УИБ / учебный курс

{{>TOC}}

h1. Управление рисками информационной безопасности

h2. Введение

Представьте, что вы отвечаете за безопасность в компании и перед вами стоит задача: защитить всё от всего. Устанавливаете межсетевые экраны, шифруете диски, внедряете MFA(Multi-Factor Authentication), нанимаете SOC(Security Operations Center)... Бюджет заканчивается, а новые угрозы продолжают появляться каждый день.

Проблема не в нехватке инструментов. Проблема в том, что без системы приоритетов вы защищаете не то, что важнее всего, и тратите деньги не там, где риск наиболее высок.

bq. Управление рисками информационной безопасности --- это процесс, позволяющий принимать _обоснованные_ решения о том, какие угрозы требуют немедленного внимания, какие можно принять, а какие --- передать третьим сторонам.

Именно этот процесс лежит в основе стандарта ISO(International Organization for Standardization) 27001 и является обязательным требованием для любой организации, выстраивающей систему управления информационной безопасностью (СУИБ(Система управления информационной безопасностью)).

---

h2. Основные понятия

Прежде чем описывать процесс, необходимо разобраться с терминологией. В области управления рисками ИБ(Информационная безопасность) все понятия связаны между собой, и путаница в терминах ведёт к ошибочным решениям.

h3. Актив

*Актив* (asset) --- всё, что представляет ценность для организации и требует защиты. Активы делятся на несколько категорий:

* *Информационные*: базы данных клиентов, финансовая отчётность, коммерческая тайна, персональные данные сотрудников

* *Программные*: бизнес-приложения, операционные системы, средства защиты

* *Физические*: серверы, рабочие станции, сетевое оборудование, носители информации

* *Сервисные*: доступ в интернет, электроэнергия, облачные сервисы

* *Кадровые*: сотрудники с их знаниями, опытом и правами доступа

* *Репутационные*: бренд, доверие клиентов, деловая репутация

Важно понимать: один актив может быть носителем другого. Сервер (физический актив) хранит базу данных (информационный актив), а её утрата влечёт репутационный ущерб (репутационный актив).

h3. Угроза, уязвимость и риск

Три ключевых понятия, которые часто путают:

|_.Понятие|_.Определение|_.Пример|

|*Угроза* (Threat)|Потенциальный источник нежелательного события|Хакер, уволенный сотрудник, пожар, программная ошибка|

|*Уязвимость* (Vulnerability)|Слабость актива, которую угроза может использовать|Отсутствие патча, слабый пароль, незащищённый порт|

|*Риск* (Risk)|Вероятность того, что угроза воспользуется уязвимостью, и величина ущерба от этого|Вероятность взлома через незакрытую уязвимость × стоимость простоя|

Взаимосвязь между ними выражается формулой:

p=. @Риск = Угроза × Уязвимость × Ценность актива@

Эта формула объясняет, почему снижение любого из множителей уменьшает итоговый риск. Можно убрать уязвимость (установить патч), снизить ценность актива (обезличить данные) или сделать угрозу менее вероятной (настроить мониторинг и реагирование).

---

h2. Цикл управления рисками

Управление рисками --- не разовое мероприятие, а непрерывный итеративный процесс. Международный стандарт ISO 27005 описывает его в виде пяти последовательных этапов, которые повторяются по мере изменения среды.

!clipboard-202606031123-3j5rl.png!

h3. Этап 1. Установление контекста

На этом этапе определяются границы процесса управления рисками: что именно мы защищаем, в каких условиях работает организация, каковы требования законодательства и бизнеса.

Ключевые вопросы этапа:

* Каков масштаб СУИБ --- вся организация или отдельные подразделения?

* Какие внешние требования применимы (152-ФЗ, ФЗ(Федеральный закон) №187 о КИИ(Критическая информационная инфраструктура), отраслевые стандарты)?

* Каков допустимый уровень риска (risk appetite) для данной организации?

* По каким критериям будет оцениваться ущерб --- финансовым, репутационным, операционным?

