Управление рисками информационной безопасности » История » Редакция 2
Редакция 1 (С. Антошкин, 03.06.2026 08:26) → Редакция 2/8 (С. Антошкин, 03.06.2026 08:26)
{{>TOC}} {{TOC}} h1. Управление рисками информационной безопасности h2. Введение Представьте, что вы отвечаете за безопасность в компании и перед вами стоит задача: защитить всё от всего. Устанавливаете межсетевые экраны, шифруете диски, внедряете MFA(Multi-Factor Authentication), нанимаете SOC(Security Operations Center)... Бюджет заканчивается, а новые угрозы продолжают появляться каждый день. Проблема не в нехватке инструментов. Проблема в том, что без системы приоритетов вы защищаете не то, что важнее всего, и тратите деньги не там, где риск наиболее высок. bq. Управление рисками информационной безопасности --- это процесс, позволяющий принимать _обоснованные_ решения о том, какие угрозы требуют немедленного внимания, какие можно принять, а какие --- передать третьим сторонам. Именно этот процесс лежит в основе стандарта ISO(International Organization for Standardization) 27001 и является обязательным требованием для любой организации, выстраивающей систему управления информационной безопасностью (СУИБ(Система управления информационной безопасностью)). --- h2. Основные понятия Прежде чем описывать процесс, необходимо разобраться с терминологией. В области управления рисками ИБ(Информационная безопасность) все понятия связаны между собой, и путаница в терминах ведёт к ошибочным решениям. h3. Актив *Актив* (asset) --- всё, что представляет ценность для организации и требует защиты. Активы делятся на несколько категорий: * *Информационные*: базы данных клиентов, финансовая отчётность, коммерческая тайна, персональные данные сотрудников * *Программные*: бизнес-приложения, операционные системы, средства защиты * *Физические*: серверы, рабочие станции, сетевое оборудование, носители информации * *Сервисные*: доступ в интернет, электроэнергия, облачные сервисы * *Кадровые*: сотрудники с их знаниями, опытом и правами доступа * *Репутационные*: бренд, доверие клиентов, деловая репутация Важно понимать: один актив может быть носителем другого. Сервер (физический актив) хранит базу данных (информационный актив), а её утрата влечёт репутационный ущерб (репутационный актив). h3. Угроза, уязвимость и риск Три ключевых понятия, которые часто путают: |_.Понятие|_.Определение|_.Пример| |*Угроза* (Threat)|Потенциальный источник нежелательного события|Хакер, уволенный сотрудник, пожар, программная ошибка| |*Уязвимость* (Vulnerability)|Слабость актива, которую угроза может использовать|Отсутствие патча, слабый пароль, незащищённый порт| |*Риск* (Risk)|Вероятность того, что угроза воспользуется уязвимостью, и величина ущерба от этого|Вероятность взлома через незакрытую уязвимость × стоимость простоя| Взаимосвязь между ними выражается формулой: p=. @Риск = Угроза × Уязвимость × Ценность актива@ Эта формула объясняет, почему снижение любого из множителей уменьшает итоговый риск. Можно убрать уязвимость (установить патч), снизить ценность актива (обезличить данные) или сделать угрозу менее вероятной (настроить мониторинг и реагирование). --- h2. Цикл управления рисками Управление рисками --- не разовое мероприятие, а непрерывный итеративный процесс. Международный стандарт ISO 27005 описывает его в виде пяти последовательных этапов, которые повторяются по мере изменения среды. !clipboard-202606031123-3j5rl.png! h3. Этап 1. Установление контекста На этом этапе определяются границы процесса управления рисками: что именно мы защищаем, в каких условиях работает организация, каковы требования законодательства и бизнеса. Ключевые вопросы этапа: * Каков масштаб СУИБ --- вся организация или отдельные подразделения? * Какие внешние требования применимы (152-ФЗ, ФЗ(Федеральный закон) №187 о КИИ(Критическая информационная инфраструктура), отраслевые стандарты)? * Каков допустимый уровень риска (risk appetite) для данной организации? * По каким критериям будет оцениваться ущерб --- финансовым, репутационным, операционным? Результат этапа --- задокументированные критерии оценки рисков и перечень активов, попадающих в область действия СУИБ. h3. Этап 2. Идентификация рисков На этом этапе выявляются все риски, которые могут повлиять на активы организации. Работа ведётся в три шага: # Инвентаризация активов --- составление реестра всего, что требует защиты, с оценкой ценности каждого актива # Выявление угроз --- для каждого актива определяются применимые угрозы (используются каталоги угроз: STRIDE(Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)) # Выявление уязвимостей --- слабые места в процессах, технологиях и людях, которые могут быть использованы угрозами Практический инструмент --- *реестр рисков* (Risk Register). Это таблица, в которой для каждого выявленного риска фиксируются: идентификатор, описание, владелец риска, связанный актив, угроза, уязвимость. !clipboard-202606031125-k5gnn.png! h3. Этап 3. Оценка рисков Выявленные риски необходимо оценить, чтобы расставить приоритеты. Существуют два основных подхода. h4. Качественная оценка Наиболее распространённый метод --- матрица рисков 5×5, в которой каждому риску присваивается уровень вероятности (от «крайне редко» до «постоянно») и уровень воздействия (от «незначительного» до «критического»). Пересечение даёт итоговый уровень риска: низкий, средний или высокий. Преимущества: быстро, понятно руководству, не требует точных данных. Недостатки: субъективность оценок, сложность сравнения рисков разных категорий. !clipboard-202606031125-nerdu.png! h4. Количественная оценка Количественные методы выражают риск в денежных единицах. Ключевые метрики: * *SLE(Single Loss Expectancy)* --- ожидаемые потери от одного инцидента: @SLE = Ценность актива × EF@, где EF(Exposure Factor) --- доля активов, повреждённых при реализации угрозы (от 0 до 1) * *ARO(Annual Rate of Occurrence)* --- ожидаемое число инцидентов в год * *ALE(Annual Loss Expectancy)* --- ожидаемые ежегодные потери: @ALE = SLE × ARO@ *Пример расчёта.* База данных клиентов оценивается в 10 млн руб. При утечке данных теряется около 30% информации (EF = 0,3), вероятность утечки в год --- 20% (ARO = 0,2). @SLE = 10 000 000 × 0,3 = 3 000 000 руб.@ @ALE = 3 000 000 × 0,2 = 600 000 руб.@ Если контроль, предотвращающий утечку, стоит 400 000 руб. в год --- он экономически обоснован. h3. Этап 4. Обработка рисков По результатам оценки для каждого риска выбирается стратегия обработки. Стандарт ISO 27005 выделяет четыре варианта: |_.Стратегия|_.Когда применяется|_.Пример| |*Снижение* (Mitigate)|Риск высокий, контроль экономически оправдан|Внедрение MFA снижает риск компрометации учётных записей| |*Принятие* (Accept)|Риск низкий или стоимость контроля превышает ущерб|Зафиксировать риск потери флешки --- шифрование дороже возможного ущерба| |*Передача* (Transfer)|Риск можно застраховать или передать провайдеру|Договор со страховой компанией по киберрискам; Anti-DDoS от провайдера| |*Избегание* (Avoid)|Деятельность, порождающая риск, не критична для бизнеса|Отказ от самостоятельного хранения платёжных данных в пользу платёжного шлюза| Важное замечание: *принятие риска --- это осознанное решение руководства*, зафиксированное документально. Оно принципиально отличается от простого игнорирования проблемы. По итогам этапа составляется *план обработки рисков* (Risk Treatment Plan) --- документ, определяющий конкретные меры, ответственных и сроки реализации. h3. Этап 5. Мониторинг и пересмотр Среда угроз меняется: появляются новые уязвимости, изменяется бизнес, внедряются новые технологии. Поэтому оценка рисков не может быть разовой процедурой. Рекомендуемые практики: * Плановый пересмотр реестра рисков --- не реже одного раза в год * Внеплановый пересмотр --- после значимых инцидентов, изменений в инфраструктуре, выхода новых регуляторных требований * Ключевые индикаторы риска (KRI(Key Risk Indicator)) --- метрики, позволяющие отслеживать изменение уровня риска в реальном времени (например, число попыток несанкционированного доступа, процент систем без актуальных патчей) --- h2. Реестр рисков: практический инструмент Реестр рисков --- центральный документ процесса управления рисками. Он объединяет результаты всех этапов и служит рабочим инструментом для специалиста по ИБ и входным документом для аудита. Минимально необходимые поля реестра: |_.Поле|_.Описание| |ID|Уникальный идентификатор риска (например, R-001)| |Описание риска|Формулировка: «Риск [последствие] вследствие [угроза] через [уязвимость]»| |Актив|Затрагиваемый актив| |Угроза|Источник риска| |Уязвимость|Слабость, используемая угрозой| |Вероятность|Оценка по шкале 1--5| |Воздействие|Оценка по шкале 1--5| |Уровень риска|Произведение вероятности и воздействия или качественная оценка| |Действующие контроли|Меры, уже снижающие риск| |Остаточный риск|Уровень риска после применения контролей| |Стратегия обработки|Снижение / Принятие / Передача / Избегание| |Владелец риска|Ответственный за управление данным риском| |Срок исполнения|Дата реализации плана обработки| |Статус|В работе / Закрыт / Принят| --- h2. Связь с ISO 27001 Управление рисками является обязательным требованием стандарта ISO 27001. Разделы 6.1.2 и 6.1.3 стандарта прямо предписывают: * проводить оценку рисков информационной безопасности по задокументированному процессу * вырабатывать варианты обработки рисков * определять контроли из Приложения A, необходимые для снижения рисков Таким образом, результаты оценки рисков напрямую определяют, *какие именно из 93 контролей* (в редакции ISO 27001:2022) организация обязана внедрить. Это делает управление рисками не формальным упражнением, а практическим инструментом проектирования СУИБ. !clipboard-202606031126-euao9.png! --- h2. Типичные ошибки при управлении рисками Даже опытные организации допускают ряд системных ошибок: # *Оценка «для галочки».* Реестр рисков заполняется раз в год перед аудитом и до следующего года остаётся нетронутым. Риски не пересматриваются после инцидентов и изменений в инфраструктуре. # *Отсутствие владельцев рисков.* Риск без ответственного лица --- риск, которым никто не управляет. Владелец риска должен быть назначен из числа бизнес-руководителей, а не только IT-персонала. # *Смешение угроз и рисков.* «Хакер» --- это угроза, а не риск. Риск --- «несанкционированный доступ к базе данных клиентов вследствие использования хакером уязвимости в веб-приложении, что приведёт к штрафам по 152-ФЗ и оттоку клиентов». # *Игнорирование остаточного риска.* После внедрения контролей риск снижается, но не исчезает полностью. Остаточный риск должен быть задокументирован и принят руководством. # *Оценка только технических рисков.* Организационные, процессные и кадровые риски (социальная инженерия, ошибки персонала, недобросовестные подрядчики) статистически приносят больший ущерб, чем технические атаки. --- h2. Контрольные вопросы # Чем отличаются понятия «угроза», «уязвимость» и «риск»? Приведите пример для каждого. # Какова формула расчёта ALE(Annual Loss Expectancy) и для чего она применяется? # Назовите четыре стратегии обработки рисков. В каких случаях целесообразно принять риск? # Почему управление рисками является итеративным процессом, а не разовой процедурой? # Как результаты оценки рисков связаны с выбором контролей по ISO 27001? --- h2. Список литературы и стандартов * ISO/IEC 27001:2022 --- Информационная безопасность, кибербезопасность и защита конфиденциальности --- Системы управления информационной безопасностью --- Требования * ISO/IEC 27005:2022 --- Руководство по управлению рисками информационной безопасности * ISO 31000:2018 --- Менеджмент рисков --- Руководящие указания * ГОСТ Р ИСО/МЭК 27005-2010 --- Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности * NIST(National Institute of Standards and Technology) SP 800-30 Rev.1 --- Guide for Conducting Risk Assessments * "MITRE ATT&CK":https://attack.mitre.org --- база знаний тактик и техник атак (используется при идентификации угроз)