«Единая шкала рисков, это попытка навести порядок в хаосе оценок, которыми оперируют разные службы компании. Проблема не в том, чтобы выбрать цвета от красного до зелёного, а в том, чтобы заставить сотрудников из отдела информационной безопасности, финансового контроля и охраны труда говорить на одном языке, когда речь заходит о том, что действительно важно для бизнеса»
.
Почему одна шкала лучше множества
В любой компании, особенно крупной, риски оценивают по-разному. Отдел информационной безопасности оперирует уязвимостями, вероятностью инцидента и ущербом для ИТ-full stack-систем. Служба охраны труда считает вероятность травмы и тяжесть последствий для сотрудника. Финансовый контроль сосредоточен на нарушениях процедур и возможных денежных потерях. У каждого своя матрица, своя цветовая схема и своё понимание того, что такое «высокий» риск.
Результат — управленческий хаос. Когда директору по безопасности приносят отчёты, где красным отмечены пятьдесят событий из разных областей, он не может расставить приоритеты. Риск утечки данных с оценкой «5» по шкале ИБ и риск спотыкания на складе с такой же оценкой «5» по шкале охраны труда, это не одно и то же для бизнеса. Но на бумаге они выглядят одинаково критичными.
Единая шкала решает эту проблему, переводя все локальные оценки в общую систему координат. Её цель — не заменить экспертные методики, а создать «конвертер», который позволит сравнить несравнимое на языке общего бизнес-ущерба.
С чего начать построение единой шкалы
Первый и самый сложный шаг — определить общий эквивалент, к которому будут приводиться все оценки. В бизнес-среде таким универсальным мерилом чаще всего выступают деньги. Не в смысле прямых штрафов, а в виде совокупного финансового ущерба: прямые потери, затраты на восстановление, репутационный урон, переведённый в денежный эквивалент, простой производства.
Например, для ИБ1 инцидента это может быть расчёт: штраф по 152-ФЗ, стоимость работ по ликвидации инцидента, упущенная выгода из-за простоя систем. Для охраны труда — размер компенсаций, судебные издержки, штрафы от Роструда, потери из-за отсутствия ключевого сотрудника.
Этот подход сразу отсекает субъективные оценки вроде «высокая вероятность» или «серьёзные последствия» и требует от каждой службы думать в терминах конечного воздействия на компанию.
Ключевые компоненты шкалы
Упрощённая, но рабочая единая шкала строится на двух осях, знакомых по классическим матрицам риска, но переосмысленных в общем контексте.
Ось №1: Влияние на бизнес-процессы
Здесь оценивается не техническая тяжесть инцидента, а его эффект на работу компании. Градации могут выглядеть так:
- Незначительное: Влияние на одного сотрудника или неключевой процесс. Работа компании в целом не нарушена.
- Локальное: Сбой в работе отдела или временная недоступность второстепенной системы. Есть замедление, но процесс продолжается.
- Критическое: Остановка ключевого бизнес-процесса (например, производства, приёма платежей) на срок до нескольких часов. Требует немедленного вмешательства руководства.
- Катастрофическое: Полная остановка основной деятельности компании на срок более суток. Существенная угроза выполнению контрактных обязательств или финансовой стабильности.
Ось №2: Финансовый эквивалент ущерба
Это количественное выражение последствий. Диапазоны будут уникальны для каждой компании и зависят от её масштаба. Пример для среднеразмерного бизнеса:
- Низкий (до 500 тыс. руб.): Мелкие штрафы, затраты на исправление, незначительные компенсации.
- Средний (500 тыс. – 5 млн руб.): Судебные издержки, заметные штрафы регуляторов, затраты на восстановление после локального инцидента.
- Высокий (5 – 50 млн руб.): Крупные штрафы (например, за нарушение 152-ФЗ при массовой утечке), значительные репутационные потери, переведённые в деньги, остановка производства.
- Критический (свыше 50 млн руб.): Угроза существованию бизнеса, многомиллионные иски, потеря крупных контрактов, банкротство контрагентов из-за действий компании.
