Управление рисками информационной безопасности — центральный процесс любой зрелой системы защиты информации. Именно оценка рисков определяет, какие активы защищать в первую очередь, какие угрозы наиболее вероятны и какой объём ресурсов выделить на защитные меры. Без формализованного подхода к рискам организация действует вслепую: тратит бюджет на второстепенные угрозы, пропускает критические уязвимости и не может обосновать решения перед руководством. В этом руководстве разберём весь цикл управления рисками ИБ — от нормативной базы и методов оценки до построения реестра рисков и автоматизации процесса в SGRC-платформе.
Что такое управление рисками информационной безопасности
Управление рисками ИБ (Information Security Risk Management) — это систематический, непрерывный процесс выявления, анализа, оценивания и обработки рисков, связанных с конфиденциальностью, целостностью и доступностью информационных активов организации.
Риск ИБ: определение
Риск информационной безопасности — это потенциальная возможность того, что угроза эксплуатирует уязвимость актива и нанесёт ущерб организации. Формально:
Риск = Угроза x Уязвимость x Ценность актива
Каждый риск характеризуется двумя измерениями: вероятностью реализации угрозы и величиной ущерба при её наступлении. Комбинация этих параметров определяет уровень риска и приоритет обработки.
Зачем управлять рисками ИБ
Управление рисками решает четыре ключевые задачи:
- Приоритизация. Ресурсы ИБ всегда ограничены. Оценка рисков позволяет направить бюджет и усилия на защиту наиболее критичных активов от наиболее вероятных угроз.
- Обоснование инвестиций. CISO получает аргументированную базу для запроса бюджета: не «нам нужен новый SIEM», а «риск остановки производства оценивается в 15 млн ₽/год, внедрение мониторинга снижает его на 80%».
- Соответствие требованиям. Регуляторы (ФСТЭК, ФСБ, ЦБ РФ) и международные стандарты (ISO 27001) требуют документированной оценки рисков как основы для выбора защитных мер.
- Непрерывное улучшение. Регулярная переоценка рисков — механизм обратной связи, позволяющий адаптировать защиту к изменениям в ландшафте угроз и инфраструктуре.
Управление рисками — не разовый проект, а непрерывный цикл, встроенный в систему управления информационной безопасностью (СУИБ). Без этого процесса СУИБ лишена аналитического ядра и превращается в формальный набор документов.
Нормативная база и стандарты управления рисками ИБ
ISO/IEC 27005:2022
Основной международный стандарт, посвящённый именно управлению рисками ИБ. ISO 27005 определяет:
- структуру процесса (контекст → оценка → обработка → мониторинг);
- требования к критериям оценки рисков;
- подходы к идентификации, анализу и оценке рисков;
- варианты обработки рисков;
- требования к коммуникации и документированию.
Стандарт не предписывает конкретную методику расчёта — организация выбирает метод, соответствующий её масштабу и зрелости.
ГОСТ Р ИСО/МЭК 27005
Российская адаптация ISO 27005. Гармонизирован с международной версией, применяется при построении СУИБ в соответствии с ГОСТ Р ИСО/МЭК 27001. Обязателен де-факто для организаций, проходящих сертификацию по ГОСТ.
ISO 31000
Универсальный стандарт управления рисками, применимый к любым видам рисков — не только ИБ. Определяет принципы и общую структуру (framework), в которую встраивается управление рисками ИБ по ISO 27005. Полезен для интеграции ИБ-рисков в корпоративную систему управления рисками (Enterprise Risk Management, ERM).
Нормативные документы ФСТЭК и ФСБ
В российской практике управление рисками ИБ связано с:
- Методика ФСТЭК 2021 — определение актуальных угроз через моделирование нарушителей и сценариев атак. Результаты моделирования угроз — прямой входной параметр для оценки рисков. Подробнее — в статье Модель угроз ИБ по методике ФСТЭК.
- Приказы ФСТЭК 17, 21, 239 — требуют обоснования выбора мер защиты на основе модели угроз (по сути — на основе оценки рисков).
- Требования ФСБ к СКЗИ — определение класса криптографической защиты зависит от оценки возможностей нарушителя, что является элементом анализа рисков.
