Что такое оценка рисков информационной безопасности по ISO 27005?

Оценка рисков ИБ по ISO 27005 — это систематический процесс идентификации, анализа и оценивания рисков, связанных с конфиденциальностью, целостностью и доступностью информационных активов. Стандарт ISO/IEC 27005:2022 определяет рамочную методологию, которая включает определение контекста, идентификацию угроз и уязвимостей, оценку вероятности и воздействия, приоритизацию рисков и выбор стратегии обработки.

Чем отличается качественная оценка рисков от количественной?

Качественная оценка использует описательные шкалы (низкий, средний, высокий, критический) и матрицу рисков для ранжирования — она быстрее и не требует статистики, но субъективнее. Количественная оценка выражает риски в денежных единицах через формулу ALE = ARO x SLE (годовой ожидаемый ущерб = частота инцидентов x потери за инцидент) — она точнее, но требует исторических данных. На практике чаще применяется комбинированный подход: качественный скрининг для всех рисков и количественный расчёт для критичных.

Как построить матрицу рисков ИБ 5x5?

Матрица рисков 5x5 строится по двум осям: вероятность реализации угрозы (5 уровней: от крайне редко до почти наверняка) и величина ущерба (5 уровней: от незначительного до катастрофического). На пересечении определяется уровень риска от 1 до 25. Далее задаются зоны: зелёная (1–4, приемлемый), жёлтая (5–9, умеренный), оранжевая (10–15, существенный), красная (16–25, критический). Границы зон калибруются под аппетит к риску организации.

Какие поля должен содержать реестр рисков ИБ?

Минимальный набор полей реестра рисков ИБ: идентификатор риска, наименование и описание, связанный актив, угроза и уязвимость, оценка вероятности, оценка ущерба, уровень риска (до обработки), стратегия обработки, запланированные меры, ответственный (владелец риска), срок обработки, остаточный риск, статус и дата последнего пересмотра. Реестр ведётся как живой документ с обязательным пересмотром не реже раза в год.

Какие стратегии обработки рисков предусмотрены ISO 27005?

ISO 27005 определяет четыре стратегии: 1) Снижение (modification) — внедрение контролей для уменьшения вероятности или ущерба; 2) Передача (sharing) — страхование или аутсорсинг функции безопасности; 3) Принятие (retention) — осознанное принятие риска, если стоимость обработки превышает потенциальный ущерб; 4) Избежание (avoidance) — отказ от деятельности, порождающей риск. Выбор стратегии зависит от уровня риска, стоимости мер и аппетита организации к риску.

Как SGRC-платформа автоматизирует оценку рисков ИБ?

SGRC-платформа автоматизирует ключевые этапы оценки рисков: ведение реестра активов и угроз, автоматический расчёт уровней рисков по заданной методике (качественной или количественной), построение и визуализацию матрицы рисков, формирование планов обработки с контролем сроков, мониторинг остаточных рисков, генерацию отчётов для руководства. Платформа КиберОснова сокращает трудозатраты на оценку рисков на 60–70% по сравнению с ведением в Excel.

Оценка рисков ИБ по ISO 27005: методы, матрица, реестр рисков

Оценка рисков информационной безопасности — центральный процесс любой системы управления ИБ. Без понимания того, какие угрозы актуальны, насколько они вероятны и к каким потерям приведут, невозможно принимать обоснованные решения о защите. Именно оценка рисков отвечает на вопрос руководства: «Куда направить бюджет ИБ, чтобы получить максимальную отдачу?»

Международный стандарт ISO/IEC 27005 задаёт рамочную методологию оценки и обработки рисков ИБ. В этой статье подробно разберём качественные и количественные методы оценки, построим матрицу рисков 5x5, покажем структуру реестра рисков и стратегии обработки — с конкретными примерами и расчётами. В финале — как автоматизировать оценку рисков в SGRC-платформе.