Результат этапа --- задокументированные критерии оценки рисков и перечень активов, попадающих в область действия СУИБ.

h3. Этап 2. Идентификация рисков

На этом этапе выявляются все риски, которые могут повлиять на активы организации. Работа ведётся в три шага:

# Инвентаризация активов --- составление реестра всего, что требует защиты, с оценкой ценности каждого актива

# Выявление угроз --- для каждого актива определяются применимые угрозы (используются каталоги угроз: STRIDE(Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge))

# Выявление уязвимостей --- слабые места в процессах, технологиях и людях, которые могут быть использованы угрозами

Практический инструмент --- *реестр рисков* (Risk Register). Это таблица, в которой для каждого выявленного риска фиксируются: идентификатор, описание, владелец риска, связанный актив, угроза, уязвимость.

!clipboard-202606031125-k5gnn.png!

h3. Этап 3. Оценка рисков

Выявленные риски необходимо оценить, чтобы расставить приоритеты. Существуют два основных подхода.

h4. Качественная оценка

Наиболее распространённый метод --- матрица рисков 5×5, в которой каждому риску присваивается уровень вероятности (от «крайне редко» до «постоянно») и уровень воздействия (от «незначительного» до «критического»). Пересечение даёт итоговый уровень риска: низкий, средний или высокий.

Преимущества: быстро, понятно руководству, не требует точных данных.

Недостатки: субъективность оценок, сложность сравнения рисков разных категорий.

!clipboard-202606031125-nerdu.png!

h4. Количественная оценка

Количественные методы выражают риск в денежных единицах. Ключевые метрики:

* *SLE(Single Loss Expectancy)* --- ожидаемые потери от одного инцидента:

@SLE = Ценность актива × EF@, где EF(Exposure Factor) --- доля активов, повреждённых при реализации угрозы (от 0 до 1)

* *ARO(Annual Rate of Occurrence)* --- ожидаемое число инцидентов в год

* *ALE(Annual Loss Expectancy)* --- ожидаемые ежегодные потери:

@ALE = SLE × ARO@

*Пример расчёта.* База данных клиентов оценивается в 10 млн руб. При утечке данных теряется около 30% информации (EF = 0,3), вероятность утечки в год --- 20% (ARO = 0,2).

@SLE = 10 000 000 × 0,3 = 3 000 000 руб.@

@ALE = 3 000 000 × 0,2 = 600 000 руб.@

Если контроль, предотвращающий утечку, стоит 400 000 руб. в год --- он экономически обоснован.

h3. Этап 4. Обработка рисков

По результатам оценки для каждого риска выбирается стратегия обработки. Стандарт ISO 27005 выделяет четыре варианта:

|_.Стратегия|_.Когда применяется|_.Пример|

|*Снижение* (Mitigate)|Риск высокий, контроль экономически оправдан|Внедрение MFA снижает риск компрометации учётных записей|

|*Принятие* (Accept)|Риск низкий или стоимость контроля превышает ущерб|Зафиксировать риск потери флешки --- шифрование дороже возможного ущерба|

|*Передача* (Transfer)|Риск можно застраховать или передать провайдеру|Договор со страховой компанией по киберрискам; Anti-DDoS от провайдера|

|*Избегание* (Avoid)|Деятельность, порождающая риск, не критична для бизнеса|Отказ от самостоятельного хранения платёжных данных в пользу платёжного шлюза|

Важное замечание: *принятие риска --- это осознанное решение руководства*, зафиксированное документально. Оно принципиально отличается от простого игнорирования проблемы.

По итогам этапа составляется *план обработки рисков* (Risk Treatment Plan) --- документ, определяющий конкретные меры, ответственных и сроки реализации.

h3. Этап 5. Мониторинг и пересмотр

Среда угроз меняется: появляются новые уязвимости, изменяется бизнес, внедряются новые технологии. Поэтому оценка рисков не может быть разовой процедурой.

Рекомендуемые практики:

* Плановый пересмотр реестра рисков --- не реже одного раза в год

* Внеплановый пересмотр --- после значимых инцидентов, изменений в инфраструктуре, выхода новых регуляторных требований

* Ключевые индикаторы риска (KRI(Key Risk Indicator)) --- метрики, позволяющие отслеживать изменение уровня риска в реальном времени (например, число попыток несанкционированного доступа, процент систем без актуальных патчей)

---

h2. Реестр рисков: практический инструмент

Реестр рисков --- центральный документ процесса управления рисками. Он объединяет результаты всех этапов и служит рабочим инструментом для специалиста по ИБ и входным документом для аудита.

Минимально необходимые поля реестра:

|_.Поле|_.Описание|

|ID|Уникальный идентификатор риска (например, R-001)|

|Описание риска|Формулировка: «Риск [последствие] вследствие [угроза] через [уязвимость]»|

|Актив|Затрагиваемый актив|

|Угроза|Источник риска|

|Уязвимость|Слабость, используемая угрозой|

|Вероятность|Оценка по шкале 1--5|

|Воздействие|Оценка по шкале 1--5|

|Уровень риска|Произведение вероятности и воздействия или качественная оценка|

|Действующие контроли|Меры, уже снижающие риск|

|Остаточный риск|Уровень риска после применения контролей|

|Стратегия обработки|Снижение / Принятие / Передача / Избегание|

|Владелец риска|Ответственный за управление данным риском|

|Срок исполнения|Дата реализации плана обработки|

|Статус|В работе / Закрыт / Принят|

---

h2. Связь с ISO 27001

Управление рисками является обязательным требованием стандарта ISO 27001. Разделы 6.1.2 и 6.1.3 стандарта прямо предписывают:

* проводить оценку рисков информационной безопасности по задокументированному процессу

* вырабатывать варианты обработки рисков

* определять контроли из Приложения A, необходимые для снижения рисков

Таким образом, результаты оценки рисков напрямую определяют, *какие именно из 93 контролей* (в редакции ISO 27001:2022) организация обязана внедрить. Это делает управление рисками не формальным упражнением, а практическим инструментом проектирования СУИБ.

!clipboard-202606031126-euao9.png!

---

h2. Типичные ошибки при управлении рисками

Даже опытные организации допускают ряд системных ошибок:

# *Оценка «для галочки».* Реестр рисков заполняется раз в год перед аудитом и до следующего года остаётся нетронутым. Риски не пересматриваются после инцидентов и изменений в инфраструктуре.

# *Отсутствие владельцев рисков.* Риск без ответственного лица --- риск, которым никто не управляет. Владелец риска должен быть назначен из числа бизнес-руководителей, а не только IT-персонала.

# *Смешение угроз и рисков.* «Хакер» --- это угроза, а не риск. Риск --- «несанкционированный доступ к базе данных клиентов вследствие использования хакером уязвимости в веб-приложении, что приведёт к штрафам по 152-ФЗ и оттоку клиентов».

# *Игнорирование остаточного риска.* После внедрения контролей риск снижается, но не исчезает полностью. Остаточный риск должен быть задокументирован и принят руководством.

# *Оценка только технических рисков.* Организационные, процессные и кадровые риски (социальная инженерия, ошибки персонала, недобросовестные подрядчики) статистически приносят больший ущерб, чем технические атаки.

---

h2. Контрольные вопросы

# Чем отличаются понятия «угроза», «уязвимость» и «риск»? Приведите пример для каждого.

# Какова формула расчёта ALE(Annual Loss Expectancy) и для чего она применяется?

# Назовите четыре стратегии обработки рисков. В каких случаях целесообразно принять риск?

# Почему управление рисками является итеративным процессом, а не разовой процедурой?

# Как результаты оценки рисков связаны с выбором контролей по ISO 27001?

---

h2. Список литературы и стандартов

* ISO/IEC 27001:2022 --- Информационная безопасность, кибербезопасность и защита конфиденциальности --- Системы управления информационной безопасностью --- Требования

* ISO/IEC 27005:2022 --- Руководство по управлению рисками информационной безопасности

* ISO 31000:2018 --- Менеджмент рисков --- Руководящие указания

* ГОСТ Р ИСО/МЭК 27005-2010 --- Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

* NIST(National Institute of Standards and Technology) SP 800-30 Rev.1 --- Guide for Conducting Risk Assessments

* "MITRE ATT&CK":https://attack.mitre.org --- база знаний тактик и техник атак (используется при идентификации угроз)