- СТО БР ИББС — стандарт Банка России, содержащий собственную методику оценки рисков для финансовых организаций.
- ГОСТ Р 57580.1 — требования к защите информации финансовых организаций, предусматривающие риск-ориентированный подход.
| Стандарт / документ | Область применения | Что регламентирует |
|---|---|---|
| ISO/IEC 27005:2022 | Международный, любая организация | Полный процесс управления рисками ИБ |
| ГОСТ Р ИСО/МЭК 27005 | Россия, сертификация по ISO 27001 | Адаптация ISO 27005 для РФ |
| ISO 31000 | Универсальный | Общие принципы управления рисками |
| Методика ФСТЭК 2021 | ГИС, ИСПДн, КИИ, АСУ ТП | Моделирование угроз и нарушителей |
| СТО БР ИББС | Финансовые организации | Оценка рисков в банковской сфере |
| ГОСТ Р 57580.1 | Финансовые организации | Риск-ориентированные требования к защите |
Этапы процесса управления рисками ИБ
ISO 27005 определяет шесть последовательных этапов. Каждый этап обеспечивает входные данные для следующего, а цикл повторяется регулярно.
1. Определение контекста
На этом этапе определяются:
- Область применения — какие информационные системы, подразделения, процессы охватывает оценка рисков.
- Критерии оценки — шкалы вероятности и ущерба, пороговые значения допустимого (приемлемого) риска.
- Организационный контекст — бизнес-цели, регуляторные требования, заинтересованные стороны.
Ошибка на этапе контекста — неопределённая область оценки — приводит к тому, что значительная часть активов выпадает из анализа.
2. Идентификация рисков
Систематическое выявление:
- Активов — информационные системы, базы данных, серверное оборудование, каналы связи, персонал. Каждому активу назначается владелец и определяется ценность.
- Угроз — внешние (кибератаки, физическое проникновение) и внутренние (ошибки персонала, злонамеренные действия). Источник угроз — БДУ ФСТЭК, MITRE ATT&CK, отраслевые каталоги.
- Уязвимостей — технические (непатченное ПО, слабые конфигурации) и организационные (отсутствие процедур, недостаточное обучение).
- Существующих мер защиты — что уже внедрено и снижает вероятность или ущерб.
Результат — перечень пар «угроза — уязвимость» для каждого актива.
3. Анализ рисков
Определение уровня каждого идентифицированного риска. На этом этапе выбирается метод анализа (качественный, количественный или комбинированный — подробнее в следующем разделе) и рассчитываются значения вероятности и ущерба.
4. Оценивание рисков
Сравнение рассчитанных уровней рисков с установленными критериями приемлемости. Риски ранжируются по приоритету: критические и высокие — требуют немедленной обработки; средние — обработка в плановом порядке; низкие — принятие или мониторинг.
5. Обработка рисков
Выбор и реализация стратегии для каждого неприемлемого риска (подробнее — в разделе «Стратегии обработки»). Формируется план обработки рисков с конкретными мерами, ответственными, сроками и бюджетом.
6. Мониторинг и пересмотр
Непрерывное отслеживание:
- Эффективности внедрённых мер (остаточный риск действительно снизился?).
- Изменений в ландшафте угроз (новые уязвимости, новые типы атак).
- Изменений в инфраструктуре (новые системы, миграция в облако, организационные преобразования).
Плановая переоценка — не реже одного раза в год. Внеплановая — при инцидентах, изменениях инфраструктуры или законодательства. В SGRC-системах мониторинг может быть непрерывным благодаря автоматическому обновлению данных об активах и угрозах.
Методы оценки рисков ИБ
Качественная оценка
Наиболее распространённый метод для организаций начального и среднего уровня зрелости. Вероятность и ущерб оцениваются по текстовым шкалам (например, четырёхуровневая: низкий, средний, высокий, критический). Уровень риска определяется по матрице пересечения.
Преимущества: простота, скорость, не требует статистических данных. Недостатки: субъективность, сложность сравнения рисков разных типов, невозможность финансового обоснования.
Количественная оценка
Риски выражаются в денежных единицах. Ключевые формулы:
- SLE (Single Loss Expectancy) — ожидаемый ущерб от одного инцидента = Стоимость актива x Фактор воздействия (EF).
