Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Управление рисками кибербезопасности

  • Печать
Обновлено 04.06.2025 06:01

Краткие теоретические сведения

Согласно Положению ЦБ РФ № 716-П от 08.04.2020, риск кибербезопасности (КБ) – это риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности , прикладного ПО автоматизированных систем и приложений, несоответствием указанных процессов деятельности организации. 

Группы рисков кибербезопасности, включающие кредитные, операционные, рыночные риски, риски ликвидности и прочие риски.

Цель управления рисками КБ— обеспечение баланса междуразвитием бизнеса и достаточным уровнем КБ, формирование эффективной системы управления, которая учитывает регуляторный о рисвинриентированный подходы.

Риск - Регулярный ориентированный подход.

Регуляторный подход предусматривает выполнение внешних и внутренних нормативно-правовых требований.

Риск-ориентированный — направлен на определение допустимого и принимаемого уровня риска, который позволит вводить в эксплуатацию и реализовывать продукты банка без максимальной проработки вопросов безопасности.

Ключевые задачи по управлению рисками:

соблюдение баланса между затратами на защиту и получаемым эффектом;

определение приемлемого диапазона уровня риска;

своевременное информирование руководства о новых идентифицированных рисках, их уровне;

развитие риск-культуры — общепринятых в организации правил поведения и ценностей в вопросах управления рисками, которые соблюдаются и которым привержены топ-менеджмент и сотрудники.

Система управления риском кибербезопасности

Система управления рисками КБ в банках представлена в виде пирамиды. На верхнем уровне — Внутренние нормативные документы (ВНД) и Правила функционирования системы, на среднем — Люди и Процессы, которые выполняют эти Правила, на нижнем — Технологии. Нормативные документы:

законодательство РФ и нормативно-правовые акты ЦБ РФ;

ГОСТы, международные требования и стандарты ISO, требования Базельского комитета по банковскому надзору и Европейского банковского управления (EBA);

ВНД компании: политики, стандарты, методики. Положение ЦБ РФ № 716-П от 08.04.2020 способствовало развитию системы управления рисками КБ банков. В нем впервые зафиксировано понятие киберриска в составе операционного. Оно обязывает управлять рисками ИБ в составе общей системы управления рисками, а также регламентирует постоянное взаимодействие между службами КБ и управления рисками. В Положении закреплено участие правления компании в решении вопросов по рискам КБ, необходимость привлекать внутренний аудит для регулярных проверок.

Присутствует отдельный раздел с требованиями по ведению базы и оценке потерь от событий риска КБ (инцидентов).

Дополнительно в положении зафиксировано 13 контрольных показателей, которые отражают картину в разрезе мошенничества у клиентов.

Один из важных процессов управления рисками КБ — построение 3-х линий киберзащиты:

1. Бизнес-подразделения предварительно идентифицируют риски в бизнес-процессах, принимают меры по защите на своем уровне.

2. Специальные подразделения отвечают за методологию, контроль, независимую оценку, выставление лимитов. В банках это подразделение центрального подчинения «Риски», блок «Риски» и департамент кибербезопасности.

3. Внутренний аудит проверяет эффективность работы системы, выполнение внутренних и внешних требований. В случае несоответствия передает информацию руководству и контролирует устранение несоответствия.

Такая организация процесса позволяет банкам минимизировать конфликт интересов между принятием рисков, ограничением и контролем их уровня, а также аудитом системы управления риском.

Дополнительно в роли 4-й линии выступает регулятор — ЦБ и внешние аудиторские организации.

Ключевые области по управлению рисками КБ:

риски в ИТ-инфраструктуре;

риски в разработке;

риски в бизнес-процессах;

риски мошенничества.

Для каждого направления применяются инструменты рискориентированного подхода: сканеры уязвимости, ATI-платформы, статический анализ кода, антифрод-система.

Управление рисками в инфраструктуре

Платформа осуществляет ежедневный мониторинг различных источников на предмет выявления новых уязвимостей. В случае их выявления анализируется применимость каждой уязвимости к инфраструктуре. Если она применима, риск оценивается с учетом риск-факторов влияния и вероятности.

Далее определяется перечень автоматизированных систем, которые подвержены этой уязвимости. Соответствующим командам поддержки из ИТ-подразделений ставятся задачи с перечнем мероприятий и сроками устранения.

В качестве инструментов контроля применяется повторное сканирование на уязвимости, чтобы убедиться, что коллеги выполнили задачу по ее устранению.

