Основные подходы к анализу и оценке рисков информационной безопасности: состояние и перспективы развития в России

В современном цифровом обществе информация стала одним из ключевых активов организаций любого масштаба. В то же время, возрастающее число и сложность киберугроз, а также ужесточение нормативно-правового регулирования в сфере информационной безопасности (далее – ИБ) обуславливают необходимость эффективного управления рисками ИБ. Анализ и оценка рисков являются фундаментом для разработки и реализации стратегии защиты информации [1].

В настоящей статье рассматриваются основные подходы к анализу и оценке рисков ИБ, применяемые в отечественной практике, анализируется их применимость, достоинства и недостатки. Особое внимание уделяется текущему состоянию рынка инструментов и методик управления рисками ИБ в России, в частности, с учетом политики импортозамещения и требований российских регуляторов. На основе анализа существующих проблем и тенденций, предлагаются перспективы развития подходов к анализу и оценке рисков ИБ, направленные на повышение эффективности защиты информации и обеспечение устойчивого развития отечественных организаций в условиях динамично меняющегося ландшафта киберугроз [3].

1. Критерии подходов к оценке рисков ИБ

Основные подходы к оценке рисков информационной безопасности можно классифицировать по различным критериям. Наиболее распространённым является разделение на качественные, количественные и комбинированные методы [10].

1.1. Методы оценок риска ИБ

Качественные методы

Данные методы основаны на экспертных оценках и субъективных суждениях для определения вероятности и воздействия рисков; используют описательные шкалы (например, «низкий», «средний», «высокий») и качественные характеристики.

Преимуществом данного метода является: простота реализации; освобождение от большого объема числовых данных; адаптирование факторов, которые сложно оценить количественно (репутационные риски, влияние на имидж); практичность на начальных этапах оценки рисков для организаций с ограниченными ресурсами.

Недостатки метода заключаются в: субъективности оценок, сложности сравнения рисков между собой, отсутствия точных данных для расчета экономической целесообразности контрмер.

Количественные методы

Данные методы используют числовые значения для оценки вероятности угроз, потенциального воздействия и финансовых потерь, стремятся к объективности и позволяют рассчитывать экономическую эффективность мер защиты.

Преимуществом метода является: объективность оценок, возможность точного измерения финансовых потерь (в теории), возможность расчета экономической целесообразности контрмер, сравнимость результатов оценок.

Недостатки метода заключаются в: требовании сбора большого объема данных, зачастую исторических; сложности получения точных числовых значений (из-за неопределенности и быстро меняющейся ситуации с ИБ); высокой стоимости и трудоемкости; зависимости от точности и полноты собранных данных.

Комбинированные методы

Данный метод сочетает элементы качественных и количественных подходов, использует качественные оценки для идентификации рисков и сбора первоначальной информации, а затем применяет количественные методы для более точной оценки наиболее значимых рисков.

Преимуществом метода является: гибкость и адаптивность к различным организационным контекстам; учет как субъективных, так и объективных факторов; возможность поэтапной оценки рисков, начиная с общей картины и переходя к детальному анализу.

Недостатки метода заключаются в: сложности реализации; более высоких требованиях к квалификации специалистов, потенциальной несогласованности результатов (если недостаточно продумана интеграция качественных и количественных оценок).

Помимо этого, существуют другие классификации и аспекты оценки рисков ИБ:

1. С точки зрения охвата: общая оценка рисков (оценка рисков для всей организации или определенной области) и оценка уязвимостей (оценка рисков, связанных с конкретными уязвимостями в системах и приложениях).
2. С точки зрения времени: периодическая оценка рисков (проводится регулярно (например, раз в год) для оценки текущего уровня риска и эффективности мер защиты) и непрерывная оценка рисков (использует автоматизированные инструменты и системы мониторинга для постоянного отслеживания и оценки рисков в режиме реального времени).
3. С точки зрения нормативных требований (оценка рисков может быть основана на требованиях конкретных стандартов и регулятивных актов).

Итак, выбор подходящего подхода зависит от ряда факторов:

1. Размер и сложность организации (для крупных и сложных организаций часто более подходят количественные или комбинированные методы);
2. Доступные ресурсы (время, бюджет, квалифицированный персонал - качественные методы проще и дешевле в реализации);
3. Регуляторные требования (некоторые отрасли и организации обязаны проводить оценку рисков ИБ в соответствии с определенными стандартами);
4. Уровень зрелости системы управления ИБ (на начальных этапах внедрения системы управления ИБ можно использовать качественные методы, а затем переходить к более сложным количественным или комбинированным);
5. Специфика бизнеса и активов (оценка рисков должна учитывать особенности бизнес-процессов и ценность информационных активов организации).

1.2. Обзор основных подходов к оценке рисков ИБ в России

1. Подход, основанный на стандартах (ГОСТ Р и ФСТЭК). Основан на применении стандартов серии ГОСТ Р (например, ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности») и методических документов ФСТЭК России [2].

Включает этапы: идентификация активов, угроз, уязвимостей, оценка вероятности и воздействия, разработка контрмер.

Преимущества: соответствие требованиям регуляторов, наличие четких методик и рекомендаций.

Недостатки: ориентированность на формальное соответствие требованиям, недостаточная гибкость и адаптивность к быстро меняющимся угрозам, часто требует больших затрат времени и ресурсов.

2. Количественный подход (экономическая оценка). Попытки применения количественных методов оценки рисков в денежном выражении, как правило, основаны на анализе статистических данных и оценке потенциального ущерба от реализации угроз.

Преимущества: позволяет оценить экономическую целесообразность инвестиций в ИБ, обосновать бюджеты на защиту информации.

Недостатки: сложность получения достоверных статистических данных об инцидентах ИБ в России, субъективность экспертных оценок, трудность в учете нематериальных активов (например, репутационных рисков).

3. Сценарный подход. Основан на моделировании сценариев реализации угроз ИБ и оценке потенциального ущерба от каждого сценария.

Преимущества: большая гибкость и адаптивность, возможность учитывать специфику конкретной организации и ее бизнес-процессов.

Недостатки: зависимость от квалификации экспертов и полноты учета возможных сценариев, сложность масштабирования на крупные организации.

Важно отметить, что не существует универсального подхода к оценке рисков ИБ. Необходимо тщательно проанализировать все факторы и выбрать подход, наиболее подходящий для конкретной организации и ее целей. Также важно помнить, что оценка рисков является непрерывным процессом, требующим периодического пересмотра и обновления.

2. Анализ отечественных разработок и нормативной базы

В Российской Федерации существует ряд нормативных документов и методических рекомендаций, определяющих требования к оценке рисков информационной безопасности. Они формируют нормативную базу для обеспечения ИБ в различных организациях. (Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [9]; приказ ФСТЭК России от 11.02.2013 г. № 17 (ред. от 28.08.2024 г.) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [6]; методика оценки угроз безопасности информации», утверждённый ФСТЭК России 05.02.2021 г. [4]; национальные стандарты серии ГОСТ Р ИСО/МЭК 27000 [2].

Ключевые аспекты, которые регламентируются этими документами в части оценки рисков ИБ [5]:

1. Идентификация активов: определение информационных ресурсов и их ценности для организации.
2. Выявление угроз и уязвимостей: анализ возможных угроз и слабых мест в системе защиты информации.
3. Оценка вероятности реализации угроз: определение вероятности того, что угроза реализуется и воспользуется уязвимостью.
4. Оценка воздействия: определение потенциального ущерба для организации в случае реализации угрозы.
5. определение уровня риска: расчет уровня риска на основе вероятности и воздействия.
6. Разработка мер по обработке рисков: разработка и внедрение мер защиты для снижения уровня риска.
7. Мониторинг и пересмотр рисков: постоянный мониторинг и обновление информации о рисках.

Приведенный перечень не является исчерпывающим, и в зависимости от конкретной отрасли и типа организации, могут применяться и другие нормативные документы и методические рекомендации.