- ARO (Annualized Rate of Occurrence) — ожидаемая частота инцидента в год.
- ALE (Annualized Loss Expectancy) — годовой ожидаемый ущерб = ARO x SLE.
Пример: сервер стоимостью 5 000 000 ₽, фактор воздействия 40%, вероятность инцидента 0,5 раз/год. SLE = 5 000 000 x 0,4 = 2 000 000 ₽. ALE = 0,5 x 2 000 000 = 1 000 000 ₽/год. Если стоимость защитной меры менее 1 000 000 ₽/год — она экономически обоснована.
Преимущества: объективность, финансовое обоснование, возможность сравнения с инвестициями. Недостатки: необходимы статистические данные, которые редко доступны; трудоёмкость; не учитывает репутационный ущерб.
Комбинированный подход
На практике большинство организаций используют комбинацию: качественная оценка для первичного скрининга, количественная — для топ-рисков, требующих финансового обоснования перед руководством. Платформа КиберОснова поддерживает оба метода и позволяет переключаться между ними в рамках одного реестра.
| Критерий | Качественный метод | Количественный метод | Комбинированный |
|---|---|---|---|
| Сложность внедрения | Низкая | Высокая | Средняя |
| Требования к данным | Экспертные оценки | Статистика инцидентов, стоимость активов | Экспертные + частичная статистика |
| Точность | Субъективная | Высокая (при наличии данных) | Средняя–Высокая |
| Скорость оценки | Быстрая (дни) | Медленная (недели) | Средняя |
| Финансовое обоснование | Нет | Да (ALE, ROI) | Частично |
| Применимость | Все организации | Крупные, зрелые | Большинство |
| Инструмент | Матрица рисков | Формулы ALE, Монте-Карло | Матрица + ALE для топ-рисков |
Реестр рисков: как создать и поддерживать
Реестр рисков — центральный документ процесса управления рисками ИБ. Это структурированная база данных всех идентифицированных рисков с их характеристиками, текущим статусом и планами обработки.
Структура реестра
Минимальный набор полей реестра рисков:
- ID риска — уникальный идентификатор.
- Название / описание — краткое описание сценария.
- Актив — на какой актив направлен риск.
- Угроза — источник и тип угрозы.
- Уязвимость — через какую слабость реализуется угроза.
- Вероятность — оценка по принятой шкале.
- Ущерб — оценка потенциальных потерь.
- Уровень риска — рассчитанный или определённый по матрице.
- Владелец риска — ответственный за обработку.
- Стратегия обработки — снижение, передача, принятие, избежание.
- Меры обработки — конкретные защитные меры.
- Статус — открыт, в обработке, закрыт.
- Остаточный риск — уровень риска после обработки.
Матрица рисков
Матрица рисков (heat map) — визуальный инструмент для приоритизации. Ниже — пример матрицы 5x5.
| Вероятность \ Ущерб | Незначительный | Низкий | Средний | Высокий | Критический |
|---|---|---|---|---|---|
| Почти наверняка | Средний | Высокий | Высокий | Критический | Критический |
| Вероятно | Низкий | Средний | Высокий | Высокий | Критический |
| Возможно | Низкий | Средний | Средний | Высокий | Высокий |
| Маловероятно | Низкий | Низкий | Средний | Средний | Высокий |
| Редко | Низкий | Низкий | Низкий | Средний | Средний |
Пример записей реестра
| ID | Сценарий | Актив | Вероятность | Ущерб | Уровень | Стратегия | Статус |
|---|---|---|---|---|---|---|---|
| R-001 | Шифрование данных вымогателем | ERP-система | Вероятно | Критический | Критический | Снижение | В обработке |
| R-002 | Утечка ПДн через email | Почтовый сервер | Возможно | Высокий | Высокий | Снижение | Открыт |
| R-003 | DDoS-атака на веб-портал | Корпоративный сайт | Вероятно | Средний | Высокий | Передача | Закрыт |
| R-004 | Несанкционированный доступ через VPN | VPN-шлюз | Маловероятно | Высокий | Средний | Снижение | В обработке |
| R-005 | Сбой СУБД из-за отсутствия обновлений | PostgreSQL-кластер | Возможно | Средний | Средний | Снижение | Открыт |
Поддержание актуальности
Реестр — живой документ. Правила поддержания:
- Пересмотр всех записей не реже одного раза в квартал.
