Приоритизация рисков: выйти за рамки матриц и найти реальные угрозы

от

“Приоритизация рисков, это не сортировка по чек-листу. Это управленческая практика, которая определяет, какие атаки будут успешными именно в вашей компании, потому что вы сами подписались на них, не разобравшись в деталях.”

Простая сортировка по матрице «вероятность/влияние», это иллюзия контроля. Она превращает живые угрозы в сухие ячейки таблицы, за которыми теряется реальный контекст бизнеса. Настоящая приоритизация начинается там, где стандартные методики заканчиваются. Когда вы осознаёте, что не все риски, которые «могут» реализоваться, заслуживают внимания прямо сейчас, и что самое страшное часто прячется не в списке внешних угроз, а в ваших собственных процессах.

Это методология принятия решений при ограниченных ресурсах. Без неё отдел информационной безопасности превращается в пожарную команду, которая тушит все подряд, не замечая задымления в стратегически важном цеху.

Почему классические матрицы вас подводят

Матрицы рисков 5×5 или 3×3 кажутся объективными. Вы оцениваете вероятность от 1 до 5, влияние от 1 до 5, перемножаете и получаете приоритет. Механизм понятен, результат наглядный. Проблема в том, что оба параметра — субъективные оценки, за которыми часто нет ничего, кроме интуиции.

Что такое «вероятность 4» для DDoS-атаки на ваш сайт? Раз в квартал? Раз в месяц? А «влияние 4», это час простоя или сутки? В одной компании час простоя интернет-магазина, это миллионы упущенной выручки, в другой — незначительный инцидент. Матрица это не учитывает.

Но главная ловушка в другом. Матрица работает с гипотетическими событиями: «утечка данных клиентов», «отказ критической системы». Она не умеет работать с уже существующими условиями, которые сами по себе не являются инцидентом, но гарантированно приведут к нему. Например, у вас в сети есть сервер на Windows Server 2008, доступный из интернета. Инцидента ещё нет, но риск реализован на 100%. Вероятность атаки на него стремится к единице. Матрица, построенная на оценке будущих событий, такого риска «не видит» или занижает его приоритет.

Слой первый: риски, которые вы уже купили

Прежде чем оценивать гипотетические угрозы, составьте инвентарь обязательств, на которые компания уже согласилась. Это не риски в будущем, а текущие уязвимости, прописанные в договорах и регламентах.

  • Регуляторные требования (152-ФЗ, приказы ФСТЭК). Несоблюдение требований по защите персональных данных или гостайны, это не риск «может быть штраф», а конкретное нарушение с предсказуемыми последствиями. Риск здесь — в отсутствии или неработоспособности требуемых мер (СЗПДн, аттестация ИСПДн, СОВ).
  • Обязательства перед клиентами (SLA, договоры). Если в договоре прописана круглосуточная доступность сервиса с временем восстановления 4 часа, то любой фактор, мешающий его выполнить (устаревшее оборудование, один администратор),, это приоритетный риск. Он уже оплачен вашими обязательствами.
  • Внутренние политики и стандарты. Если в компании принят стандарт на обязательное шифрование ноутбуков, то каждый незашифрованный ноутбук, это реализованный риск. Его вероятность взлома или потери равна 1.

Эти риски имеют максимальный приоритет по умолчанию. Их не нужно оценивать — их нужно устранять. Это основа, на которой строится всё остальное.

Слой второй: риски, которые можно измерить

Здесь переходим к более традиционным угрозам, но оцениваем их через призму бизнеса, а не абстрактных оценок.

  1. Оцените стоимость простоя. Сколько теряет бизнес в час, день, неделю при недоступности ключевых систем? Рассчитайте это не только для ИТ-сервисов, но и для производственных линий, систем связи, сайта. Риск, ведущий к простою самой дорогой системы, автоматически получает высший приоритет.
  2. Оцените стоимость данных. Что дороже: база данных с 10 000 клиентских email или исходные коды нового продукта? Стоимость определяется не объёмом, а последствиями утери: репутационный ущерб, штрафы по 152-ФЗ, утрата конкурентного преимущества. Риск утечки самых дорогих данных приоритетнее.
  3. Оцените простоту эксплуатации. Уязвимость с опубликованным эксплойтом в публичном доступе представляет более высокий и срочный риск, чем сложная уязвимость, для использования которой нужны уникальные условия или навыки. Здесь вероятность уже можно оценить объективно — по активности угрозы в дикой природе. На этом этапе откажитесь от пятибалльных шкал. Используйте конкретные метрики: «простой системы X обойдётся в N рублей в час», «штраф за утечку этих данных по 152-ФЗ составит до M рублей».

Слой третий: стратегический контекст и ресурсы

Даже измеримые риски нужно фильтровать через стратегию компании и реальные возможности.

  • Контекст бизнеса. Риск, связанный с новым продуктом, который должен выйти через месяц, сегодня приоритетнее риска в legacy-системе, которую планируют вывести из эксплуатации через полгода.
  • Ресурсы команды ИБ. Бессмысленно ставить в высокий приоритет двадцать критических рисков, если ваша команда из трёх человек может обработать только два в квартал. Приоритизация, это искусство выбора. Иногда приходится сознательно принимать низкоприоритетный риск, потому что нужно закрыть самый важный.
  • История и индустрия. Если ваш сектор (финансы, госсектор, интернет-магазины) в последнее время подвергается целенаправленным атакам определённого типа (фишинг, целевые атаки на бухгалтерию), эти риски получают дополнительный «вес».

На этом слое создаётся итоговый ранжированный список. Он не будет идеально математическим. Это взвешенное решение, которое принимает CISO или руководитель, учитывая все предыдущие слои.

Инструменты: от таблиц до специализированных платформ

Методология бесполезна без инструмента для её реализации.

  • Таблицы. Начинать можно с Excel или Google Sheets. Создайте таблицу с полями: «Описание риска», «Категория», «Обязательный (Да/Нет)», «Расчётная стоимость инцидента (руб.)», «Простота эксплуатации», «Стратегический вес», «Итоговый приоритет», «Владелец». Сортировка и фильтры помогут вручную выстроить порядок.
  • Фреймворки управления рисками. FAIR (Factor Analysis of Information Risk) предлагает более сложную, но и более точную модель квантификации рисков через анализ факторов угроз, активов и уязвимостей. Он помогает перейти от баллов к финансовым величинам.
  • Платформы управления уязвимостями и рисками (VRM). Современные системы (российские аналоги или адаптированные решения) не просто сканируют уязвимости. Они умеют агрегировать данные из сканеров, SIEM, тикет-систем, учитывать контекст активов (критичность, стоимость), автоматически рассчитывать приоритет исправления на основе реальной угрозы для вашего конкретного ландшафта. Это следующий эволюционный этап после таблиц.

    Что в итоге попадает в топ приоритетов?

В конечном счёте, усилия должны быть сконцентрированы на узком наборе рисков, которые одновременно:

  1. Нарушают ваши прямые обязательства (закон или договор).
  2. Угрожают самым дорогим для бизнеса активам (данные, системы, репутация).
  3. Имеют высокую вероятность реализации в обозримом будущем из-за существующих условий или активных угроз.
  4. Совпадают с текущими стратегическими целями компании.

Если риск не попадает хотя бы в две из этих категорий, его можно отложить, делегировать или принять — то есть сознательно оставить без немедленных действий, зафиксировав это решение. Именно в этом и заключается суть приоритизации: не найти все риски, а найти правильные риски для работы прямо сейчас. Всё остальное, это шум, который отвлекает от настоящих опасностей.

Оставьте комментарий