2.1. Ключевые тенденции и особенности:

• Импортозамещение. Активный курс на импортозамещение в сфере ИТ и ИБ является одной из главных особенностей российского рынка. Правительство стимулирует разработку и внедрение отечественных решений, предоставляя финансовую поддержку и преференции. Это касается и систем управления рисками ИБ.
• Акцент на практическое применение. Отечественные разработчики все больше внимания уделяют созданию решений, которые легко интегрируются в существующую информационную инфраструктуру и позволяют автоматизировать процессы управления рисками.
• Развитие threat intelligence. Растет интерес к системам threat intelligence, которые позволяют организациям получать актуальную информацию об угрозах и уязвимостях, специфичных для российского сегмента интернета (RuNet).

2.2. Инструменты и платформы для управления рисками (имеющие отечественные аналоги):

1. GRC (Governance, Risk and Compliance) платформы: комплексные решения, позволяющие автоматизировать процессы управления рисками, соответствия нормативным требованиям и корпоративного управления.
2. Системы управления уязвимостями: автоматизированные инструменты для выявления, оценки и устранения уязвимостей в ИТ-инфраструктуре.
3. SIEM (Security Information and Event Management) системы: собирают и анализируют информацию о событиях безопасности из различных источников, позволяют выявлять инциденты ИБ и реагировать на них.

2.3. Современные тенденции развития в России:

• Интеграция с Threat Intelligence. Активное использование данных об актуальных угрозах, нацеленных на российские организации, для повышения эффективности оценки рисков. Развитие отечественных сервисов Threat Intelligence.
• Автоматизация процессов оценки рисков. Внедрение средств автоматизации для сканирования уязвимостей, мониторинга событий безопасности и автоматического формирования отчетов о рисках. Использование отечественных решений для автоматизации.
• Применение машинного обучения. Разработка и внедрение алгоритмов машинного обучения для выявления аномалий, прогнозирования угроз и автоматической адаптации контрмер с учетом специфики российской инфраструктуры.
• Учет отраслевой специфики. Разработка специализированных методик оценки рисков ИБ для различных отраслей экономики (финансы, энергетика, телекоммуникации и др.) с учетом их специфических угроз и регуляторных требований.
• Практико-ориентированное обучение. Развитие образовательных программ и курсов повышения квалификации для специалистов в области оценки рисков ИБ, ориентированных на практическое применение отечественных методик и инструментов.

2.4. Проблемы и вызовы

На рынке ощущается нехватка специалистов по управлению рисками ИБ, особенно с опытом работы с отечественными решениями и знанием российских нормативных требований.

Интеграция различных систем ИБ, разработанных разными производителями, может быть сложной и дорогостоящей.

Многие организации, особенно малые и средние, недостаточно осведомлены о современных методах и инструментах управления рисками ИБ.

К некоторым отечественным разработкам может существовать предвзятое отношение из-за опасений в отношении кибершпионажа или закладок в программном обеспечении.

2.5. Перспективы

В ближайшие годы можно ожидать дальнейшего развития отечественных разработок в сфере управления рисками ИБ. Разработчики будут все больше внимания уделять автоматизации процессов управления рисками и интеграции различных систем ИБ. Организации будут все больше нуждаться в актуальной информации об угрозах и уязвимостях, специфичных для российского сегмента Интернета. Предложения по управлению рисками ИБ будут все чаще предоставляться как облачные сервисы, что сделает их более доступными для малых и средних организаций [7, с. 247-248]. Со временем зрелость рынка будет расти, как со стороны предложений, так и со стороны спроса.

Проведенное исследование выявило, что анализ и оценка рисков информационной безопасности являются критически важными компонентами эффективной системы защиты информации в российских организациях. Несмотря на наличие развитой нормативной базы и отечественных разработок, необходимо дальнейшее совершенствование методологий оценки рисков, адаптация их к новым угрозам и технологиям, а также активное внедрение автоматизации и искусственного интеллекта. Приоритетом должно стать развитие отечественных решений и подготовка квалифицированных специалистов, способных эффективно применять современные подходы к управлению рисками ИБ в российских реалиях.