01:13— Зачем мне, простому архитектору ИБ, знать про риски?
02:46 — Что такое риск
06:34 — Почему так сложно управлять рисками
09:37 — Что бизнес ожидает от ИБ
13:30 — Проблемы «классических» методов
21:34 — Риски в стиле РКБ
22:50 — Считаем ущерб
28:56 — Считаем вероятность
37:04 — Сколько будет «достаточно» или как измерить КПД ИБ?
43:40 — Сделал – проверил
45:45 — Итоги

Зачем архитектору ИБ разбираться в рисках
Представьте: вы проектируете систему. Безопасную, продуманную, устойчивую. Кажется, всё под контролем. Но в какой-то момент бизнес говорит: «А сколько это будет стоить?» — и добавляет: «А зачем вообще столько защит? Нам реально так надо?». Вот тут и появляется слово «риск».

На первый взгляд, кажется, что риски — это про кого-то другого: менеджеров, аудиторов или ребят с экселями. Но на деле — это самая суть работы в ИБ. Именно управление рисками помогает понять, что защищать, от кого и зачем, — и где проходит граница между «сделали хорошо» и «перестарались». Разбираться в рисках — это как уметь не просто строить крепость, а понимать, какие стены должны быть толще, где поставить охрану, а где оставить только табличку «ведётся видеонаблюдение».

Что дает понимание рисков
Когда вы начинаете мыслить через призму риска, у вас появляется:

• логика от задачи к решению;
• язык, на котором можно говорить с бизнесом;
• и, кстати, больше очков к экспертности и карьерным возможностям.

Все потому, что ваша работа становится не про «еще один фаерволл», а про снижение вероятности и последствий реальных угроз.
И бизнесу это понятно.

Как отличить риск от чего-то другого
Чтобы не путаться, держим в голове четыре признака настоящего риска:

1. Он всегда направлен в будущее. Если уже случилось — это инцидент, а не риск.
2. В нем есть неопределённость. Наступление понедельника — не риск. Он наступит точно.
3. Он имеет измеримое негативное влияние. Если непонятно, какой ущерб, — это пока не риск, а предположение.
4. Он должен быть правдоподобным. Слизни с Венеры — не риск. И черная дыра тоже. Даже если звучит эпично.

Почему управлять рисками так сложно
Потому что по сути — мы пытаемся предсказать будущее. А это, как известно, не самая лёгкая задача.
И вот с чем мы сталкиваемся:

• Математика и неопределенность
• Противоречивые методики
• Когнитивные искажения
• Невозможность проверить гипотезы «по-научному»

Что бизнес ожидает от информационной безопасности
Казалось бы, идеальная ситуация — ИБ получает карт-бланш на любые инициативы и неограниченный бюджет. Но этого не происходит.

Причина в том, что большинство крупных организаций уже достигли базового уровня киберустойчивости. Сегодня внимание смещается не на нужна ли нам ИБ, а на то, насколько эффективно работают уже внедрённые меры, можно ли им доверять, и способны ли они защитить бизнес в случае реальной атаки.

Важно понимать: высокий уровень доверия бизнеса к качеству киберзащиты — это не что-то само собой разумеющееся. Информационная безопасность ведёт постоянный диалог с бизнесом, предоставляя ему данные, необходимые для оценки текущего профиля киберрисков и принятия решений о дальнейшем инвестировании в устойчивость.

Выделим две основные группы вопросов, на которые ИБ должна быть готова отвечать в любой момент:
I Оценка текущего уровня киберустойчивости
Типовые вопросы:

• Какой уровень потерь мы можем прогнозировать, исходя из текущего профиля киберрисков? Какие сценарии риска наиболее приоритетны?
• Насколько значимы эти риски для нашей компании?
• Достаточно ли ресурсов мы тратим на снижение рисков?

II Если ответы на эти вопросы не удовлетворяют бизнес, появляется следующий блок вопросов — о возможных вариантах улучшения и ожидаемой отдаче от этих изменений:

• Какие риски будут снижены в результате реализации той или иной инициативы? И насколько?
• Можно ли количественно продемонстрировать ценность и финансовую эффективность программы по снижению рисков?
• Как изменяется стоимость владения ИБ относительно профиля рисков?

● Модели злоумышленника. Классический технический подход — анализ уязвимостей и возможных сценариев атак.
Плюсы:

• Полезен для соответствия требованиям регуляторов.
• Может помочь в приоритизации устранения уязвимостей.

Минусы:

• Используется техническая терминология, непонятная бизнесу.
• Упор на атомарные риски, не соответствующие уровню управленческих решений.
• Масштабируемость: в крупных организациях метод приводит к огромным реестрам (сотни тысяч и миллионы записей), что делает коммуникацию невозможной.
• Попробуйте принести такой список на совет директоров — и мгновенно окажетесь в списке персон нон грата.

● Качественная оценка и «тепловые карты». Самый распространённый и привычный способ коммуникации с бизнесом. Однако у него есть фундаментальные ограничения:

• Экспертные предвзятости: неясно, почему один риск классифицирован как «средне-высокий», а другой — как просто «средний».
• Невозможность математических операций: нельзя сложить два «средних» риска и получить один «высокий».
• Ограниченные градации: приходится упрощать шкалы, теряя нюансы.
• Невозможность расчёта эффективности: нельзя количественно оценить, насколько эффективна мера по снижению риска с «высокого» до «среднего» за 50 млн рублей.
• Сложности с приоритизацией: когда на устранение всех «высоких» рисков не хватает бюджета, выбрать из них приоритетные — почти невозможно.

Чтобы это обойти, часто пытаются придать оценке псевдоколичественный характер, добавляя числовые значения к шкале. Но это иллюзия. Ординальные шкалы (где важен порядок, но не расстояние между значениями) не позволяют проводить корректные арифметические операции.

Качественная оценка остаётся минимально приемлемым подходом. Но становится всё очевиднее, что он не справляется: