Открыть сервис

Оценка рисков информационной безопасности

Оценка рисков информационной безопасности — это систематический процесс выявления, анализа и оценивания потенциальных угроз и уязвимостей информационной системы, направленный на определение вероятности реализации угроз и величины возможного ущерба для организации. Результатом оценки рисков является ранжированный перечень рисков, на основе которого разрабатываются меры по их обработке — снижению, принятию, избеганию или передаче. Оценка рисков является ключевым элементом системы управления информационной безопасностью (СУИБ) и регламентируется международными и национальными стандартами, в частности серией стандартов ISO/IEC 27000, а также методическими документами Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

История развития подхода

До середины 1990-х годов управление информационной безопасностью в организациях носило преимущественно реактивный характер: меры защиты внедрялись после инцидентов или на основе экспертных оценок без формализованного анализа. Развитие информационных технологий и рост числа кибератак потребовали системного подхода.

Первым значимым стандартом в этой области стал британский стандарт BS 7799 (1995 год), который впоследствии лёг в основу международного стандарта ISO/IEC 17799 (2000 год), а затем и ISO/IEC 27001 (2005 год). Эти документы ввели требование к организациям проводить оценку рисков как обязательное условие сертификации СУИБ. В России с 2002 года действует серия руководящих документов ФСТЭК, а с 2014 года — ГОСТ Р ИСО/МЭК 27001-2021, гармонизированный с международным стандартом.

Основные понятия

Для понимания процесса оценки рисков необходимо определить ключевые термины:

  • Актив — любой объект (информация, оборудование, программное обеспечение, персонал), имеющий ценность для организации и подлежащий защите.
  • Угроза — потенциальное событие или действие, которое может нанести ущерб активу (например, взлом, вирусная атака, стихийное бедствие, ошибка сотрудника).
  • Уязвимость — слабость в системе защиты, которая может быть использована угрозой (например, отсутствие антивируса, некорректные настройки доступа, устаревшее ПО).
  • Риск — комбинация вероятности реализации угрозы через уязвимость и величины потенциального ущерба.
  • Остаточный риск — риск, который остаётся после внедрения мер защиты и принимается руководством организации.

Методологии оценки рисков

Существует несколько основных методологий, различающихся по сложности, точности и формату результатов. Выбор методологии зависит от размера организации, её ресурсов и требований регуляторов.

Качественная оценка

Наиболее распространённый подход, при котором вероятности и ущерб оцениваются в порядковых шкалах (например, «низкий», «средний», «высокий»). Оценка проводится на основе экспертных мнений и опросных листов. Результатом является матрица рисков, где каждому сочетанию «вероятность — ущерб» присваивается уровень риска. Метод прост в применении, но субъективен.

Количественная оценка

Предполагает численное выражение рисков в денежном эквиваленте. Используются показатели:

  • Ожидаемые годовые потери (ALE — Annualized Loss Expectancy) = частота инцидента × стоимость одного инцидента.
  • Коэффициент подверженности (EF — Exposure Factor) — доля актива, которая будет утрачена при реализации угрозы.

Метод точен, но требует большого объёма статистических данных и трудозатрат. Чаще применяется в крупных финансовых и промышленных компаниях.

Смешанная (полуколичественная) оценка

Комбинирует элементы качественного и количественного подходов. Например, вероятности присваиваются числовые диапазоны (1–5), а ущерб оценивается в баллах, которые затем переводятся в денежный эквивалент. Позволяет получить более объективные результаты, чем чисто качественная оценка, при умеренных затратах.

Этапы процесса оценки рисков

Процесс оценки рисков, согласно стандарту ISO/IEC 27005, включает следующие этапы:

1. Определение контекста

На этом этапе устанавливаются границы оценки: какие активы, процессы и подразделения включены, какие внешние и внутренние факторы влияют на безопасность (законодательные требования, бизнес-цели, угрозы). Формируется базовая шкала для оценки вероятности и ущерба.

