• Содержание
• Управление рисками информационной безопасности
  • Введение
  • Основные понятия
    • Актив
    • Угроза, уязвимость и риск
  • Цикл управления рисками
    • Этап 1. Установление контекста
    • Этап 2. Идентификация рисков
    • Этап 3. Оценка рисков
      • Качественная оценка
      • Количественная оценка
    • Этап 4. Обработка рисков
    • Этап 5. Мониторинг и пересмотр
  • Реестр рисков: практический инструмент
  • Связь с ISO 27001
  • Типичные ошибки при управлении рисками
  • Контрольные вопросы
  • Список литературы и стандартов

Управление рисками информационной безопасности¶

Введение¶

Представьте, что вы отвечаете за безопасность в компании и перед вами стоит задача: защитить всё от всего. Устанавливаете межсетевые экраны, шифруете диски, внедряете MFA, нанимаете SOC... Бюджет заканчивается, а новые угрозы продолжают появляться каждый день.

Проблема не в нехватке инструментов. Проблема в том, что без системы приоритетов вы защищаете не то, что важнее всего, и тратите деньги не там, где риск наиболее высок.

Управление рисками информационной безопасности --- это процесс, позволяющий принимать обоснованные решения о том, какие угрозы требуют немедленного внимания, какие можно принять, а какие --- передать третьим сторонам.

Именно этот процесс лежит в основе стандарта ISO 27001 и является обязательным требованием для любой организации, выстраивающей систему управления информационной безопасностью (СУИБ(Система управления информационной безопасностью)).

---

Основные понятия¶

Прежде чем описывать процесс, необходимо разобраться с терминологией. В области управления рисками ИБ(Информационная безопасность) все понятия связаны между собой, и путаница в терминах ведёт к ошибочным решениям.

Актив¶

Актив (asset) --- всё, что представляет ценность для организации и требует защиты. Активы делятся на несколько категорий:

• Информационные: базы данных клиентов, финансовая отчётность, коммерческая тайна, персональные данные сотрудников
• Программные: бизнес-приложения, операционные системы, средства защиты
• Физические: серверы, рабочие станции, сетевое оборудование, носители информации
• Сервисные: доступ в интернет, электроэнергия, облачные сервисы
• Кадровые: сотрудники с их знаниями, опытом и правами доступа
• Репутационные: бренд, доверие клиентов, деловая репутация

Важно понимать: один актив может быть носителем другого. Сервер (физический актив) хранит базу данных (информационный актив), а её утрата влечёт репутационный ущерб (репутационный актив).

Угроза, уязвимость и риск¶

Три ключевых понятия, которые часто путают:

Понятие	Определение	Пример
Угроза (Threat)	Потенциальный источник нежелательного события	Хакер, уволенный сотрудник, пожар, программная ошибка
Уязвимость (Vulnerability)	Слабость актива, которую угроза может использовать	Отсутствие патча, слабый пароль, незащищённый порт
Риск (Risk)	Вероятность того, что угроза воспользуется уязвимостью, и величина ущерба от этого	Вероятность взлома через незакрытую уязвимость × стоимость простоя

Взаимосвязь между ними выражается формулой:

Риск = Угроза × Уязвимость × Ценность актива

Эта формула объясняет, почему снижение любого из множителей уменьшает итоговый риск. Можно убрать уязвимость (установить патч), снизить ценность актива (обезличить данные) или сделать угрозу менее вероятной (настроить мониторинг и реагирование).

---

Цикл управления рисками¶

Управление рисками --- не разовое мероприятие, а непрерывный итеративный процесс. Международный стандарт ISO 27005 описывает его в виде пяти последовательных этапов, которые повторяются по мере изменения среды.

Этап 1. Установление контекста¶

На этом этапе определяются границы процесса управления рисками: что именно мы защищаем, в каких условиях работает организация, каковы требования законодательства и бизнеса.

