Главная / Глоссарий / Риск в информационной безопасности

Риск в информационной безопасности — что это, оценка, управление, методики

Риск информационной безопасности — это мера последствий реализации угрозы, определяемая как комбинация вероятности реализации угрозы и величины ущерба (ГОСТ Р ИСО/МЭК 27001). Простыми словами: это ответ на вопрос «что будет, если атака произойдёт, и насколько это вероятно?».

Содержание

Понятие риска в информационной безопасности

Риск информационной безопасности — это количественная или качественная мера опасности, которая определяется как функция трёх факторов: угрозы, уязвимости и ценности актива. Формально: R = P × I, где R — риск, P — вероятность реализации угрозы, I — величина возможного ущерба.

Управление рисками является основой любой системы менеджмента информационной безопасности (СМИБ) в соответствии с ГОСТ Р ИСО/МЭК 27001. Цель управления рисками — снизить вероятность реализации угроз и/или минимизировать возможный ущерб до приемлемого уровня.

Выделяют четыре способа обработки риска: принятие (осознанное принятие риска), избегание (устранение источника риска), передача (страхование, аутсорсинг) и снижение (внедрение мер защиты).

Методики оценки рисков ИБ

Существует несколько подходов к оценке рисков информационной безопасности:

МетодикаТипОписание
ГОСТ Р ИСО/МЭК 27005Качественная/количественнаяМеждународный стандарт, адаптированный в РФ. Рекомендуется для построения СМИБ
Методика ФСТЭККачественнаяУтверждена 05.02.2021, обязательна для госорганов и объектов КИИ
NIST SP 800-30КоличественнаяАмериканский стандарт, часто используется в РФ как справочный
OCTAVE (CERT/SEI)КачественнаяОриентирована на организационные аспекты ИБ, самооценка силами организации
CRAMM (UK)КоличественнаяБританская методика, используется в крупных проектах и госструктурах

Для российских организаций рекомендуется использовать методику ФСТЭК или ГОСТ Р ИСО/МЭК 27005 в зависимости от категории объекта.

Процесс управления рисками

Управление рисками ИБ — это непрерывный циклический процесс, включающий четыре основных этапа:

1. Идентификация рисков

  • Определение активов и их ценности (что мы защищаем?)
  • Идентификация угроз (по БДУ ФСТЭК и модели угроз)
  • Выявление уязвимостей (сканирование, пентест, аудит)

2. Анализ и оценка рисков

  • Оценка вероятности реализации угроз (низкая/средняя/высокая)
  • Оценка возможного ущерба (финансового, репутационного, операционного)
  • Расчёт уровня риска (качественный или количественный)
  • Ранжирование рисков по критичности

3. Обработка рисков

  • Принятие — осознанное принятие риска при невозможности или нецелесообразности его снижения
  • Избегание — устранение источника риска (отказ от использования уязвимого компонента)
  • Передача — страхование ответственности, аутсорсинг функций ИБ
  • Снижение — внедрение организационных и технических мер защиты

4. Мониторинг и пересмотр

Регулярный пересмотр рисков с учётом изменений в инфраструктуре, появления новых угроз и уязвимостей, результатов аудита и инцидентов ИБ.

Документирование рисков

Результаты управления рисками оформляются в виде следующих документов:

  • Реестр рисков — перечень всех идентифицированных рисков с оценками вероятности и ущерба, с указанием владельца риска и планов обработки
  • Модель угроз — описание актуальных угроз для конкретной информационной системы, разработанная в соответствии с Приказом ФСТЭК № 21
  • План обработки рисков — перечень мероприятий по снижению рисков с указанием сроков, ответственных и бюджета
  • Политика ИБ — общие принципы и подходы к управлению рисками в организации

Для объектов КИИ и госорганов ведение реестра рисков и разработка модели угроз являются обязательными требованиями регуляторов.

Ответственность и аудит рисков

За отсутствие системы управления рисками и нарушение обязательных требований предусмотрена ответственность:

  • КоАП РФ ст. 13.12 — нарушение правил защиты информации, штраф до 500 000 руб.
  • УК РФ ст. 274.1 — неправомерное воздействие на КИИ, до 10 лет лишения свободы
  • КоАП РФ ст. 13.11 — нарушение требований к защите персональных данных, штраф до 500 000 руб.

Регулярный аудит ИБ позволяет своевременно выявлять новые риски и корректировать меры защиты. АО «РНТ» проводит аудит и аттестацию объектов информатизации, включая оценку рисков и разработку модели угроз.

Часто задаваемые вопросы

Какой уровень риска считается допустимым?
Зависит от требований заказчика и регуляторов. Для госорганов и КИИ требования устанавливаются приказами ФСТЭК. Обычно недопустимыми считаются риски, которые могут привести к нарушению законодательства, гибели людей или крупному финансовому ущербу.
Чем отличается качественная оценка риска от количественной?
Качественная использует шкалы (низкий/средний/высокий) и экспертные оценки — быстрее, но субъективнее. Количественная — числовые значения вероятности и ущерба в денежном выражении — точнее, но требует больше данных и времени.
Как часто нужно пересматривать риски ИБ?
Рекомендуется не реже 1 раза в год в плановом порядке, а также при существенных изменениях инфраструктуры, появлении новых угроз, после инцидентов безопасности и по требованию регуляторов.
Какие ошибки чаще всего допускают при оценке рисков?
Основные ошибки: недооценка человеческого фактора, игнорирование внутренних угроз и инсайдеров, отсутствие учёта требований регуляторов, формальный подход к документированию, оценка рисков «разово» без регулярного пересмотра.
Как связаны риск, угроза и уязвимость?
Риск возникает на пересечении трёх элементов: угрозы (кто/что может атаковать), уязвимости (слабое место в защите) и ценности актива (что мы защищаем). Если нет хотя бы одного из элементов — риска нет.

Связанные термины

Угроза безопасности информации Уязвимость информационной системы Информационная безопасность Аттестация объектов информатизации ФСТЭК России

Услуги АО «РНТ» по управлению рисками

Аудит ИБ и аттестация

Идентификация рисков, разработка модели угроз, план обработки рисков.

Аттестация объектов информатизации

Подтверждение соответствия требованиям безопасности.

Оцените риски вашей информационной системы

Специалисты АО «РНТ» помогут провести оценку рисков и разработать план защиты

Заказать оценку рисков Рассчитать стоимость