Управление рисками информационной безопасности » История » Редакция 5
Редакция 4 (С. Антошкин, 03.06.2026 09:21) → Редакция 5/8 (С. Антошкин, 03.06.2026 18:26)
{{>TOC}}
h1. Управление рисками информационной безопасности
h2. Введение
Представьте, что вы отвечаете за безопасность в компании и перед вами стоит задача: защитить всё от всего. Устанавливаете межсетевые экраны, шифруете диски, внедряете MFA, нанимаете SOC... Бюджет заканчивается, а новые угрозы продолжают появляться каждый день.
Проблема не в нехватке инструментов. Проблема в том, что без системы приоритетов вы защищаете не то, что важнее всего, и тратите деньги не там, где риск наиболее высок.
bq. Управление рисками информационной безопасности — это процесс, позволяющий принимать _обоснованные_ решения о том, какие угрозы требуют немедленного внимания, какие можно принять, а какие — передать какие—передать третьим сторонам.
Именно этот процесс лежит в основе стандарта ISO ISO(International Organization for Standardization) 27001 и является обязательным требованием для любой организации, выстраивающей СУИБ. Без него ISO 27001 — просто набор требований без понимания, какие из них применимы именно к вашей организации. систему управления информационной безопасностью (СУИБ(Система управления информационной безопасностью)).
bq. Эта тема опирается на понятия из [[Основные_понятия_информационной_безопасности|1. Основные понятия]] (активы, угрозы, уязвимости) и [[Угрозы_информационной_безопасности_в_информационных_системах|2. Угрозы]], а результаты оценки рисков напрямую определяют состав контролей при [[Создание_СУИБ_на_предприятии|6. Создание СУИБ]].
---
h2. Основные понятия
Прежде чем описывать процесс, необходимо разобраться с терминологией. В области управления рисками ИБ ИБ(Информационная безопасность) все понятия связаны между собой, и путаница в терминах ведёт к ошибочным решениям.
h3. Актив
*Актив* (asset) — - всё, что представляет ценность для организации и требует защиты. Активы делятся на несколько категорий:
|_.Категория|_.Примеры|
|*Информационные*|Базы * *Информационные*: базы данных клиентов, финансовая отчётность, коммерческая тайна, персональные данные| данные сотрудников
|*Программные*|Бизнес-приложения, * *Программные*: бизнес-приложения, операционные системы, средства защиты| защиты
|*Физические*|Серверы, * *Физические*: серверы, рабочие станции, сетевое оборудование, носители информации| информации
|*Сервисные*|Доступ * *Сервисные*: доступ в интернет, электроэнергия, облачные сервисы| сервисы
|*Кадровые*|Сотрудники * *Кадровые*: сотрудники с их знаниями, опытом и правами доступа| доступа
|*Репутационные*|Бренд, * *Репутационные*: бренд, доверие клиентов, деловая репутация| репутация
Важно понимать: один актив может быть носителем другого. Сервер (физический актив) хранит базу данных (информационный актив), а её утрата влечёт репутационный ущерб (репутационный актив).
h3. Угроза, уязвимость и риск
Три ключевых понятия, которые часто путают:
|_.Понятие|_.Определение|_.Пример|
|*Угроза* (Threat)|Потенциальный источник нежелательного события|Хакер, уволенный сотрудник, пожар, программная ошибка|
|*Уязвимость* (Vulnerability)|Слабость актива, которую угроза может использовать|Отсутствие патча, слабый пароль, незащищённый порт|
|*Риск* (Risk)|Вероятность того, что угроза воспользуется уязвимостью, и величина ущерба от этого|Вероятность взлома через незакрытую уязвимость × стоимость простоя|
Взаимосвязь между ними выражается формулой:
p=. @Риск = Угроза × Уязвимость × Ценность актива@
Эта формула объясняет, почему снижение любого из множителей уменьшает итоговый риск. Можно убрать уязвимость (установить патч), снизить ценность актива (обезличить данные) или сделать угрозу менее вероятной (настроить мониторинг и реагирование).
bq. Подробная классификация угроз и уязвимостей — в теме [[Угрозы_информационной_безопасности_в_информационных_системах|2. Угрозы]]. Каталоги угроз STRIDE и MITRE ATT&CK используются на этапе идентификации рисков.
---
h2. Цикл управления рисками по ISO 27005
Управление рисками — - не разовое мероприятие, а непрерывный итеративный процесс. Международный стандарт ISO 27005 описывает его в виде пяти последовательных этапов, которые повторяются по мере изменения среды.
!clipboard-202606031123-3j5rl.png!
h3. Этап 1. Установление контекста
На этом этапе определяются границы процесса управления рисками: что именно мы защищаем, в каких условиях работает организация, каковы требования законодательства и бизнеса.
Ключевые вопросы этапа:
* Каков масштаб СУИБ — - вся организация или отдельные подразделения?
* Какие внешние требования применимы (152-ФЗ, ФЗ ФЗ(Федеральный закон) №187 о КИИ, КИИ(Критическая информационная инфраструктура), отраслевые стандарты)?
* Каков допустимый уровень риска для данной организации?
* По каким критериям будет оцениваться ущерб — - финансовым, репутационным, операционным?
Результат этапа — - задокументированные критерии оценки рисков и перечень активов, попадающих в область действия СУИБ.
h3. Этап 2. Идентификация рисков
На этом этапе выявляются все риски, которые могут повлиять на активы организации. Работа ведётся в три шага:
# *Инвентаризация активов* — Инвентаризация активов - составление реестра всего, что требует защиты, с оценкой ценности каждого актива. актива
# *Выявление угроз* — Выявление угроз - для каждого актива определяются применимые угрозы (используются каталоги: STRIDE, каталоги угроз: STRIDE(Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), MITRE ATT&CK). ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge))
# *Выявление уязвимостей* — Выявление уязвимостей - слабые места в процессах, технологиях и людях, которые могут быть использованы угрозами. угрозами
Практический инструмент — - *реестр рисков* (Risk Register): Register). Это таблица, в которой для каждого выявленного риска фиксируются фиксируются: идентификатор, описание, владелец, владелец риска, связанный актив, угроза, уязвимость.
!clipboard-202606031125-k5gnn.png!
h3. Этап 3. Оценка рисков
Выявленные риски необходимо оценить, чтобы расставить приоритеты. Существуют два основных подхода.
h4. Качественная оценка
Наиболее распространённый метод — - матрица рисков 5×5. Каждому 5×5, в которой каждому риску присваивается уровень вероятности (от «крайне редко» до «постоянно») и уровень воздействия (от «незначительного» до «критического»). Пересечение даёт итоговый уровень: уровень риска: низкий, средний или высокий.
!clipboard-202606031125-nerdu.png!
Преимущества: быстро, понятно руководству, не требует точных данных.
Недостатки: субъективность оценок, сложность сравнения рисков разных категорий.
!clipboard-202606031125-nerdu.png!
h4. Количественная оценка
Количественные методы выражают риск в денежных единицах. Ключевые метрики:
*SLE (Single * *SLE(Single Loss Expectancy)* — - ожидаемые потери от одного инцидента:
@SLE = Ценность актива × EF@, где EF (Exposure EF(Exposure Factor) — - доля актива, повреждённая активов, повреждённых при реализации угрозы (от 0 до 1). 1)
*ARO (Annual * *ARO(Annual Rate of Occurrence)* — - ожидаемое число инцидентов в год. год
*ALE (Annual * *ALE(Annual Loss Expectancy)* — - ожидаемые ежегодные потери:
@ALE = SLE × ARO@
*Пример расчёта.* База данных клиентов оценивается в 10 млн руб. При утечке данных теряется около 30% информации (EF = 0,3), вероятность утечки в год — 20% год—20% (ARO = 0,2).
@SLE = 10 000 000 × 0,3 = 3 000 000 руб.@
@ALE = 3 000 000 × 0,2 = 600 000 руб.@
Если контроль, предотвращающий утечку, стоит 400 000 руб. в год — - он экономически обоснован.
h3. Этап 4. Обработка рисков
По результатам оценки для каждого риска выбирается стратегия обработки. Стандарт ISO 27005 выделяет четыре варианта:
|_.Стратегия|_.Когда применяется|_.Пример|
|*Снижение* (Mitigate)|Риск высокий, контроль экономически оправдан|Внедрение MFA снижает риск компрометации учётных записей|
|*Принятие* (Accept)|Риск низкий или стоимость контроля превышает ущерб|Зафиксировать риск потери флешки — шифрование флешки—шифрование дороже возможного ущерба|
|*Передача* (Transfer)|Риск можно застраховать или передать провайдеру|Договор со страховой компанией по киберрискам; Anti-DDoS от провайдера|
|*Избегание* (Avoid)|Деятельность, порождающая риск, не критична для бизнеса|Отказ от самостоятельного хранения платёжных данных в пользу платёжного шлюза|
bq. *Принятие Важное замечание: *принятие риска — - это осознанное решение руководства*, зафиксированное документально. Оно принципиально отличается от простого игнорирования проблемы.
По итогам этапа составляется *план обработки рисков* (Risk Treatment Plan) — документ с конкретными мерами, ответственными - документ, определяющий конкретные меры, ответственных и сроками сроки реализации.
h3. Этап 5. Мониторинг и пересмотр
Среда угроз меняется: появляются новые уязвимости, изменяется бизнес, внедряются новые технологии. Поэтому оценка рисков не может быть разовой процедурой.
Рекомендуемые практики:
* плановый Плановый пересмотр реестра рисков — - не реже одного раза в год; год
* внеплановый пересмотр — после Внеплановый пересмотр—после значимых инцидентов, изменений в инфраструктуре, выхода новых регуляторных требований; требований
* ключевые Ключевые индикаторы риска (KRI) — метрики для отслеживания изменения (KRI(Key Risk Indicator)) - метрики, позволяющие отслеживать изменение уровня риска в реальном времени (например, число попыток несанкционированного доступа, процент систем без актуальных патчей). патчей)
---
h2. Реестр рисков: практический инструмент
Реестр рисков — - центральный документ процесса управления рисками. Он объединяет результаты всех этапов, этапов и служит рабочим инструментом для специалиста по ИБ и входным документом для аудита.
Минимально необходимые поля реестра:
|_.Поле|_.Описание|
|ID|Уникальный идентификатор риска (например, R-001)|
|Описание риска|«Риск риска|Формулировка: «Риск [последствие] вследствие [угроза] через [уязвимость]»|
|Актив|Затрагиваемый актив|
|Угроза|Источник риска|
|Уязвимость|Слабость, используемая угрозой|
|Вероятность|Оценка по шкале 1–5| 1--5|
|Воздействие|Оценка по шкале 1–5| 1--5|
|Уровень риска|Произведение вероятности и воздействия или качественная оценка|
|Действующие контроли|Меры, уже снижающие риск|
|Остаточный риск|Уровень риска после применения контролей|
|Стратегия обработки|Снижение / Принятие / Передача / Избегание|
|Владелец риска|Ответственный за управление данным риском|
|Срок исполнения|Дата реализации плана обработки|
|Статус|В работе / Закрыт / Принят|
---
h2. Связь с ISO 27001
Управление рисками — обязательное требование является обязательным требованием стандарта ISO 27001. Разделы 6.1.2 и 6.1.3 стандарта прямо предписывают:
* проводить оценку рисков информационной безопасности по задокументированному процессу, процессу
* вырабатывать варианты обработки и рисков
* определять контроли из Приложения A, необходимые для снижения рисков. рисков
Таким образом, результаты оценки рисков напрямую определяют, *какие именно из 93 контролей* (в редакции ISO 27001:2022) организация обязана внедрить. Это делает управление рисками не формальным упражнением, а практическим инструментом проектирования СУИБ.
