Оценка рисков информационной безопасности
Оценка рисков информационной безопасности — это систематический процесс выявления, анализа и оценивания потенциальных угроз и уязвимостей информационной системы, направленный на определение вероятности реализации угроз и величины возможного ущерба для организации. Результатом оценки рисков является ранжированный перечень рисков, на основе которого разрабатываются меры по их обработке — снижению, принятию, избеганию или передаче. Оценка рисков является ключевым элементом системы управления информационной безопасностью (СУИБ) и регламентируется международными и национальными стандартами, в частности серией стандартов ISO/IEC 27000, а также методическими документами Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
История развития подхода
До середины 1990-х годов управление информационной безопасностью в организациях носило преимущественно реактивный характер: меры защиты внедрялись после инцидентов или на основе экспертных оценок без формализованного анализа. Развитие информационных технологий и рост числа кибератак потребовали системного подхода.
Первым значимым стандартом в этой области стал британский стандарт BS 7799 (1995 год), который впоследствии лёг в основу международного стандарта ISO/IEC 17799 (2000 год), а затем и ISO/IEC 27001 (2005 год). Эти документы ввели требование к организациям проводить оценку рисков как обязательное условие сертификации СУИБ. В России с 2002 года действует серия руководящих документов ФСТЭК, а с 2014 года — ГОСТ Р ИСО/МЭК 27001-2021, гармонизированный с международным стандартом.
Основные понятия
Для понимания процесса оценки рисков необходимо определить ключевые термины:
- Актив — любой объект (информация, оборудование, программное обеспечение, персонал), имеющий ценность для организации и подлежащий защите.
- Угроза — потенциальное событие или действие, которое может нанести ущерб активу (например, взлом, вирусная атака, стихийное бедствие, ошибка сотрудника).
- Уязвимость — слабость в системе защиты, которая может быть использована угрозой (например, отсутствие антивируса, некорректные настройки доступа, устаревшее ПО).
- Риск — комбинация вероятности реализации угрозы через уязвимость и величины потенциального ущерба.
- Остаточный риск — риск, который остаётся после внедрения мер защиты и принимается руководством организации.
Методологии оценки рисков
Существует несколько основных методологий, различающихся по сложности, точности и формату результатов. Выбор методологии зависит от размера организации, её ресурсов и требований регуляторов.
Качественная оценка
Наиболее распространённый подход, при котором вероятности и ущерб оцениваются в порядковых шкалах (например, «низкий», «средний», «высокий»). Оценка проводится на основе экспертных мнений и опросных листов. Результатом является матрица рисков, где каждому сочетанию «вероятность — ущерб» присваивается уровень риска. Метод прост в применении, но субъективен.
Количественная оценка
Предполагает численное выражение рисков в денежном эквиваленте. Используются показатели:
- Ожидаемые годовые потери (ALE — Annualized Loss Expectancy) = частота инцидента × стоимость одного инцидента.
- Коэффициент подверженности (EF — Exposure Factor) — доля актива, которая будет утрачена при реализации угрозы.
Метод точен, но требует большого объёма статистических данных и трудозатрат. Чаще применяется в крупных финансовых и промышленных компаниях.
Смешанная (полуколичественная) оценка
Комбинирует элементы качественного и количественного подходов. Например, вероятности присваиваются числовые диапазоны (1–5), а ущерб оценивается в баллах, которые затем переводятся в денежный эквивалент. Позволяет получить более объективные результаты, чем чисто качественная оценка, при умеренных затратах.
Этапы процесса оценки рисков
Процесс оценки рисков, согласно стандарту ISO/IEC 27005, включает следующие этапы:
1. Определение контекста
На этом этапе устанавливаются границы оценки: какие активы, процессы и подразделения включены, какие внешние и внутренние факторы влияют на безопасность (законодательные требования, бизнес-цели, угрозы). Формируется базовая шкала для оценки вероятности и ущерба.
