Управление рисками в информационной безопасности

Угрозы взломов, утечек данных, вредоносного ПО, атак злоумышленников и т.д.— не просто инциденты, а прямая опасность. Чем выше зрелость бизнеса, тем больше ущерб от ошибок в ИБ. Как их предотвратить, читайте ниже.

Зачем управлять рисками ИБ

Управление рисками в ИБ и ИТ-среде имеют схожие термины, но это разные дисциплины с отличающимися целями, объектами, подходами. О том, как выстраивается управление рисками в ИТ — читайте в нашей статье.

Процесс в России регулируется требованиями нескольких государственных органов:

• ФСТЭК России курирует вопросы защиты КИИ, информационных систем, персональных данных.
• ФСБ России — шифрование, гостайна.
• Роскомнадзор контролирует соблюдение требований к обработке персональных данных.
• Банк России регулирует финансовые организации через обязательные стандарты (например, ГОСТ Р 57580).

Все эти требования формируют обязательный контекст для управления угрозами в ИБ.

Риски в информационной безопасности: от уязвимости к ущербу

Чтобы выстроить эффективный процесс, надо разобраться, откуда берутся угрозы, какие факторы на это влияют. Почему даже незначительная уязвимость может привести к серьёзному инциденту.

Что такое риск в ИБ: неотъемлемая часть управления безопасностью

Риск в информационной безопасности формируется на пересечении трёх элементов:

• Угроза — источник возможного воздействия (внутренний или внешний злоумышленник, сбой, ошибка).
• Уязвимость — слабое место в системе, процессах или поведении, через которое угроза может реализоваться.
• Ущерб — последствия наступления риска: финансовые потери, штрафы, потеря данных, деловая репутация, правовые санкции.

Возникает только тогда, когда все три компонента существуют одновременно.

Какие угрозы чаще всего реализуются

Современные угрозы информационной безопасности постоянно эволюционируют. Угрозы ИБ уже давно стали реальными, они происходят ежедневно, с нарастающей интенсивностью и масштабом:

• Целенаправленные атаки на данные
• Фишинговые рассылки
• Вредоносное ПО
• Компрометация учётных данных
• Инсайдерские действия

Особенность этих угроз — они могут реализоваться даже без сложной технической подготовки, например, через обычную ошибку персонала.

Уязвимости: где информационная защита теряет прочность

Чтобы угроза переросла в инцидент, ей нужен вход. Таким входом становится уязвимость — техническая, организационная или человеческая. В российских организациях наиболее распространены:

1. Недостаточная осведомлённость персонала.
2. Отсутствие или формальность мер защиты.
3. Неограниченные привилегии.
4. Устаревшее ПО.
5. Слабая сегментация сети, неконтролируемый периметр.

Каждая из этих уязвимостей — не просто проблема ИТ-отдела, а потенциальная точка входа для реализации инцидента с прямым бизнес-ущербом.

Как предотвратить атаки, грамотно управляя уязвимостями, читайте в нашем материале.

Как цифровизация и распределённость увеличивают поверхность риска

Переход к цифровым сервисам, удалённой работе, облачным платформам расширил рисковый периметр. Если раньше защита строилась вокруг офиса или внутренней сети, то теперь приходится учитывать:

• удалённых сотрудников
• подрядчиков, внешние сервисы
• облачные решения
• мобильные устройства

В результате контролировать всё стало сложнее. Простого управления железом или антивирусами уже недостаточно. Нужна единая модель оценки рисков, охватывающая цифровую реальность, включающая человеческий фактор.

Приоритетные области контроля

В российской практике особое внимание уделяется следующим категориям объектов, где ошибки недопустимы:

• Персональные данные (ПДн) — нарушения требований №152-ФЗ ведут к штрафам, проверкам, блокировке ресурсов. Роскомнадзор активно контролирует этот сектор.
• Критическая информационная инфраструктура (КИИ) — объекты, значимые для функционирования государства, должны защищаться в соответствии с №187-ФЗ, приказами ФСТЭК.
• Финансовые организации — ЦБ России требует соблюдения стандартов, включая ГОСТ Р 57580.
• Системы, обрабатывающие государственную или служебную информацию — здесь контроль осуществляют ФСБ и ФСТЭК, а требования к защите включают криптографию, разграничение доступа, моделирование угроз.

Именно эти области чаще всего становятся предметом проверок, инцидентов и разбирательств.

Этапы управления рисками ИБ

Эффективный комплекс мер по снижению рисков невозможен без системного подхода. Законы, профильные стандарты требуют выстраивать непрерывный цикл анализа, принятия решений, контроля. Подход включает несколько ключевых этапов.

Определение контекста

Первый шаг, с которого начинается любая система управления рисками ИБ, — понимание внешних и внутренних условий, в которых работает организация. На этом этапе необходимо:

1. Определить цели бизнеса, критически важные процессы, роль информационных активов в их достижении.
2. Зафиксировать все нормативные обязательства, действующие в отрасли:

• № 152-ФЗ о персональных данных
• № 187-ФЗ о безопасности критической информационной инфраструктуры
• ГОСТ Р 57580, если организация относится к финансовому сектору
• приказы ФСТЭК России № 17, № 21, № 239, другие, в зависимости от типа системы

Контекст должен быть прикладным: где именно хранится, обрабатывается или передаётся информация, представляющая ценность. Это определяет фокус всей дальнейшей работы.

Следующий шаг — идентификация критичных активов. Сюда входят:

• информационные системы, базы данных, сетевые ресурсы
• документы, журналы, архивы — в том числе на бумаге
• ключевые процессы, роли, связанные с созданием или обработкой информации
• лица, ответственные за данные, ИТ-ресурсы — владельцы активов

Без понимания, что нужно защищать, невозможно построить реалистичную политику управления рисками ИБ.

Идентификация

Это вторая фаза — поиск потенциальных сценариев реализации инцидентов. На этом этапе организация формирует модель угроз — перечень актуальных сценариев воздействия на информационные активы. Угрозы группируются по источникам:

• внешние (хакеры, конкуренты, автоматические атаки)
• внутренние (инсайдеры, ошибочные действия сотрудников)
• технологические (отказы оборудования, сбои в цепочках поставщиков)

Особое внимание уделяется человеческому фактору, поэтому здесь же анализируются:

• внешние подрядчики, партнёры, имеющие доступ к ИС или данным
• каналы утечек: съёмные носители, облачные сервисы, мобильные устройства, корпоративные чаты

Результат — перечень рисков: конкретных сочетаний угроз, уязвимостей, активов, которые подлежат дальнейшей оценке.

Оценка

Следующий этап — оценка выявленных угроз. Здесь определяются:

• вероятность реализации
• масштаб возможного ущерба
• приоритеты реагирования

Применяются методики управления рисками ИБ, предусмотренные нормативами. В частности, используются:

• ГОСТ Р ИСО/МЭК 27005-2010 — как добровольный стандарт для комплексного анализа
• ГОСТ Р 57580.2-2018 — для организаций финансового сектора, где описаны уровни ущерба, критерии критичности, подходы к категорированию.

Оценка бывает:

• качественной — экспертной, основанной на знании инфраструктуры, статистике инцидентов, внутренней аналитике
• количественной — с использованием шкал и метрик (например, балльной оценки вероятности / ущерба)

Основной инструмент здесь — матрица рисков: визуальное представление, где каждая  угроза позиционируется по двум осям — вероятность и ущерб.

На этом этапе принимаются решения в управлении рисками ИБ: метод снижения, передача, принятие или уклонение. Но прежде чем переходить к мерам, надо зафиксировать оценки, согласовать результат с владельцем активов.

Обработка: как выбрать правильную стратегию

После того как опасность идентифицирована и оценена, наступает этап выбора стратегии ее обработки. Здесь доступны четыре варианта:

1. Снижение — внедрение технических, организационных мер, направленных на уменьшение вероятности реализации угрозы или сокращение ущерба.
   Это основной, самый применимый метод управления рисками ИБ.
2. Принятие — осознанное решение не предпринимать дополнительных действий, если опасность не превышает установленные пороговые значения. В этом случае он должен быть зафиксирован, согласован с руководством.
3. Избежание — отказ от деятельности, связанной с высоким риском (например, отключение уязвимой функции, закрытие внешнего доступа).
   Применяется в крайних случаях, когда последствия неприемлемы.
4. Передача — делегирование ответственности внешнему участнику, например, страховой компании.

Выбор варианта всегда должен опираться на результаты оценки (уровень, источник, актив), доступные ресурсы, компетенции, соблюдение требований регуляторов. Также учитывается реальная исполнимость мер и возможные побочные эффекты.

Согласование и утверждение остаточного риска

После применения мер остаются угрозы, которые не удаётся устранить полностью. Их необходимо формализовать и согласовать:

1. Руководство организации несёт ответственность за их принятие.
2. Юридический отдел анализирует правовые последствий, соблюдение нормативных требований.
3. Владельцы активов оценивают влияние на бизнес-процессы.

Решения обрабатываются в рамках политики управления рисками ИБ, оформляются локальными нормативными актами — приказами, положениями, протоколами заседаний комиссий.

Реализация и контроль мер защиты

Выбранные меры не должны остаться на бумаге, следующий шаг — их практическое внедрение. Применяются два вида мер:

• Организационные: разработка политик, ограничение прав доступа, ротация паролей, обучение персонала, регламенты реагирования.
• Технические: сегментация сети, контроль доступа, мониторинг событий, DLP, криптозащита, антиспам-фильтры, контроль съёмных носителей.

На этом этапе критично использовать российские средства защиты, чтобы соответствовать требованиям регуляторов (в первую очередь ФСТЭК и ФСБ):

• UserGate SIEM, MaxPatrol SIEM (Positive Technologies) — контроль событий безопасности, корреляция, расследования
• InfoWatch Traffic Monitor — предотвращение утечек, анализ поведения пользователей
• ИнфоТеКС (ViPNet) — защита каналов связи

Российский вендор UserGate предлагает оптимальный набор решений по защите периметра, данных и трафика.

Непрерывный мониторинг и пересмотр

Управление рисками ИБ — это не проект, а постоянный цикл. Инфраструктура меняется, появляются новые угрозы, регуляторы обновляют требования. Поэтому система должна предусматривать регулярный пересмотр.

Актуализация проводится при:

• изменении архитектуры (переход в облако, внедрение новых решений)
• появлении новых уязвимостей или сценариев атак
• результатах внешних проверок, инцидентов или аудита
• изменении законодательства

Практика должна строиться на PDCA-цикле: планирование — выполнение — проверка — корректировка. Такой подход закреплён в ГОСТ Р ИСО/МЭК 27001-2021 и ГОСТ Р 57580.

Даже при зрелой системе управления рисками ИБ ни одна организация не застрахована от инцидентов. Здесь работает другой принцип: скорость без подготовленного плана лишь ускоряет хаос.

Политика управления рисками ИБ обязательно включает блок реагирования на инциденты как отдельный, регламентированный процесс. В ней фиксируются:

• критерии инцидента безопасности
• порядок оповещения и эскалации
• роли, ответственных, зоны ответственности
• процедуры взаимодействия с регуляторами и подрядчиками
• шаблоны документов, журналы фиксации

Это не формальность, а реальный механизм, от которого зависит устойчивость бизнеса в момент кризиса.

Что требует ФСТЭК: нормативный подход к реагированию

Российская нормативная база содержит прямые указания по организации процесса реагирования:

1. Приказ ФСТЭК России № 239 требует, чтобы субъекты КИИ обеспечивали обнаружение, регистрацию, реагирование, восстановление после компьютерных атак и инцидентов ИБ.
2. В качестве методической основы может использоваться ГОСТ Р ИСО/МЭК 27035-2021 — стандарт, описывающий весь жизненный цикл обработки инцидентов. Он доброволен, но практически полезен, особенно для систем, не подпадающих под КИИ.

ГОСТ по управлению рисками ИБ в части инцидентов настаивает на системности: каждая ситуация должна быть рассмотрена, зафиксирована, проанализирована и учтена при дальнейшем управлении.

Этапы реагирования

Правильно организованный процесс включает цикл реагирования, который состоит из следующих шагов:

1. Подготовка — создание регламентов, обучение персонала, настройка систем мониторинга, создание контактных цепочек.
2. Обнаружение — фиксация события в SIEM, DLP, антивирусах, на шлюзах или с помощью сотрудников.
3. Классификация — оценка серьёзности инцидента, возможного ущерба, объекта воздействия.
4. Реагирование — технические и административные действия: изоляция, блокировка, информирование, действия по минимизации.
5. Устранение — восстановление нормальной работы, откат изменений, очистка инфраструктуры.
6. Разбор и улучшение — постинцидентный анализ, выявление первопричин, обновление политик и мер защиты.

Все этапы должны быть задокументированы, встроены в систему управления, чтобы результаты становились базой для обучения и пересмотра процессов.

Важно! Этапы управления рисками и этапы реагирования — разные процессы. Первые помогают предотвратить инциденты, вторые — минимизировать последствия, когда инцидент уже произошёл.

Кто реагирует: команды, роли, взаимодействие

Внутренние процессы управления рисками ИБ должны быть разработаны и отработаны. Это невозможно без:

• создания и подготовки команды реагирования на инциденты (например, CSIRT или IRT)
• распределения обязанностей: кто оценивает инцидент, кто взаимодействует с пользователями, кто обращается к регуляторам
• отработки сценариев: фишинг, утечка ПДн, атака на инфраструктуру, заражение вредоносным ПО.

В случаях, подпадающих под контроль государства (например, атака на объекты КИИ), организация обязана уведомить ФСТЭК России, наладить взаимодействие с ГосСОПКА.

Как сохранить устойчивость

В условиях серьёзного инцидента, например, утечки критичных данных, DDoS-атаки, заражения шифровальщиком технические меры важны, но не определяющие. Главное — способность быстро принять решения, уведомить заинтересованных лиц, восстановить контроль над ситуацией, ограничить последствия.

Обеспечить такую устойчивость помогает:

• информационная избыточность (резервные каналы связи, альтернативные маршруты доступа)
• резервные копии, регулярные тесты восстановления
• сценарии бизнес-континьюити — заранее прописанные действия, если цифровая инфраструктура недоступна
• обученный персонал, знающий, что делать при признаках инцидента
• периодические учения — моделирование инцидентов, проверка готовности

Такая подготовка — обязательный элемент зрелой системы управления рисками ИБ, особенно в условиях постоянно растущих угроз.

Культура безопасности и человеческий фактор

Защита инфраструктуры не гарантирует безопасность, если сотрудник вводит пароль в фишинговой форме, открывает заражённое вложение или отправляет конфиденциальный документ не по адресу. Во многих организациях до 80 % инцидентов происходят по вине персонала.

Как строить обучение, чтобы оно действительно работало

Формальное прохождение теста по ИБ один раз в год не снижает количество угроз. Чтобы обучение стало частью общей безопасности, необходимы:

• Регулярность — обучение должно проводиться минимум раз в полгода, а при появлении новых угроз — внепланово.
• Актуальность — сценарии должны отражать реальные угрозы: фишинг, социальная инженерия, работа с ПДн, правила общения в мессенджерах и при удалённой работе.
• Разделение по ролям — ИТ-специалисты, бухгалтерия, юристы, менеджеры по продажам сталкиваются с разными рисками, должны обучаться по адаптированным программам.
• Контроль усвоения — по завершении обучения проводятся проверочные задания, кейсы, микросценарии, а не только тесты.

Компетентность сотрудников — обязательный элемент защиты, особенно на фоне увеличения числа атак, использующих именно психологические уязвимости.

Что такое культура безопасности и как её формировать

Одних знаний недостаточно. Необходима культура информационной безопасности — среда, в которой каждый сотрудник:

• осознаёт риски и свою зону ответственности
• знает, как распознать инцидент, кому сообщить
• понимает, что нарушение регламентов может повлечь последствия для всей компании.

Формирование такой культуры требует:

• вовлечения всех подразделений
• личного участия руководства
• открытого общения

Без доверия, осознанности, вовлечённости любые меры теряют смысл.

Инструменты: российские платформы, которые работают

Для обучения и отработки навыков применяются специализированные отечественные решения. Они помогают передавать знания, отслеживать эффективность обучения::

• СёрчИнформ.Академия ИБ — готовые обучающие курсы, модули для разных ролей
• Код Безопасности — интерактивные сценарии, симуляторы фишинга
• КиберГуру — обучение через инциденты, кастомизируемые по отрасли
• Solar appScreener Training (Ростелеком-Солар) — симуляции атак, моделирование реальных сценариев
• Платформы от Кибербери, Бастион, Гарда Технологии — встраиваемые в LMS корпоративного обучения

Эти решения повышают осведомлённость, становятся частью политики управления рисками ИБ, закрепляя поведенческую устойчивость персонала.

Кто должен участвовать: не только ИБ

Построение культуры ИБ невозможно только силами службы безопасности. Это зона общей ответственности:

1. HR-служба — отвечает за внедрение требований по ИБ в адаптацию, обучение, оценку персонала.
2. Юридический отдел — разрабатывает положения о защите информации, обрабатывает последствия нарушений, анализирует соблюдение законодательства.
3. Линейные руководители — фиксируют поведение сотрудников, контролируют выполнение регламентов в рабочих процессах.
4. Служба ИБ — задаёт методологию, проводит аудит, разрабатывает сценарии обучения и контроля.

При такой интеграции можно создать надёжную, воспроизводимую и устойчивую защиту, которую не обойдёт простой фишинг или недобросовестный сотрудник.

Современные вызовы и тенденции

Угрозы становятся сложнее, требования — жёстче. Сегодня недостаточно формально выполнять регламенты, управление рисками ИБ должно быть гибким, устойчивым, встроенным в стратегию компании. Расскажем об актуальных направлениях развития подходов к безопасности в российских условиях.

Угрозы становятся сложнее: векторы атак смещаются к людям и алгоритмам

Рынок киберугроз развивается быстрее, чем стандартные подходы к защите. За последние годы особенно заметно усиление трёх направлений:

• Социальная инженерия стала главным способом первичного проникновения. Злоумышленники манипулируют людьми, не системами: фишинговые письма, поддельные инструкции от ИТ-отдела, звонки «от банка» — всё это работает надёжнее эксплойтов.
• Искусственный интеллект (ИИ) используется как атакующими, так и защищающимися. Злоумышленники автоматизируют генерацию целевых атак, например, фишинга с адаптацией под конкретную организацию.
• Целенаправленные атаки (APT) на бизнес, государственные объекты становятся всё более скрытными, многоступенчатыми, длительными.

В этих условиях процесс должен опираться на мониторинг поведенческих аномалий, регулярную перепроверку модели угроз, непрерывное обучение персонала.

Регуляторное давление усиливается

Российская нормативная среда в области информационной безопасности развивается активно. Компании обязаны отслеживать изменения, оперативно адаптировать свои политики к новым требованиям. Наиболее значимые векторы:

• № 187-ФЗ о безопасности критической информационной инфраструктуры требует категорирования объектов, внедрения процедур управления рисками для субъектов КИИ.
• В области персональных данных Роскомнадзор ужесточает практику проверок, дополняет методику моделирования угроз, вводит обязанности для операторов ПДн, включая фиксацию инцидентов, их анализ.
• Новые требования по криптографической защите информации усиливают техническую, организационную нагрузку, особенно в госсекторе и оборонной промышленности.

Таким образом, система управления рисками ИБ должна быть способна быстро реагировать на изменения правовой среды, чтобы оставаться в зоне соответствия нормам.

Отказ от зарубежных решений: вызовы и возможности

Ограничения на использование иностранного ПО в критической инфраструктуре и госсекторе формируют устойчивую тенденцию: полный переход на российские средства защиты информации. Эта задача сложна по нескольким причинам:

• потребность в замене сложных решений (SIEM, GRC, DLP), для которых не всегда есть точные аналоги.
• дефицит специалистов, способных адекватно внедрить, сопровождать отечественные системы.
• отказ от поддержки, обновлений, привычных инструментов в процессе перехода.

Однако параллельно с трудностями рынок даёт возможности. За последние два года российские решения стали зрелее, а в части контроля рисков появились функциональные платформы, которые можно адаптировать под требования конкретной организации.

Интеграция ИБ в устойчивость бизнеса

Информационная безопасность становится частью корпоративной устойчивости. Этот подход означает:

• участие ИБ в стратегических сессиях и управлении рисками всего бизнеса
• связь между мероприятиями по защите информации и ключевыми показателями эффективности
• включение ИБ в программы ESG, нефинансовой отчётности для публичных компаний и крупных холдингов

Управление рисками информационной безопасности в таком контексте — гарантия долгосрочной устойчивости бизнеса в нестабильной среде, зрелость управления в целом.

Практические рекомендации: с чего начать

Любой бизнес способен снизить свои уязвимости, если будет действовать поэтапно и осознанно. Расскажем, с чего начать, что можно сделать без больших затрат, как постепенно двигаться к зрелой и устойчивой системе защиты.

Определите критичные активы, опишите базовые угрозы, зафиксируйте меры в таблице. Это уже основа системы управления рисками ИБ.

Что можно делать вручную: учёт инцидентов, базовая модель угроз, политика доступа, обучение сотрудников.

Где нужна автоматизация: контроль изменений, мониторинг событий, ведение карты угроз. Рассмотрите российские решения — MaxPatrol.GRC, UserGate SIEM, СёрчИнформ Risk Monitor.

Наладьте взаимодействие: включите в работу юристов (оценка рисков по ПДн и контрактам), HR (адаптация, обучение), руководство (принятие остаточного риска).

Обучение и развитие: пройдите курсы от ФСТЭК, Positive Technologies, КиберГуру или отраслевых платформ.

Документируйте процесс: создайте рабочие регламенты, план реагирования, журнал угроз. Регулярно пересматривайте всё при изменениях.

Главное

ИБ-риски — это не просто ИТ-проблемы. Они затрагивают репутацию, правовую ответственность, устойчивость бизнеса.

Риск = угроза + уязвимость + ущерб. Без анализа каждого элемента невозможно управлять последствиями.

Управление рисками ИБ — процесс, а не одноразовое действие. Он включает семь этапов: от анализа контекста до постоянного пересмотра.

Требования государства — обязательны. ФСТЭК, ФСБ, Роскомнадзор, ЦБ формируют нормативную базу, особенно для ПДн и КИИ.

Люди — ключевой фактор. Без обучения и культуры безопасности даже лучшие системы не спасают.

Инциденты неизбежны. Важно иметь план реагирования, готовую команду и отработанные действия.

GRC и автоматизация — не роскошь. Российские инструменты позволяют выстроить контроль даже в средней компании.

Информационная безопасность должна быть частью стратегии. Риски ИБ нужно обсуждать на уровне топ-менеджмента, встраивать их в управление устойчивостью.