ISO 27005: стандарт оценки рисков ИБ

Место в семействе ISO 27000

Стандарт ISO/IEC 27005 входит в семейство ISO 27000, посвящённое системам управления информационной безопасностью:

ISO 27001 — требования к СУИБ (что делать);
ISO 27002 — каталог мер управления (какие контроли применять);
ISO 27005 — управление рисками ИБ (как оценивать и обрабатывать риски);
ISO 27003 — руководство по внедрению СУИБ;
ISO 27004 — метрики и измерение ИБ.

ISO 27005 не является сертификационным стандартом — он поддерживает выполнение требований ISO 27001 по управлению рисками (раздел 6.1.2 «Оценка рисков ИБ» и 6.1.3 «Обработка рисков ИБ»). Организация вправе использовать любую методику оценки рисков, но ISO 27005 — признанная международная практика, совместимая с общим стандартом управления рисками ISO 31000.

В России действует гармонизированный ГОСТ Р ИСО/МЭК 27005-2010, а также отраслевые подходы: методика ФСТЭК для модели угроз, СТО БР ИББС для банков, отраслевые стандарты для КИИ.

Что нового в ISO 27005:2022

Четвёртая редакция стандарта (2022) принесла существенные изменения по сравнению с версией 2018:

Сценарный подход — акцент сместился от перечисления угроз к описанию сценариев инцидентов (event-based подход наравне с asset-based).
Гибкость методов — стандарт явно допускает использование качественных, количественных и комбинированных методов, не навязывая единый формат.
Операционные и стратегические риски — разделение рисков на операционные (тактический уровень, конкретные угрозы) и стратегические (влияние на бизнес-цели организации).
Упрощённая структура — из стандарта убраны громоздкие приложения, добавлены практические примеры.
Совместимость с ISO 31000:2018 — терминология и процесс полностью гармонизированы с общим стандартом управления рисками.

Процесс оценки рисков по ISO 27005:2022 включает три этапа: идентификация рисков (определение активов, угроз, уязвимостей, последствий), анализ рисков (оценка вероятности и ущерба), оценивание рисков (сравнение с критериями приемлемости, приоритизация).

Качественные методы оценки рисков ИБ

Качественная оценка — наиболее распространённый метод в практике российских компаний. Он не требует статистики инцидентов и финансовых моделей, а опирается на экспертные суждения.

Матрица рисков (Risk Matrix)

Классический инструмент — матрица «Вероятность x Ущерб». Эксперты оценивают каждый риск по двум осям на основании шкал.

Шкала вероятности (5 уровней):

Уровень	Балл	Описание	Частота
Крайне редко	1	Теоретически возможно, прецедентов нет	Менее 1 раза в 10 лет
Маловероятно	2	Единичные случаи в отрасли	1 раз в 3–10 лет
Возможно	3	Регулярно фиксируется в отрасли	1 раз в 1–3 года
Вероятно	4	Происходило в организации или аналогичных	1–3 раза в год
Почти наверняка	5	Систематически происходит	Чаще 3 раз в год

Шкала ущерба (5 уровней):

Уровень	Балл	Финансовый ущерб	Операционное влияние
Незначительный	1	До 100 тыс. ₽	Нарушение менее 1 часа
Умеренный	2	100 тыс. – 1 млн ₽	Нарушение 1–8 часов
Существенный	3	1–10 млн ₽	Нарушение 1–3 дня
Значительный	4	10–50 млн ₽	Нарушение 3–14 дней
Катастрофический	5	Свыше 50 млн ₽	Нарушение свыше 14 дней

Экспертная оценка

Качественная оценка проводится группой экспертов: CISO, владельцы бизнес-процессов, ИТ-администраторы, представители юридической службы. Оптимальный формат — воркшоп с модерацией, где по каждому риску обсуждаются:

Что может произойти? — описание сценария инцидента.
Насколько вероятно? — выбор уровня по шкале вероятности.
Каковы последствия? — выбор уровня по шкале ущерба.
Какие контроли уже есть? — учёт существующих мер защиты.

Результат фиксируется в виде балла риска: Уровень риска = Вероятность x Ущерб.

