«Сравнение методологий оценки рисков информационной безопасности часто напоминает спор о том, что лучше: молоток, отвертка или штангенциркуль. Вопрос не в выборе одного универсального инструмента, а в понимании, для какой именно задачи он создан и на каком этапе строительства системы защиты потребуется.»
Попытки объявить одну методологию единственно верной для всех случаев жизни не просто наивны — они вредны. Они заставляют специалистов оценивать киберугрозы для стратегически важного актива теми же приёмами, что и риски от потери USB-накопителя, а потом удивляться, почему бизнес не воспринимает результаты всерьёз. Разные подходы существуют не для конкуренции, а для решения задач разных уровней: от построения общей управленческой культуры до количественной оценки ущерба в рублях. Правильная стратегия — это не выбор, а сборка.
ISO 31000: Каркас, а не инструкция
Главное заблуждение насчёт ISO 31000 — поиск в нём конкретных формул для расчёта. Их там нет. Этот стандарт — не инструмент, а архитектурный чертёж. Он описывает, как должна быть устроена сама система принятия решений в условиях неопределённости, и делает это на абстрактном, всеобъемлющем уровне. Риски рассматриваются вне привязки к информационной безопасности: это могут быть финансовые, репутационные, операционные угрозы.
Стандарт вводит универсальный цикл: от установления контекста и оценки до обработки рисков и мониторинга. Его сила — в создании общего языка между юристами, финансистами, руководителями и специалистами по ИБ. Он не подскажет, как оценить уязвимость в веб-приложении, но потребует, чтобы процесс её оценки был встроен в деятельность компании, документирован и непрерывен. Это основа, на которую можно установить любые специализированные методики. Без такого каркаса даже самая продвинутая модель расчётов превращается в изолированное упражнение для отчётности.
[ИЗОБРАЖЕНИЕ: Схема-конструктор, где блок «Каркас ISO 31000» является основанием, а на него сверху устанавливаются модули с логотипами других методологий: ISO 27005, NIST, FAIR.]
ISO 27005: Практика для системы менеджмента ИБ
Когда общий управленческий каркас нужно применить конкретно к информационной безопасности, в дело вступает ISO 27005. Это уже не философия, а практическое руководство для работы в рамках системы менеджмента информационной безопасности, чаще всего строящейся по ISO 27001. Фокус смещается на активы: информацию, программное обеспечение, оборудование, людей.
Логика проста и линейна: идентифицируем активы, находим для них угрозы и уязвимости, оцениваем риски для конфиденциальности, целостности и доступности. Стандарт формально допускает как качественную (низкий/средний/высокий), так и количественную оценку, но в реальности доминирует первая — из-за её кажущейся простоты. Ключевая ценность ISO 27005 — в прямой привязке результатов оценки к каталогу мер контроля из Приложения A ISO 27001. Это создаёт закрытый, самодостаточный контур: выявили риск — выбрали из списка подходящую меру для его обработки. Методология идеально ложится на регулярные, плановые оценки для поддержания и аудита СМИБ, но может оказаться слишком громоздкой для быстрой оценки нового технологического проекта.
NIST SP 800-30: Технический фокус на системы и процессы
Прагматизм NIST SP 800-30 кроется в смещении акцента с абстрактных «активов» на конкретные информационные системы и бизнес-процессы, которые они поддерживают. Это руководство, изначально создававшееся для госсектора, прижилось в ИТ-среде благодаря своему техническому, прикладному уклону.
Оно предлагает трёхуровневый взгляд (организация — бизнес-процесс — информационная система) и делает сильный упор на концепцию остаточного риска — того, что остаётся после применения запланированных средств защиты. Это критически важно при внедрении новой системы или изменении архитектуры: можно смоделировать, как предлагаемые контроли изменят итоговую картину. Готовая интеграция с обширным каталогом контролей NIST SP 800-53 делает переход от оценки к проектированию защиты почти механическим. Если ISO 27005 больше про «что защищать», то NIST 800-30 — про «как защищать эту конкретную систему в её среде».
| Критерий сравнения | ISO/IEC 27005 | NIST SP 800-30 |
|---|---|---|
| Объект оценки | Активы (информация, ПО, оборудование) | Информационные системы и их операционная среда |
| Основной контекст | Построение и поддержание СМИБ (ISO 27001) | Техническая оценка безопасности, проектная работа |
| Связь с контролями | Приложение A ISO 27001 | Каталог NIST SP 800-53 |
| Ключевая концепция | Качественная оценка (чаще всего) | Оценка и анализ остаточного риска |
ГОСТ Р ИСО/МЭК 31010: Каталог инструментов, а не единая методика
Воспринимать этот ГОСТ как самостоятельную методологию — техническая ошибка. Это адаптированный перевод международного каталога методов оценки рисков. Его предназначение — быть справочником внутри процесса, определённого ISO 31000.
