Как выстроить кибербезопасность через оценку ущерба: практический подход

Обновлено 08.07.2026 04:32

 

Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС

Сайт: legascom.ru

Email: petukhov@legascom.ru

Кибербезопасность часто воспринимают как отдельную статью расходов, не связанную напрямую с устойчивостью бизнеса. Из‑за этого компании либо недооценивают риски (особенно малый и средний бизнес), либо не могут обосновать инвестиции в защиту (в крупном сегменте). Решение - перейти на ущерб‑ориентированный подход: оценивать не абстрактные угрозы, а реальные последствия для выручки, клиентов и обязательств.

Почему классический подход перестаёт работать

Формализованная модель по ISO/IEC 27001 удобна, но плохо «переводится» на язык бизнеса. Её основные проблемы:

Разные языки. Риски формулируются через нарушение конфиденциальности, целостности и доступности, а не через деньги и бизнес‑последствия. Без понятной связки «затраты на защиту - возможный ущерб» руководство не видит ценности вложений.

Субъективная критичность. Одни подразделения считают актив ключевым, другие - второстепенным. При этом уязвимости в «фоновых» элементах инфраструктуры могут нанести максимальный урон.

Сложность приоритизации. Реестр рисков разрастается до сотен пунктов, и выбрать самые важные становится трудно. В итоге ресурсы распыляются, а критические риски остаются незакрытыми.

BIA как основа ущерб‑ориентированного подхода

Ключевой инструмент - Business Impact Analysis (BIA). Он помогает сузить фокус до самых опасных сценариев и направить ресурсы туда, где ущерб будет максимальным.

Для этого нужно выяснить у владельцев процессов и топ‑менеджмента:

какие процессы приносят наибольшую ценность;

от каких активов (технических и нетехнических) они зависят;

что произойдёт при остановке процесса и сколько денег потеряет компания;

по каким причинам процесс может остановиться.

По итогам BIA бизнес получает чёткие ориентиры: шкалу критичности последствий, перечень ключевых процессов и активов, целевые показатели непрерывности (RTO, RPO, MTPD и др.), а также список разрывов между тем, что нужно бизнесу, и тем, что есть сейчас.

Роадмап внедрения: 4 шага

Шаг 1. Вовлечь руководство. Цель - показать, что кибербезопасность защищает стоимость бизнеса. На стартовой встрече с CEO, финансовым и операционным директорами нужно зафиксировать миссию, стратегические цели и риск‑аппетит (какие уровни потерь компания готова принять). Затем сформировать рабочую группу и утвердить цели проекта.

Шаг 2. Проанализировать процессы и активы. Здесь важно:

выделить ключевые продукты, услуги и процессы;

разработать шкалу критичности по видам ущерба (финансы, клиенты, репутация, комплаенс, вред людям и экологии);

провести интервью с владельцами процессов и собрать данные: этапы, метрики, задействованные активы, зависимости, последствия инцидентов;

определить целевые показатели восстановления (RTO/RPO) исходя из критичности и риск‑аппетита. Например, если через 4 часа последствия становятся «критичными», а через 24 часа - «недопустимыми», RTO устанавливают на уровне 4 часов, а MTPD - 24 часов;

выявить разрывы между целевыми и фактическими показателями и сформировать список первоочередных активностей.

Шаг 3. Перестроить риск‑менеджмент. На базе BIA обновляют реестр рисков: каждый риск описывают через связку «последствие - процесс - актив - сценарий - критерий наступления» и фиксируют уровень ущерба по шкале критичности. Затем оценивают вероятность реализации рисков (с опорой на ISO/IEC 27005 и IEC 31010), приоритизируют портфель рисков и контрмер, а также вводят новые KPI для IT и кибербезопасности (простой критичных активов, доля рисков выше риск‑аппетита и т. п.).

Шаг 4. Интегрировать подход в систему управления. Важно формализовать процессы BIA и ущерб‑ориентированной оценки рисков, включить их в ежегодный цикл, выстроить единый язык для бизнеса, IT и КБ (последствия - пороги - риски - планирование проектов). Так подход станет частью регулярного управления, а не разовой инициативой.

С чего начать на практике

Даже без масштабного проекта можно сделать первые шаги:

Выберите 3–5 ключевых процессов: какие из них нанесут максимальный ущерб при остановке на день и от чего они зависят.

Оцените примерный масштаб потерь: выручка за день простоя, отток клиентов, возможные штрафы.

Задайте минимальные целевые значения: например, простой более 4 часов - «существенно», потеря данных за месяц - «недопустимо», отказ интернет‑магазина на 1–2 часа в прайм‑тайм - «критично».

Результаты внедрения

После перехода на ущерб‑ориентированную модель компания получает:

снижение рисков без роста бюджета за счёт правильной приоритизации;

прозрачность кибербезопасности для бизнеса и понятные критерии принятия решений;

прямую связь между защитой и непрерывностью бизнеса;

единую методологию управления рисками и непрерывностью;

упрощённое обоснование инвестиций в безопасность.

Суть подхода юридической компании ЛЕГАС проста: защищать нужно не все активы подряд, а те, потеря которых реально ударит по бизнесу. BIA помогает найти эти точки и выстроить защиту вокруг них, делая кибербезопасность измеримой, управляемой и экономически обоснованной.