Управление рисками информационной безопасности » История » Редакция 6
Редакция 5 (С. Антошкин, 03.06.2026 18:26) → Редакция 6/8 (С. Антошкин, 03.06.2026 20:38)
{{>TOC}}
h1. Управление рисками информационной безопасности
h2. Введение
Представьте, что вы отвечаете за безопасность в компании и перед вами стоит задача: защитить всё от всего. Устанавливаете межсетевые экраны, шифруете диски, внедряете MFA, нанимаете SOC... Бюджет заканчивается, а новые угрозы продолжают появляться каждый день.
Проблема не в нехватке инструментов. Проблема в том, что без системы приоритетов вы защищаете не то, что важнее всего, и тратите деньги не там, где риск наиболее высок.
bq. Управление рисками информационной безопасности — это процесс, позволяющий принимать _обоснованные_ решения о том, какие угрозы требуют немедленного внимания, какие можно принять, а какие — передать третьим сторонам.
Именно этот процесс лежит в основе стандарта ISO 27001 и является обязательным требованием для любой организации, выстраивающей СУИБ. Без него ISO 27001 — просто набор требований без понимания, какие из них применимы именно к вашей организации.
bq. Эта тема опирается на понятия из [[Основные_понятия_информационной_безопасности|1. Основные понятия]] (активы, угрозы, уязвимости) и [[Угрозы_информационной_безопасности_в_информационных_системах|2. Угрозы]], а результаты оценки рисков напрямую определяют состав контролей при [[Создание_СУИБ_на_предприятии|6. Создание СУИБ]].
---
h2. Основные понятия
Прежде чем описывать процесс, необходимо разобраться с терминологией. В области управления рисками ИБ все понятия связаны между собой, и путаница в терминах ведёт к ошибочным решениям.
h3. Актив
*Актив* (asset) — всё, что представляет ценность для организации и требует защиты. Активы делятся на несколько категорий:
|_.Категория|_.Примеры|
|*Информационные*|Базы данных клиентов, финансовая отчётность, коммерческая тайна, персональные данные|
|*Программные*|Бизнес-приложения, операционные системы, средства защиты|
|*Физические*|Серверы, рабочие станции, сетевое оборудование, носители информации|
|*Сервисные*|Доступ в интернет, электроэнергия, облачные сервисы|
|*Кадровые*|Сотрудники с их знаниями, опытом и правами доступа|
|*Репутационные*|Бренд, доверие клиентов, деловая репутация|
Важно понимать: один актив может быть носителем другого. Сервер (физический актив) хранит базу данных (информационный актив), а её утрата влечёт репутационный ущерб (репутационный актив).
h3. Угроза, уязвимость и риск
Три ключевых понятия, которые часто путают:
|_.Понятие|_.Определение|_.Пример|
|*Угроза* (Threat)|Потенциальный источник нежелательного события|Хакер, уволенный сотрудник, пожар, программная ошибка|
|*Уязвимость* (Vulnerability)|Слабость актива, которую угроза может использовать|Отсутствие патча, слабый пароль, незащищённый порт|
|*Риск* (Risk)|Вероятность того, что угроза воспользуется уязвимостью, и величина ущерба от этого|Вероятность взлома через незакрытую уязвимость × стоимость простоя|
Взаимосвязь между ними выражается формулой:
p=. @Риск = Угроза × Уязвимость × Ценность актива@
Эта формула объясняет, почему снижение любого из множителей уменьшает итоговый риск. Можно убрать уязвимость (установить патч), снизить ценность актива (обезличить данные) или сделать угрозу менее вероятной (настроить мониторинг и реагирование).
bq. Подробная классификация угроз и уязвимостей — в теме [[Угрозы_информационной_безопасности_в_информационных_системах|2. Угрозы]]. Каталоги угроз STRIDE и MITRE ATT&CK используются на этапе идентификации рисков.
---
h2. Цикл управления рисками по ISO 27005
Управление рисками — не разовое мероприятие, а непрерывный итеративный процесс. Международный стандарт ISO 27005 описывает его в виде пяти последовательных этапов, которые повторяются по мере изменения среды.
!clipboard-202606031123-3j5rl.png!
h3. Этап 1. Установление контекста
На этом этапе определяются границы процесса управления рисками: что именно защищаем, в каких условиях работает организация, каковы требования законодательства и бизнеса.
Ключевые вопросы этапа:
* Каков масштаб СУИБ — вся организация или отдельные подразделения?
* Какие внешние требования применимы (152-ФЗ, ФЗ №187 о КИИ, отраслевые стандарты)?
