Риск-менеджмент в ИБ: на что направить ресурсы, а что принять

от

«Риск-менеджмент, это не защита от всего подряд, а выбор того, что защищать, а что принять и держать под контролем. Главное заблуждение в ИБ — пытаться устранить все риски, но это невозможно. Методики помогают не сойти с ума от бесконечных угроз и сконцентрировать ресурсы там, где это действительно остановит бизнес.»

Риск-менеджмент в информационной безопасности — системный процесс, который превращает хаотичный поток угроз и уязвимостей в управляемый набор решений. Он не отвечает на вопрос «как защитить всё?», а помогает ответить на вопросы: «Что важно защищать?», «От чего мы готовы страдать?» и «На чём можно сэкономить без фатальных последствий?». В основе лежит модель «актив — угроза — уязвимость — воздействие». Активами может быть всё что угодно: данные клиентов, исходный код продукта, конфигурация сервера, репутация компании. Уязвимость, это слабое место в активе или системе защиты, а угроза — потенциальная причина инцидента, которая может эту уязвимость использовать. Воздействие измеряют в деньгах, времени простоя, репутационных потерях.

Зачем это нужно, если есть ФСТЭК и 152-ФЗ?

Многие воспринимают регуляторные требования как чек-лист: выполнил пункты — получил безопасность. На практике это минимальный, а не достаточный уровень. Требования ФСТЭК и 152-ФЗ задают базовые рамки, но не учитывают специфику конкретного бизнеса. Стандартный комплект мер защиты может оказаться избыточным для одного проекта и катастрофически недостаточным для другого. Риск-ориентированный подход позволяет «настроить» регуляторику под себя: понять, какие требования критичны, а какие можно выполнить формально или с отклонениями, обосновав это анализом рисков. Это превращает ИБ из статьи расходов в управляемый инструмент поддержки бизнес-целей.

Основные этапы процесса

Процесс управления рисками — не разовое мероприятие, а цикл. Его можно разбить на последовательные шаги, которые регулярно повторяются.

Идентификация активов

Первый шаг — понять, что именно нужно защищать. Составьте каталог информационных активов. Это не только серверы и базы данных, но и процессы, знания ключевых сотрудников, договоры. Для каждого актива определите владельца из бизнес-подразделений — того, кто несёт ответственность за его сохранность и понимает его ценность для компании.

Оценка угроз и уязвимостей

На этом этапе выясняют, что может пойти не так. Угрозы делятся на внутренние (ошибка сотрудника, злой умысел инсайдера) и внешние (хакерская атака, действия конкурентов). Уязвимости ищут в технической инфраструктуре, процессах и даже в организационных моментах. Здесь помогает не только сканирование, но и мозговые штурмы с участием разных отделов.

Расчёт риска

Риск, это вероятность реализации угрозы через конкретную уязвимость, помноженная на величину возможного ущерба (воздействие). Вероятность и ущерб часто оценивают не в абсолютных цифрах, а по качественным шкалам (низкий/средний/высокий). Например, риск утечки базы клиентов из-за SQL-инъекции в публичном веб-приложении будет иметь высокую вероятность и катастрофический ущерб — следовательно, общий риск крайне высок.

Выбор стратегии обработки риска

Когда риск оценён, с ним нужно что-то делать. Существует четыре базовых стратегии:

  • Принятие. Риск осознанно оставляют, потому что стоимость обработки превышает возможный ущерб. Например, риск выхода из строя резервного оборудования на неосновной площадке.
  • Снижение. Внедряют меры защиты, чтобы уменьшить вероятность или ущерб. Это самая распространённая стратегия — установка средств защиты информации (СЗИ), написание инструкций, обучение сотрудников.
  • Передача. Риск передают третьей стороне, например, через страхование киберрисков или использование облачных провайдеров с разделением ответственности.
  • Исключение. Полный отказ от активности, несущей риск. Самый радикальный метод: если риск эксплуатации уязвимости в устаревшей системе неприемлем, а обновление невозможно — систему выводят из эксплуатации.

