Аннотация. Статья посвящена анализу современных методов оценки информационных рисков (ИР) как ключевого элемента системы управления информационной безопасностью (ИБ) организации. Цель исследования – систематизировать и сравнить качественные, количественные и гибридные методологии оценки ИР, выявив их сильные и слабые стороны. В работе использованы методы сравнительного анализа, классификации и обобщения научных публикаций и стандартов в области ИБ. Рассмотрены основные этапы процесса оценки рисков: идентификация активов, оценка угроз и уязвимостей, определение вероятности реализации угроз и потенциального ущерба. Особое внимание уделено факторам, влияющим на оценку вероятности и последствий, включая привлекательность ресурса и технические возможности атакующего. В результате проведенного анализа определены области эффективного применения таких методик, как FRAP (качественная), RiskWatch (количественная) и CRAMM (гибридная). Делается вывод о том, что выбор конкретного метода зависит от целей оценки, доступных ресурсов и требуемой точности результатов, а сама оценка рисков является итеративным и непрерывным процессом, требующим регулярного пересмотра [1, 2, 3, 4, 5].

Аннотация. Мақала ұйымның ақпараттық қауіпсіздік (АҚ) жүйесінің негізгі элементі ретіндегі ақпараттық тәуекелдерді (АТ) бағалаудың заманауи әдістерін талдауға арналған. Зерттеудің мақсаты – АТ-ды бағалаудың сапалық, сандық және гибридті әдістемелерін жүйелеу және салыстыру, олардың күшті және әлсіз жақтарын анықтау. Жұмыста АҚ саласындағы ғылыми жарияланымдар мен стандарттарды салыстырмалы талдау, жіктеу және жалпылау әдістері қолданылды. Тәуекелдерді бағалау процесінің негізгі кезеңдері қарастырылды: активтерді сәйкестендіру, қауіп-қатерлер мен осалдықтарды бағалау, қауіп-қатерлерді іске асыру ықтималдылығы мен ықтимал зиянды анықтау. Ресурстың тартымдылығы мен шабуыл жасаушының техникалық мүмкіндіктерін қоса алғанда, ықтималдылық пен салдарларды бағалауға әсер ететін факторларға ерекше көңіл бөлінді. Жүргізілген талдау нәтижесінде FRAP (сапалық), RiskWatch (сандық) және CRAMM (гибридті) сияқты әдістемелердің тиімді қолданылу салалары анықталды. Нақты әдісті таңдау бағалау мақсаттарына, қолжетімді ресурстарға және талап етілетін нәтижелердің дәлдігіне байланысты, ал тәуекелдерді бағалау өздігінен қайталанатын және үздіксіз процесс болып табылады, оны үнемі қайта қарауды талап етеді деген қорытынды жасалады [1, 2, 3, 4, 5].

Abstract. The article is devoted to the analysis of modern methods for assessing information risks (IR) as a key element of an organization's information security (IS) management system. The purpose of the study is to systematize and compare qualitative, quantitative, and hybrid IR assessment methodologies, identifying their strengths and weaknesses. The work uses methods of comparative analysis, classification, and generalization of scientific publications and standards in the field of IS. The main stages of the risk assessment process are considered: asset identification, assessment of threats and vulnerabilities, determination of the likelihood of threat realization and potential damage. Special attention is paid to factors affecting the assessment of likelihood and consequences, including resource attractiveness and attacker capabilities. As a result of the analysis, areas of effective application of such methods as FRAP (qualitative), RiskWatch (quantitative) and CRAMM (hybrid) are determined. It is concluded that the choice of a specific method depends on the assessment goals, available resources and the required accuracy of the results, and the risk assessment itself is an iterative and continuous process that requires regular review [1, 2, 3, 4, 5].

