Принятие или передача риска: стратегический выбор для IT-компаний

от

“Передача риска, это не побег от ответственности, а стратегический выбор. Решение оставить риск у себя — не всегда признак мужества, а часто результат плохого анализа. Настоящий вопрос в том, кто может управлять риском эффективнее: вы или кто-то другой.”

Что значит «принять» или «передать» риск?

Управление рисками строится на четырёх фундаментальных ответах: избежать, принять, снизить или передать. Принятие и передача — два наиболее стратегических варианта, часто противопоставляемых друг другу.

  • Принять риск — означает осознанно оставить его в зоне своей ответственности. Вы готовы нести возможные убытки, если риск реализуется. Это не пассивное бездействие, а активное решение после оценки. Например, IT-компания может принять риск незначительных сбоев в работе внутреннего мессенджера, если стоимость внедрения отказоустойчивой системы многократно превышает потенциальный ущерб от простоя.
  • Передать риск — означает перенести финансовую или операционную ответственность за его последствия на третью сторону. Классический пример — страхование. Но в IT-сфере передача чаще выглядит как аутсорсинг защищённого хостинга провайдеру, имеющему аттестат ФСТЭК, или заключение SLA с поставщиком облачных услуг, где прописаны штрафы за недоступность.

Ключевое различие не в том, исчезает ли риск, а в том, кто несёт за него ответственность и компенсирует ущерб. Передача не делает риск нулевым — она меняет того, кто им управляет и платит по счетам.

Почему классический «матричный» подход не работает для сложных рисков

Традиционный метод оценки рисков через вероятность и ущерб, размещённый на матрице 3×3 или 5×5, даёт лишь иллюзию контроля. Он упрощает реальность до точки на графике, игнорируя два критических аспекта:

  • Каскадный эффект. Один, казалось бы, незначительный инцидент (например, компрометация учётной записи рядового сотрудника) может запустить цепочку событий, приводящую к катастрофическим последствиям (утечка данных, остановка производства, репутационный кризис). Матрица редко учитывает такие нелинейные связи.
  • Стоимость управления. Методика ФСТЭК требует соотнесения затрат на меры защиты с возможным ущербом. Матрица же часто фокусируется только на «ущербе», упуская из виду постоянные операционные расходы на поддержание принятого риска. Содержание собственного круглосуточного SOC для мониторинга угроз, это не разовые вложения, а перманентная статья бюджета.

Для киберрисков, где угрозы динамичны, а границы периметра размыты, решения, основанные только на статичной матрице, ведут либо к избыточным тратам на «принятие» всего подряд, либо к иллюзорной «передаче» рисков, которые по факту никуда не делись.

Критерий для решения: не «что дешевле», а «кто эффективнее»

Главный вопрос при выборе между принятием и передачей должен звучать так: «У какой стороны выше компетенция и возможности для управления именно этим риском?» Финансовая составляющая — лишь одна из переменных в этом уравнении.

Рассмотрим на примере двух типичных для российской IT-инфраструктуры рисков:

Тип риска Аргументы за ПРИНЯТИЕ Аргументы за ПЕРЕДАЧУ Критерий эффективности
Риск недоступности бизнес-приложения (например, 1С) Прямой контроль над железом и сетью. Возможность мгновенной реакции своей командой. Полное соответствие внутренним регламентам. Провайдер ЦОД гарантирует uptime 99,98% по SLA, имеет резервированные каналы связи и энергоснабжения. Его компетенция в обеспечении физической и сетевой отказоустойчивости выше. Гарантированная доступность. Если внутренняя команда не может обеспечить такой же уровень надёжности, как специализированный провайдер, — риск стоит передать.
Риск некорректной настройки средств защиты информации (СЗИ), требующихся по 152-ФЗ Глубокое знание внутренней архитектуры и бизнес-процессов. Конфиденциальность данных не выходит за периметр. Аттестованный ФСТЭК интегратор имеет опыт успешных проверок, знает типовые ошибки и актуальные трактовки требований регулятора. Его экспертиза в настройке конкретных СЗИ (например, DLP или SIEM) структурирована. Экспертная компетенция. Если стоимость ошибки в настройке (штраф, предписание) высока, а внутренней экспертизы недостаточно, передача настройки специалисту снижает риск невыполнения требований закона.

решение смещается с вопроса «что дешевле: страховка или возможный убыток?» к анализу «чьи компетенции, процессы и ресурсы позволяют управлять этим риском с наименьшей вероятностью реализации и наибольшей эффективностью ликвидации последствий?».

Почему передача регуляторного риска — самая сложная задача

Особняком стоит риск несоответствия требованиям регуляторов, таких как ФСТЭК, ФСБ (по порядку и лицензиям), Роскомнадзор. Его крайне сложно передать полностью, потому что окончательная ответственность за соблюдение закона всегда остаётся на организации. Вы можете передать техническую часть работы (настройку, аудит), но не юридическую ответственность.

Здесь работает модель разделённой ответственности:

  • Вы (заказчик) остаётесь ответственным за корректное определение объектов защиты, утверждение политик, назначение ответственных лиц и, в конечном счёте, за результаты проверки.
  • Партнёр (исполнитель) берёт на себя ответственность за качество оказанных услуг в рамках договора: корректность настройки средств защиты, полноту проведённого аудита, грамотность подготовленной документации.

