Оценка рисков ИБ: зачем она нужна и как её проводить

от

"Risk assessment, это не просто формальность для отчёта. Это способ увидеть, какие угрозы реально могут ударить по бизнесу, и понять, куда вкладывать ресурсы, чтобы удар был слабее. В России, с учётом 152-ФЗ и требований ФСТЭК, это ещё и обязательный шаг к легальности. Но если делать его механически, он превращается в бесполезную бумажку. Настоящая оценка рисков меняет приоритеты в безопасности."

Что такое оценка рисков и зачем она нужна

Оценка рисков информационной безопасности (Risk Assessment), это структурированный процесс выявления угроз, уязвимостей и определения вероятности их реализации с оценкой возможного ущерба для бизнеса. Её цель — не составить красивый отчёт, а получить объективную картину для принятия решений: что защищать в первую очередь, сколько на это тратить и какие меры будут наиболее эффективными.

В контексте российского регулирования этот процесс становится обязательным. Требования 152-ФЗ о защите персональных данных прямо предписывают оператору оценивать актуальные угрозы. ФСТЭК России в своих документах (например, в приказе № 239) также указывает на необходимость управления рисками как основы системы защиты информации. Без проведённой оценки рисков невозможно корректно определить класс защищённости ИСПДн или выбрать необходимые меры защиты для гостайны.

Главная ошибка — подходить к оценке рисков как к разовой акции «для галочки». На деле это циклический процесс, который должен регулярно повторяться: бизнес-процессы меняются, появляются новые технологии, а угрозы эволюционируют. Только постоянный мониторинг и актуализация оценки позволяют безопасности оставаться адекватной.

Подготовительный этап: определяем границы и активы

Прежде чем искать угрозы, нужно чётко понять, что именно мы защищаем и в каких границах. Бессистемный поиск рисков по всей IT-инфраструктуре приведёт к размытому и бесполезному результату.

Первым делом определяются границы оценки. Это может быть конкретная информационная система (например, система учёта клиентов), технологический процесс или весь бизнес в рамках проекта. Важно зафиксировать эти рамки, чтобы не «расползаться» в процессе.

Следующий критический шаг — инвентаризация и оценка активов. Актив, это любой ресурс, имеющий ценность для организации: данные (базы персональных данных, финансовые отчёты, ноу-хау), программное обеспечение, серверное и сетевое оборудование, даже люди (ключевые специалисты). Для каждого актива необходимо определить:

  • Владельца (лицо, отвечающее за его использование и защиту).
  • Ценность (критичность). Насколько бизнес пострадает, если актив будет утерян, скомпрометирован или станет недоступным? Оценивать можно в качественных терминах (критичный, высокий, средний, низкий) или через потенциальный финансовый ущерб.
  • Требования к конфиденциальности, целостности и доступности (CIA). Для базы паспортных данных конфиденциальность будет наивысшим приоритетом, а для системы внутреннего документооборота — целостность.

Результатом этого этапа должен стать формализованный реестр активов, который станет основой для всей дальнейшей работы.

Выявление угроз и уязвимостей

Угроза, это потенциальная причина инцидента, которая может нанести ущерб активу. Уязвимость, это слабость актива или средства защиты, которую может использовать угроза. Риск возникает там, где угроза встречает уязвимость.

Источники для выявления угроз могут быть разными:

  • Типовые модели угроз. ФСТЭК России публикует актуальные модели угроз безопасности информации, которые являются отправной точкой для многих организаций, особенно работающих с ПДн или гостайной.
  • Отраслевые базы знаний. Источники, посвящённые конкретным технологиям (например, для веб-приложений или промышленных систем).
  • История инцидентов внутри компании и у конкурентов.
  • Результаты аудитов и тестов на проникновение, которые выявляют конкретные технические уязвимости.

Уязвимости выявляются через анализ конфигураций, сканирование безопасности, аудит кода и процессов. Важно не просто составить список из сотни уязвимостей, а связать каждую с конкретными активами из реестра и потенциальными угрозами. Например, уязвимость «отсутствие шифрования при передаче ПДн» для актива «База клиентов» создаёт риск реализации угрозы «Перехват данных при передаче по сети».

Оценка вероятности и последствий

Не все риски одинаково значимы. Чтобы отделить критичные угрозы от маловероятных, необходимо оценить два параметра: вероятность реализации риска и тяжесть последствий (ущерб).

Вероятность (Likelihood) оценивается с учётом нескольких факторов:

  • Мотив и возможности потенциального нарушителя (внешний хакер, недовольный сотрудник, конкурент).
  • Привлекательность актива для атаки.
  • Наличие и эффективность существующих средств защиты.
  • Историческая частота подобных инцидентов в отрасли.

Последствия (Impact), это оценка ущерба, который будет нанесён бизнесу при реализации угрозы. Ущерб может быть: — Финансовым (штрафы по 152-ФЗ, прямые убытки, затраты на восстановление). — Репутационным (потеря доверия клиентов). — Операционным (остановка производства, срыв сроков). — Юридическим (судебные иски).

На практике для оценки часто используют матрицу рисков, где по одной оси откладывается вероятность (от низкой до высокой), а по другой — последствия. Риск, попадающий в зону «высокая вероятность / тяжёлые последствия», требует немедленного внимания. Риск в зоне «низкая вероятность / незначительные последствия» может быть принят или отложен.

Выбор стратегии обработки рисков

После ранжирования рисков необходимо решить, что с каждым из них делать. Существует четыре базовые стратегии:

  1. Принятие риска (Risk Acceptance). Организация осознаёт риск, но считает, что затраты на его снижение превышают потенциальный ущерб, либо вероятность реализации крайне мала. Решение должно быть документально оформлено и утверждено владельцем риска.
  2. Снижение риска (Risk Mitigation). Наиболее распространённая стратегия. Реализуется через внедрение дополнительных мер защиты: установка DLP для предотвращения утечек, настройка межсетевых экранов, шифрование данных, обучение сотрудников. Цель — уменьшить либо вероятность, либо последствия до приемлемого уровня.
  3. Передача риска (Risk Transfer). Ответственность за риск передаётся третьей стороне. Классический пример — страхование киберрисков. В контексте аутсорсинга это может быть SLA с провайдером, где прописана его ответственность за безопасность данных.
  4. Избегание риска (Risk Avoidance). Полный отказ от деятельности, которая порождает неприемлемый риск. Например, отказ от сбора определённых категорий персональных данных, если невозможно обеспечить их адекватную защиту в соответствии с 152-ФЗ.

Выбор стратегии, это всегда баланс между стоимостью мер защиты и ценностью защищаемого актива. Документирование этого выбора (План обработки рисков) — ключевой результат этапа.

Документирование и отчётность

Процесс оценки рисков должен быть полностью документирован. Это не бюрократия, а необходимость для:

  • Обоснования выбранных мер защиты перед руководством и регуляторами (ФСТЭК, Роскомнадзор).
  • Воспроизводимости процесса при его повторении или аудите.
  • Назначения ответственности за обработку каждого риска.

Базовый набор документов включает:

  • Положение об управлении рисками — описывает методологию, роли, периодичность процесса.
  • Реестр активов.
  • Реестр рисков с указанием для каждого: описание, актив, угроза, уязвимость, оценка вероятности и последствий, уровень риска, владелец, выбранная стратегия обработки.
  • План обработки рисков — дорожная карта с конкретными мероприятиями, сроками и ответственными.
  • Отчёт об оценке рисков — итоговый документ для руководства с выводами и рекомендациями.

Именно эти документы будут запрошены при проведении проверки на соответствие требованиям регуляторов.

Интеграция оценки рисков в жизненный цикл безопасности

Оценка рисков не должна быть изолированным проектом. Чтобы приносить реальную пользу, её нужно встроить в ключевые бизнес-процессы:

  • При запуске новых проектов или систем (Security by Design). Оценка рисков на этапе проектирования позволяет заложить необходимые меры защиты с самого начала, что в разы дешевле, чем дорабатывать безопасность постфактум.
  • При изменениях в инфраструктуре. Внедрение нового сервиса, переход в облако, обновление ПО — все эти изменения должны запускать переоценку связанных рисков.
  • После инцидентов информационной безопасности. Каждый серьёзный инцидент, это показатель того, что оценка рисков, возможно, была неполной или устарела. Его анализ должен вести к актуализации реестра рисков.
  • В рамках регулярного (ежегодного) цикла пересмотра. Даже если ничего не менялось, угрозы и бизнес-контекст эволюционируют, что требует плановой переоценки.

Такой подход превращает оценку рисков из формального отчёта в управленческий инструмент, который позволяет proactively управлять безопасностью, а не реагировать на проблемы.

Типичные ошибки и как их избежать

Даже при наличии методологии процесс часто спотыкается об одни и те же грабли:

  • Оценка «в вакууме». Риски оцениваются IT-специалистами без понимания бизнес-процессов и реальной ценности активов. Решение: вовлекать в процесс владельцев бизнес-процессов и руководителей подразделений для оценки последствий.
  • Качественные оценки вместо количественных. Использование только категорий «высокий/средний/низкий» без привязки к возможным финансовым потерям затрудняет обоснование бюджета на безопасность. Решение: стремиться к денежным оценкам ущерба, даже приблизительным.
  • Игнорирование человеческого фактора. Фокус только на технических уязвимостях, в то время как социальная инженерия остаётся одним из главных векторов атак. Решение: включать в модель угроз риски, связанные с действиями персонала.
  • Отсутствие регулярного пересмотра. Составленный однажды реестр рисков быстро устаревает. Решение: закрепить в регламенте периодичность переоценки (например, раз в год) и процедуру внепланового пересмотра при значимых изменениях.
  • Стремление к «нулевому риску». Это недостижимо и экономически нецелесообразно. Задача — привести риски к приемлемому для бизнеса уровню, а не ликвидировать все.

Избегая этих ошибок, вы превращаете оценку рисков из затратной формальности в инвестицию, которая позволяет тратить бюджет на безопасность максимально эффективно и целенаправленно.

Оставьте комментарий