Пошаговый пример

Рассмотрим оценку риска «Утечка базы клиентов через фишинговую атаку»:

Актив: CRM-система, 50 000 записей клиентов с контактами и историей заказов.
Угроза: Целевой фишинг на менеджеров по продажам.
Уязвимость: Отсутствие обучения сотрудников, нет фильтрации вложений на почтовом шлюзе.
Вероятность: 4 (вероятно) — фишинговые атаки на отрасль фиксируются ежеквартально.
Ущерб: 4 (значительный) — штраф по 152-ФЗ до 18 млн ₽, репутационные потери, отток клиентов.
Уровень риска: 4 x 4 = 16 — критический.

Этот риск попадает в красную зону матрицы и требует немедленной обработки.

Количественные методы оценки рисков ИБ

Количественная оценка переводит риски в язык денег — единственный язык, на котором говорит совет директоров. Ключевые метрики: ALE, ARO, SLE.

Формула ALE = ARO x SLE

Метрика	Расшифровка	Определение
SLE	Single Loss Expectancy	Ожидаемые потери от одного инцидента (₽)
ARO	Annualized Rate of Occurrence	Ожидаемая частота инцидента в год
ALE	Annualized Loss Expectancy	Годовой ожидаемый ущерб (₽)
EF	Exposure Factor	Доля стоимости актива, утрачиваемая при инциденте (%)

Связь: SLE = Стоимость актива x EF, затем ALE = ARO x SLE.

Пример расчёта ALE

Сценарий: атака шифровальщика (ransomware) на файловый сервер.

Параметр	Значение	Обоснование
Стоимость актива	15 000 000 ₽	Стоимость данных + восстановление инфраструктуры
EF (Exposure Factor)	40%	Часть данных восстанавливается из бэкапов
SLE	6 000 000 ₽	15 000 000 x 0,4
ARO	0,5	Один инцидент раз в 2 года (отраслевая статистика)
ALE	3 000 000 ₽	6 000 000 x 0,5

Годовой ожидаемый ущерб от атаки шифровальщика — 3 000 000 ₽. Это означает, что любая мера защиты стоимостью менее 3 000 000 ₽ в год экономически оправдана.

Метод Монте-Карло

Для сложных сценариев с высокой неопределённостью применяется моделирование методом Монте-Карло. Вместо точечных оценок ARO и SLE задаются диапазоны (распределения вероятностей), после чего проводится 10 000+ итераций случайного моделирования. Результат — распределение возможных потерь с указанием доверительных интервалов.

Пример: вместо «ALE = 3 000 000 ₽» получаем «с вероятностью 90% годовые потери не превысят 5 200 000 ₽, медиана — 2 800 000 ₽». Это даёт руководству значительно более информативную картину для принятия решений.

Анализ затрат и выгод (CBA)

Количественная оценка позволяет обосновать инвестиции в ИБ через CBA (Cost-Benefit Analysis):

Ценность контроля = ALE (до внедрения) – ALE (после внедрения) – Стоимость контроля

Пример: внедрение системы резервного копирования с проверкой восстановления.

ALE до внедрения: 3 000 000 ₽ (из расчёта выше).
ALE после внедрения: 600 000 ₽ (EF снижается с 40% до 8% благодаря надёжным бэкапам).
Стоимость системы бэкапа: 800 000 ₽/год.
Ценность контроля: 3 000 000 – 600 000 – 800 000 = 1 600 000 ₽/год.

Положительная ценность контроля подтверждает: инвестиция в 800 000 ₽ приносит 1 600 000 ₽ чистой выгоды ежегодно. Такой расчёт — сильный аргумент для защиты бюджета ИБ перед CFO.

Комбинированные подходы к оценке рисков

Когда какой метод использовать

На практике ни качественный, ни количественный метод не применяются изолированно. ISO 27005:2022 рекомендует комбинированный подход, адаптированный под потребности организации.

Сравнение методов оценки рисков ИБ:

Критерий	Качественный	Количественный	Комбинированный
Входные данные	Экспертные суждения	Статистика инцидентов, финансовые данные	Экспертные + статистика для ТОП-рисков
Результат	Уровни (низкий — критический)	Денежные суммы (ALE, ₽)	Уровни + ALE для критичных
Трудоёмкость	Низкая (2–5 дней)	Высокая (2–4 недели)	Средняя (1–2 недели)
Объективность	Средняя (зависит от экспертов)	Высокая (при качественных данных)	Высокая
Понятность для руководства	Средняя	Высокая (язык денег)	Высокая
Применимость	Все организации	Зрелые организации с данными	Большинство организаций
Стандарты	ISO 27005, ГОСТ	ISO 27005, FAIR, NIST SP 800-30	ISO 27005 (рекомендуется)

Двухступенчатая оценка

Наиболее эффективный подход на практике — двухступенчатый:

Ступень 1. Качественный скрининг (все риски). Каждый идентифицированный риск оценивается экспертно по матрице 5x5. Результат — приоритизированный список из 30–80 рисков, разбитый на зоны: зелёная, жёлтая, оранжевая, красная.

Ступень 2. Количественный расчёт (ТОП-10 рисков). Для рисков из красной и оранжевой зон (обычно 10–15 штук) проводится количественный расчёт ALE. Это даёт финансовое обоснование для бюджета ИБ и позволяет сравнивать стоимость мер защиты с ожидаемыми потерями.

Такой подход балансирует охват (все риски оценены) и глубину (критичные риски просчитаны в деньгах).

Матрица рисков ИБ: построение и применение

Матрица 5x5

Матрица рисков — ключевой визуальный инструмент для коммуникации с руководством. Она наглядно показывает, где концентрируются наиболее критичные риски.

Матрица рисков 5x5:

Вероятность \ Ущерб	1 Незначительный	2 Умеренный	3 Существенный	4 Значительный	5 Катастрофический
5 Почти наверняка	5 (умеренный)	10 (существенный)	15 (существенный)	20 (критический)	25 (критический)
4 Вероятно	4 (приемлемый)	8 (умеренный)	12 (существенный)	16 (критический)	20 (критический)
3 Возможно	3 (приемлемый)	6 (умеренный)	9 (умеренный)	12 (существенный)	15 (существенный)
2 Маловероятно	2 (приемлемый)	4 (приемлемый)	6 (умеренный)	8 (умеренный)	10 (существенный)
1 Крайне редко	1 (приемлемый)	2 (приемлемый)	3 (приемлемый)	4 (приемлемый)	5 (умеренный)

Зоны риска и калибровка

Зоны определяют требуемую реакцию:

Приемлемый (1–4) — риск принимается, мониторинг в штатном режиме. Дополнительные меры не требуются.
Умеренный (5–9) — риск требует внимания. Планируются меры снижения в рамках текущего бюджета ИБ.
Существенный (10–15) — риск неприемлем. Обязательна разработка плана обработки с назначением ответственного и срока.
Критический (16–25) — риск требует немедленных действий. Эскалация на уровень руководства, выделение экстренного бюджета.

Калибровка — это настройка границ зон под аппетит к риску организации. Банк с жёсткими регуляторными требованиями может сдвинуть границу критической зоны до 12; стартап с высокой толерантностью к рискам — до 20. Калибровка утверждается руководством организации и фиксируется в политике управления рисками ИБ.

Визуализация и применение

Матрица рисков наиболее эффективна, когда на неё нанесены конкретные риски в виде точек или маркеров. Тепловая карта рисков (heatmap) визуально выделяет зоны концентрации: если большинство рисков сосредоточено в правом верхнем углу — организация находится в зоне высокого риска и требуются системные меры. Платформа КиберОснова автоматически формирует интерактивную матрицу с возможностью детализации каждого риска.

Стратегии обработки рисков ИБ

После оценки каждый риск, превышающий порог приемлемости, должен быть обработан. ISO 27005 определяет четыре стратегии обработки (risk treatment options).

1. Снижение (Risk Modification)

Наиболее распространённая стратегия. Внедряются контроли (технические, организационные, физические), которые снижают вероятность реализации угрозы или величину ущерба.

Примеры:

Внедрение MFA снижает вероятность несанкционированного доступа с 4 до 2.
Шифрование БД снижает ущерб от утечки с 5 до 3 (данные бесполезны без ключа).
Обучение сотрудников снижает вероятность успешного фишинга с 4 до 2.

Финансовые последствия риска передаются третьей стороне. Основные механизмы:

Киберстрахование — страховой полис покрывает убытки от инцидентов ИБ.
Аутсорсинг — передача функции (и связанных рисков) провайдеру: SOC-as-a-Service, управляемый хостинг с SLA по безопасности.

Важно: передача не устраняет риск полностью. Репутационный ущерб и регуляторную ответственность передать невозможно.

3. Принятие (Risk Retention)

Осознанное решение руководства принять риск без дополнительных мер. Применяется, когда:

Стоимость обработки превышает потенциальный ущерб (CBA отрицательный).
Риск находится в зоне приемлемости (зелёная зона матрицы).
Снижение риска технически невозможно на текущем этапе.

Принятие обязательно документируется: кто принял решение, на каком основании, на какой срок, условия пересмотра.

4. Избежание (Risk Avoidance)

Отказ от деятельности, порождающей риск. Примеры:

Отказ от хранения данных кредитных карт (передача обработки платёжному шлюзу).
Отключение устаревшей ИС с критическими уязвимостями, не поддающимися исправлению.
Отказ от использования публичных облачных хранилищ для конфиденциальных данных.

Избежание — радикальная стратегия, применимая, когда риск невозможно снизить до приемлемого уровня, а деятельность не является критической.

Дерево решений по выбору стратегии

Алгоритм выбора стратегии обработки:

Уровень риска выше порога приемлемости? Нет — принятие. Да — перейти к п. 2.
Деятельность, порождающая риск, критически необходима? Нет — избежание. Да — перейти к п. 3.
Существуют ли контроли, снижающие риск до приемлемого уровня? Да — CBA положительный? Если да — снижение. Нет — перейти к п. 4.
Финансовые последствия можно передать? Да — передача (страхование). Нет — комбинация снижения и принятия остаточного риска.

План обработки рисков

Результат выбора стратегий — План обработки рисков (Risk Treatment Plan, RTP). Это документ, содержащий для каждого неприемлемого риска: выбранную стратегию, конкретные меры, ответственного, сроки, требуемые ресурсы и целевой уровень остаточного риска. План утверждается руководством и контролируется в рамках СУИБ.

Реестр рисков ИБ: структура и ведение

Реестр рисков — центральный артефакт процесса управления рисками ИБ. Это живой документ, содержащий полную информацию обо всех идентифицированных рисках.

Обязательные поля реестра

Структура реестра рисков ИБ:

Поле	Описание	Пример
ID	Уникальный идентификатор	RISK-2026-042
Наименование	Краткое название риска	Утечка БД клиентов через фишинг
Описание	Развёрнутое описание сценария	Целевой фишинг на менеджеров отдела продаж с целью получения доступа к CRM
Категория	Тип риска	Конфиденциальность
Связанный актив	ИТ-актив из реестра активов	CRM-система «Клиенты», 50 000 записей
Угроза	Источник угрозы	Внешний нарушитель Н2, фишинговая атака
Уязвимость	Используемая слабость	Отсутствие обучения, нет почтового шлюза
Вероятность	Балл по шкале (1–5)	4
Ущерб	Балл по шкале (1–5)	4
Уровень риска	Вероятность x Ущерб	16 (критический)
Владелец риска	Ответственное лицо	Директор по продажам
Стратегия обработки	Снижение / передача / принятие / избежание	Снижение
Меры обработки	Конкретные контроли	1) Внедрить почтовый шлюз; 2) Провести обучение; 3) Подключить MFA
Срок обработки	Дедлайн	30.04.2026
Остаточный риск	Уровень после обработки	6 (умеренный) — вероятность снизится до 2
Статус	Текущий этап	В обработке
Дата пересмотра	Следующий плановый пересмотр	20.02.2027

Жизненный цикл риска

Каждый риск в реестре проходит стадии:

Идентифицирован — риск выявлен и занесён в реестр с описанием.
Оценён — присвоены баллы вероятности и ущерба, определён уровень риска.
В обработке — утверждена стратегия, назначен владелец, выполняются меры.
Обработан — меры внедрены, зафиксирован остаточный риск.
На мониторинге — остаточный риск в пределах приемлемости, ведётся наблюдение.
Закрыт — риск более не актуален (угроза устранена, актив выведен из эксплуатации).