Передача такого риска, это не его «обнуление», а создание контролируемой цепочки, где каждая сторона управляет своей частью. Договор с интегратором или аудитором должен не просто описывать работы, но и чётко фиксировать зоны ответственности, KPI (например, «отсутствие замечаний по настройке СЗИ со стороны аттестующего центра») и механизмы компенсации в случае его срыва (неустойки, повторные работы за счёт исполнителя).

Алгоритм принятия решения: 11 практических шагов

Вместо абстрактных рассуждений предлагается конкретный алгоритм действий, который можно применить к любому идентифицированному риску.

  1. Количественно оцените ущерб. Не как «высокий/низкий», а в рублях: простой систем, штрафы по 152-ФЗ (до 300 тыс. для должностных лиц, до 1 млн для юрлиц), стоимость восстановления данных, репутационные потери в денежном эквиваленте.
  2. Определите полную стоимость владения риском (TCO) при его принятии. Включите сюда не только прямые затраты на меры защиты, но и косвенные: время сотрудников на мониторинг, обучение, тестирование, а также упущенную выгоду от альтернативного использования этих ресурсов.
  3. Изучите рынок передачи. Какие есть предложения: страхование, SaaS-решения с ответственностью провайдера, аутсорсинг, SLA? Запросите коммерческие предложения и детальные условия.
  4. Рассчитайте стоимость передачи. Это не только цена страхового полиса или контракта. Добавьте транзакционные издержки: время на выбор поставщика, составление договора, управление отношениями, аудит его работы.
  5. Сравните компетенции. Честно оцените уровень своей команды против уровня поставщика услуги в контексте конкретного риска. Помните о кадровом голоде в кибербезопасности.
  6. Проверьте «поглощающую способность» партнёра при передаче. Есть ли у страховой компании опыт выплат по киберинцидентам? Есть ли у облачного провайдера реальные финансовые гарантии и резервы? Что будет, если он не выполнит обязательства?
  7. Смоделируйте сценарий реализации риска. Что вы будете делать, если риск реализуется, оставаясь у вас? Что будет делать ваш партнёр по договору? Насколько его процедуры интегрируются в ваши процессы инцидент-менеджмента?
  8. Оцените гибкость. Принятый риск вы можете скорректировать своими силами и быстро. Переданный риск управляется условиями договора. Насколько сложно будет изменить эти условия при смене бизнес-требований или появлении новой угрозы?
  9. Примите решение на основе доминирующего критерия. Если TCO принятия ниже стоимости передачи, а компетенции сопоставимы — принимайте. Если провайдер обладает уникальной экспертизой (например, в аттестации по ФСТЭК), которая снижает вероятность реализации риска на порядок — передавайте, даже если это кажется дороже в краткосрочной перспективе.
  10. Документируйте обоснование. Внутренний регламент или протокол решения должен фиксировать не только сам выбор («принять»), но и проведённый анализ: цифры TCO, сравнение компетенций, причины. Это защитит решение в будущем при аудитах и проверках.
  11. Запланируйте регулярный пересмотр. Риски и рынок услуг меняются. Решение, принятое год назад, может быть неоптимальным сегодня. Внесите в календарь ежегодный или полугодовой аудит ключевых решений о принятии/передаче рисков.

Распространённые ошибки и ловушки

  • Передача мнимого риска. Попытка «застраховаться» от рисков, вероятность которых ничтожна или ущерб от которых неочевиден. Это приводит к пустой трате бюджета.
  • Принятие риска из-за синдрома «неприкасаемого кода/системы». Убеждение, что внутренняя команда знает систему лучше всех и никому её доверять нельзя, даже когда её компетенций объективно не хватает для обеспечения безопасности.
  • Игнорирование стоимости управления принятым риском. Фокус только на стоимости передачи, без учёта скрытых и постоянных издержек на внутреннее поддержание безопасности.
  • Неполнота договора при передаче. Слишком общие формулировки в SLA или договоре страхования, которые позволяют партнёру уклониться от ответственности в спорной ситуации. Все условия компенсации должны быть измеримыми и привязанными к метрикам.
  • «Поставили галочку» и забыли. Решение о передаче риска страховой компании или облачному провайдеру воспринимается как окончательное действие. Без мониторинга финансового состояния партнёра и актуализации условий договора сама передача становится новым риском.

Итог: от тактики к стратегии

Решение о принятии или передаче риска, это не разовый выбор из двух кнопок. Это стратегический процесс распределения ответственности на основе анализа компетенций, стоимости владения и реальной управляемости. В российском регуляторном поле, где требования ФСТЭК и 152-ФЗ задают жёсткие рамки, особенно передать можно исполнение, но не окончательную ответственность.

Эффективный подход превращает управление рисками из затратной статьи бюджета в инструмент оптимизации ресурсов. Вы платите не за устранение риска, а за право поручить его управление той стороне, которая сделает это лучше, дешевле или надёжнее. А иногда — за осознанное право оставить риск у себя, потому что так вы контролируете ситуацию максимально полно. Главное — чтобы этот выбор был осознанным, просчитанным и документально зафиксированным.

Оставьте комментарий