Рубрикатор | ![]() |
![]() |
Статьи | ![]() |
![]() |
Дмитрий КОСТРОВ  | 14 января 2025 |
Оценка рисков информационной безопасности: сколько вешать в граммах?
Угрозы информационной безопасности, которые нередко влияют не только на непрерывность бизнеса, но и на само его существование, стали, увы, обыденной проблемой. Поэтому так важно своевременно оценивать соответствующие риски, причем оценку давать количественную, «в граммах».

Проблема оценки рисков информационной безопасности не нова. Многие компании, особенно ведущие бизнес, который сопряжен с риском, применяют риск-ориентированный подход и в сфере информационной безопасности. При этом, если мы говорим о «чисто бизнесе», владельцы компаний требуют не качественную оценку, а именно количественную, что вовлекает в процесс все бизнес-подразделения организации.
Здесь уместно процитировать Стивена Холта, видного безопасника, занимающего пост ИТ-директора Materion Corporation: «Когда ваша организация подвергнется кибератаке, которая приведет к потере данных, сбоям в работе систем и репутационному ущербу, – это лишь вопрос времени. Кибербезопасность – уже не просто технологическая проблема, а проблема бизнеса». Это правда. И риски информационной безопасности – проблема не только ИБ-подразделения, а всего бизнеса компании. Поэтому и оценивать такие риски должен не только отдел ИБ, но и руководители бизнес-единиц по предложенной этим подразделением методике.
И еще одно мотивирующее высказывание, которое приписывают Рэнди Стейнбергу, гуру в области ITSM: «Если вы не измеряете процесс, вы не сможете им управлять. Если вы не измеряете процесс, вы не сможете его улучшить. Если вы не измеряете процесс, вам, вероятно, нет до него дела». Это все к тому, что каким бы «муторным» процесс оценки рисков ни был, его надо проводить.
Что даст оценка рисков?
Оценка рисков ИБ служит основой формирования дополнительных преимуществ для бизнеса, способствуя повышению уровня киберустойчивости компании, снижению затрат на устранение последствий реализации рисков. Кроме того, она позволяет:
- выявить слабые места и системные проблемы в ландшафте средств обеспечения безопасности и ИТ;
- снизить вероятность реализации информационных угроз, обеспечить непрерывность бизнеса;
- повысить текущий уровень защищенности ИТ-сервисов и инфраструктуры;
- определить вектор развития, выявить способы и ресурсы для повышения зрелости ИБ в компании;
- снизить вероятность возникновения финансовых, репутационных, клиентских и регуляторных рисков;
- сформировать базу для дальнейшего развития корпоративного подхода к обеспечению безопасности.
Оценка рисков ИБ – это проект. Давайте уточним, что нужно сделать в рамках этого проекта.
Порядок оценки рисков
Прежде всего, на подготовительном этапе, нужно уточнить и зафиксировать границы обследования и цели работ, составить план-график работ, подготовить опросные листы и изучить полученные ответы, провести интервью с ключевыми представителями бизнес-подразделений.
Кроме того, следует проанализировать используемые в компании подходы к управлению ИБ, изучить полноту и корректность имеющихся документов в области ИБ, оценить состояние ключевых ИБ-процессов и их характеристики, разработать базу рисков ИБ (далее вместо «риски ИБ» будем в большинстве случаев писать просто «риски»).
Затем предпринимаются следующие шаги:
- определяются бизнес-процессы, включаемые в анализ, уровни критичности бизнес-процессов и основных информационных систем (ИС), критерии принятия риска;
- идентифицируются актуальные риски, определяются возможные причины (источники) их возникновения, категории потенциального ущерба и виды последствий от реализации рисков, разрабатываются шкалы влияния рисков по категориям ущерба и шкалы вероятности реализации рисков;
- проводится анализ рисков: оценивается влияние каждого выявленного риска по каждой из категорий ущерба, вероятность реализации рисков с учетом состояния контрольной среды компании, внутренних и внешних факторов; рассчитывается потенциальный ущерб от реализации рисков; делается индивидуальная оценка каждого риска и оценка их интегрального уровня;
- оценивается возможность принятия каждого риска, рассматриваются варианты обработки рисков; планируются мероприятия по обработке рисков; определяются владельцы рисков ИБ и ответственные за мероприятия по обработке рисков.
Такая оценка рисков может осуществляться как на периодической основе, так и по указанию руководства.
Действующие лица и исполнители
Оценка рисков проводится членами комитета по управлению рисками ИБ (КУРИБ), в который должны войти представители ИБ-, ИТ- и, самое главное, бизнес-подразделений. Часто оценку рисков возлагают на комитет по ИБ (КИБ), что не совсем правильно.