2. Идентификация рисков

Проводится инвентаризация активов, выявление угроз и уязвимостей. Для этого используются:

  • Анализ документации (политики безопасности, схемы сетей, регламенты).
  • Интервью с владельцами активов и сотрудниками.
  • Сканирование уязвимостей (с помощью автоматизированных средств, таких как Nessus, OpenVAS).
  • Тестирование на проникновение (пентест).
  • Анализ инцидентов за прошлые периоды.

3. Анализ рисков

Для каждой пары «угроза — уязвимость» оценивается вероятность реализации и потенциальный ущерб. Применяются выбранные методологии. В результате формируется перечень рисков с присвоенными уровнями.

4. Оценивание рисков

Полученные уровни рисков сравниваются с заранее установленными критериями приемлемости (например, риски выше «среднего» считаются неприемлемыми). Риски, превышающие порог, требуют обязательной обработки.

5. Обработка рисков

На основе результатов оценки разрабатываются и внедряются меры:

  • Снижение — внедрение защитных средств (антивирусы, межсетевые экраны, шифрование, обучение персонала).
  • Принятие — осознанное согласие руководства на существование риска (обычно для низких уровней).
  • Избегание — отказ от деятельности, создающей риск (например, вывод из эксплуатации устаревшей системы).
  • Передачастрахование риска или передача ответственности третьей стороне (например, аутсорсинг облачных услуг).

6. Мониторинг и пересмотр

Оценка рисков не является разовым действием. Она должна проводиться периодически (не реже одного раза в год, а также при существенных изменениях в инфраструктуре, законодательстве или после крупных инцидентов).

Нормативное регулирование в России

В Российской Федерации требования к оценке рисков информационной безопасности установлены рядом нормативных актов:

  • Федеральный закон № 152-ФЗ «О персональных данных» — требует от операторов персональных данных проводить оценку вреда, который может быть причинён субъектам персональных данных, и соотносить его с принимаемыми мерами защиты.
  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — обязывает субъекты КИИ (организации, работающие в сферах здравоохранения, энергетики, транспорта, связи и др.) проводить категорирование объектов КИИ и оценку рисков для них.
  • Методика оценки угроз безопасности информации (утверждена ФСТЭК России в 2021 году) — содержит детальные указания по выявлению актуальных угроз и оценке вероятности их реализации.
  • ГОСТ Р ИСО/МЭК 27001-2021 — национальный стандарт, устанавливающий требования к СУИБ, включая обязательность оценки рисков.

Инструменты автоматизации

Для упрощения и ускорения оценки рисков используются специализированные программные продукты:

  • Microsoft Security Risk Management — инструмент для крупных корпоративных сетей.
  • RSA Archer — платформа для управления рисками и соответствием.
  • Qualysоблачный сервис для сканирования уязвимостей и оценки рисков.
  • MaxPatrol (Positive Technologies) — российская система, позволяющая автоматизировать оценку защищённости и рисков.
  • Сканер-ВС (ФСТЭК России) — программный комплекс для анализа уязвимостей и оценки рисков, рекомендованный для государственных информационных систем.

Критика и ограничения

Несмотря на широкое распространение, методология оценки рисков имеет ряд недостатков:

  • Субъективность — особенно при качественной оценке, где эксперты могут по-разному интерпретировать вероятности.
  • Сложность количественной оценки — требует точных данных об инцидентах, которые часто отсутствуют.
  • Статичность — оценка рисков на конкретную дату может быстро устареть в условиях быстро меняющейся угрозовой среды.
  • Ресурсоёмкость — полноценная оценка требует значительных временных и кадровых затрат, что затруднительно для малых и средних предприятий.

Источники

  1. ISO/IEC 27001:2022 «Information security, cybersecurity and privacy protection — Information security management systems — Requirements».
  2. ISO/IEC 27005:2022 «Information security, cybersecurity and privacy protection — Guidance on managing information security risks».
  3. ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  4. Методика оценки угроз безопасности информации (утверждена ФСТЭК России 5 февраля 2021 г.).
  5. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  6. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  7. NIST Special Publication 800-30 Rev. 1 «Guide for Conducting Risk Assessments».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →