Управление рисками в сфере IT

Москва 
ИНФРА-М 
2023

Управление 
рисками в сфере IT

а.в. Щербак

 

МоНогРАФИя

УДк 004.9+005.53(075.4)
ббк 16.2:65стд1-09
 
Щ61

Щербак а.в.
Щ61  
Управление рисками в сфере IT : монография / А.В. Щербак. — 
Москва : ИНФРА-М, 2023. — 243 с. — (Научная мысль). — DOI 
10.12737/1900623.

ISBN 978-5-16-017972-8 (print)
ISBN 978-5-16-110975-5 (online)

В монографии рассмотрены особенности управления рисками в сфере информационных технологий, описана методика построения организационной 
структуры управления рисками, проанализирована последовательность шагов 
по установлению контроля над рисками, большое внимание уделено методам 
и инструментам управления рисками в IT. Приведены сведения о стратегических и тактических рисках, а также о рисках проектов, разобраны нюансы 
запуска и контроля управления рисками в IT.
Предназначена для широкого круга специалистов, деятельность которых 
связана с рисками в сфере IT, для преподавателей, а также для студентов укрупненных групп направлений подготовки и специальностей «Информатика и вычислительная техника», «Информационная безопасность» и «Электроника, 
радиотехника и системы связи».
УДК 004.9+005.53(075.4)
ББК 16.2:65стд1-09

Р е ц е н з е н т ы:
Андреев В.В., кандидат экономических наук, доцент, председатель 
цикловой комиссии общетехнических дисциплин и компьютерных 
технологий Академии управления городской средой, градостроительства и печати (г. Санкт-Петербург);
Зубов А.В., доктор физико-математических наук, доцент, заведующий кафедрой математической теории микропроцессорных систем 
управления Санкт-Петербургского государственного университета

ISBN 978-5-16-017972-8 (print)
ISBN 978-5-16-110975-5 (online)
© Щербак А.В., 2023

Введение

Информационные технологии проникли уже во все сферы 
деятельности, без них невозможно представить себе целые отрасли. Безусловно, информационные технологии открывают 
новые возможности, позволяют снижать издержки, делают 
возможными новые бизнес-модели. однако их использование 
создает новые риски. Хранение информации в базе данных 
с доступом по локальной сети удобно, но, оказывается, злоумышленники могут подключиться к этой базе, а затем скопировать и/или изменить данные. Управление технологическим 
процессом с помощью компьютера эффективно, однако, как 
показывает практика, выход из строя управляющего компьютера ведет, как правило, к остановке производства. Хранение 
и транспортировка файлов в памяти смартфона удобны, 
но, выясняется, смартфон может быть потерян или украден.
Специалисты, занимающиеся IT-рисками, знают, что подобные инциденты случаются во всех отраслях и могут затронуть организацию любой величины. Вопрос, собственно 
говоря, не в том, произойдет ли та или иная «неприятность» 
вообще, а в том, когда она произойдет и каков будет ущерб. 
Таким образом, необходимы предупредительные мероприятия. Но разработка и реализация подобных мероприятий, 
во-первых, дело непростое, а во-вторых, не гарантирует успеха. 
Эксперты обнаруживают, что новые слабые места возникают 
еще до устранения старых, а мероприятия могут стать неэффективны еще до того, как будут предложены новые.
Задачами настоящей монографии являются изложение актуальной теории, освещение вопросов практического применения описываемых методов и инструментов и соединение 
теории и практики в реальных примерах. Примеры взяты 
из бесед со специалистами и из интернета, по понятным причинам информация анонимизирована.

Щербак А.В.

Широкое использование автором зарубежных источников 
привело к тому, что в монографии употребляются термины, 
перевод которых на русский язык в профессиональной литературе различается. Это не означает неверности подаваемого 
материала, а подтверждает то, что данный материал настолько 
актуален, что еще даже не успели сформироваться устойчивые 
варианты перевода. Во избежание недопонимания все такие 
термины даются с определениями, а там, где необходимо, приводятся также синонимичные термины.
Конечно, в одной книге практически невозможно рассмотреть все аспекты данной отрасли знаний, автор и не ставил 
перед собой такой цели. главным было найти разумное сочетание теории и практики, которое позволило бы получить 
целостное впечатление об управлении рисками тем, кто еще 
не имеет опыта в данной сфере. Тем же, кто уже работал с рисками в IT, данная монография, возможно, даст новый импульс в развитии.

Глава 1.  
РИСК: ПОНЯТИЕ И СВЯЗЬ С IT

1.1. ПОНЯТИЕ РИСКа

Существует множество определений термина «риск». они 
сходятся в одном: риск есть попытка измерить неизвестность. 
Риск описывает вероятность того, что определенные действия 
или события приведут к неопределенному событию в виде выигрыша (денежной прибыли или вещественной пользы) или 
проигрыша (денежных убытков или вещественного вреда). 
При этом оценка того, что считать вещественной пользой или 
вещественным вредом, субъективна. Таким образом, возможны 
положительные результаты (шансы) и результаты отрицательные (опасность). Риск характеризуется относительной частотой некоего события (или вероятностью) и его воздействием.
Выделяют риски «нетто» и «брутто». В случае нетто-рисков уже были предприняты мероприятия, направленные 
на уменьшение вероятности и/или последствий наступления 
события. Брутто-риски являются полностью новыми, ранее 
неизвестными. В дальнейшем под словом «риск» будем понимать риск «нетто», так как рисками «брутто» в чистом 
виде управлять невозможно, а после первого проявления они 
превращаются в риски «нетто», поскольку уже могут предлагаться мероприятия по их уменьшению. Например, организация впервые столкнулась с тем, что один из менеджеров 
по продажам скопировал себе клиентскую базу, затем уволился и открыл свою фирму, переманивая клиентов у своего 
прежнего работодателя. Поскольку подобное событие произошло впервые, следует говорить о риске «брутто». Для того 
чтобы данный риск перешел в разряд «нетто», руководство 
должно проанализировать происшествие и принять меры, направленные на уменьшение вероятности повторения события 

Щербак А.В.

(например, установление более справедливого процента 
с продаж уменьшает стимул к похищению клиентской базы) 
и на уменьшение отрицательных последствий (например, ведение каждым менеджером своей отдельной базы без предоставления доступа к базе всей организации уменьшает объем 
информации, которая может быть украдена одним лицом).
К сожалению, не всегда удается оценить риск количественно. В таких случаях прибегают к качественным оценкам 
(например, «высокий риск», «низкий риск», «угроза дальнейшему существованию» и т.д.). Часто риск характеризуют 
произведением вероятности события на величину последствий. однако более показательно использовать не произведение, а комбинацию, поскольку произведение недостаточно 
информативно и может, например, не позволить оценить 
преимущества новой рискованной технологии. Кроме того, 
риски достаточно редко оцениваются точечными значениями, 
чаще используются границы значений. На точечные значения 
можно полагаться только в тех случаях, когда есть надежная 
база для вычислений. Например, сельскохозяйственное предприятие на основе данных, накопленных за 150 лет, знает, что 
в данной местности один раз в пять лет бывают заморозки 
в августе, а урожай созревает в конце августа. Тогда руководство может оценить риск точечно, так как частота негативного события (0,2) и ущерб (стоимость потерянного урожая) 
могут быть определены в виде конкретных значений.
Последствия можно оценивать с помощью денежных величин (увеличение прибыли, убытки), временных интервалов 
(период остановки конвейера, недоступности сайта) или физических величин (количество поврежденных компьютеров, 
уменьшение поголовья скота). В случае, если нужно комплексно оценить последствия, которые выражаются в разных 
единицах, бывает полезно перейти к неким безразмерным величинам (баллам). Вообще риски могут касаться организации 
в целом или ее частей, а также могут иметь различное значение в разные моменты времени.

Управление рисками в сфере IT

В зависимости от количества и качества имеющейся информации о рисках выделяют следующие случаи:
1) «неизвестные неизвестности» — полностью неизвестные и потому крайне опасные риски; в рамках управления 
рисками такими случаями не занимаются;
2) «известные неизвестности» — известные, но еще не оцененные риски;
3) «известные известности» — известные и уже оцененные 
риски.
С растущей цифровизацией экономики IT-системы организаций подвергаются все большему числу рисков. Риск 
в сфере информационных технологий показывает, с какой вероятностью произойдет событие, связанное с IT и имеющее 
негативные материальные или нематериальные последствия 
для коммерческой деятельности предприятия и/или его 
партнеров. Как правило, эти события вызваны внутренними 
или внешними угрозами, воздействующими на слабые места 
IT-системы. они могут воздействовать кратко-, средне- или 
долгосрочно, а также вызывать полное разрушение IT-системы.
Риск в сфере информационных технологий можно рассматривать с двух точек зрения: как ИТ-риск — понятие тех-
ническое, включает в себя элементы IT-системы, и как риск 
информационной безопасности — понятие содержательное, 
включает в себя бизнес-процессы, данные, роли.
Учитывая, что в литературе используется большое количество родственных понятий (кибер-риск, информационный 
риск, риск безопасности и т.д.), то мы в дальнейшем будем 
использовать нейтральное понятие «риск». Ну а на практике 
всегда необходимо четко определять, что означает тот или 
иной риск в конкретном контексте. В организации иногда 
даже может быть целесообразно провести семинар, на котором 
следует объяснить, какие именно риски объединяет данное 
конкретное понятие, кто за эти риски отвечает и как должна 
осуществляться координация усилий.

Щербак А.В.

