс лежит в основе стандарта ISO 27001 и является обязательным требованием для любой организации, выстраивающей СУИБ. Без него ISO 27001 — просто набор требований без понимания, какие из них применимы именно к вашей организации.

Эта тема опирается на понятия из 1. Основные понятия (активы, угрозы, уязвимости) и 2. Угрозы, а результаты оценки рисков напрямую определяют состав контролей при 6. Создание СУИБ.

Основные понятия

Прежде чем описывать процесс, необходимо разобраться с терминологией. В области управления рисками ИБ все понятия связаны между собой, и путаница в терминах ведёт к ошибочным решениям.

Актив

Актив (asset) — всё, что представляет ценность для организации и требует защиты. Активы делятся на несколько категорий:

Категория Примеры
Информационные Базы данных клиентов, финансовая отчётность, коммерческая тайна, персональные данные
Программные Бизнес-приложения, операционные системы, средства защиты
Физические Серверы, рабочие станции, сетевое оборудование, носители информации
Сервисные Доступ в интернет, электроэнергия, облачные сервисы
Кадровые Сотрудники с их знаниями, опытом и правами доступа
Репутационные Бренд, доверие клиентов, деловая репутация

Важно понимать: один актив может быть носителем другого. Сервер (физический актив) хранит базу данных (информационный актив), а её утрата влечёт репутационный ущерб (репутационный актив).

Угроза, уязвимость и риск

Три ключевых понятия, которые часто путают:

Понятие Определение Пример
Угроза (Threat) Потенциальный источник нежелательного события Хакер, уволенный сотрудник, пожар, программная ошибка
Уязвимость (Vulnerability) Слабость актива, которую угроза может использовать Отсутствие патча, слабый пароль, незащищённый порт
Риск (Risk) Вероятность того, что угроза воспользуется уязвимостью, и величина ущерба от этого Вероятность взлома через незакрытую уязвимость × стоимость простоя

Взаимосвязь между ними выражается формулой:

Риск = Угроза × Уязвимость × Ценность актива

Эта формула объясняет, почему снижение любого из множителей уменьшает итоговый риск. Можно убрать уязвимость (установить патч), снизить ценность актива (обезличить данные) или сделать угрозу менее вероятной (настроить мониторинг и реагирование).

Подробная классификация угроз и уязвимостей — в теме 2. Угрозы. Каталоги угроз STRIDE и MITRE ATT&CK используются на этапе идентификации рисков.

Цикл управления рисками по ISO 27005

Управление рисками — не разовое мероприятие, а непрерывный итеративный процесс. Международный стандарт ISO 27005 описывает его в виде пяти последовательных этапов, которые повторяются по мере изменения среды.

Этап 1. Установление контекста

На этом этапе определяются границы процесса управления рисками: что именно защищаем, в каких условиях работает организация, каковы требования законодательства и бизнеса.

Ключевые вопросы этапа:
  • Каков масштаб СУИБ — вся организация или отдельные подразделения?
  • Какие внешние требования применимы (152-ФЗ, ФЗ №187 о КИИ, отраслевые стандарты)?
  • Каков допустимый уровень риска для данной организации?
  • По каким критериям будет оцениваться ущерб — финансовым, репутационным, операционным?

Результат этапа — задокументированные критерии оценки рисков и перечень активов, попадающих в область действия СУИБ.

Этап 2. Идентификация рисков

На этом этапе выявляются все риски, которые могут повлиять на активы организации. Работа ведётся в три шага:

  1. Инвентаризация активов — составление реестра всего, что требует защиты, с оценкой ценности каждого актива.
  2. Выявление угроз — для каждого актива определяются применимые угрозы (используются каталоги: STRIDE, MITRE ATT&CK).
  3. Выявление уязвимостей — слабые места в процессах, технологиях и людях, которые могут быть использованы угрозами.

Практический инструмент — реестр рисков (Risk Register): таблица, в которой для каждого выявленного риска фиксируются идентификатор, описание, владелец, связанный актив, угроза, уязвимость.

Этап 3. Оценка рисков

Выявленные риски необходимо оценить, чтобы расставить приоритеты. Существуют два основных подхода.

Качественная оценка

Наиболее распространённый метод — матрица рисков 5×5. Каждому риску присваивается уровень вероятности (от «крайне редко» до «постоянно») и уровень воздействия (от «незначительного» до «критического»). Пересечение даёт итоговый уровень: низкий, средний или высокий.

Преимущества: быстро, понятно руководству, не требует точных данных. Недостатки: субъективность оценок, сложность сравнения рисков разных категорий.

Количественная оценка

Количественные методы выражают риск в денежных единицах. Ключевые метрики:

SLE — ожидаемые потери от одного инцидента:
SLE = Ценность актива × EF, где EF — доля актива, повреждённая при реализации угрозы (от 0 до 1).

ARO — ожидаемое число инцидентов в год.

ALE — ожидаемые ежегодные потери:
ALE = SLE × ARO

Пример расчёта. База данных клиентов оценивается в 10 млн руб. При утечке теряется около 30% информации (EF = 0,3), вероятность утечки в год — 20% (ARO = 0,2).

SLE = 10 000 000 × 0,3 = 3 000 000 руб.
ALE = 3 000 000 × 0,2 = 600 000 руб.

Если контроль, предотвращающий утечку, стоит 400 000 руб. в год — он экономически обоснован.

Этап 4. Обработка рисков

По результатам оценки для каждого риска выбирается стратегия обработки. ISO 27005 выделяет четыре варианта:

Стратегия Когда применяется Пример
Снижение (Mitigate) Риск высокий, контроль экономически оправдан Внедрение MFA снижает риск компрометации учётных записей
Принятие (Accept) Риск низкий или стоимость контроля превышает ущерб Зафиксировать риск потери флешки — шифрование дороже возможного ущерба
Передача (Transfer) Риск можно застраховать или передать провайдеру Договор со страховой по киберрискам; Anti-DDoS от провайдера
Избегание (Avoid) Деятельность, порождающая риск, не критична для бизнеса Отказ от самостоятельного хранения платёжных данных в пользу платёжного шлюза

Принятие риска — это осознанное решение руководства, зафиксированное документально. Оно принципиально отличается от простого игнорирования проблемы.

По итогам этапа составляется план обработки рисков (Risk Treatment Plan) — документ с конкретными мерами, ответственными и сроками реализации.

Этап 5. Мониторинг и пересмотр

Среда угроз меняется: появляются новые уязвимости, изменяется бизнес, внедряются новые технологии. Поэтому оценка рисков не может быть разовой процедурой.

Рекомендуемые практики:
  • плановый пересмотр реестра рисков — не реже одного раза в год;
  • внеплановый пересмотр — после значимых инцидентов, изменений в инфраструктуре, выхода новых регуляторных требований;
  • ключевые индикаторы риска (KRI) — метрики для отслеживания изменения уровня риска в реальном времени (например, число попыток несанкционированного доступа, процент систем без актуальных патчей).

Реестр рисков: практический инструмент

Реестр рисков — центральный документ процесса управления рисками. Он объединяет результаты всех этапов, служит рабочим инструментом специалиста по ИБ и входным документом для аудита.

Минимально необходимые поля реестра:

Поле Описание
ID Уникальный идентификатор (например, R-001)
Описание риска «Риск [последствие] вследствие [угроза] через [уязвимость]»
Актив Затрагиваемый актив
Угроза Источник риска
Уязвимость Слабость, используемая угрозой
Вероятность Оценка по шкале 1–5
Воздействие Оценка по шкале 1–5
Уровень риска Произведение вероятности и воздействия или качественная оценка
Действующие контроли Меры, уже снижающие риск
Остаточный риск Уровень риска после применения контролей
Стратегия обработки Снижение / Принятие / Передача / Избегание
Владелец риска Ответственный за управление данным риском
Срок исполнения Дата реализации плана обработки
Статус В работе / Закрыт / Принят

Связь с ISO 27001

Управление рисками — обязательное требование ISO 27001. Разделы 6.1.2 и 6.1.3 стандарта прямо предписывают: проводить оценку рисков по задокументированному процессу, вырабатывать варианты обработки и определять контроли из Приложения A, необходимые для снижения рисков.

Таким образом, результаты оценки рисков напрямую определяют, какие именно из 93 контролей (в редакции ISO 27001:2022) организация обязана внедрить. Это делает управление рисками не формальным упражнением, а практическим инструментом проектирования СУИБ.

Подробно о том, как контроли отражаются в SOA и какие документы при этом создаются, — в теме 6. Создание СУИБ. Нормативная база процесса — 4. Стандарты управления.

Что дальше

Оценка рисков — основа для всех последующих решений. Следующий шаг — практическое построение СУИБ: как перейти от реестра рисков к работающей системе управления.

Список литературы и стандартов

  • ISO/IEC 27001:2022 — Требования к системам управления информационной безопасностью
  • ISO/IEC 27005:2022 — Руководство по управлению рисками информационной безопасности
  • ISO 31000:2018 — Менеджмент рисков. Руководящие указания
  • ГОСТ Р ИСО/МЭК 27005-2010 — Менеджмент риска информационной безопасности
  • NIST SP 800-30 Rev.1 — Guide for Conducting Risk Assessments
  • MITRE ATT&CK — база знаний тактик и техник атак
  • ФСТЭК России — Банк данных угроз — актуальный реестр угроз для российских ИС

Обновлено С. Антошкин 1 день назад · 8 изменени(я, ий)