Риск-ориентированный подход помогает приоритизировать задачи для подразделений ИТ, чтобы в первую очередь устранить наиболее уязвимые места в системе. Зависимость уровня риска от уровня влияния и вероятности определяется через произведение значений влияния и вероятности.

Влияние определяется по факторам критичности для системы, применимости к инфраструктуре, рейтинга CVSS.

Вероятность определяется по факторам затронутого сегмента сети, наличия эксплойта, CTI-тренда. Факторам присваиваются баллы. По формуле производятся вычисления. В результате получается значение от 0 до 1, которое соотносится со шкалой для технологических рисков. Дальнейшая работа ведется исходя из получившегося уровня риска.

Управление рисками в процессах

Например, у бизнес-подразделения возникла потребность в изменении процесса разработки продукта. Оно обращается в управление экспертизы КБ.

Управление выставляет требования КБ для изменения процесса с последующим контролем. Если бизнес-подразделение не может выполнить требования, возникает вопрос: каковы последствия их невыполнения или выполнения в другой срок? Ответ на данный вопрос - это формулировка будущего риска КБ. По нему оформляется заявка на оценку, которая вносится в автоматизированную систему. По каждому риску назначается ответственный специалист, который организует оценку, привлекая профильных экспертов из подразделений банков. Команда экспертов проводит консолидированную оценку риска и готовит отчет. В нем указывается уровень риска и меры митигации.

План митигации - набор технических мероприятий со сроками и ответственными. Отчет направляется бизнес-заказчику.

Ему дается несколько дней на принятие решения. После оценки риск аллоцируется на данное подразделение. Оно будет нести ответственность в случае реализации риска.

Аллоцирование рисков связано с системой лимитов: подразделение не сможет принять на себя риски выше определенного уровня и количества. Ему будет необходимо реализовывать планы митигации по уже аллоцированным рискам, чтобы принять новый. На основании отчета бизнес-подразделение принимает решение и направляет в департамент КБ служебную записку, в которой фиксирует план митигации со сроками и принятие уровня риска. Пока план митигации не реализован, информация об ответственности подразделения передается в отчеты руководству. После выполнения плана риск переоценивается. Если он снизился, то перестает учитываться в системе лимитов и включаться в отчеты руководству. Согласно риск-ориентированному подходу риски снижаются до приемлемого уровня, а не снимаются полностью, поскольку это влечет увеличение затрат.

Применяемые технологии

В Сбербанке внедрена GRC-система, которая автоматизирует процесс оценки рисков, подготовки отчетов, разработки планов ми- тигации и контроля их выполнения.

Примеры GRC-систем: Security Vesion, R-Vesion, ePlat4m. Функционал GRC-системы в Сбербанке:

формирование сотрудником заявки на оценку риска КБ;

заполнение опросных листов экспертами;

расчет рейтинга и уровня риска;

ведение реестра рисков;

мониторинг обработки рисков, составление планов митигации;

экспресс-оценка — онлайн-калькулятор, позволяющий бизнесподразделению самостоятельно методом перебора критериев и факторов оценить предварительный уровень риска.

Управление рисками в соответствии с ISO 27005.

По международному стандарту ISO 27005 процесс управления рисками КБ включает несколько этапов.

1. Идентификация рисков:

1.1. Выявление отклонений от требований КБ и регистрация выявленного риска командой управления экспертизы КБ.

1.2. Инициативное информирование о возможных рисках и самооценка сотрудниками банков.

1.3. Анализ угроз и уязвимостей на платформе кибербезопасности.

1.4. Ведение базы событий риска КБ-инцидентов.

Карта рисков - классификатор, который позволяет систематизировать учет рисков компании. Чтобы ее построить, необходимо изучить все инциденты, которые ранее происходили в компании и отрасли в целом, отчеты аудита. По итогам получаются группы рисков, присущих компании. Далее группы детализируются.

Например, для банков группы рисков:

утечка конфиденциальной информации;

внешнее/внутреннее мошенничество;

недоступность активов;

нарушение целостности активов;

нарушение процессов управления КБ.

2. Оценка уровня рисков = вероятность реализации риска х ценность актива.

2.1. Методика ISO 27.

2.2. Методика банков. Учитывается большой набор риск-факторов для определения ценности актива и вероятности реализации риска. Вероятность вычисляется по набору комбинаций: выявляется угроза, для нее определяется группа нарушителей, которые могут ее реализовать. Определяется подмножество уязвимостей, которые могут использовать нарушители при реализации данной угрозы.

Определяется подмножество мер защиты, которые могут противостоять нарушителю при реализации угрозы с использованием уязвимости. По каждому набору комбинаций определяется вероятность, затем вычисляется общая вероятность.