Введение. В современном цифровом обществе информация стала одним из наиболее ценных активов организации. Ее целостность, конфиденциальность и доступность напрямую влияют на устойчивость бизнеса, репутацию и финансовые результаты. Однако расширение использования информационных технологий (ИТ) и усложнение инфраструктуры приводят к увеличению спектра угроз и уязвимостей. Информационный риск (ИР) определяется как вероятность реализации угрозы информационной безопасности, которая может привести к нанесению ущерба активам организации в результате нарушения их конфиденциальности, целостности или доступности [1, с. 15]. Управление этими рисками невозможно без их предварительной оценки – систематического процесса выявления, анализа и ранжирования рисков. Актуальность исследования методов оценки ИР обусловлена необходимостью для организаций принимать экономически обоснованные решения по распределению ограниченных ресурсов на защиту информации. Несмотря на наличие множества стандартов (ISO/IEC 27005, NIST SP 800-30, ГОСТ Р ИСО/МЭК 27005) и методик, практический выбор подхода часто оказывается сложной задачей из-за различий в их сложности, трудоемкости и требуемых исходных данных. Цель данной статьи – провести сравнительный анализ основных классов методов оценки информационных рисков, определить ключевые этапы процесса оценки и сформулировать практические рекомендации по их выбору в зависимости от контекста организации.

Основная часть

1. Базовые понятия и этапы оценки информационных рисков. Процесс оценки рисков является фундаментом для построения системы управления информационной безопасностью (СУИБ). Он включает несколько взаимосвязанных этапов, которые остаются общими для большинства методик [2, с. 45]:

1. Идентификация активов. Определение информационных активов (данные, системы, сервисы), имеющих ценность для бизнеса, и оценка этой ценности.
2. Идентификация угроз и уязвимостей. Выявление потенциальных событий (угроз), которые могут нанести ущерб активам, и слабых мест (уязвимостей), которые делают реализацию угроз возможной.
3. Анализ рисков. Оценка вероятности реализации угрозы и масштаба потенциального ущерба (последствий). Риск (R) традиционно моделируется как функция вероятности (P) и последствий (C): R = f(P, C).
4. Оценка и ранжирование рисков. Сравнение рассчитанных уровней риска с критериями приемлемости, установленными организацией, и определение приоритетов для обработки.

Ключевая сложность заключается в оценке вероятности и последствий, которые часто носят субъективный характер.

2. Факторы, влияющие на оценку вероятности и последствий. Точность оценки вероятности реализации угрозы зависит от ряда факторов, которые необходимо учитывать в модели:

1. Привлекательность актива для атакующего, определяемая его коммерческой, стратегической или иной ценностью.
2. Технические возможности потенциального нарушителя (ресурсы, навыки, доступ).
3. Сложность эксплуатации конкретной уязвимости. Простота использования уязвимости увеличивает вероятность атаки.
4. Эффективность существующих средств контроля (защиты). Наличие и качество мер безопасности напрямую снижает вероятность успешной атаки.

Оценка последствий (ущерба) также многогранна: помимо прямых финансовых потерь (штрафы, стоимость восстановления), необходимо учитывать репутационный ущерб, потерю доверия клиентов, операционные простои и правовые последствия.

3. Классификация методов оценки рисков. В зависимости от способа измерения вероятности и последствий, все методы можно разделить на три основных класса [3, с. 78]:

1. Качественные методы. Оценивают риск с помощью описательных шкал («низкий», «средний», «высокий»). Их преимущество – относительная простота, скорость и меньшая зависимость от точных числовых данных. Недостаток – субъективность и трудность сравнения рисков между собой. Типичный представитель – методология FRAP (Facilitated Risk Analysis Process). Она основана на структурированных интервью с экспертами и хорошо подходит для первоначального, быстрого анализа.
2. Количественные методы. Стремятся выразить риск в абсолютных числовых показателях, чаще всего в виде ожидаемых годовых потерь (EF – Exposure Factor, SLE – Single Loss Expectancy, ALE – Annual Loss Expectancy). Например, ALE = SLE * ARO (Annual Rate of Occurrence). Эти методы требуют обширной статистики по инцидентам и точных данных о стоимости активов, что часто является их главным ограничением. Однако они позволяют проводить стоимостное обоснование инвестиций в безопасность. Пример – методология RiskWatch.
3. Гибридные (полуколичественные) методы. Комбинируют оба подхода. Качественным шкалам присваиваются числовые диапазоны или весовые коэффициенты, что позволяет получить числовой результат (балл или индекс риска), сохраняя при этом гибкость качественной оценки. Это наиболее популярный на практике подход. К нему относятся методология CRAMM (CCTA Risk Analysis and Management Method), метод Microsoft и многие другие, соответствующие стандарту OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation).

