АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Управление ИТ-рисками

Управление ИТ-рисками — это совокупность методов и процессов, направленных на достижение баланса между ИТ-рисками и издержками бизнеса. Современные организационные процессы и операции становятся всё более зависимыми от информационных технологий и связанных с ними инструментов, что приводит к появлению новых специфических рисков для компаний. По мнению Ашвина Пала, директора по кибербезопасности в Unisys, вопросы безопасности информации и управления ИТ-рисками должны быть неотъемлемой частью корпоративной культуры любой организации, независимо от её масштабов.

Эффективное управление ИТ-рисками позволяет принимать более обоснованные решения, что способствует финансовым результатам компании и улучшению отношений с клиентами[1]. Операционная деятельность предприятий также выигрывает, становясь менее подверженной сбоям и простоям, вызванным внешними атаками или внутренними ошибками в системах[2].

В настоящее время для количественной оценки риска часто используется так называемая TIK-модель по формуле:

Риск = ((Уязвимость × Угроза) / Контрмера) × Стоимость актива, находящегося под угрозой

Иными словами, общий риск оценивается с учётом уязвимости компании, потенциальной угрозы для организации, эффективности выбранных контрмер и стоимости пострадавших активов.

К 2026 году кибербезопасность окончательно трансформировалась из технической задачи ИТ-отдела в критический операционный и бизнес-риск, напрямую влияющий на стабильность и выживание бизнеса[3].[4]

ИТ-риски

ИТ-риски рассматриваются как бизнес-риски, связанные с использованием, функционированием и влиянием информационных технологий в деятельности организации. Как и любой риск, их появление и масштаб заранее неизвестны, что формирует задачу по прогнозированию и оценке для дальнейшего смягчения последствий. Согласно фреймворку, предложенному Ассоциацией аудита и контроля информационных систем (ISACA, англ. Information Systems Audit and Control Association) в дополнение к COBIT, ИТ-риски делятся на три основные категории[5]:

  • Риск недополучения выгод или ценности от ИТ — связан с упущенными возможностями повышения эффективности бизнес-процессов или реализации новых инициатив благодаря ИТ.
  • Риск при реализации программ и/или проектов — относится к качеству, актуальности и эффективности созданных проектов или программ.
  • Операционные и сервисные риски — охватывают все аспекты функционирования ИТ-сервисов и систем, включая перебои, инциденты информационной безопасности и другие проблемы, которые могут привести к снижению или полной утрате ценности для бизнеса.

На профиль системных ИТ-рисков значительное влияние оказывают процессы импортозамещения, порождающие риски интеграции, информационной безопасности и так называемого «вторичного импортозамещения»[6]. Кроме того, острый дефицит квалифицированных ИТ-кадров вынуждает компании переходить к автоматизации процессов и использованию аутсорсинговых моделей, таких как MSSP (безопасность как сервис)[7].

Измерения рисков в управлении ИТ-проектами

Уровень рисков в ИТ-проектах определяется их масштабом, сложностью, предметной областью и рядом других технологических и организационных параметров. В то же время риски проектной деятельности обычно соотносятся с тремя ключевыми измерениями:

  • Масштаб проекта: риски прямо пропорциональны масштабу — с ростом бюджета, численности команды, сроков внедрения и количества вовлечённых подразделений увеличивается и риск.
  • Структурированность проекта: более чёткая постановка целей, прозрачность процессов и определённость ролей в проектах со строгой структурой позволяют уменьшить риски за счёт осознанности участников и эффективного обмена информацией.
  • Технологический опыт: риски тем ниже, чем больше команда знакома с применяемыми технологиями, оборудованием, ПО, архитектурами и СУБД; при внедрении новых или недостаточно изученных решений число проблем при реализации проектов обычно растёт — требуется больше времени на освоение и получение специфических компетенций.
  • Предиктивные индикаторы (KRI): в современных проектах используются опережающие метрики, такие как снижение скорости команды (Velocity), рост времени цикла и количество «убежавших» дефектов (Escaped Defects), которые позволяют сигнализировать о потенциальных проблемах до их наступления[8].

