Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
Подписка ChatGPT
Темы
AI
Сервисы
Маркетинг
Деньги
Личный опыт
Инвестиции
Путешествия
Крипто
Карьера
Образование
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения

Мы используем
рекомендации.

Инфосистемы Джет

Управление рисками в кибербезопасности: концепция, процессы и современные вызовы (Часть 1)

Управление рисками в кибербезопасности: концепция, процессы и современные вызовы (Часть 1)

Чем отличаются риски в информационной безопасности от ИТ-рисков? Как эффективно противостоять киберугрозам? И почему даже базовые методы оценки рисков могут помочь компании избежать финансовых потерь?

Отвечаем на эти и другие вопросы в статье.

Что такое риск в информационной безопасности?

Определение риска включает в себя несколько элементов:

● Актив (Asset) — что именно подвергается риску?

● Источник угрозы (Threat Source) — кто или что может инициировать инцидент?

● Уязвимость (Vulnerability) — какая слабость или недостаток могут быть использованы для реализации угрозы?

● Сценарий риска (Risk Scenario) — как именно нарушитель может воспользоваться уязвимостью для нанесения ущерба?

● Последствия (Impact / Consequences) — какой ущерб будет нанесён в случае реализации риска?

● Вероятность (Likelihood) — насколько вероятно, что событие произойдёт в заданный период?

Если учесть все перечисленные элементы, формулировка риска, прошедшего полный цикл оценки, может выглядеть так:

Риск утраты доступности системы электронной коммерции в результате DDoS-атаки, вызванной отсутствием балансировщика нагрузки и механизмов фильтрации трафика, может привести к простою сервиса на 12 часов и финансовым потерям в размере 1 млн рублей. Годовая вероятность реализации этого риска — 8%.

Математически риск можно представить как функцию, зависящую от вероятности наступления негативного события и масштаба его последствий. Насколько корректен такой подход на практике? Рассмотрим логику:

● если угрозы нет, риск близок к нулю, даже при наличии уязвимостей;

● если уязвимости нет, риск также минимален, даже если угроза активна;

● если воздействие незначительно, то и риск в целом допустим.

Например, вероятность инцидента зависит от угроз и уязвимостей. Если годовая вероятность реализации угрозы составляет 20% (то есть в среднем раз в пять лет происходит попытка атаки), а вероятность успешной эксплуатации уязвимости — 50%, то ожидаемое количество успешных инцидентов в год будет равно:

0,2×0,5=0,1

То есть в среднем один успешный инцидент раз в десять лет.

Такой подход позволяет не только количественно оценить риск, но и обоснованно принимать решения по его снижению — например, внедрению балансировщиков нагрузки или систем фильтрации трафика.

Чем различаются риски в информационных технологиях и в информационной безопасности

Существует множество подходов к классификации рисков. На практике выбор конкретной модели зависит от целей оценки, а также от внутренних и внешних факторов, влияющих на организацию. Часто для более гибкого управления рисками применяют гибридные подходы. Например, банк может фокусироваться на финансовых и регуляторных рисках, тогда как розничная компания — на операционных и репутационных.

Важно регулярно пересматривать принятую классификацию: внешняя и внутренняя среды организации постоянно меняются, и устаревшая модель может привести к недостаточной защите или неэффективному распределению ресурсов.

Риски информационных технологий (ИТ) и риски информационной безопасности (ИБ) традиционно относятся к категории операционных рисков — то есть к рискам, связанным с основной деятельностью организации.

Несмотря на тесную взаимосвязь, ИТ- и ИБ-риски часто ошибочно отождествляют. Однако на практике крайне важно их разделять: они имеют разную природу, разные источники и требуют различных методов управления и контроля.

ИТ-риски — это любые риски, связанные с использованием информационных технологий. Они охватывают угрозы, способные нарушить работу ИТ-инфраструктуры и, как следствие, повлиять на бизнес-процессы организации.

К таким рискам относятся, например, отказы оборудования, ошибки в программном обеспечении, устаревание систем, человеческие ошибки, скажем, некорректная настройка серверов.

Типичный случай ИТ-риска — простой интернет-магазина в «Чёрную пятницу» из-за перегрузки серверов. Его реализация напрямую ведёт к финансовым потерям: клиенты не могут совершать покупки, а компания теряет выручку.