2. Идентификация рисков
Проводится инвентаризация активов, выявление угроз и уязвимостей. Для этого используются:
- Анализ документации (политики безопасности, схемы сетей, регламенты).
- Интервью с владельцами активов и сотрудниками.
- Сканирование уязвимостей (с помощью автоматизированных средств, таких как Nessus, OpenVAS).
- Тестирование на проникновение (пентест).
- Анализ инцидентов за прошлые периоды.
3. Анализ рисков
Для каждой пары «угроза — уязвимость» оценивается вероятность реализации и потенциальный ущерб. Применяются выбранные методологии. В результате формируется перечень рисков с присвоенными уровнями.
4. Оценивание рисков
Полученные уровни рисков сравниваются с заранее установленными критериями приемлемости (например, риски выше «среднего» считаются неприемлемыми). Риски, превышающие порог, требуют обязательной обработки.
5. Обработка рисков
На основе результатов оценки разрабатываются и внедряются меры:
- Снижение — внедрение защитных средств (антивирусы, межсетевые экраны, шифрование, обучение персонала).
- Принятие — осознанное согласие руководства на существование риска (обычно для низких уровней).
- Избегание — отказ от деятельности, создающей риск (например, вывод из эксплуатации устаревшей системы).
- Передача — страхование риска или передача ответственности третьей стороне (например, аутсорсинг облачных услуг).
6. Мониторинг и пересмотр
Оценка рисков не является разовым действием. Она должна проводиться периодически (не реже одного раза в год, а также при существенных изменениях в инфраструктуре, законодательстве или после крупных инцидентов).
Нормативное регулирование в России
В Российской Федерации требования к оценке рисков информационной безопасности установлены рядом нормативных актов:
- Федеральный закон № 152-ФЗ «О персональных данных» — требует от операторов персональных данных проводить оценку вреда, который может быть причинён субъектам персональных данных, и соотносить его с принимаемыми мерами защиты.
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — обязывает субъекты КИИ (организации, работающие в сферах здравоохранения, энергетики, транспорта, связи и др.) проводить категорирование объектов КИИ и оценку рисков для них.
- Методика оценки угроз безопасности информации (утверждена ФСТЭК России в 2021 году) — содержит детальные указания по выявлению актуальных угроз и оценке вероятности их реализации.
- ГОСТ Р ИСО/МЭК 27001-2021 — национальный стандарт, устанавливающий требования к СУИБ, включая обязательность оценки рисков.
Инструменты автоматизации
Для упрощения и ускорения оценки рисков используются специализированные программные продукты:
- Microsoft Security Risk Management — инструмент для крупных корпоративных сетей.
- RSA Archer — платформа для управления рисками и соответствием.
- Qualys — облачный сервис для сканирования уязвимостей и оценки рисков.
- MaxPatrol (Positive Technologies) — российская система, позволяющая автоматизировать оценку защищённости и рисков.
- Сканер-ВС (ФСТЭК России) — программный комплекс для анализа уязвимостей и оценки рисков, рекомендованный для государственных информационных систем.
Критика и ограничения
Несмотря на широкое распространение, методология оценки рисков имеет ряд недостатков:
- Субъективность — особенно при качественной оценке, где эксперты могут по-разному интерпретировать вероятности.
- Сложность количественной оценки — требует точных данных об инцидентах, которые часто отсутствуют.
- Статичность — оценка рисков на конкретную дату может быстро устареть в условиях быстро меняющейся угрозовой среды.
- Ресурсоёмкость — полноценная оценка требует значительных временных и кадровых затрат, что затруднительно для малых и средних предприятий.
Источники
- ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements».
- ISO/IEC 27005:2022 «Information security, cybersecurity and privacy protection — Guidance on managing information security risks».
- ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
- Методика оценки угроз безопасности информации (утверждена ФСТЭК России 5 февраля 2021 г.).
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- NIST Special Publication 800-30 Rev. 1 «Guide for Conducting Risk Assessments».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →