УИБ / учебный курс

{{>TOC}}

h1. Управление рисками информационной безопасности

h2. Введение

Представьте, что вы отвечаете за безопасность в компании и перед вами стоит задача: защитить всё от всего. Устанавливаете межсетевые экраны, шифруете диски, внедряете MFA, нанимаете SOC... Бюджет заканчивается, а новые угрозы продолжают появляться каждый день.

Проблема не в нехватке инструментов. Проблема в том, что без системы приоритетов вы защищаете не то, что важнее всего, и тратите деньги не там, где риск наиболее высок.

bq. Управление рисками информационной безопасности — это процесс, позволяющий принимать _обоснованные_ решения о том, какие угрозы требуют немедленного внимания, какие можно принять, а какие — передать третьим сторонам.

Именно этот процесс лежит в основе стандарта ISO 27001 и является обязательным требованием для любой организации, выстраивающей СУИБ. Без него ISO 27001 — просто набор требований без понимания, какие из них применимы именно к вашей организации.

bq. Эта тема опирается на понятия из [[Основные_понятия_информационной_безопасности|1. Основные понятия]] (активы, угрозы, уязвимости) и [[Угрозы_информационной_безопасности_в_информационных_системах|2. Угрозы]], а результаты оценки рисков напрямую определяют состав контролей при [[Создание_СУИБ_на_предприятии|6. Создание СУИБ]].

---

h2. Основные понятия

Прежде чем описывать процесс, необходимо разобраться с терминологией. В области управления рисками ИБ все понятия связаны между собой, и путаница в терминах ведёт к ошибочным решениям.

h3. Актив

*Актив* (asset) — всё, что представляет ценность для организации и требует защиты. Активы делятся на несколько категорий:

|_.Категория|_.Примеры|

|*Информационные*|Базы данных клиентов, финансовая отчётность, коммерческая тайна, персональные данные|

|*Программные*|Бизнес-приложения, операционные системы, средства защиты|

|*Физические*|Серверы, рабочие станции, сетевое оборудование, носители информации|

|*Сервисные*|Доступ в интернет, электроэнергия, облачные сервисы|

|*Кадровые*|Сотрудники с их знаниями, опытом и правами доступа|

|*Репутационные*|Бренд, доверие клиентов, деловая репутация|

Важно понимать: один актив может быть носителем другого. Сервер (физический актив) хранит базу данных (информационный актив), а её утрата влечёт репутационный ущерб (репутационный актив).

h3. Угроза, уязвимость и риск

Три ключевых понятия, которые часто путают:

|_.Понятие|_.Определение|_.Пример|

|*Угроза* (Threat)|Потенциальный источник нежелательного события|Хакер, уволенный сотрудник, пожар, программная ошибка|

|*Уязвимость* (Vulnerability)|Слабость актива, которую угроза может использовать|Отсутствие патча, слабый пароль, незащищённый порт|

|*Риск* (Risk)|Вероятность того, что угроза воспользуется уязвимостью, и величина ущерба от этого|Вероятность взлома через незакрытую уязвимость × стоимость простоя|

Взаимосвязь между ними выражается формулой:

p=. @Риск = Угроза × Уязвимость × Ценность актива@

Эта формула объясняет, почему снижение любого из множителей уменьшает итоговый риск. Можно убрать уязвимость (установить патч), снизить ценность актива (обезличить данные) или сделать угрозу менее вероятной (настроить мониторинг и реагирование).

bq. Подробная классификация угроз и уязвимостей — в теме [[Угрозы_информационной_безопасности_в_информационных_системах|2. Угрозы]]. Каталоги угроз STRIDE и MITRE ATT&CK используются на этапе идентификации рисков.

---

h2. Цикл управления рисками по ISO 27005

Управление рисками — не разовое мероприятие, а непрерывный итеративный процесс. Международный стандарт ISO 27005 описывает его в виде пяти последовательных этапов, которые повторяются по мере изменения среды.

!clipboard-202606031123-3j5rl.png!

h3. Этап 1. Установление контекста

На этом этапе определяются границы процесса управления рисками: что именно защищаем, в каких условиях работает организация, каковы требования законодательства и бизнеса.

Ключевые вопросы этапа:

* Каков масштаб СУИБ — вся организация или отдельные подразделения?

* Какие внешние требования применимы (152-ФЗ, ФЗ №187 о КИИ, отраслевые стандарты)?

* Каков допустимый уровень риска для данной организации?

* По каким критериям будет оцениваться ущерб — финансовым, репутационным, операционным?

Результат этапа — задокументированные критерии оценки рисков и перечень активов, попадающих в область действия СУИБ.

h3. Этап 2. Идентификация рисков

На этом этапе выявляются все риски, которые могут повлиять на активы организации. Работа ведётся в три шага:

# *Инвентаризация активов* — составление реестра всего, что требует защиты, с оценкой ценности каждого актива.

# *Выявление угроз* — для каждого актива определяются применимые угрозы (используются каталоги: STRIDE, MITRE ATT&CK).

# *Выявление уязвимостей* — слабые места в процессах, технологиях и людях, которые могут быть использованы угрозами.

Практический инструмент — *реестр рисков* (Risk Register): таблица, в которой для каждого выявленного риска фиксируются идентификатор, описание, владелец, связанный актив, угроза, уязвимость.

!clipboard-202606031125-k5gnn.png!

h3. Этап 3. Оценка рисков

Выявленные риски необходимо оценить, чтобы расставить приоритеты. Существуют два основных подхода.

h4. Качественная оценка

Наиболее распространённый метод — матрица рисков 5×5. Каждому риску присваивается уровень вероятности (от «крайне редко» до «постоянно») и уровень воздействия (от «незначительного» до «критического»). Пересечение даёт итоговый уровень: низкий, средний или высокий.

!clipboard-202606031125-nerdu.png!

Преимущества: быстро, понятно руководству, не требует точных данных. Недостатки: субъективность оценок, сложность сравнения рисков разных категорий.

h4. Количественная оценка

Количественные методы выражают риск в денежных единицах. Ключевые метрики:

*SLE(Single Loss Expectancy)* — ожидаемые потери от одного инцидента:

@SLE = Ценность актива × EF@, где EF(Exposure Factor) — доля актива, повреждённая при реализации угрозы (от 0 до 1).

*ARO(Annual Rate of Occurrence)* — ожидаемое число инцидентов в год.

*ALE(Annual Loss Expectancy)* — ожидаемые ежегодные потери:

@ALE = SLE × ARO@

*Пример расчёта.* База данных клиентов оценивается в 10 млн руб. При утечке теряется около 30% информации (EF = 0,3), вероятность утечки в год — 20% (ARO = 0,2).

@SLE = 10 000 000 × 0,3 = 3 000 000 руб.@

@ALE = 3 000 000 × 0,2 = 600 000 руб.@

Если контроль, предотвращающий утечку, стоит 400 000 руб. в год — он экономически обоснован.

h3. Этап 4. Обработка рисков

По результатам оценки для каждого риска выбирается стратегия обработки. ISO 27005 выделяет четыре варианта:

|_.Стратегия|_.Когда применяется|_.Пример|

|*Снижение* (Mitigate)|Риск высокий, контроль экономически оправдан|Внедрение MFA снижает риск компрометации учётных записей|

|*Принятие* (Accept)|Риск низкий или стоимость контроля превышает ущерб|Зафиксировать риск потери флешки — шифрование дороже возможного ущерба|

|*Передача* (Transfer)|Риск можно застраховать или передать провайдеру|Договор со страховой по киберрискам; Anti-DDoS от провайдера|

|*Избегание* (Avoid)|Деятельность, порождающая риск, не критична для бизнеса|Отказ от самостоятельного хранения платёжных данных в пользу платёжного шлюза|

bq. *Принятие риска — это осознанное решение руководства*, зафиксированное документально. Оно принципиально отличается от простого игнорирования проблемы.

По итогам этапа составляется *план обработки рисков* (Risk Treatment Plan) — документ с конкретными мерами, ответственными и сроками реализации.

h3. Этап 5. Мониторинг и пересмотр

Среда угроз меняется: появляются новые уязвимости, изменяется бизнес, внедряются новые технологии. Поэтому оценка рисков не может быть разовой процедурой.

Рекомендуемые практики:

* плановый пересмотр реестра рисков — не реже одного раза в год;

* внеплановый пересмотр — после значимых инцидентов, изменений в инфраструктуре, выхода новых регуляторных требований;

* ключевые индикаторы риска (KRI) — метрики для отслеживания изменения уровня риска в реальном времени (например, число попыток несанкционированного доступа, процент систем без актуальных патчей).

---

h2. Реестр рисков: практический инструмент

Реестр рисков — центральный документ процесса управления рисками. Он объединяет результаты всех этапов, служит рабочим инструментом специалиста по ИБ и входным документом для аудита.