Методологии управления ИТ-рисками

Не существует строго унифицированных методов управления ИТ-рисками, однако распространены типовые процессы, которые рекомендуется соблюдать для повышения эффективности. Документы NIST 800-30[9] и стандарт ISO/IEC 27005:2022[10] описывают цикл операций, которые должны быть интегрированы в любой процесс управления рисками, при этом порядок их выполнения может варьироваться. Для управления специфическими рисками систем искусственного интеллекта применяется стандарт ISO/IEC 23894:2023[11]. Ключевые процессы включают:

Установление контекста управления рисками

Первый этап — определение подхода к принятию управленческих решений в условиях риска. Задача заключается в формировании риск-стратегии и выбор критериев для оценки, реагирования и мониторинга рисков, а также указании степени допустимости для организации.

Этот этап закладывает основу для всех последующих действий; некачественно определённый контекст многократно снижает эффективность всего цикла управления ИТ-рисками.

Здесь происходит сбор информации для создания плана управления рисками, установление критериев оценки угроз и их последствий, допустимых значений, определение объёма (скоупа) проекта, разграничение задач, а также распределение ролей и формирование внутренней организационной структуры для управления и информационной безопасности.

На определение критериев допустимого риска прямое влияние оказывают жёсткие регуляторные требования (например, приказ ФСТЭК России № 117) и политика импортозамещения, которые делают ряд мер обязательными нормативами[12]. Кроме того, в условиях высокой рыночной неопределённости определение аппетита к риску требует динамичного подхода и тесной интеграции со стратегией компании, что подразумевает переход от статичных моделей к постоянной переоценке рисков[13].

Принятие рисков

Согласно Агентству Европейского союза по кибербезопасности (ENISA), принятие остаточного риска — это результат управленческих решений на высшем уровне. Принятые риски считаются находящимися под ответственностью организации и, как правило, имеют обратно пропорциональную связь с уровнем управления (чем больше принимается, тем меньше затрачивается ресурсов на активное управление). Принятие рисков может быть выделено как отдельная процедура и позволяет привлечь особое внимание управленцев к вопросам, требующим повышенной осторожности.

Количественные пороги принятия рисков формируются под сильным влиянием ужесточения государственного регулирования. Введение оборотных штрафов за утечки данных и строгие требования к объектам критической информационной инфраструктуры (КИИ) существенно сужают поле для «принятия» рисков и требуют их минимизации[14].[15]

Скоуп (объем)

Риски, связанные с объёмом проекта, включают следующие аспекты[16]:

  • Цели, задачи
  • Фазы и подэтапы
  • Отдельные виды работ (таски)
  • Ресурсы
  • Бюджет
  • Сроки

Интегральные риски скоупа включают — и не ограничиваются — распределением ролей и ответственности, некорректно определёнными конечными результатами, трудностями понимания изменений объёма работ, неопределённостью требований, некачественной проработкой необходимости задач, плохим контролем приоритетов, сроков и расходов.

Для идентификации рисков скоупа используются следующие техники:

  • Интервью
  • Мозговой штурм
  • Анализ предпосылок проекта
  • Диаграмма причин и следствий
  • Техника номинальной группы
  • Диаграмма аффинности (выделения связей)
  • Иерархическая структура работ (WBS)

В распределённых ИТ-системах и облачных средах границы проекта становятся размытыми, фокус безопасности смещается на управление идентификацией и доступом (IAM), а также возрастают риски появления «теневого ИТ» (Shadow IT)[17].[18]

Анализ рисков

Анализ рисков предусматривает выявление угроз и оценку их воздействия на проект — как качественными, так и количественными методами[19]. Итог этого этапа позволяет выбрать оптимальные способы управления угрозами. Комплексный анализ требует учёта многих переменных и из-за масштаба зачастую не может быть реализован одним человеком; современные ИТ-решения позволяют автоматизировать значительную часть этой работы[20]. Автоматизация анализа стала возможна благодаря развитию сложных алгоритмов и широкому распространению искусственного интеллекта в корпоративной среде: в частности, для автоматического выявления аномалий применяются алгоритмы машинного обучения, такие как Isolation Forest и автоэнкодеры[21][22].

Эти и прочие механизмы управления ИТ-рисками приобретают всё большее значение на фоне возрастающей зависимости бизнеса от цифровых инструментов. Управление реализуется методологиями, среди которых традиционные (PMBOK, PRINCE2, P2M) и гибкие (SCRUM, Agile Project Management, DSDM)[23].

Оценка рисков информационной безопасности состоит из трёх фаз: идентификация, анализ, оценка. Идентификация направлена на определение возможных причин убытков (активы, угрозы, существующие контроли, уязвимости и их последствия). Анализ — качественная и количественная оценка организационных рисков и их последствий через стоимость активов, вероятность инцидентов (через оценку уязвимостей) и определение уровня риска как произведения вероятности и последствий. На этапе оценки происходит сравнение рассчитанных уровней риска с критериями принятия и определяется приоритет мер по их снижению.

Под влиянием предиктивной аналитики классическая трехфазная модель оценки ИТ-рисков трансформируется. Использование искусственного интеллекта позволяет сместить акцент с реактивного реагирования на проактивное прогнозирование, выявляя и предотвращая угрозы до их возникновения[24].

Для количественной оценки финансовых потерь от киберинцидентов применяются различные методы, позволяющие рассчитать риски в денежном выражении. К основным подходам относятся расчет среднегодовых потерь (ALE), методология факторного анализа информационных рисков (FAIR) и метод Монте-Карло, использующий статистическое моделирование для прогнозирования вероятных ущербов[25]. Развитие методов автоматизированного сопоставления технических уязвимостей с бизнес-показателями привело к созданию комплексных платформ количественной оценки киберрисков (CRQ). Эти решения переводят абстрактные уровни угроз в конкретные денежные значения, что помогает обосновывать инвестиции в информационную безопасность[26].

Идентификация угроз

Идентификация угроз — это определение критичных для организации компонентов и активов, а затем установление возможных для них угроз и уязвимостей. Угрозы разделяются по происхождению[27]:

Природные угрозы:

  • Климатические воздействия;
  • Наводнения;
  • Цунами;
  • Пожары;
  • Грозы, молнии;
  • Пыль;
  • Дым;
  • Вода (протечки, крыши, конденсат, срабатывание спринклеров);
  • Вибрации;
  • Электромагнитные помехи.

Физические угрозы:

  • Несанкционированный доступ;
  • Кража;
  • Вандализм;
  • Саботаж;
  • Терроризм;
  • Война;
  • Неправильная транспортировка;
  • Внешние физические воздействия (дождь, рентген-устройства);
  • Столкновения;
  • Падения.

Инфраструктурные угрозы:

  • Отключения энергоснабжения;
  • Сбои регулирования температуры;
  • Сбои в системах увлажнения;
  • Некорректное обслуживание;
  • Недостаток персонала;
  • Нарушения утилизации материалов.

Технические угрозы:

  • Неправильные процедуры;
  • Ошибочные операции;
  • Некорректные настройки оборудования/ПО;
  • Несогласованные изменения аппаратуры или программ;
  • Несанкционированное копирование программ/данных;
  • Перегрузка доступа;
  • Ошибки классификации по требованиям безопасности;
  • Аппаратные, программные, сетевые сбои;
  • Вторичное использование устройств хранения данных;
  • Случайная модификация информации (редактирование, удаление, добавление);
  • Угрозы безопасности цепочки поставок ПО[28][29][30];
  • Компрометация зависимостей с открытым исходным кодом (Open Source)[28][30];
  • Атаки на инфраструктуру сборки и развертывания (CI/CD)[29][31].

Применение внешних или внутренних вредоносных программ трактуется как отдельная форма технической угрозы с криминальной подоплёкой. К ним относятся вредоносные программы, компьютерные вирусы, черви, кейлоггеры, шпионское ПО, трояны, ботнеты, DDoS-атаки, а также мошеннические попытки (спам, скам, фишинг) и новые виды социальной инженерии с применением генеративного искусственного интеллекта, такие как гиперреалистичный фишинг, вишинг и дипфейки[32][33].

Идентификация уязвимостей

В системах обработки информации уязвимости — это ошибки в процессах, дизайне, реализации либо внутреннем контроле, которые случайно или намеренно приводят к появлению бреши или нарушению принятых политик безопасности[9][34].

Уязвимости не всегда обусловлены чисто технологическим фактором — значительную роль могут играть поведение пользователей, социальные обстоятельства, проблемы разграничения доступа и аутентификации.

Специалисты по ИБ выявляют уязвимости по результатам специализированных bulletins, инструментов тестирования и контрольных списков безопасности.

Информация об уязвимостях может быть получена из отчетов тестов уязвимости, претензий пользователей, результатов аудита сторонних организаций, публикаций разработчиков программ (обновления, хотфиксы, патчи, сервис-паки и др.), а также из специализированных индустриальных ресурсов.

