Как настроить управление ИТ-рисками

Эффективный IT risk management предполагает систематический подход компаний к выявлению угроз, проведению анализа и оценки риска, разработке мер по минимизации возможных последствий и постоянному контролю за состоянием информационной среды.

Почему управление IT-рисками – это необходимость

В современной бизнес-среде управление рисками ИТ проектов и систем – ключ к выживанию. Российские компании сталкиваются с жёсткими регуляторными требованиями:

• №152-ФЗ (персональные данные)
• №187-ФЗ (критическая информационная инфраструктура)
• нормативы ФСТЭК и Банка России.

Дополнительно санкционное давление, киберугрозы, зависимость от зарубежных технологий и обязательства по локализации данных требуют особого внимания к идентификация угроз и уязвимостей.

Игнорирование приводит к невыполнению обязательств по защите информации, увеличивает вероятность инцидентов, осложняет внедрение новых технологий. За нарушение грозят штрафы, блокировки, плановые и внеплановые проверки.

Управление ИТ- и информационными угрозами пересекаются, но не совпадают: подробнее о подходах к управлению рисками в информационной безопасности читайте в отдельной статье.

Чем грозит игнорирование IT-рисков

Отсутствие адекватной системы контроля информационных угроз несёт прямые и косвенные проблемы:

1. Финансовые потери — простои, потеря клиентов, убытки на восстановление, штрафы.
2. Репутационные издержки.
3. Остановка бизнеса, срыв проектов.

В управлении рисками в ИТ-компании важно понимать простую вещь: каждый инцидент стоит денег. Кто это понимает — работает на опережение. Остальным остается платить.

Классификация и виды рисков в IT

IT-сфера сталкивается с множеством угроз и уязвимостей — от утечек данных до сбоев в инфраструктуре и ошибок персонала. Чтобы обеспечить устойчивость, важно понимать, какие категории проблем могут повлиять на бизнес.

Проблемы информационной безопасности:

• Утечка персональных данных
• Вирусные атаки, вредоносное ПО
• Несанкционированный доступ

Операционные:

• Сбои в инфраструктуре
• Недоступность онлайн-сервисов
• Работа на устаревшем или неподдерживаемом оборудовании

Проектные:

• Срывы сроков внедрения
• Завышенные ожидания заказчиков
• Ошибки персонала, человеческий фактор

Организационные:

• Нехватка ИТ-кадров
• Неэффективное распределение ролей и задач
• Несогласованность процессов между подразделениями

Финансовые и юридические:

• Штрафы Роскомнадзора или регуляторов
• Претензии, иски со стороны клиентов
• Ошибки, неточности в юридических документах

Внешние:

• Введение новых санкций и ограничений
• Недоступность облачных сервисов
• Уход с рынка иностранных поставщиков
• Изменения требований регуляторов, внутренняя неготовность компании к ним

Внутренние:

• Слабые учетные данные
• Неправильные конфигурации
• Отсутствие или недостаточное шифрование
• Человеческий фактор — халатность, невнимательность или умышленные действия сотрудников
• Некорректная обработка входных данных, командные инъекции, файловые атаки
• Отсутствие или неполнота резервного копирования или восстановления

Как ИТ-риски влияют на российские компании

Внутренние уязвимости в российских компаниях встречаются очень часто, они — ощутимая угроза для безопасности. По результатам исследований и аудитов информационных систем, основные риски включают:

• отсутствие блокировки при переборе паролей и пользователей на веб-ресурсах — у 64% организаций
• недостаток или отсутствие двухфакторной аутентификации — примерно 12% уязвимостей
• слабое управление паролями — в 78% случаев
• ошибки в настройках безопасности веб-приложений, внутренних систем, включая небезопасные прямые ссылки и уязвимости типа IDOR
• отсутствие или недостаточная защита внутренних сетей, неправильное распределение прав доступа.

Такие уязвимости требуют внедрения системы управления IT-рисками и постоянного мониторинга. О том, как управление уязвимостями поможет предотвратить атаки, читайте в нашем материале.

Это цепочка практических шагов, встроенных в ежедневную деятельность компании. Начинается с выявления угроз.

Идентификация: где искать уязвимые места

Поиск невозможен без точного понимания, что именно угрожает системам и проектам. Угрозы не всегда лежат на поверхности, часто они прячутся в старых привычках, неформализованных решениях, наследии инфраструктуры.

Для старта используют простые, но рабочие методы:

1. Интервью с ключевыми сотрудниками поможет вскрыть угрозы, которых не видно в документации.
2. Мозговой штурм с участием ИТ, ИБ, бизнеса выявит уязвимости на стыках процессов.
3. Аудиты инфраструктуры и проектов дадут объективную картину технических или организационных слабых мест.
4. Чек-листы помогут не упустить критичные моменты.
5. Анализ прошлых инцидентов — важный источник знаний: если что-то уже случилось, шанс повторения высокий.