Другой пример — снижение производительности системы после обновления ПО, что замедляет обработку заказов или отклики на запросы пользователей.

Важно понимать: ИТ-риски проявляются в нарушении доступности, производительности или стабильности ИТ-систем — и часто возникают без злого умысла, просто вследствие технических сбоев, ошибок проектирования или эксплуатации.

Цель управления ИТ-рисками — обеспечить бесперебойную, стабильную и производительную работу ИТ-инфраструктуры, чтобы поддерживать непрерывность бизнес-процессов.

Сервер работает не ради самого себя и даже не ради удобства ИТ-отдела — он должен надёжно обрабатывать бизнес-данные, на которых строится основная деятельность компании и её прибыль.

Риски ИБ — это подкатегория ИТ-рисков, реализация которых приводит к нарушению конфиденциальности, целостности или доступности информации. Управление такими рисками часто требует специализированных мер и осуществляется в условиях жёстких нормативных и регуляторных ограничений.

Между ИБ- и ИТ-рисками есть три принципиальных различия:

  1. Характер угроз
    Угрозы ИБ, как правило, целенаправленны: они исходят от злоумышленников, действующих с определённой целью. В отличие от них, ИТ-сбои чаще носят случайный или технический характер — например, отказ оборудования или ошибка в конфигурации.
  2. Меры защиты
    Для противодействия ИБ-угрозам требуются специфические меры:
    ● технические (шифрование, двухфакторная аутентификация, системы обнаружения вторжений и другое);
    ● организационные (регулярные аудиты, тестирование на проникновение, управление доступом и так далее);
  3. Регуляторная база
    ИБ-риски регулируются специализированными стандартами и требованиями, такими как GDPR, PCI DSS, ISO/IEC 27001, которые фокусируются именно на защите информации, а не на общей стабильности ИТ-инфраструктуры.

Смешанный характер рисков

Однако на практике граница между ИТ- и ИБ-рисками не всегда чёткая. Яркий пример — DDoS-атака. С одной стороны, это умышленная кибератака, направленная на нарушение доступности сервисов, — классический ИБ-риск. С другой — её последствия выходят далеко за рамки информационной безопасности: может произойти массовый сбой инфраструктуры, остановка бизнес-процессов, значительные финансовые потери, необходимость в срочном восстановлении — всё это уже относится к сфере управления ИТ-рисками.

Более того, для защиты от DDoS используются не только ИБ-средства, но и ИТ-решения: резервные вычислительные мощности, балансировка нагрузки, дублирование критически важных компонентов.

Таким образом, риск, связанный с DDoS-атакой, является гибридным — он требует интегрированного подхода, объединяющего практики как информационной безопасности, так и управления ИТ-инфраструктурой.

Что могут делать специалисты ИБ и ИТ вместе для противостояния рискам

Поскольку гибридные риски, такие как DDoS-атаки, одновременно затрагивают безопасность и устойчивость инфраструктуры, противостоять им изолированными усилиями невозможно. Эффективное управление современными технологическими и киберрисками требует тесного взаимодействия команд информационной безопасности (ИБ) и информационных технологий (ИТ).

Вот ключевые направления их совместной работы:

  • Совместное планирование стратегий управления рисками

ИТ и ИБ должны вырабатывать единые подходы к оценке и снижению рисков, особенно при реализации технологических инициатив. Например, при миграции в облако рекомендуется согласовывать ИТ-меры по резервированию и отказоустойчивости с ИБ-требованиями к шифрованию и контролю доступа.

  • Внедрение принципов Zero Trust («нулевого доверия»)

Обе команды могут совместно внедрять базовые элементы архитектуры Zero Trust:

● сегментацию сети;

● многофакторную аутентификацию (MFA) для критически важных систем;

● строгий контроль доступа на основе контекста.

  • Управление гибридными или облачными средами

Общий подход может выражаться, например, в создании мультиоблачной стратегии, когда данные распределяются между несколькими провайдерами, и в том числе осуществляется раздельное хранение резервных копий (георезервирование).

  • Комплексная защита от DDoS-атак

Эффективное противодействие DDoS требует синергии:

● ИБ-направление отвечает за внедрение и поддержку WAF (межсетевой экран для веб-приложений) и обнаружение аномалий.

● ИТ — за CDN (сеть доставки контента), балансировку нагрузки и масштабирование инфраструктуры для распределения трафика.

  • Совместная оценка рисков и обучение персонала

Регулярные комплексные аудиты с участием ИТ-инженеров (оценка отказоустойчивости) и ИБ-специалистов (анализ уязвимостей) позволяют выявлять «гибридные» риски — например, как ошибка в настройке облачного хранилища может привести к утечке данных. На основе таких кейсов стоит разрабатывать совместные программы обучения, формируя у сотрудников компании целостное понимание взаимосвязи ИТ и ИБ.

Такое сотрудничество способствует созданию антихрупкой ИТ-архитектуры — системы, которая не просто выдерживает удары и восстанавливается после инцидентов, но становится сильнее благодаря им. В такой архитектуре «План Б» не является запасным вариантом — он встроен в основу и непрерывно адаптируется под меняющийся ландшафт угроз. Антихрупкость — это следующая ступень зрелости не только ИБ, но и всей ИТ-экосистемы организации.

Как реагировать на киберриски

Искусственный интеллект кардинально меняет не только подходы к кибербезопасности, но и саму экономику киберпреступности. Ранее высокие финансовые и технические барьеры ограничивали масштаб сложных атак. Сегодня эти барьеры практически исчезли: большие языковые модели (LLM), автоматизированные OTP-боты и другие ИИ-инструменты позволяют злоумышленникам масштабировать и ускорять свои кампании с минимальными затратами.

Технологический сектор оказался перед «задачей с двумя неизвестными»:

● с одной стороны, необходимо управлять рисками, которые несут новые технологии;

● с другой — использовать эти же технологии для усиления защиты.

В этом контексте продолжает укрепляться ключевой тренд в кибербезопасности — смещение от модели защиты периметра («замок и ров») к архитектуре Zero Trust («нулевого доверия»). По оценкам экспертов, к концу 2024 года концепцию Zero Trust внедрили не более 30% российских компаний. Полноценная реализация архитектуры — пока редкость: организации чаще применяют гибридные решения, сочетая традиционную периметровую защиту с отдельными элементами Zero Trust: микросегментацией, строгой аутентификацией и контролем доступа на основе контекста.

Наряду с эволюцией архитектурных подходов в информационной безопасности активно внедряются технологии искусственного интеллекта. Основные направления применения ИИ включают:

  • автоматизированное обнаружение аномалий и угроз;
  • ускорение расследования инцидентов за счёт корреляции событий;
  • прогнозирование уязвимостей и поддержку red teaming;
  • адаптивную многофакторную аутентификацию с анализом поведенческой биометрии;
  • оркестрацию процессов реагирования (SOAR) для оптимизации работы центров мониторинга безопасности (SOC).

При этом полностью автономное принятие решений ИИ пока ограничено — системы преимущественно работают в режиме поддержки аналитиков.

Параллельно с технологиями развивается и регуляторная база. В июле 2024 года Национальный институт стандартов и технологий США (NIST) опубликовал профиль для генеративного ИИ (документ NIST AI 600-1) — специализированное дополнение к фреймворку управления рисками ИИ (AI Risk Management Framework), выпущенному в январе 2023 года. В Европе в 2024 году был официально опубликован Регламент (ЕС) 2024/1689 (AI Act) — первый в мире комплексный нормативный акт, регулирующий обращение с системами ИИ с учётом потенциального ущерба, который они могут нанести в различных сферах. В России с 1 января 2025 года вступили в силу национальные стандарты в области ИИ, включая ГОСТ Р ИСО/МЭК 42001-2024 по системам менеджмента искусственного интеллекта и ГОСТ Р 71476-2024 по терминологии ИИ

Кроме того, организации по всему миру всё чаще осознают необходимость инвестиций в обучение персонала и формирование киберкультуры как в один из самых эффективных способов снижения киберрисков. Когда каждый сотрудник понимает свою роль в безопасности, человеческий фактор перестаёт быть слабым звеном.

Очевидно, что управление киберрисками — это комплексная задача, решение которой требует передовых технологий, гибкого и адаптивного регулирования и высокой квалификации и осведомлённости персонала.

Сегодня недостаточно просто реагировать на инциденты — необходимо предвидеть угрозы и проектировать антихрупкость по умолчанию. Среди организаций, показавших устойчивые результаты в 2025 году, широко распространён подход, при котором управление киберрисками становится частью корпоративной культуры. В них каждый сотрудник, от руководителя до линейного инженера, рассматривает себя как «первую линию обороны».

Яркий пример — компания Maersk, которая в 2017 году после атаки NotPetya развернула с нуля (резервные копии тоже были заражены) 4 000 серверов, 45 000 ПК и 2 500 приложений всего за 10 дней. Этот опыт стал катализатором трансформации: Maersk перестроила стратегию кибербезопасности, сделав устойчивость к инцидентам и скорость восстановления ключевыми приоритетами.

Мы видим, что только системное внимание к безопасности, внедрение зрелых практик управления рисками и построение антихрупкой ИТ-архитектуры позволяют компании не просто защищаться, а сохранять непрерывность бизнеса — даже перед лицом серьёзных кибератак. Сегодня эффективная защита перестала быть узкой задачей ИБ или ИТ. Управление рисками ИБ превратилось в один из ключевых факторов устойчивости бизнеса: его отсутствие подрывает способность компании полноценно функционировать в современной цифровой среде.

Как управлять рисками

Суть управления рисками заключается в систематическом выявлении угроз, их оценке и выборе стратегии, которая либо снижает потенциальный ущерб, либо повышает вероятность успеха запланированной деятельности.

Управление рисками применимо везде, где присутствует неопределённость. Глобализация, цифровизация, экономическая волатильность, политическая нестабильность, экологические вызовы — всё это делает системный подход к управлению рисками не просто желательным, а необходимым. Такой подход предполагает прогнозирование, оценку и целенаправленное снижение рисков.

Процесс управления рисками включает четыре взаимосвязанных этапа, объединённых сквозной коммуникацией:

  1. Установление контекста — определение целей, границ, критериев и внешних/внутренних факторов, влияющих на организацию.
  2. Оценка рисков — центральный этап, на котором выявленные риски анализируются и приоритизируются.
  3. Обработка рисков — выбор и реализация мер по снижению, передаче, избежанию или принятию рисков.
  4. Мониторинг и пересмотр — непрерывный контроль эффективности мер и адаптация подходов в меняющихся условиях.

Оценка рисков играет ключевую роль, выполняя три важные функции:

  1. Аналитическую: преобразует «сырые» данные об угрозах, уязвимостях и последствиях в структурированную, сопоставимую информацию.
  2. Связующую: передаёт результаты анализа на этап обработки, помогая определить, какие риски требуют немедленного вмешательства, а какие можно отложить или принять.
  3. Поддержки принятия решений: обеспечивает объективную основу для выбора стратегий — вместо интуиции или субъективных предположений.

Оценка («risk assessment», в соответствии с ISO) состоит из трёх подэтапов:

  1. Идентификация — формирование исчерпывающего перечня рисков и их причин.
  2. Анализ — количественное или качественное определение уровня риска в соответствии с выбранной методологией (например, вероятность × воздействие).
  3. Оценка («risk evaluation», в соответствии с ISO) — сопоставление полученных уровней риска с критериями приемлемости, установленными организацией, и последующая приоритизация для принятия решений.

Очевидно, что неточная, поверхностная или пропущенная оценка делает весь процесс управления рисками хаотичным и неэффективным. В таких условиях последствия инцидентов невозможно ни предсказать, ни контролировать — а значит, организация теряет способность управлять своей киберустойчивостью.

Итак, мы разобрались с тем, что такое риск, чем ИБ-риски отличаются от ИТ-рисков, и описали общий цикл управления. Стало очевидно, что без качественной оценки процесс защиты становится хаотичным. Но какими конкретными инструментами пользоваться, чтобы эта оценка была достоверной? Существуют ли универсальные формулы или всё зависит от контекста? Во второй части статьи мы подробно рассмотрим методы оценки рисков, их плюсы и минусы, а также поговорим о том, как построить действительно устойчивую систему защиты.

2
1
Начать дискуссию