По итогам оценки получается нормированное значение от 0 до 1, которое сопоставляется с качественной шкалой уровней:

• низкий:Т—0,й5;

• средний:0,т5-0,5;

• высокий: е,5—0,75;

• критический, 0,75-1.

Уровень риска: R = У(влияние) х Р(вероятность).

2.3. Самооценка: стандартный инструмент для управления операционными рисками, но в КБ употребляется редко. Во всех подразделениях банков есть риск-координаторы, которые отвечают за бизнес-процессы подразделения и оценивают возможные риски, в т.ч. КБ. Они также оценивают эффективность мер защиты и прогнозируют возможные финансовые потери. О выявленных рисках координаторы сообщают в департамент КБ. В самооценке принимают участие сотрудники банков.

Таким образом команда департамента КБ и получают информацию о рисках и о их количественной оценке непосредственно от подразделения, которое отвечает за процесс и чаще всего является единственным обладателем данной информации. Самооценка может проводиться как ежегодно, так и в динамическом режиме, чтобы оперативно корректировать суммы капитала, заложенные под потери от рисков.

3. Обработка риска:

3.1. Избегание – отказ от процесса/продукта/уязвимой системы.

3.2. Передача – страхование (например, рисков утечки информации, потерь от мошенничества); аутсорсинг (передача сервиса сторонней организации).

3.3. Снижение – реализация плана митигации, чтобы уровень риска опустился до приемлимого уровня.

3.4. Принятие. Решение по рискам КБ должны принимать лица с соответствующим уровнем полномочий. Для этого существует матрица принятия решений по рискам. Решения по рискам низкого уровня могут принимать владельцы процесса или продукта. Решения по высоким рискам находятся в полномочиях топ-менеджмента.

Для принятия решений по стратегическим рискам и рискам, затрагивающим деятельность нескольких подразделений, целесообразно иметь в организации коллегиальный орган — комитет по управлению риском КБ. В него включаются представители подразделений КБ и ИТ, бизнес-подразделений. Комитет позволяет дополнительно вовлекать топ-менеджмент в вопросы управления КБ, что стратегически важно.

Для эффективного выстраивания процесса управления рисками в банке принята единая процедура принятия рисков. Когда запускается новая инициатива или продукт и руководителю надо принять решение об их реализации, проводится оценка по направлениям нефинансовых рисков.

Риски КБ тесно связаны с другими операционными рисками. Каждый риск оценивается в денежном эквиваленте и заносится в единую таблицу. Руководитель должен принимать решения, обладая полной информацией о всех возможных рисках. Единая процедура принятия рисков позволяет вести консолидированный учет взаимосвязанных рисков.

4. Мониторинг и контроль рисков КБ в банках осуществляется в рамках отслеживания реализации мер защиты плана митигации.

Отдел аудита управления экспертизы КБ проверяет выполнение требований КБ. Он занимается не только пересмотром сроков реализации мер и переоценкой рисков, но и ведением отчетности о рисках КБ, которая поступает руководству.

Сбербанк ведет мониторинг и контроль рисков КБ в GRC- системе, но для этого достаточно и таблицы в Excel. Это единый консолидированный перечень всех рисков с датами, на которые риски принимаются, и датами плана митигации.

Риски не могут приниматься бессрочно. В таблице можно фильтровать по датам, которые подходят к завершению, запрашивать статус, проверять реализацию мер. Такими простым способом можно реализовать мониторинг.

Подготовка отчетности по рискам КБ осуществляется по нескольким уровням:

базовый: отчет по каждой оценке риска с указанием уровня, планом митигации, сценарием реализации;

средний: консолидированная отчетность для крупных подразделений банков в формате дэшборда, на котором можно посмотреть превышение метрик и конкретные риски;

• высокий: контрольные и сигнальные значения показателей, утвержденных Положением ЦБ РФ № 716-П, для топ-менеджмента. Отчеты готовятся ежемесячно и ежеквартально.

Один из вариантов отчетов — утверждение рисков в формате метрик к аппетиту рисков, т. е. максимальному уровню риска, который компания готова на себя принять. Лимиты аппетита к риску выражают в денежном эквиваленте.

Например, объем от риска, который компания готова понести за год по всем направлениям риска. В банках — собственная система лимитов, которая включает 20 метрик - показателей по проблемным направлениям. Система схематически представлена в виде тепловой карты в разрезе подразделений. Зеленый - нет превышения, желтый — есть превышения и план митигации, красный - нарушен срок или отсутствует план. Большая часть рисков КБ связана с инфраструктурой.