Ключевые вопросы этапа:

• Каков масштаб СУИБ --- вся организация или отдельные подразделения?
• Какие внешние требования применимы (152-ФЗ, ФЗ(Федеральный закон) №187 о КИИ(Критическая информационная инфраструктура), отраслевые стандарты)?
• Каков допустимый уровень риска (risk appetite) для данной организации?
• По каким критериям будет оцениваться ущерб --- финансовым, репутационным, операционным?

Результат этапа --- задокументированные критерии оценки рисков и перечень активов, попадающих в область действия СУИБ.

Этап 2. Идентификация рисков¶

На этом этапе выявляются все риски, которые могут повлиять на активы организации. Работа ведётся в три шага:

1. Инвентаризация активов --- составление реестра всего, что требует защиты, с оценкой ценности каждого актива
2. Выявление угроз --- для каждого актива определяются применимые угрозы (используются каталоги угроз: STRIDE, MITRE ATT&CK)
3. Выявление уязвимостей --- слабые места в процессах, технологиях и людях, которые могут быть использованы угрозами

Практический инструмент --- реестр рисков (Risk Register). Это таблица, в которой для каждого выявленного риска фиксируются: идентификатор, описание, владелец риска, связанный актив, угроза, уязвимость.

Этап 3. Оценка рисков¶

Выявленные риски необходимо оценить, чтобы расставить приоритеты. Существуют два основных подхода.

Качественная оценка¶

Наиболее распространённый метод --- матрица рисков 5×5, в которой каждому риску присваивается уровень вероятности (от «крайне редко» до «постоянно») и уровень воздействия (от «незначительного» до «критического»). Пересечение даёт итоговый уровень риска: низкий, средний или высокий.

Преимущества: быстро, понятно руководству, не требует точных данных.
Недостатки: субъективность оценок, сложность сравнения рисков разных категорий.

Количественная оценка¶

Количественные методы выражают риск в денежных единицах. Ключевые метрики:

• SLE --- ожидаемые потери от одного инцидента:
  SLE = Ценность актива × EF, где EF --- доля активов, повреждённых при реализации угрозы (от 0 до 1)

• ARO --- ожидаемое число инцидентов в год

• ALE --- ожидаемые ежегодные потери:
  ALE = SLE × ARO

Пример расчёта. База данных клиентов оценивается в 10 млн руб. При утечке данных теряется около 30% информации (EF = 0,3), вероятность утечки в год --- 20% (ARO = 0,2).

SLE = 10 000 000 × 0,3 = 3 000 000 руб.
ALE = 3 000 000 × 0,2 = 600 000 руб.

Если контроль, предотвращающий утечку, стоит 400 000 руб. в год --- он экономически обоснован.

Этап 4. Обработка рисков¶

По результатам оценки для каждого риска выбирается стратегия обработки. Стандарт ISO 27005 выделяет четыре варианта:

Стратегия	Когда применяется	Пример
Снижение (Mitigate)	Риск высокий, контроль экономически оправдан	Внедрение MFA снижает риск компрометации учётных записей
Принятие (Accept)	Риск низкий или стоимость контроля превышает ущерб	Зафиксировать риск потери флешки --- шифрование дороже возможного ущерба
Передача (Transfer)	Риск можно застраховать или передать провайдеру	Договор со страховой компанией по киберрискам; Anti-DDoS от провайдера
Избегание (Avoid)	Деятельность, порождающая риск, не критична для бизнеса	Отказ от самостоятельного хранения платёжных данных в пользу платёжного шлюза

Важное замечание: принятие риска --- это осознанное решение руководства, зафиксированное документально. Оно принципиально отличается от простого игнорирования проблемы.

По итогам этапа составляется план обработки рисков (Risk Treatment Plan) --- документ, определяющий конкретные меры, ответственных и сроки реализации.

Этап 5. Мониторинг и пересмотр¶

Среда угроз меняется: появляются новые уязвимости, изменяется бизнес, внедряются новые технологии. Поэтому оценка рисков не может быть разовой процедурой.