Ключевая роль в процессе принадлежит людям. Один ИБ-специалист не соберёт полную картину без участия тех, кто ежедневно работает с системами. Руководитель проекта видит проблемы на стадии внедрения, администратор — на уровне инфраструктуры, а бизнес-заказчик — на стороне последствий. Чем шире состав команды, тем точнее и полезнее получится карта рисков.

На этом этапе важно собрать рабочий список потенциальных угроз, связанных с конкретной ИТ-средой. На этом этапе вы создаете базу для следующего шага — оценки рисков и принятия решений.

Оценка и анализ

Эти этапы нужны для количественного и качественного определения уровня угроз для информационных активов или проектов. Основные параметры оценки — это вероятность наступления инцидента, величина возможного ущерба при его реализации.

Количественную оценку можно вычислить по формуле: Риск = Вероятность x Ущерб

Пример:

Пусть есть вероятность утечки данных клиентов из БД компании. Предположим:

• Возможность наступления такого инцидента в течение года оценивается экспертами как 5% (или 0,05).
• Потенциальный ущерб (штрафы, компенсации, потери репутации) в случае утечки оценивается в 1 000 000 рублей.

Тогда величина риска:

0,05 x 1 000 000 = 50 000 рублей

Это означает, что среднегодовая ожидаемая потеря из-за этого инцидента составляет 50 000 рублей.

Подход помогает принимать решения о целесообразности внедрения дополнительных мер защиты или страхования.

Качественная оценка проводится с помощью экспертных оценок и шкал (пятибалльной, десятибалльной) для упрощения определения и классификации угроз по уровням серьезности — низкий, средний, высокий.

Для систематизации и визуализации результатов используются методы и инструменты:

• Матрицы — таблицы, где по одной оси откладывается вероятность, по другой — степень ущерба. Помогают быстро выделить приоритетные угрозы.
• Системы скоринга (scoring system) — присваивание баллов угрозам на основе набора критериев с последующим суммированием для определения их важности.

Пример матрицы рисков

Каждый риск в матрице классифицируется по сочетанию двух параметров, получает цветовую маркировку для наглядности.

Пример использования:

• «Срыв сроков поставки оборудования» с вероятностью 4 (высокая) и влиянием 3 (средний ущерб) попадает в категорию «Высокий» (оранжевый).
• «Несанкционированный доступ к данным» с вероятностью 2 (низкая), но влиянием 5 (очень высокий ущерб) — «Средний» или «Высокий», в зависимости от точной методики оценки, требует особого внимания.

Матрица помогает определить, на какие угрозы нужно направить основные усилия в системе управления ИТ рисками, а какие можно контролировать стандартными процедурами

Для более точной оценки применяют системы балльного анализа (scoring), особенно если опасных ситуаций много или участвуют разные подразделения.

Где проходит граница допустимого: RISK APPETITE и RISK CAPACITY

Чтобы не заниматься всеми угрозами подряд, организации определяют две ключевые рамки.

Риск аппетит (Risk appetite) — это то, на что компания осознанно готова пойти.

Рассчитывается на основе:

• Целей бизнеса — какие показатели критичны (время простоя, количество инцидентов, сумма убытков)
• Толерантности руководства — сколько потерь они считают допустимыми
• Исторических данных — какие инциденты уже случались, как с ними справлялись
• Ресурсов на управление — готовы инвестировать в снижение или нет

Пример расчёта:

Компания говорит: Мы можем терять до 500 000 рублей в год от технических простоев, не больше.
Это и есть Risk appetite: денежная граница допустимого ущерба по конкретной категории риска.

То же можно выразить в метриках:

• Не более 2 инцидентов ИБ в квартал
• До 1 часа простоя в месяц
• До 1% отказов от заказов из-за ИТ-проблем

Цифры обсуждают и утверждают на уровне топ-менеджмента — это управленческое решение.

Риск-потенциал (Risk capacity) — то, что компания физически способна выдержать без серьёзных последствий. Рассчитывается на основе:

• Финансовых резервов — сколько денег есть на покрытие убытков.
• Технической устойчивости — резервирование, SLA, отказоустойчивость.
• Юридических последствий — какие штрафы и иски могут наступить.
• Репутационной уязвимости — какую долю клиентов можно потерять без фатального эффекта.

Пример расчёта:

Если при инциденте с ПДн Роскомнадзор может оштрафовать на 18 млн, а резерв под штрафы — 5 млн, значит Risk capacity по данному типу угрозы — 5 млн, инцидент выше этого порога недопустим.

В системе мер по минимизации уязвимостей эти параметры задают рамки при оценке и приоритизации. Если риск попадает внутрь аппетита — его можно принять. Если превышает потенциал — его срочно нужно снижать или избегать.