Типичные риски IT-системы:
1) сбой важной программы, обусловленный физическими 
помехами или целенаправленным вмешательством извне 
(риск безопасности IT);
2) кража важной информации за счет воздействия на сотрудников (социальная инженерия, риск информационной 
безопасности);
3) целенаправленное воздействие на веб-приложение, которое имеет слабое место (кибер-риск);
4) прослушивание линии связи (риск информационной 
безопасности);
5) нарушение патентов при программировании, если это 
привело к ограничению доступности приложения или к возникновению новых рисков использования (риск безопасности IT);
6) существенные задержки или разногласия в важном ITпроекте (риск безопасности IT).

1.2. ОПаСНОСТИ, уГРОЗы И СлабыЕ мЕСТа 
В ИНфОРмацИОННых ТЕхНОлОГИЯх

опасность и угроза являются центральными понятиями 
управления рисками в информационных технологиях. опасность можно определить как абстрактное описание негативных обстоятельств, которые невозможно или очень сложно 
просчитать и которые влекут за собой ущерб. Угроза — реальная опасность, то есть имеет привязку к конкретному времени, месту, людям, организациям и т.п. она влияет на доступность, целостность и конфиденциальность информации 
и может стать причиной ущерба. Угрозы можно систематизировать следующим образом.
1. Непреодолимая сила. Это угрозы, на которые не могут 
повлиять люди и организация в целом. Например, это силы 
природы, войны и т.п.
2. Действия людей. Это неосторожные или целенаправленные действия. Такие угрозы становятся известны, если, 

Управление рисками в сфере IT

например, данные клиентов или иные конфиденциальные 
данные попадают в открытый доступ.
3. Технические проблемы. Возникают из-за старения материалов, недопустимых условий эксплуатации и т.п. Например, старение носителя данных на сервере может привести 
к потере данных.
Каждая угроза имеет собственный уровень значимости. 
он определяется по действию на непрерывность работы предприятия.
Конечно, угрозы являются причиной негативного воздействия на предприятие и причиной возникновения рисков. 
Но предприятие может подвергнуться риску только при наличии слабых мест. Слабое место — это одно из центральных 
понятий управления рисками в информационных технологиях.
Слабое место характеризует состояние недостаточности 
мероприятий по контролю риска. оно описывает связь между 
риском, относящимися к нему угрозами и осуществляемыми 
мероприятиями. Слабое место позволяет угрозе на самом 
деле воздействовать на предприятие, его IT-инфраструктуру 
и бизнес-процессы. оно является опасной характеристикой 
IT-системы. Слабые места тоже можно классифицировать.
1. Технические слабые места. Сюда относятся IT-инфраструктура, технические компоненты, приложения и т.д. Например, приложение может быть написано с ошибками, оборудование может иметь плохую конструкцию, климатическая 
установка серверной может иметь недостаточную мощность 
и т.д.
2. Человеческие слабые места. Сюда относятся все люди, 
как-то связанные с нашей IT-системой. Например, персонал, 
ответственный за информационную безопасность, может 
иметь недостаточную квалификацию или быть подверженным 
влиянию социальной инженерии.
3. организационные слабые места. Сюда относится все, 
что регулирует деятельность. Например, доступ админис

Щербак А.В.

тратора не защищен паролем, и все сотрудники могут получить полный доступ к серверу. Другой пример — передача 
через интернет в незашифрованном виде файла, содержащего 
конфиденциальную информацию.
оценивать значение слабых мест все труднее из-за растущей сложности информационных технологий и все более 
глубокого их проникновения. Для оценки необходима признанная система критериев. Примером такой системы является Common Vulnerability Scoring System, которая на сегодняшний день существует в версии 3.0. Система предусматривает оценку слабых мест с разных сторон, выделяют три 
группы показателей (метрик):
1) качественная оценка уязвимости (не зависит от времени и программного обеспечения);
2) показатели, характеризующие реакцию производителя 
уязвимого продукта с момента обнаружения слабого места 
до его устранения;
3) показатели, учитывающие требования к конкретной 
системе, в которой работает уязвимый продукт.
Если существует слабое место, через него в любой момент может произойти атака. Атаки, как правило, проводятся 
умышленно и связаны с неправомочным и нежелательным 
действием. При этом организации наносится вред и/или нападающий может создать для себя какие-то преимущества 
или нанести вред третьим лицам. Атаки могут проводиться 
по чьему-то поручению.
Направление атаки — логический путь к точке атаки. Возможные направления атаки: путь из интернета через межсетевой экран (точка атаки), внутрисетевые роутеры к системе 
управления конвейером (цель атаки); путь через локальную 
консоль администратора (точка атаки) в вычислительный 
центр к центральному серверу данных (цель атаки).
Когда направление атаки дополняется выбранной техникой для атаки, то говорят о векторе атаки. Примеры: путь 
через экс плойт (инструмент атаки) в программный код опе