Отчётность

Реестр рисков — основа отчётности перед руководством и регуляторами. Типовые отчёты:

Дашборд рисков — текущее распределение рисков по зонам матрицы, динамика за период.
ТОП-10 рисков — перечень критичных рисков с планами обработки и статусом.
Отчёт о прогрессе обработки — сколько рисков обработано, сколько в работе, просроченные.
Отчёт об остаточных рисках — перечень принятых рисков с обоснованием.

Формирование таких отчётов вручную в Excel занимает 2–3 рабочих дня. В SGRC-платформе — генерируется автоматически за минуты.

Автоматизация оценки рисков в SGRC

Что автоматизируется

Процесс оценки рисков включает множество рутинных операций, идеально подходящих для автоматизации:

Инвентаризация активов — автоматический импорт активов из CMDB, AD, сканеров уязвимостей в реестр активов.
Идентификация угроз — маппинг активов на угрозы из БДУ ФСТЭК и каталога ISO 27005 через модель угроз.
Расчёт уровней рисков — автоматическое вычисление по заданной методике (качественной или количественной) при изменении входных данных.
Визуализация — формирование матрицы рисков, тепловых карт, трендов в реальном времени.
Планы обработки — создание задач, назначение ответственных, контроль сроков, эскалация просрочек.
Мониторинг — автоматическое обновление уровней рисков при изменении ландшафта угроз, появлении новых уязвимостей.
Отчётность — генерация дашбордов и отчётов по расписанию или по запросу.

Платформа КиберОснова

КиберОснова предоставляет полный цикл управления рисками ИБ:

Методики оценки — встроенные шаблоны по ISO 27005, ГОСТ Р ИСО/МЭК 27005, возможность настройки собственной методики. Калибровка шкал и зон матрицы под аппетит к риску организации.
Реестр рисков — структурированная база со всеми обязательными полями, историей изменений и аудит-трейлом. Связь рисков с активами, угрозами, контролями.
Автоматический расчёт — уровни рисков пересчитываются при обновлении данных (новая уязвимость, изменение стоимости актива, внедрение контроля).
Интерактивная матрица — визуализация рисков с возможностью клика на любую ячейку для детализации. Сравнение текущего и целевого состояния.
Интеграция — связь с модулями аудита ИБ, модели угроз, инвентаризации активов. Изменение в одном модуле автоматически обновляет оценку рисков.
Отчётность для руководства — генерация отчётов в PDF и XLSX: ТОП-рисков, прогресс обработки, динамика за период.

Среднее время проведения полного цикла оценки рисков для организации с 200–500 активами: в Excel — 4–6 недель, в КиберОснова — 5–7 рабочих дней. Экономия трудозатрат — 60–70%.

Интеграция в экосистему ИБ

SGRC-платформа не заменяет экспертов — она освобождает их от рутины. Автоматизация расчётов и визуализации позволяет сфокусироваться на том, что действительно требует интеллекта: интерпретация результатов, выбор стратегии обработки, коммуникация с бизнесом.

Связка «Модель угроз + Оценка рисков + Аудит» в единой платформе обеспечивает целостность данных: изменение в модели угроз автоматически обновляет перечень рисков, результаты аудита ИБ отражают эффективность внедрённых контролей, а инвентаризация активов гарантирует, что ни один актив не останется без оценки.

Оценка рисков ИБ по ISO 27005 — это не разовое упражнение, а непрерывный процесс, встроенный в систему управления ИБ. Качественные методы дают быстрый результат для приоритизации, количественные — финансовое обоснование для руководства, комбинированные — оптимальный баланс охвата и точности.

Если вы хотите перейти от Excel-таблиц к системному управлению рисками — запросите демо платформы КиберОснова и оцените автоматизацию оценки рисков на реальных данных вашей организации.

Оценка рисков информационной безопасности по ISO 27005: методы, матрица и реестр рисков