5. Оценка потерь. Помогает учитывать тренды, идентифицировать новые риски, строить связь потенциальных рисков, влиять на переоценку по рискам, по которым случились потери. Происходит сбор событий риска (инцидентов) из нескольких систем. Данные передаются в систему по рискам. По рискам, где есть потери, проводится оценка.

Виды потерь:

прямые - отражаются в бухгалтерском учете;

непрямые - косвенные (упущенная выгода), качественные (невозможно оценить в денежном эквиваленте), потенциальные (еще не реализовались).

При оценке потерь анализируются все события по операционному риску, чтобы не упустить события КБ в текстовом поле без соответствующей пометки. Для этого применяется модель AI, которая анализирует поля и классифицирует их. Методика оценки косвенных потерь: косвенные потери = финансовые потери + репутационные.

Финансовые потери включают:

расходы на реагирование, устранение последствий и расследование причин (привлечение внешнего аудитора, восстановление работоспособности, замена выведенного из строя оборудования, переработки сотрудников, их командирование);

• расходы на коммуникацию и взаимодействие с лицами, затронутыми событием (привлечение внешнего колл-центра, уведомления, SMS-сообщения);

• экономические последствия (недополученные доходы от простоя систем, потери работоспособности, утечки информации);

• предотвращение возможных потерь и подобных событий в будущем (перевыпуск банковских карт, стоимость повышения лояльности клиентов через маркетинговые инструменты, план мероприятий для снижения вероятности потерь).

Репутационные потери вычисляются посредством умножения числа клиентов, которые охвачены негативной публикацией в СМИ и соцмедиа, на CLTV (средний ожидаемый доход на клиента) и на чувствительность аудитории к публикации.

Данная методика оценки косвенных потерь является собственной разработкой Сбербанка. Качественная оценка потерь проводится по градуированным шкалам. Исходя из типа информации определяется качественный уровень потерь в зависимости от критичности для системы или бизнес-процессов и длительности простоя.

6. Риск-культура — принятые в организации нормы и правила по управлению рисками, риск-ориентированное мышление руководства и понимание сути риска сотрудниками. Развивать риск-культуру необходимо в том числе для проведения самооценки и инициативного информирования о рисках КБ.

Главный инструмент — обучение сотрудников.

Ключевые международные документы по управлению рисками

ISO/IEC 27005:2018 «Information technology — Security techniques — Information security risk management»;

ISO/IEC 31010:2019 «Risk management — Risk assessment techniques»;

NIST SP 800-39 «Managing Information Security Risk»;

NIST SP 800-37 «Risk Management Framework for Information Systems and Organizations».

Приемлемый уровень риска определяется в соответствии с целями компании. В Сбербанке не допускается утечка конфиденциальной информации, поэтому стоит лимит на принятие высоких рисков утечки. Но можно принять высокие риски мошенничества. По остальным направлениям также устанавливаются лимиты.

Определение приемлемого уровня рисков — лимитирование и метрики аппетита к риску.

План мероприятий для снижения рисков прорабатывается исходя из конкретной ситуации и зависит от требований КБ, которые необходимо выполнить. Он часто включает компенсирующие мероприятия для снижения рисков.

Схема качественной оценки рисков:

1. Поступает запрос от бизнес-подразделения, назначается риск-менеджер.

2. Риск-менеджер анализирует предметную область, заполняет поля в системе, описывает область оценки.

3. Риск-менеджер рассчитывает ценность актива по факторам: сумма фактических значений факторов делится на сумму максимальных значений. Получается коэффициент от 0 до 1.

4. Формируются опросные листы: выбираются применимые угрозы для реализации риска. Определяется группа нарушителей и уязвимости, которые нарушители могут использовать при реализации угрозы, меры защиты. Опросный лист может корректироваться в дальнейшем по просьбам профильных оценивающих экспертов.

5. Привлекается экспертная группа из 3—4 человек, которая оценивает по вероятностной шкале каждую комбинацию угроз, групп нарушителей, уязвимостей и мер защиты. Шкала включает значения: «Точно нет», «Низкая», «Средняя», «Высокая», «Очень высокая», «Точно да».

6. Автоматически рассчитывается вероятность: каждому значению шкалы соответствует числовой коэффициент. Система производит вычисления, эксперты выставляют только качественные значения.

7. Производится итоговый расчет уровня риска: вероятность реализации угрозы умножается на ценность актива. Получается нормированное число от 0 до 1, которое соотносится с качественной шкалой.

Таким образом вычисляется качественный уровень риска.

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.