Минимально необходимые поля реестра:

|_.Поле|_.Описание|

|ID|Уникальный идентификатор (например, R-001)|

|Описание риска|«Риск [последствие] вследствие [угроза] через [уязвимость]»|

|Актив|Затрагиваемый актив|

|Угроза|Источник риска|

|Уязвимость|Слабость, используемая угрозой|

|Вероятность|Оценка по шкале 1–5|

|Воздействие|Оценка по шкале 1–5|

|Уровень риска|Произведение вероятности и воздействия или качественная оценка|

|Действующие контроли|Меры, уже снижающие риск|

|Остаточный риск|Уровень риска после применения контролей|

|Стратегия обработки|Снижение / Принятие / Передача / Избегание|

|Владелец риска|Ответственный за управление данным риском|

|Срок исполнения|Дата реализации плана обработки|

|Статус|В работе / Закрыт / Принят|

---

h2. Связь с ISO 27001

Управление рисками — обязательное требование ISO 27001. Разделы 6.1.2 и 6.1.3 стандарта прямо предписывают: проводить оценку рисков по задокументированному процессу, вырабатывать варианты обработки и определять контроли из Приложения A, необходимые для снижения рисков.

Таким образом, результаты оценки рисков напрямую определяют, *какие именно из 93 контролей* (в редакции ISO 27001:2022) организация обязана внедрить. Это делает управление рисками не формальным упражнением, а практическим инструментом проектирования СУИБ.

!clipboard-202606031126-euao9.png!

bq. Подробно о том, как контроли отражаются в SOA и какие документы при этом создаются, — в теме [[Создание_СУИБ_на_предприятии|6. Создание СУИБ]]. Нормативная база процесса — [[Стандарты_управления_информационной_безопасностью|4. Стандарты управления]].

---

h2. Типичные ошибки при управлении рисками

|_.Ошибка|_.В чём проблема|

|*Оценка «для галочки»*|Реестр заполняется раз в год перед аудитом и не пересматривается. Реальные риски не отслеживаются.|

|*Отсутствие владельцев рисков*|Риск без ответственного — риск, которым никто не управляет. Владелец должен быть из бизнес-руководства, не только из IT.|

|*Смешение угроз и рисков*|«Хакер» — это угроза. Риск — «несанкционированный доступ к БД клиентов вследствие уязвимости в веб-приложении, что приведёт к штрафам по 152-ФЗ».|

|*Игнорирование остаточного риска*|После внедрения контролей риск снижается, но не исчезает. Остаточный риск должен быть задокументирован и принят руководством.|

|*Только технические риски*|Организационные и кадровые риски (социальная инженерия, ошибки персонала, недобросовестные подрядчики) статистически приносят больший ущерб, чем технические атаки.|

---

h2. Что дальше

Оценка рисков — основа для всех последующих решений. Следующий шаг — практическое построение СУИБ: как перейти от реестра рисков к работающей системе управления.

* *Следующая тема:* [[Создание_СУИБ_на_предприятии|6. Создание СУИБ]] — инвентаризация активов, категорирование, SOA, документирование процедур

* *Нормативная база:* [[Стандарты_управления_информационной_безопасностью|4. Стандарты управления]] — ISO 27001, ISO 27005, семейство стандартов

* *Угрозы как входные данные:* [[Угрозы_информационной_безопасности_в_информационных_системах|2. Угрозы]] — STRIDE, MITRE ATT&CK, классификация угроз

* *Применение в разработке:* [[Безопасная_разработка|12. Безопасность в разработке]] — моделирование угроз на этапе проектирования ПО

---

h2. Список литературы и стандартов

* "ISO/IEC 27001:2022":https://www.iso.org/standard/27001 — Требования к системам управления информационной безопасностью

* "ISO/IEC 27005:2022":https://www.iso.org/standard/80585.html — Руководство по управлению рисками информационной безопасности

* "ISO 31000:2018":https://www.iso.org/standard/65694.html — Менеджмент рисков. Руководящие указания

* ГОСТ Р ИСО/МЭК 27005-2010 — Менеджмент риска информационной безопасности

* "NIST SP 800-30 Rev.1":https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final — Guide for Conducting Risk Assessments

* "MITRE ATT&CK":https://attack.mitre.org — база знаний тактик и техник атак

* "ФСТЭК России — Банк данных угроз":https://bdu.fstec.ru — актуальный реестр угроз для российских ИС