Тестирование на предмет уязвимостей должно регулярно осуществляться, поскольку появление новых угроз связано как с обновлениями аппаратуры/ПО, так и с публикацией новых уязвимостей. Применяются тесты на проникновение, экспертиза ИБ и использование автоматизированных средств поиска уязвимостей.

Чек-листы проверки формируются из перечня требований, установленных подразделением ИТ, и содержат базовые параметры оценки потенциальных уязвимостей.

Ускоренное импортозамещение программного обеспечения приводит к накоплению технического долга, что порождает специфические уязвимости в коде и архитектуре, а также проблемы с отслеживанием зависимостей с открытым исходным кодом (Open Source)[35].[36][37]

Вероятность наступления события

undefined

Управленцы по рискам должны оценить, насколько вероятна реализация каждой угрозы:

  • Высокая вероятность — событие с большой долей вероятности произойдёт в течение ближайшего года;
  • Средняя вероятность — возможно произойдёт в течение года;
  • Низкая вероятность — крайне маловероятно, что событие произойдёт в течение следующего года.

Как следствие, важным становится анализ долгосрочных издержек на поддержание контроля, включая первоначальные вложения в аппаратное обеспечение и программные продукты, возможное снижение операционной эффективности, внедрение новых политик и процедур, найм или обучение персонала.

Уровень ущерба

Для корректной оценки степени риска требуется установить шкалу оценки ущерба:

  • Ущерб — количественная оценка потерь или вреда ценности актива;
  • Высокий ущерб — остановка критически важного бизнеса с серьёзными потерями, подрывом репутации компании или убытками;
  • Средний ущерб — кратковременное прекращение работы важного процесса/системы, влекущее ограниченные убытки для одного подразделения;
  • Низкий ущерб — простой без финансовых потерь.

Мониторинг и пересмотр рисков

Необходимо формировать корпоративную культуру осознанного отношения к рискам, чтобы поддерживать актуальность практик, отражать внутренний и внешний контекст деятельности. Постоянное наблюдение и периодический пересмотр должны быть плановой частью цикла управления рисками, с контролем релевантности применяемых критериев и стратегий[38].

Риски искусственного интеллекта

Внедрение искусственного интеллекта (ИИ) сопряжено с появлением нового класса рисков, требующих комплексного подхода к управлению. Основные категории рисков при внедрении ИИ включают:

  • Технологические риски: неточность и «галлюцинации» моделей (генерация фактически неверных, но правдоподобных ответов), предвзятость алгоритмов и зависимость от качества обучающих данных.
  • Риски безопасности: появление новых векторов атак, таких как промпт-инъекции (prompt injections) и манипуляции с обучающими данными, а также угрозы утечки конфиденциальной информации.
  • Юридические и организационные риски: несоответствие нормативным требованиям, нарушение авторских прав, размытая ответственность за ошибки ИИ, а также стратегическая зависимость от поставщиков решений[39].[40][41]

Отдельной проблемой является эффект «чёрного ящика» — непрозрачность алгоритмов сложных ИИ-моделей, при которой внутренние механизмы принятия решений непонятны даже разработчикам. Это затрудняет аудит и выявление ошибок, что делает критически важным контроль прозрачности алгоритмов ИИ. Для минимизации этих рисков применяются методы объяснимого ИИ (Explainable AI) и внедряются политики управления (AI Governance)[42].[43] Ключевые современные методологии и стандарты управления рисками ИИ:

  • NIST AI Risk Management Framework — руководство Национального института стандартов и технологий США, помогающее управлять рисками на протяжении всего жизненного цикла ИИ[44].
  • ISO/IEC 42001:2023 — международный стандарт для систем менеджмента искусственного интеллекта, предоставляющий структуру для ответственного управления ИИ-системами[45].
  • EU AI Act — законодательный акт Европейского союза, устанавливающий обязательные правила для разработчиков и пользователей ИИ на основе риск-ориентированного подхода[46].

Киберстрахование

Страхование киберрисков является одним из методов управления ИТ-рисками, направленным на минимизацию финансовых последствий инцидентов информационной безопасности.

Для получения страховки компании должны соответствовать строгим требованиям к уровню кибербезопасности. К обязательным условиям относятся наличие многофакторной аутентификации (MFA) и использование решений класса EDR (Endpoint Detection and Response).