* Каков допустимый уровень риска для данной организации?
* По каким критериям будет оцениваться ущерб — финансовым, репутационным, операционным?
Результат этапа — задокументированные критерии оценки рисков и перечень активов, попадающих в область действия СУИБ.
h3. Этап 2. Идентификация рисков
На этом этапе выявляются все риски, которые могут повлиять на активы организации. Работа ведётся в три шага:
# *Инвентаризация активов* — составление реестра всего, что требует защиты, с оценкой ценности каждого актива.
# *Выявление угроз* — для каждого актива определяются применимые угрозы (используются каталоги: STRIDE, MITRE ATT&CK).
# *Выявление уязвимостей* — слабые места в процессах, технологиях и людях, которые могут быть использованы угрозами.
Практический инструмент — *реестр рисков* (Risk Register): таблица, в которой для каждого выявленного риска фиксируются идентификатор, описание, владелец, связанный актив, угроза, уязвимость.
!clipboard-202606031125-k5gnn.png!
h3. Этап 3. Оценка рисков
Выявленные риски необходимо оценить, чтобы расставить приоритеты. Существуют два основных подхода.
h4. Качественная оценка
Наиболее распространённый метод — матрица рисков 5×5. Каждому риску присваивается уровень вероятности (от «крайне редко» до «постоянно») и уровень воздействия (от «незначительного» до «критического»). Пересечение даёт итоговый уровень: низкий, средний или высокий.
!clipboard-202606031125-nerdu.png!
Преимущества: быстро, понятно руководству, не требует точных данных. Недостатки: субъективность оценок, сложность сравнения рисков разных категорий.
h4. Количественная оценка
Количественные методы выражают риск в денежных единицах. Ключевые метрики:
*SLE(Single *SLE (Single Loss Expectancy)* — ожидаемые потери от одного инцидента:
@SLE = Ценность актива × EF@, где EF (Exposure Factor) — доля актива, повреждённая при реализации угрозы (от 0 до 1).
*ARO(Annual *ARO (Annual Rate of Occurrence)* — ожидаемое число инцидентов в год.
*ALE(Annual *ALE (Annual Loss Expectancy)* — ожидаемые ежегодные потери:
@ALE = SLE × ARO@
*Пример расчёта.* База данных клиентов оценивается в 10 млн руб. При утечке теряется около 30% информации (EF = 0,3), вероятность утечки в год — 20% (ARO = 0,2).
@SLE = 10 000 000 × 0,3 = 3 000 000 руб.@
@ALE = 3 000 000 × 0,2 = 600 000 руб.@
Если контроль, предотвращающий утечку, стоит 400 000 руб. в год — он экономически обоснован.
h3. Этап 4. Обработка рисков
По результатам оценки для каждого риска выбирается стратегия обработки. ISO 27005 выделяет четыре варианта:
|_.Стратегия|_.Когда применяется|_.Пример|
|*Снижение* (Mitigate)|Риск высокий, контроль экономически оправдан|Внедрение MFA снижает риск компрометации учётных записей|
|*Принятие* (Accept)|Риск низкий или стоимость контроля превышает ущерб|Зафиксировать риск потери флешки — шифрование дороже возможного ущерба|
|*Передача* (Transfer)|Риск можно застраховать или передать провайдеру|Договор со страховой по киберрискам; Anti-DDoS от провайдера|
|*Избегание* (Avoid)|Деятельность, порождающая риск, не критична для бизнеса|Отказ от самостоятельного хранения платёжных данных в пользу платёжного шлюза|
bq. *Принятие риска — это осознанное решение руководства*, зафиксированное документально. Оно принципиально отличается от простого игнорирования проблемы.
По итогам этапа составляется *план обработки рисков* (Risk Treatment Plan) — документ с конкретными мерами, ответственными и сроками реализации.
h3. Этап 5. Мониторинг и пересмотр
Среда угроз меняется: появляются новые уязвимости, изменяется бизнес, внедряются новые технологии. Поэтому оценка рисков не может быть разовой процедурой.
Рекомендуемые практики:
* плановый пересмотр реестра рисков — не реже одного раза в год;
* внеплановый пересмотр — после значимых инцидентов, изменений в инфраструктуре, выхода новых регуляторных требований;
* ключевые индикаторы риска (KRI) — метрики для отслеживания изменения уровня риска в реальном времени (например, число попыток несанкционированного доступа, процент систем без актуальных патчей).
---
h2. Реестр рисков: практический инструмент
Реестр рисков — центральный документ процесса управления рисками. Он объединяет результаты всех этапов, служит рабочим инструментом специалиста по ИБ и входным документом для аудита.
Минимально необходимые поля реестра:
|_.Поле|_.Описание|
|ID|Уникальный идентификатор (например, R-001)|
|Описание риска|«Риск [последствие] вследствие [угроза] через [уязвимость]»|
|Актив|Затрагиваемый актив|
|Угроза|Источник риска|
|Уязвимость|Слабость, используемая угрозой|
|Вероятность|Оценка по шкале 1–5|
|Воздействие|Оценка по шкале 1–5|
|Уровень риска|Произведение вероятности и воздействия или качественная оценка|
|Действующие контроли|Меры, уже снижающие риск|
|Остаточный риск|Уровень риска после применения контролей|
|Стратегия обработки|Снижение / Принятие / Передача / Избегание|
|Владелец риска|Ответственный за управление данным риском|
|Срок исполнения|Дата реализации плана обработки|
|Статус|В работе / Закрыт / Принят|
---
h2. Связь с ISO 27001
Управление рисками — обязательное требование ISO 27001. Разделы 6.1.2 и 6.1.3 стандарта прямо предписывают: проводить оценку рисков по задокументированному процессу, вырабатывать варианты обработки и определять контроли из Приложения A, необходимые для снижения рисков.
Таким образом, результаты оценки рисков напрямую определяют, *какие именно из 93 контролей* (в редакции ISO 27001:2022) организация обязана внедрить. Это делает управление рисками не формальным упражнением, а практическим инструментом проектирования СУИБ.
!clipboard-202606031126-euao9.png!
bq. Подробно о том, как контроли отражаются в SOA и какие документы при этом создаются, — в теме [[Создание_СУИБ_на_предприятии|6. Создание СУИБ]]. Нормативная база процесса — [[Стандарты_управления_информационной_безопасностью|4. Стандарты управления]].
---
h2. Типичные ошибки при управлении рисками
|_.Ошибка|_.В чём проблема|
|*Оценка «для галочки»*|Реестр заполняется раз в год перед аудитом и не пересматривается. Реальные риски не отслеживаются.|
|*Отсутствие владельцев рисков*|Риск без ответственного — риск, которым никто не управляет. Владелец должен быть из бизнес-руководства, не только из IT.|
|*Смешение угроз и рисков*|«Хакер» — это угроза. Риск — «несанкционированный доступ к БД клиентов вследствие уязвимости в веб-приложении, что приведёт к штрафам по 152-ФЗ».|
|*Игнорирование остаточного риска*|После внедрения контролей риск снижается, но не исчезает. Остаточный риск должен быть задокументирован и принят руководством.|
|*Только технические риски*|Организационные и кадровые риски (социальная инженерия, ошибки персонала, недобросовестные подрядчики) статистически приносят больший ущерб, чем технические атаки.|
---
h2. Что дальше
Оценка рисков — основа для всех последующих решений. Следующий шаг — практическое построение СУИБ: как перейти от реестра рисков к работающей системе управления.
* *Следующая тема:* [[Создание_СУИБ_на_предприятии|6. Создание СУИБ]] — инвентаризация активов, категорирование, SOA, документирование процедур
* *Нормативная база:* [[Стандарты_управления_информационной_безопасностью|4. Стандарты управления]] — ISO 27001, ISO 27005, семейство стандартов
* *Угрозы как входные данные:* [[Угрозы_информационной_безопасности_в_информационных_системах|2. Угрозы]] — STRIDE, MITRE ATT&CK, классификация угроз
* *Применение в разработке:* [[Безопасная_разработка|12. Безопасность в разработке]] — моделирование угроз на этапе проектирования ПО
---
h2. Список литературы и стандартов
* "ISO/IEC 27001:2022":https://www.iso.org/standard/27001 — Требования к системам управления информационной безопасностью
* "ISO/IEC 27005:2022":https://www.iso.org/standard/80585.html — Руководство по управлению рисками информационной безопасности
* "ISO 31000:2018":https://www.iso.org/standard/65694.html — Менеджмент рисков. Руководящие указания
* ГОСТ Р ИСО/МЭК 27005-2010 — Менеджмент риска информационной безопасности
* "NIST SP 800-30 Rev.1":https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final — Guide for Conducting Risk Assessments
* "MITRE ATT&CK":https://attack.mitre.org — база знаний тактик и техник атак
* "ФСТЭК России — Банк данных угроз":https://bdu.fstec.ru — актуальный реестр угроз для российских ИС