КИБ – постоянно действующий коллегиальный орган компании и составная часть ее системы управления информационной безопасностью (СУИБ). А СУИБ, в свою очередь, – часть общей системы менеджмента компании, которая на основе риск-ориентированного подхода занимается созданием, реализацией, эксплуатацией, мониторингом, анализом, поддержкой и совершенствованием информационной безопасности компании. В КИБ обычно входят руководители подразделений ИБ и ИТ, генеральный директор, исполнительный директор и приглашенные эксперты. Целями КИБ являются, например, согласование деятельности руководителей структурных подразделений компании в области ИБ, содействие формированию и развитию политики информационной безопасности. В задачи КИБ, как правило, входят согласование дорожной карты обеспечения ИБ компании, утверждение перечня недопустимых событий, согласование модели угроз и нарушителей; согласование методики оценки рисков или разработанных подходов к количественной оценке рисков: вероятности наступления, степени влияния и потенциального ущерба.
КУРИБ, исходя из перечня входящих в область оценки бизнес-процессов компании, составляет реестр поддерживающих непрерывность этих бизнес-процессов информационных систем и определяет наиболее критичные ИС, которые будут включены в область оценки. Наиболее критичными признаются ИС, недоступность которых негативно влияет на бизнес-процессы компании и может привести к остановке ее деятельности, финансовым и репутационным потерям, потере клиентов или сделок, санкциям со стороны государственных регулирующих органов.
Ход процесса оценки рисков документирует специальный сотрудник – менеджер рисков ИБ.
Методика оценки
Методика оценки рисков информационной безопасности регламентирует сам процесс управления рисками ИБ в компании. Она должна описывать подходы к идентификации рисков, к их анализу, оцениванию и обработке.
Методика разрабатывается с учетом контекста компании, экспертной оценки актуального уровня ИБ, требований внутренней документации, отраслевого опыта подрядчика и положений ключевых стандартов в области ИБ, а именно:
- ГОСТ Р ИСО 31000-2019. Менеджмент риска. Принципы и руководство.
- ГОСТ Р ИСО/МЭК 27001-2021. Системы менеджмента информационной безопасности. Требования.
- ГОСТ Р ИСО/МЭК 27002-2021. Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности.
- ГОСТ Р МЭК 31010-2021. Надежность в технике. Методы оценки риска.
Методика должна базироваться на экспертном анализе, когда идентификация потенциальных рисков, оценка их причин, вероятности реализации этих рисков и возможного ущерба делается на основе мнения коллектива специалистов, их профессиональных знаний и практического опыта, а также учета специфики бизнеса компании. Экспертная оценка формируется путем мозгового штурма (brainstorming) и использования техники анализа опасности и работоспособности (hazard and operability study, HAZOP). Мозговой штурм применяется на всех этапах управления рисками ИБ в ходе коллегиального обсуждения связанных с рисками аспектов. Он предполагает свободное обсуждение внутри группы хорошо осведомленных сотрудников компании – экспертов в различных областях ее деятельности и учет мнений участников. Техника HAZOP задействуется на этапе анализа рисков, когда участники процесса формулируют последствия и оценивают потенциальное воздействие идентифицированных рисков на способность компании достигать бизнес-целей, определяют возможные причины идентифицированных рисков и вероятность их реализации. HAZOP предполагает моделирование рисков ИБ, их причин и последствий, а также дальнейшую оценку полученных моделей в корпоративных терминах, с применением соответствующих критериев или шкал.
Собственно процесс
Итак, КУРИБ составляет перечень бизнес-процессов компании, включаемых в область оценки рисков, и определяет уровень критичности каждого из таких бизнес-процессов, исходя из уровня влияния прерывания бизнес-процесса на финансовые показатели компании с использованием специальной шкалы. Например, выбираются три уровня критичности бизнес-процессов:
- Низкий. Сюда относятся наименее критичные процессы. Возможное воздействие риска ИБ для компании приемлемо. Ключевые бизнес-операции будут затронуты незначительно.
- Средний. Умеренно критичные процессы. Возможное воздействие риска в целом для компании приемлемо. Выполняемые бизнес-операции будут заметно затронуты, включая возможное нарушение некоторых договорных обязательств. Возможны также умеренный отток клиентов и умеренное снижение доходов/увеличение расходов.
- Высокий. Наиболее критичные процессы. Возможное воздействие риска ИБ для компании крайне нежелательно. Выполняемые бизнес-операции будут затронуты существенно, включая возможные нарушения правовых, нормативных или договорных требований либо потерю доверия общественности к бренду компании. Возможен значительный отток клиентов, упущенная выгода либо косвенное негативное влияние, ведущее к существенному снижению доходов/увеличению расходов.
На основе определенных уровней критичности каждому бизнес-процессу из области оценки присваивается коэффициент критичности по следующей шкале: 1 для высокого уровня критичности, 0,75 для среднего и 0,5 для низкого. Коэффициент критичности документируется менеджером рисков в поле «Коэффициент критичности» специального реестра.