- Добавление нового риска при каждом инциденте, аудите или изменении инфраструктуры.
- Закрытие рисков только после подтверждения эффективности мер обработки.
- Ведение истории изменений (кто, когда, что изменил).
Ведение реестра в Excel допустимо для небольших организаций (до 50 рисков), но при росте масштаба становится неуправляемым. Модуль управления рисками КиберОснова обеспечивает централизованное хранение, автоматический пересчёт уровней, контроль версий и уведомления о необходимости пересмотра.
Стратегии обработки рисков ИБ
После оценивания каждый неприемлемый риск должен быть обработан. ISO 27005 определяет четыре стратегии.
1. Снижение (mitigation)
Внедрение защитных мер для уменьшения вероятности реализации угрозы или величины ущерба. Наиболее распространённая стратегия.
Примеры: внедрение MFA для снижения риска несанкционированного доступа; сегментация сети для ограничения распространения атаки; резервное копирование для снижения ущерба от ransomware.
2. Передача (transfer)
Перенос финансовых последствий риска на третью сторону.
Примеры: киберстрахование; аутсорсинг инфраструктуры с SLA провайдеру; привлечение SOC-as-a-Service.
Передача не устраняет риск полностью: репутационный ущерб и ответственность перед регулятором остаются за организацией.
3. Принятие (acceptance)
Осознанное решение не обрабатывать риск. Допустимо, когда:
- Уровень риска ниже порога приемлемости.
- Стоимость защитных мер превышает потенциальный ущерб.
- Риск связан с деятельностью, критичной для бизнеса, и альтернатив нет.
Принятие должно быть формально задокументировано и утверждено владельцем риска на соответствующем уровне руководства.
4. Избежание (avoidance)
Отказ от деятельности, порождающей риск.
Примеры: отказ от хранения ПДн, если это не является основной деятельностью; вывод из эксплуатации устаревшей системы без поддержки; отказ от публичного API с высоким уровнем угроз.
Как выбрать стратегию
Выбор зависит от трёх факторов:
- Уровень риска. Критические и высокие риски, как правило, требуют снижения. Низкие — могут быть приняты.
- Стоимость обработки. Если стоимость меры защиты превышает ALE, финансово обоснованнее принять риск или найти альтернативную стратегию.
- Аппетит к риску. Определяется руководством организации. Банки и операторы КИИ имеют низкий аппетит к риску; стартапы могут допускать более высокий уровень остаточного риска.
После обработки формируется остаточный риск — уровень риска, сохраняющийся после внедрения мер. Остаточный риск должен быть в пределах приемлемого уровня и формально принят руководством.
Роль SGRC-платформы в управлении рисками
Проблемы ручного процесса
Ведение управления рисками в электронных таблицах — типичная практика, которая создаёт множество проблем при росте масштаба:
- Разрозненность данных. Реестр активов — в одном файле, реестр рисков — в другом, план обработки — в третьем. Связи между ними поддерживаются вручную.
- Ошибки расчёта. Формулы в Excel ломаются при копировании строк, ссылки сбиваются, пересчёт не выполняется автоматически.
- Отсутствие контроля версий. Кто и когда изменил уровень риска? Актуальна ли текущая версия?
- Невозможность масштабирования. При 200+ рисках Excel перестаёт быть управляемым инструментом.
- Отсутствие дашбордов. Руководство не получает оперативной картины — только статичные отчёты, устаревающие к моменту подготовки.
Что автоматизирует SGRC
SGRC-платформа (Security Governance, Risk and Compliance) решает эти проблемы системно:
- Единый реестр активов и рисков. Все данные хранятся в связанной модели: актив → угроза → уязвимость → риск → мера обработки. Изменение статуса актива автоматически влияет на связанные риски.
- Автоматический расчёт. Уровень риска пересчитывается при изменении любого входного параметра — вероятности, ущерба, статуса защитной меры.
- Матрица рисков в реальном времени. Интерактивная тепловая карта с возможностью фильтрации по подразделению, типу актива, владельцу.
- План обработки с контролем сроков. Каждая мера привязана к ответственному, имеет дедлайн и статус выполнения. Система формирует уведомления о просрочках.