В нём описаны десятки техник, от простейших мозговых штурмов и контрольных списков до сложных вероятностных моделей вроде анализа дерева событий или методов Монте-Карло. Для каждого метода указано, для каких рисков он подходит, какие данные нужны на входе, каковы его ограничения и требуемая квалификация исполнителей. Вы определяете тип риска через призму ISO 31000, а затем по этому ГОСТу выбираете подходящий инструмент для его анализа. Это избавляет от примитивной унификации, когда для оценки риска целевой атаки и риска сбоя электропитания используется один и тот же шаблон таблицы в Excel.
FAIR: Язык вероятностей и денег
Factor Analysis of Information Risk решает принципиально другую задачу. Предыдущие стандарты отвечают на вопросы «как организовать процесс?» и «что оценивать?». FAIR сосредоточен на «как измерить?». Это открытая методология количественного анализа, которая переводит разговор о рисках с субъективных ощущений на язык статистики и финансов.
FAIR декомпозирует риск на измеримые составляющие: частоту событий, приводящих к потерям, и величину самих потерь. Каждая составляющая разбирается дальше. Например, частота потерь зависит от того, как часто угроза контактирует с активом и с какой вероятностью этот контакт приводит к негативному событию. В итоге можно построить модель, которая даст не метку «высокий риск», а, например, распределение возможных годовых потерь в диапазоне от 2 до 10 миллионов рублей с 90% доверительной вероятностью.
Такой подход требует больше данных и усилий на старте, но даёт результат, который понимает финансовый директор. Сила FAIR — не в ежедневной операционной работе, а в обосновании крупных инвестиций в безопасность или в сравнении эффективности разных стратегий снижения угроз. Когда нужно доказать, почему защита одного актива важнее другого, качественных градаций часто недостаточно.
[ИЗОБРАЖЕНИЕ: Схема декомпозиции риска по модели FAIR. В центре — «Риск потери». От него расходятся две ветви: «Частота событий потерь» (разбивается на «Контактную частоту» и «Вероятность действия») и «Величина потерь» (разбивается на «Первичный ущерб» и «Вторичный ущерб»). Каждый конечный элемент сопровождается пиктограммой, обозначающей тип входных данных: статистика, экспертная оценка, финансовые показатели.]
Стратегия применения: сборка рабочей системы
Эффективная система управления рисками ИБ — это не выбор одного фреймворка, а их осознанное комбинирование в зависимости от решаемой задачи. Рабочая последовательность выглядит так:
- Установите каркас. За основу берите принципы ISO 31000. Это создаст общий контекст, определит роли и политики, сделает управление рисками не разовой акцией, а процессом.
- Настройте операционный процесс. Для плановых работ в рамках СМИБ используйте логику ISO 27005. Для точечных, глубоко технических оценок новых систем, миграций в облако или проверок на соответствие конкретным требованиям (вроде ФСТЭК) — подход NIST SP 800-30.
- Используйте каталог методов. Обращайтесь к ГОСТ Р ИСО/МЭК 31010 как к библиотеке инструментов. Столкнулись с новым, нестандартным типом риска — не пытайтесь втиснуть его в старые шаблоны, найдите в каталоге более подходящий метод анализа.
- Вводите количественную оценку точечно. Применяйте методологию FAIR для измерения 5-10% наиболее значимых сценариев, где нужно обосновать большой бюджет, выбрать между дорогостоящими решениями или доказать остаточный риск регулятору. Использовать её для всех рисков непрактично и избыточно.
В результате вы получите гибрид. Общая культура и процесс живут по ISO 31000. Ежегодная оценка для поддержания сертификата СМИБ проводится по ISO 27005. Архитекторы и инженеры для проектных работ применяют NIST 800-30. А финансовое влияние потенциальных кибератак на ключевые активы просчитывается через модели FAIR для обсуждения с советом директоров. Понимание роли каждого инструмента превращает управление рисками из бюрократической процедуры в осмысленный механизм поддержки бизнес-решений.