Внедрение мер и мониторинг

Выбранные меры нужно внедрить, назначить ответственных и сроки. После внедрения риск не исчезает — его уровень меняется (остаточный риск). Этот остаточный риск необходимо постоянно отслеживать. Новые уязвимости, изменения в инфраструктуре или бизнес-процессах рождают новые риски. Поэтому цикл повторяется.

Методологии и стандарты

Чтобы не изобретать велосипед, используют готовые методики. Их выбор зависит от зрелости процессов ИБ в компании и отраслевых особенностей.

Методология/Стандарт Краткое описание Когда применять
ГОСТ Р ИСО/МЭК 27005 Адаптированный международный стандарт, задающий общие принципы и процесс управления рисками ИБ. Гибкий, но требует глубокого понимания для адаптации. Для построения полноценной системы менеджмента рисков с нуля, особенно если компания работает по ISO 27001.
Методики ФСТЭК России Официальные документы, такие как методика оценки ущерба. Часто носят рекомендательный характер, но их использование упрощает диалог с регулятором. Для организаций, являющихся объектами критической информационной инфраструктуры (КИИ) или строго следующих указаниям регулятора.
ФСТЭК-подход (качественный) Распространённый на практике упрощённый подход. Риски ранжируются по матрицам «вероятность-ущерб», часто без сложных финансовых расчётов. Для быстрого старта, в небольших проектах или там, где сложно оценить ущерб в денежном эквиваленте.
Отраслевые методики (Банк России и др.) Строгие методики, предписанные для конкретных отраслей (финансовый сектор, телеком). Часто включают обязательные контрольные списки. Для компаний, подпадающих под действие отраслевых стандартов.

Распространённые ошибки и как их избежать

На пути внедрения риск-менеджмента многие совершают похожие ошибки, которые обесценивают всю работу.

  • Риск-менеджмент «в стол». Провели оценку, написали красивый отчёт, положили на полку. Чтобы этого не было, результаты оценки должны напрямую влиять на бюджет ИБ, план внедрения СЗИ и приоритеты устранения уязвимостей.
  • Зацикленность на технических рисках. Большинство инцидентов происходят из-за человеческого фактора и сбоев в процессах. Нельзя оценивать риски только для серверов, забыв про риск утечки данных через мессенджер или потери доступа при увольнении администратора.
  • Стремление к нулевому риску. Это невозможно и экономически нецелесообразно. Задача — довести риски до приемлемого для бизнеса уровня, а не до нуля. Приемлемый уровень определяет руководство компании, исходя из её аппетита к риску.
  • Использование сложных математических моделей без необходимости. Точные формулы для расчёта вероятности годятся для академических работ. На практике часто достаточно качественных оценок от экспертов. Излишняя сложность отнимает время и не даёт прирост точности.

Интеграция с операционной деятельностью

Управление рисками не должно быть отдельным ритуалом, который выполняет один специалист. Его нужно вплетать в ежедневные процессы.

  • Закупки и разработка. Любой новый проект, закупка ПО или сервиса должна начинаться с оценки информационных рисков. Это позволяет сразу заложить необходимые меры защиты в бюджет и сроки.
  • Управление инцидентами. Каждый произошедший инцидент, это реализовавшийся риск. Его анализ должен вести к пересмотру оценок и, возможно, к изменению применяемых мер.
  • Аудит и контроль. Проверки (как внутренние, так и со стороны регулятора) должны сверяться с реестром рисков. Выявленные несоответствия, это новые или недооценённые риски.

В итоге, грамотный риск-менеджмент превращает информационную безопасность из набора разрозненных технологий в стратегическую функцию. Он даёт язык для диалога между техническими специалистами и бизнес-руководством, где решения принимаются на основе понятных аргументов о потенциальных потерях, а не на основе страха перед абстрактными хакерами или штрафами. Это практический инструмент для выживания в условиях, когда угроз больше, чем ресурсов на защиту от них.

Оставьте комментарий