Рекомендуемые практики:

• Плановый пересмотр реестра рисков --- не реже одного раза в год
• Внеплановый пересмотр --- после значимых инцидентов, изменений в инфраструктуре, выхода новых регуляторных требований
• Ключевые индикаторы риска (KRI) --- метрики, позволяющие отслеживать изменение уровня риска в реальном времени (например, число попыток несанкционированного доступа, процент систем без актуальных патчей)

---

Реестр рисков: практический инструмент¶

Реестр рисков --- центральный документ процесса управления рисками. Он объединяет результаты всех этапов и служит рабочим инструментом для специалиста по ИБ и входным документом для аудита.

Минимально необходимые поля реестра:

Поле	Описание
ID	Уникальный идентификатор риска (например, R-001)
Описание риска	Формулировка: «Риск [последствие] вследствие [угроза] через [уязвимость]»
Актив	Затрагиваемый актив
Угроза	Источник риска
Уязвимость	Слабость, используемая угрозой
Вероятность	Оценка по шкале 1--5
Воздействие	Оценка по шкале 1--5
Уровень риска	Произведение вероятности и воздействия или качественная оценка
Действующие контроли	Меры, уже снижающие риск
Остаточный риск	Уровень риска после применения контролей
Стратегия обработки	Снижение / Принятие / Передача / Избегание
Владелец риска	Ответственный за управление данным риском
Срок исполнения	Дата реализации плана обработки
Статус	В работе / Закрыт / Принят

---

Связь с ISO 27001¶

Управление рисками является обязательным требованием стандарта ISO 27001. Разделы 6.1.2 и 6.1.3 стандарта прямо предписывают:

• проводить оценку рисков информационной безопасности по задокументированному процессу
• вырабатывать варианты обработки рисков
• определять контроли из Приложения A, необходимые для снижения рисков

Таким образом, результаты оценки рисков напрямую определяют, какие именно из 93 контролей (в редакции ISO 27001:2022) организация обязана внедрить. Это делает управление рисками не формальным упражнением, а практическим инструментом проектирования СУИБ.

---

Типичные ошибки при управлении рисками¶

Даже опытные организации допускают ряд системных ошибок:

1. Оценка «для галочки». Реестр рисков заполняется раз в год перед аудитом и до следующего года остаётся нетронутым. Риски не пересматриваются после инцидентов и изменений в инфраструктуре.

1. Отсутствие владельцев рисков. Риск без ответственного лица --- риск, которым никто не управляет. Владелец риска должен быть назначен из числа бизнес-руководителей, а не только IT-персонала.

1. Смешение угроз и рисков. «Хакер» --- это угроза, а не риск. Риск --- «несанкционированный доступ к базе данных клиентов вследствие использования хакером уязвимости в веб-приложении, что приведёт к штрафам по 152-ФЗ и оттоку клиентов».

1. Игнорирование остаточного риска. После внедрения контролей риск снижается, но не исчезает полностью. Остаточный риск должен быть задокументирован и принят руководством.

1. Оценка только технических рисков. Организационные, процессные и кадровые риски (социальная инженерия, ошибки персонала, недобросовестные подрядчики) статистически приносят больший ущерб, чем технические атаки.

---

Контрольные вопросы¶

1. Чем отличаются понятия «угроза», «уязвимость» и «риск»? Приведите пример для каждого.
2. Какова формула расчёта ALE и для чего она применяется?
3. Назовите четыре стратегии обработки рисков. В каких случаях целесообразно принять риск?
4. Почему управление рисками является итеративным процессом, а не разовой процедурой?
5. Как результаты оценки рисков связаны с выбором контролей по ISO 27001?

---

Список литературы и стандартов¶

• ISO/IEC 27001:2022 --- Информационная безопасность, кибербезопасность и защита конфиденциальности --- Системы управления информационной безопасностью --- Требования
• ISO/IEC 27005:2022 --- Руководство по управлению рисками информационной безопасности
• ISO 31000:2018 --- Менеджмент рисков --- Руководящие указания
• ГОСТ Р ИСО/МЭК 27005-2010 --- Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
• NIST SP 800-30 Rev.1 --- Guide for Conducting Risk Assessments
• MITRE ATT&CK --- база знаний тактик и техник атак (используется при идентификации угроз)