Далее КУРИБ путем мозгового штурма, а также с учетом результатов предыдущей оценки рисков (если такая проводилась) определяет перечень рисков, могущих потенциально влиять на непрерывность бизнес-процессов компании из области оценки. Идентифицированные риски фиксируются менеджером рисков в специальном реестре и заполняются соответствующие поля: «Тип риска ИБ», «Вид риска ИБ», «Описание риска ИБ», «Возможные причины риска ИБ».
Реализация риска ИБ может привести к различного рода последствиям, в том числе к сбоям в работе ИС, прерыванию бизнес-процессов, нарушению доступности, конфиденциальности и целостности корпоративных данных и т.д., иными словами, причинить компании ущерб того или иного характера. КУРИБ устанавливает период прерывания функционирования ИС, в отношении которого определяется потенциальный ущерб. По умолчанию период прерывания равняется 8 рабочим часам (1 рабочему дню). Также применяется время простоя (например склада): час, день, неделя.
Затем КУРИБ определяет категории потенциального ущерба (финансовый, репутационный, регуляторный, клиентский) от реализации каждого риска ИБ из области оценки. Далее определяется шкала уровня влияния (воздействия) каждого риска в зависимости от определенного ранее периода простоя бизнес-процесса для каждой категории ущерба. КУРИБ также определяет шкалу вероятности реализации каждого риска (от 1 до 3 или от 1 до 5).
Анализ рисков ИБ проводится для определения уровней идентифицированных рисков с учетом вероятности их реализации и уровня потенциального воздействия на бизнес-процессы компании.
Для каждого риска члены КУРИБ оценивают уровень его влияния по каждой из категорий ущерба (финансовый, репутационный, регуляторный, клиентский). Уровень влияния документируется менеджером рисков.
Если в ходе оценки члены КУРИБ определили различные уровни ущерба для одного и того же риска, должен быть принят наихудший сценарий и в реестре зафиксирована самая высокая оценка.
Затем оценивается вероятность возникновения риска, и числовой эквивалент оценки вероятности заносится менеджером рисков в поле «Вероятность возникновения» реестра. И наконец индивидуальная оценка риска для каждой категории ущерба определяется по формуле:
Уровень риска = Вероятность × Уровень влияния.
Вышеперечисленные характеристики рисков ИБ определяются путем мозгового штурма и HAZOP.
На основании полученных данных путем усреднения индивидуальных уровней риска по категориям ущерба и последующего умножения на коэффициент критичности бизнес-процесса определяется интегральный уровень каждого риска ИБ:
Интегральный уровень риска = (Рфинанс + Ррегулят + Ррепут + Рклиент) / 4) × Коэффициент критичности бизнес-процесса,
где Рфинанс – уровень риска финансового ущерба;
Ррегулят – уровень риска регуляторного ущерба;
Ррепут – уровень риска репутационного ущерба;
Рклиент – уровень риска клиентского ущерба.
Дальнейшие действия
Теперь нужно оценить возможность принятия каждого риска, т.е. сравнить интегральный уровень этого риска с критериями его принятия. Можно предложить следующие статусы принятия риска:
1. Не может быть принят. Уровень риска слишком высок, требуются немедленные действия с целью его снижения, например:
- разработать и применить соответствующие меры контроля;
- избегать риска с помощью корректировки или прекращения вызывающей его деятельности;
- передать риск другой стороне (страхование, аутсорсинг).
2. Может быть принят с дополнительными условиями. Риск признается допустимым, но, например, ввиду значимости бизнес-процесса требуется регулярный мониторинг для контроля его нахождения в допустимых пределах.
3. Может быть принят. Риск находится в допустимых пределах, немедленные действия не требуются. Рекомендуется осуществлять периодический мониторинг.
Одна из нетривиальных задач – определение варианта обработки каждого риска ИБ (способа воздействия на риск) на основании следующих типов воздействия:
- минимизация риска применением соответствующих мер контроля. Например, усиление технических мер безопасности, обучение сотрудников и т.д.;
- избегание (исключение) риска: пересмотр или прекращение действий, способствующих возникновению риска;
- принятие или увеличение риска с целью его трансформации в возможность;
- устранение источника риска;
- изменение вероятности возникновения риска;
- изменение последствий реализации риска;
- обоснованное решение о сохранении риска;
- передача риска третьим сторонам (страховщикам, поставщикам и т.п.).
Вариант обработки риска ИБ выбирается исходя из экономической целесообразности, когда ресурсы, затрачиваемые на обработку риска, не превышают уровень воздействия его реализации на бизнес-процессы компании.
* * *
Анализ рисков не простая задача. И должен он проводиться параллельно с повышением уровня информационной безопасности компании. Если нет возможности выделить для этой работы специальное должностное лицо, как минимум менеджера рисков, то проще привлечь специалистов с рынка.
Если руководство компании понимает, что риски есть, их в обязательном порядке надо оценить. Хотя многие имеют большой «аппетит» к рискам и ждут, когда инцидент произойдет и нужно будет уже оценивать потери.
Дмитрий Костров, заместитель генерального директора по информационной безопасности, ООО «ИЭК
ХОЛДИНГ»
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!