- Отчётность для руководства. Автоматическая генерация отчётов: динамика рисков, прогресс обработки, сравнение текущего и предыдущего периодов.
- Интеграция с другими модулями. Связь с аудитами, моделью угроз, управлением соответствием. Результат аудита автоматически создаёт записи в реестре рисков.
КиберОснова: модуль управления рисками
Модуль управления рисками КиберОснова реализует полный цикл по ISO 27005:
- Настраиваемые методики оценки (качественная, количественная, комбинированная).
- Справочник угроз с интеграцией БДУ ФСТЭК.
- Автоматическое формирование матрицы рисков и тепловой карты.
- Workflow согласования: аналитик → CISO → руководство.
- Шаблоны планов обработки с типовыми мерами.
- API для интеграции со сканерами уязвимостей и SIEM.
- Дашборды с KPI: количество открытых рисков, средний уровень, прогресс обработки, динамика.
Автоматизация сокращает трудозатраты на управление рисками на 60-70% по сравнению с ручным процессом и повышает объективность оценки за счёт единообразного применения методики.
Типичные ошибки в управлении рисками ИБ
1. Формальный подход
Оценка рисков проводится «для галочки» — для прохождения аудита или сертификации. Реестр заполняется один раз и не пересматривается. Результат: документ существует, но не влияет на реальные решения по защите информации.
Как избежать: интегрировать оценку рисков в процесс принятия решений. Каждый запрос на изменение инфраструктуры должен включать оценку влияния на риски.
2. Игнорирование нетехнических рисков
Фокус только на технических угрозах (кибератаки, вредоносное ПО) при игнорировании организационных: ошибки персонала, социальная инженерия, физическая безопасность, утеря носителей.
Как избежать: использовать комплексный каталог угроз, включающий все категории. ISO 27005 явно указывает на необходимость рассмотрения как технических, так и нетехнических угроз.
3. Отсутствие владельцев рисков
Риски идентифицированы, но не назначены ответственные за их обработку. В результате никто не отслеживает реализацию мер и не отвечает за остаточный уровень риска.
Как избежать: каждый риск в реестре должен иметь назначенного владельца — как правило, руководителя подразделения, ответственного за связанный актив.
4. Несогласованные критерии оценки
Разные подразделения или эксперты используют разные шкалы и интерпретации. «Высокий» для одного — «средний» для другого. Результаты несопоставимы.
Как избежать: задокументировать единые критерии оценки на этапе определения контекста. Провести калибровочную сессию с экспертами для выработки единого понимания шкал.
5. Оценка без учёта существующих мер
Распространённая ошибка — оценивать «чистый» риск без учёта уже внедрённых защитных мер. Это завышает уровни рисков и создаёт ложную картину незащищённости.
Как избежать: при анализе рисков фиксировать текущие меры защиты и их эффективность. Оценивать и исходный (inherent), и текущий (current) уровень риска.
6. Один цикл вместо непрерывного процесса
Оценка рисков проведена один раз — при внедрении СУИБ или при подготовке к проверке. Реестр устаревает через 3-6 месяцев.
Как избежать: встроить пересмотр рисков в регулярные процессы (ежеквартальный анализ, review после инцидентов). Использовать SGRC-платформу для автоматических уведомлений о необходимости пересмотра.
7. Excel как единственный инструмент
Электронные таблицы работают при 20-30 рисках. При 100+ рисках, нескольких экспертах и необходимости регулярного пересмотра Excel становится источником ошибок, а не инструментом управления.
Как избежать: при масштабе более 50 рисков переходить на специализированный инструмент — SGRC-платформу, обеспечивающую целостность данных, автоматический пересчёт и контроль процессов.
Следующий шаг: автоматизируйте управление рисками
Выстроить зрелый процесс управления рисками ИБ — задача, которая определяет эффективность всей системы защиты информации. Модуль управления рисками КиберОснова позволяет пройти этот путь быстрее: от первичной оценки до непрерывного мониторинга — с единым реестром, автоматическими расчётами и наглядной отчётностью для руководства.
Запросить демонстрацию — покажем, как управление рисками работает на платформе КиберОснова для организаций вашего масштаба и отрасли.