Приоритизация

Когда риски описаны и оценены, начинается расстановка приоритетов. Выбирают те, которые влияют на бизнес сильнее всего. В приоритете всегда из красной зоны матрицы: высокая вероятность + серьёзный ущерб.

Важно учитывать не только цифры. Бывают риски с низкой вероятностью, но катастрофическими последствиями (например, утечка персональных данных), они требуют большего внимания, чем частый, но управляемый сбой.

Кроме оценки, приоритизацию формируют:

• Risk appetite: готовы ли с этим жить,
• Risk capacity: выдержит ли бизнес последствия,
• Влияние на цели и ключевые сервисы: не весь ИТ одинаково важен.

В зрелых ИТ-командах приоритизацию иногда усиливают методами весового ранжирования или экспертной оценки, если угроза затрагивает сразу несколько бизнес-факторов.

Разработка стратегий реагирования

После приоритизации нужно понять, как с ними обращаться. Сам факт, что риск зафиксирован, ничего не меняет, пока не выбрана стратегия: конкретный ответ на вопрос «что мы делаем с этой угрозой». Для каждой выбирается одна из четырёх базовых тактик.

Первая — предотвращение. Если угроза слишком велика, последствия превышают Risk appetite, проще исключить саму возможность. Например, отказаться от нестабильного облачного сервиса или не вводить в эксплуатацию небезопасный модуль. Эту стратегию выбирают, если риск попадает за пределы Risk capacity.

Вторая — снижение. Самый распространённый подход. Компания не может убрать угрозу полностью, но снижает вероятность или последствия. Типичные меры — резервное копирование, установка DLP, ограничение доступа, обновление уязвимого ПО, обучение сотрудников. Подход хорошо работает, когда опасность можно контролировать технически или организационно.

Третья — передача. Речь не о перекладывании ответственности, а о формальном переносе части риска. Примеры — страхование, аутсорсинг, использование подрядчиков с чётко прописанными SLA. Это частично снижает нагрузку, но не избавляет от необходимости контроля. Для управления рисками в ИТ компании этот подход можно применить к неключевым компонентам.

Четвёртая — принятие. Используется, когда риск допустим в рамках Risk appetite, а стоимость его снижения слишком велика. В этом случае угрозы фиксируют, отслеживают и оставляют под контролем. Иногда лучше принять возможные потери, чем тратить вдвое больше на защиту от них.

Выбор стратегии всегда делают с учётом влияния на бизнес, критичности ресурса и доступных возможностей. Важно, чтобы решение было осознанным и задокументированным.

Планирование и реализация

Когда стратегия реагирования выбрана, нужен конкретный план: кто отвечает, что делает, в какие сроки. Без этого управление рисками в ИТ-компании остаётся на бумаге.

План включает:

• меры по снижению риска или устранению уязвимости
• сроки исполнения
• ответственных
• ресурсы (бюджет, системы, специалисты)

Для системной работы всё оформляется документально — обычно это план обработки угроз, как описано в ГОСТ Р ИСО/МЭК 27005. Его ведут в электронном виде: в Confluence, в 1С, в ИБ-системах или хотя бы в таблице.

План готов — теперь его нужно исполнить. На этом этапе в систему управления ИТ-рисками входят реальные действия: технические, организационные, кадровые.

Превентивные меры направлены на то, чтобы инцидент не возник. Это резервное копирование, настройка прав доступа, шифрование, контроль обновлений, отказоустойчивые конфигурации.

Корректирующие меры запускаются после выявленного инцидента. Это может быть пересмотр политики, блокировка сценария, увольнение подрядчика, изменение цепочки согласований.

Фиксация: что сделано, отслеживание результатов, иначе эффект окажется временным.

Действия без последующего контроля — не управление, а имитация. Поэтому следующим шагом идёт постоянный мониторинг.

Мониторинг и корректировка

В управлении ИТ-рисками важно не просто принять меры, а понимать, работают ли они. Поэтому отслеживание эффективности и регулярная корректировка — обязательная часть процесса.

Мониторинг отвечает на два вопроса:

• остаётся ли угроза актуальной
• даёт ли результат выбранная стратегия

Для этого используют аудит, журнал инцидентов, плановые проверки, обратную связь от сотрудников. В более зрелых системах подключают проактивный мониторинг: SIEM, DLP, системы оценки уязвимостей, автоматические отчёты. Некоторые компании ведут метрики по ключевым вероятностям: число сбоев, нарушения SLA, попытки несанкционированного доступа.

Корректировку проводят либо регулярно (раз в квартал или полгода), либо после серьёзных изменений: обновление ИТ-систем, смена подрядчиков, новый закон, инцидент. В пересмотр входят переоценка рисков, обновление стратегий, пересмотр планов обработки и, при необходимости, перераспределение ответственности.

Важно не допустить главной ошибки — фиксации угроз в статичном документе. Управление рисками в ИТ-компании — это не задача «один раз», а часть постоянного цикла. Кто делает это регулярно, быстрее восстанавливается и увереннее работает.

Документирование и интеграция в процессы

После выбора стратегии и внедрения мер надо зафиксировать решения и результат в рабочей документации:

• реестр угроз
• план обработки
• распределение ролей
• сроки и статус выполнения

Это не формальность, а средство контроля. Документирование помогает отслеживать выполнение мер, возвращаться к решениям при проверках, быстро вносить изменения при появлении новых угроз. Когда все материалы собраны в одном месте — реестр, план, статус действий — команде проще координировать работу и контролировать актуальность.

Стандарты и нормативы, применимые в России

Управление  и контроль над уязвимостями в российских компаниях не ограничивается внутренними регламентами. Для многих сфер действуют обязательные требования, а для остальных — рекомендации, которые лучше не игнорировать. Они задают структуру, термины и порядок действий.

ГОСТ Р ИСО/МЭК 27001 и 27005 описывают подход к управлению информационной безопасностью и угрозами внутри неё. Их применяют при построении систем ИБ в коммерческих и государственных организациях.

ГОСТ Р ИСО 31000 — универсальный стандарт для управления рисками любого профиля. Хорошая отправная точка, особенно если компания ещё не работала системно с этой темой.

При работе с критической информационной инфраструктурой, государственными информационными системами, базами данных обязательно учитывать требования ФСТЭК России. В частности, используют методику оценки угроз, модели нарушителей, профиль защиты, основанный на приказе № 239.

В банковском и финансовом секторе применяют положения ЦБ РФ №683-П и №757-П — там прямо прописано, как должен строиться процесс управления рисками, включая IT составляющую.

№152-ФЗ «О персональных данных» и №187-ФЗ «О безопасности КИИ» вводят не только требования к защите, но и ответственность за последствия инцидентов — прямые санкции.

Компании опираются на прикладные методики от российских вендоров и интеграторов: BI.ZONE, Solar, Ростелеком-Солар, Positive Technologies. Они используют комбинированный подход — от аудита до автоматизации, который хорошо работает в крупном бизнесе.

Стандарты помогают не выдумывать процесс с нуля. В управлении рисками ИТ-проектов и систем лучше взять проверенную модель и адаптировать её под свою реальность.

Процесс управления рисками ИТ часто упирается в повседневную работу. Практика показывает — устойчивость к угрозам формируется не только технологиями, но и подходом к делу.

Первое — обучение сотрудников. Там, где персонал понимает, как работают системы, что может пойти не так, опасность инцидентов снижается естественным образом. Особенно это важно для пользователей, работающих с данными, конфиденциальной информацией или внешними сервисами.

Второе — поведение по умолчанию. Если в компании сформирована культура осознанного отношения к безопасности, гораздо проще поддерживать систему управления ИТ-рисками. Сотрудники не молчат о сбоях, не боятся сообщить об ошибке, это помогает выявить угрозы раньше.

Третье — понятная и актуальная документация. Не формальная папка для аудитора, а рабочий инструмент: что делать при сбое, кого звать, где смотреть резервные копии. В сочетании с планом реагирования на инциденты такая документация спасает бизнес, когда каждый час стоит денег.

Четвёртое — системность. Основные ошибки возникают из-за трёх вещей:

• риски не выявлены полностью
• команды не обмениваются информацией
• оценка проводится формально — по инерции, без реального анализа
• игнорирование маловероятных угроз, хотя именно они могут нанести наибольший ущерб, если наступят.

Лучшие практики в управлении рисками в ИТ-компании не всегда требуют бюджета. Чаще — внимания, дисциплины и регулярности.

Главное

Управление ИТ-рисками — это ежедневная часть работы компании. В условиях санкций, обязательных требований и киберугроз проблемы нужно выявлять, оценивать, приоритизировать, регулярно пересматривать.

ИТ-риски — это бизнес-угрозы. Они бьют по деньгам, проектам, репутации, часто приводят к юридическим последствиям.

Опасности есть всегда. Их игнорирование оборачивается потерями. Управление IT рисками снижает уязвимость, повышает устойчивость.

Процесс работает, только если он внедрён. Один человек или формальный документ не спасут. Нужна команда, живой цикл и внутренняя культура.

Приоритизация экономит ресурсы. Не все риски равны — важнее те, что могут парализовать бизнес. Остальные можно отложить.

Простой инструментарий лучше сложной теории. Достаточно таблицы, здравого смысла и дисциплины, чтобы начать.

Российские компании уже умеют это делать. Есть стандарты, ГОСТы, практики, отечественные ИТ-решения, чтобы строить систему.