4. Сравнительный анализ и выбор метода. Выбор конкретной методики зависит от множества контекстных факторов организации:

1. Цели оценки: Для стратегического планирования ИБ часто достаточно качественного анализа. Для финансового обоснования затрат на защиту необходим количественный или гибридный подход.
2. Зрелость процессов ИБ: Организациям с неразвитой культурой безопасности рекомендуется начинать с простых качественных методов.
3. Доступные ресурсы: Количественные методы требуют значительных временных, финансовых и экспертных ресурсов.
4. Требования регуляторов и стандартов: Некоторые отрасли предъявляют специфические требования к методике оценки.

Таким образом, не существует «лучшего» универсального метода. Для крупной финансовой организации с высокими требованиями к регуляторному соответствию оправдано использование сложных гибридных или количественных методик. Для малого бизнеса эффективнее будет применение легковесных качественных подходов, возможно, на основе шаблонов из стандартов.

5. Проблемы и ограничения. Независимо от выбранного метода, процесс оценки рисков сталкивается с рядом фундаментальных проблем. Вероятность многих угроз (особенно целевых атак) крайне сложно оценить статистически. Размер косвенного и репутационного ущерба часто невозможно точно выразить в денежном эквиваленте. Ландшафт угроз быстро меняется, что требует регулярного (как минимум, ежегодного) пересмотра оценок. Поэтому результаты оценки рисков всегда следует рассматривать как приблизительные, но научно обоснованные оценки, которые дают основу для принятия решений, а не как абсолютную истину. Ключевая ценность процесса – не в получении «точного числа», а в системном мышлении, вовлечении заинтересованных сторон и создании общего понимания угроз среди руководства и специалистов.

Вывод

Оценка информационных рисков представляет собой сложный, но необходимый процесс, обеспечивающий проактивный подход к управлению информационной безопасностью. В статье были рассмотрены ключевые этапы этого процесса, факторы, влияющие на оценку вероятности и последствий, а также проведена классификация и сравнительный анализ основных методов: качественных (FRAP), количественных (RiskWatch) и гибридных (CRAMM, OCTAVE). Каждый из подходов имеет свою область применения, определяемую целями оценки, зрелостью организации и доступными ресурсами. Качественные методы эффективны для быстрого скрининга и повышения осведомленности, количественные – для финансового обоснования решений, гибридные – как наиболее сбалансированный и популярный на практике вариант. Важно понимать, что из-за динамичности ИТ-среды и субъективности многих оценок, процесс управления рисками должен быть непрерывным и итеративным. Регулярный пересмотр допущений, обновление данных об активах и угрозах, а также интеграция результатов оценки в бизнес-процессы организации являются залогом построения реально работающей, а не формальной системы информационной безопасности. Таким образом, правильный выбор и адаптация метода оценки рисков под конкретные нужды компании является критически важным шагом на пути к созданию устойчивой цифровой инфраструктуры.

Список литературы

1. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент рисков информационной безопасности. – М.: Стандартинформ, 2012. – 60 с.
2. Stoneburner, G., Goguen, A., Feringa, A. Risk Management Guide for Information Technology Systems: Recommendations of the National Institute of Standards and Technology (NIST SP 800-30) / G. Stoneburner, A. Goguen, A. Feringa. – Gaithersburg: NIST, 2002. – 60 p.
3. ISO/IEC 27005:2022. Information security, cybersecurity and privacy protection — Guidance on managing information security risks. – Geneva: ISO, 2022. – 90 p.
4. Peltier, T. R. Information Security Risk Analysis / T. R. Peltier. – 3rd ed. – Boca Raton: Auerbach Publications, 2005. – 384 p.
5. Alberts, C. J., Dorofee, A. J. Managing Information Security Risks: The OCTAVE Approach / C. J. Alberts, A. J. Dorofee. – Boston: Addison-Wesley, 2002. – 386 p.
6. Шумский, А.Н. Управление рисками информационной безопасности: Учебное пособие / А.Н. Шумский, Д.В. Ландо. – М.: Горячая линия – Телеком, 2018. – 256 с.
7. Основные требования к публикации статей в журнале [Электронный ресурс] – https://adisteme.kz/trebovaniia-k-oformleniiu-stati.html