Комбинация этих двух осей через сводную таблицу даёт итоговый уровень риска по единой шкале.
| Влияние на процессы | Низкий ущерб | Средний ущерб | Высокий ущерб | Критический ущерб |
|---|---|---|---|---|
| Незначительное | Минимальный риск | Низкий риск | Средний риск | Высокий риск |
| Локальное | Низкий риск | Средний риск | Высокий риск | Критический риск |
| Критическое | Средний риск | Высокий риск | Критический риск | Критический риск |
| Катастрофическое | Высокий риск | Критический риск | Критический риск | Критический риск |
Как интегрировать существующие оценки
Главный практический вопрос: как перевести оценку риска «высокая критичность уязвимости» из отчёта ИБ или «вероятность тяжёлой травмы» из отчёта охраны труда в эту общую таблицу.
Для этого каждая служба должна разработать внутреннюю методику конвертации. Для ИБ это может быть матрица соответствия:
- Уязвимость критического сервера (высокая по CVSS): Приводит к остановке ключевого сервиса (Критическое влияние). Потенциальный ущерб включает штрафы по 152-ФЗ и простой — попадает в диапазон Высокого или Критического финансового ущерба. Итог по общей шкале — Критический риск.
- Уязвимость в офисном ПО (средняя по CVSS): Может привести к локальному сбою в работе отдела. Финансовый ущерб — затраты на устранение (Низкий или Средний). Итог — Низкий или Средний риск.
Для охраны труда аналогично: оценка вероятности и тяжести последствий пересчитывается в потенциальные финансовые потери (компенсации, штрафы) и масштаб нарушения процесса (травма одного сотрудника — локальное влияние, массовый несчастный случай — катастрофическое).
Такой подход требует первоначальной работы, но делает все отчёты сопоставимыми.
Практические сложности и подводные камни
Внедрение единой шкалы упирается не в методологию, а в организационные барьеры.
Сопротивление специалистов. Эксперты в своей области привыкли работать с привычными шкалами. ИБшник мыслит категориями доступности, целостности, конфиденциальности. Переход на язык денег и бизнес-
процессов кажется им упрощением, потерей важных нюансов. Здесь важно донести, что единая шкала не заменяет их профессиональную оценку, а лишь доносит её суть до руководства в понятной форме.
Трудность оценки репутационного ущерба. Перевести потерю репутации в рубли — задача неочевидная. На практике используют косвенные методы: оценку падения лояльности клиентов через снижение повторных продаж, увеличение стоимости привлечения новых клиентов, падение котировок (для публичных компаний). Часто для этого привлекают маркетинговый или финансовый отдел.
Динамичность оценок. Риск — не статичен. Сегодня уязвимость в периферийной системе представляет низкий риск. Завтра на эту систему перенесут ключевой расчётный процесс — влияние становится критическим. Единая шкала требует регулярного пересмотра исходных допущений, а не только текущих оценок.
Что даёт единая шкала на выходе
Когда все риски приведены к общему знаменателю, появляется возможность для действий, которые раньше были затруднены.
Общая приоритезация. Руководство получает единый реестр рисков, где на первом месте стоит не «самая опасная уязвимость» или «самая вероятная травма», а «событие, которое нанесёт наибольший урон бизнесу в целом». Это позволяет объективно распределить ограниченные бюджеты на безопасность между разными направлениями.
Связь с бизнес-стратегией. Уровни риска начинают соотноситься с бизнес-целями. Можно сформулировать политику: «Компания не принимает критические риски ни в одной из областей» или «Допускаются средние риски в непрофильных активах при строгом контроле».
Прозрачность для регуляторов. При проверках, в том числе со стороны ФСТЭК или Роскомнадзора, компания может продемонстрировать целостную систему управления рисками, а не набор разрозненных мероприятий. Это говорит о зрелости процессов.
В конечном счёте, единая шкала рисков, это инструмент принятия решений. Она не делает риск меньше, но делает его понятным для всех, кто должен эти решения принимать.