!clipboard-202606031126-euao9.png!
bq. Подробно о том, как контроли отражаются в SOA и какие документы при этом создаются, — в теме [[Создание_СУИБ_на_предприятии|6. Создание СУИБ]]. Нормативная база процесса — [[Стандарты_управления_информационной_безопасностью|4. Стандарты управления]].
---
h2. Типичные ошибки при управлении рисками
|_.Ошибка|_.В чём проблема|
|*Оценка Даже опытные организации допускают ряд системных ошибок:
# *Оценка «для галочки»*|Реестр галочки».* Реестр рисков заполняется раз в год перед аудитом и до следующего года остаётся нетронутым. Риски не пересматривается. Реальные риски не отслеживаются.|
|*Отсутствие пересматриваются после инцидентов и изменений в инфраструктуре.
# *Отсутствие владельцев рисков*|Риск рисков.* Риск без ответственного — риск, лица—риск, которым никто не управляет. Владелец риска должен быть назначен из бизнес-руководства, числа бизнес-руководителей, а не только из IT.|
|*Смешение IT-персонала.
# *Смешение угроз и рисков*|«Хакер» — это угроза. Риск — «несанкционированный рисков.* «Хакер»—это угроза, а не риск. Риск—«несанкционированный доступ к БД базе данных клиентов вследствие использования хакером уязвимости в веб-приложении, что приведёт к штрафам по 152-ФЗ».|
|*Игнорирование 152-ФЗ и оттоку клиентов».
# *Игнорирование остаточного риска*|После риска.* После внедрения контролей риск снижается, но не исчезает. исчезает полностью. Остаточный риск должен быть задокументирован и принят руководством.|
|*Только технические риски*|Организационные руководством.
# *Оценка только технических рисков.* Организационные, процессные и кадровые риски (социальная инженерия, ошибки персонала, недобросовестные подрядчики) статистически приносят больший ущерб, чем технические атаки.| атаки.
---
h2. Что дальше
Оценка рисков — основа для всех последующих решений. Следующий шаг — практическое построение СУИБ: как перейти от реестра рисков к работающей системе управления.
* *Следующая тема:* [[Создание_СУИБ_на_предприятии|6. Создание СУИБ]] — инвентаризация активов, категорирование, SOA, документирование процедур
* *Нормативная база:* [[Стандарты_управления_информационной_безопасностью|4. Стандарты управления]] — ISO 27001, ISO 27005, семейство стандартов
* *Угрозы как входные данные:* [[Угрозы_информационной_безопасности_в_информационных_системах|2. Угрозы]] — STRIDE, MITRE ATT&CK, классификация угроз
* *Применение в разработке:* [[Безопасная_разработка|12. Безопасность в разработке]] — моделирование угроз на этапе проектирования ПО
---
h2. Список литературы и стандартов
* "ISO/IEC 27001:2022":https://www.iso.org/standard/27001 — Требования к системам ISO/IEC 27001:2022—Информационная безопасность, кибербезопасность и защита конфиденциальности—Системы управления информационной безопасностью безопасностью—Требования
* "ISO/IEC 27005:2022":https://www.iso.org/standard/80585.html — Руководство ISO/IEC 27005:2022—Руководство по управлению рисками информационной безопасности
* "ISO 31000:2018":https://www.iso.org/standard/65694.html — Менеджмент рисков. Руководящие ISO 31000:2018—Менеджмент рисков—Руководящие указания
* ГОСТ Р ИСО/МЭК 27005-2010 — 27005-2010—Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
* "NIST NIST(National Institute of Standards and Technology) SP 800-30 Rev.1":https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final — Guide Rev.1—Guide for Conducting Risk Assessments
* "MITRE ATT&CK":https://attack.mitre.org — база ATT&CK":https://attack.mitre.org—база знаний тактик и техник атак
* "ФСТЭК России — Банк данных угроз":https://bdu.fstec.ru — актуальный реестр угроз для российских ИС (используется при идентификации угроз)