В 2025–2026 годах российский рынок киберстрахования продемонстрировал значительный рост, достигнув объёма в 3,5–4 млрд рублей[47].[48]

Примечания

  1. Pedro C. T. Gomes. GESTÃO DE RISCO EM TI: ENTENDA SUA IMPORTÂNCIA (порт.). OP Services. Дата обращения: 28 мая 2026. Архивировано 22 мая 2025 года.
  2. O que é a gestão de riscos em TI? (порт.). Telium. Дата обращения: 28 мая 2026. Архивировано 14 июля 2019 года.
  3. Кибербезопасность: что мы поняли по итогам 2025 года и почему 2026 будет сложнее. PTNL. Дата обращения: 28 мая 2026.
  4. Проблемы кибербезопасности 2026 и вызовы. ЕААБ. Дата обращения: 28 мая 2026.
  5. The Risk IT Framework (англ.). ISACA.ORG. Дата обращения: 22 июня 2024. Архивировано 21 декабря 2018 года.
  6. 7 системных кризисов, которые накрыли российский ИТ-ландшафт в 2025–2026 годах. Habr. Дата обращения: 28 мая 2026.
  7. Кибербезопасность на грани голода: как бизнесу выжить в условиях дефицита кадров в 2026 году. SecurityMedia. Дата обращения: 28 мая 2026.
  8. Agile-метрики. ProductLab. Дата обращения: 28 мая 2026.
  9. 1 2 Joint Task Force Transformation Initiative (17 сентября 2012). “Guide for Conducting Risk Assessments” [англ.]. Дата обращения 2026-05-28.
  10. ISO 27005: Risk Management in Information Security. Secureframe. Дата обращения: 28 мая 2026.
  11. ISO/IEC 23894:2023. ISO Library. Дата обращения: 28 мая 2026.
  12. Защита информации: новые ограничения на пути к совершенствованию. Ведомости (12 ноября 2025). Дата обращения: 28 мая 2026.
  13. Critical to Success. COSO. Дата обращения: 28 мая 2026.
  14. Тренды информационной безопасности в 2026 году: что важно учитывать бизнесу. Korus Consulting. Дата обращения: 28 мая 2026.
  15. Как изменились требования к КИИ: новые правила 187-ФЗ. CISOCLUB. Дата обращения: 28 мая 2026.
  16. How to define the scope of a project (англ.). CIO. Дата обращения: 22 июня 2024. Архивировано 24 ноября 2011 года.
  17. В облаке привычного сетевого периметра больше не существует. SecurityLab. Дата обращения: 28 мая 2026.
  18. Идентичность как новый периметр. Habr. Дата обращения: 28 мая 2026.
  19. Aguinald A. Fernandes, Vladimir F. de Abreu. Modelo de Governança de TI // Implementando a Governança de TI : [порт.]. — Editora BRASPORT, 2014.
  20. Esdras Moreira. 6 passos no processo de gerenciamento de riscos (порт.). Transformação Digital. Дата обращения: 28 мая 2026. Архивировано 10 апреля 2023 года.
  21. Anomaly Detection: A Machine Learning Solution to Eliminate Risk (англ.). Aviana Global. Дата обращения: 28 мая 2026.
  22. Как находить аномалии в трафике с помощью ML. Хабр. Garda. Дата обращения: 28 мая 2026.
  23. Melcher, Christiane. “Proposta Metodológica para Avaliações Otimizadas de Usabilidade em Websites Desenvolvidos com Método Ágil: Um Estudo de Caso” [порт.]. Дата обращения 2026-05-28.
  24. ИИ в управлении рисками. Visure Solutions. Дата обращения: 28 мая 2026.
  25. Расчет ущерба от инцидентов ИБ. Актив. Дата обращения: 28 мая 2026.
  26. Что такое количественная оценка киберрисков (CRQ)? Trend Micro. Дата обращения: 28 мая 2026.
  27. What is an information technology risk? (англ.). Queensland Government (22 июня 2012). Дата обращения: 28 мая 2026. Архивировано 26 апреля 2017 года.
  28. 1 2 Атаки на цепочку поставок ПО: почему это устойчивая угроза. Хабр. CodeScoring. Дата обращения: 28 мая 2026.
  29. 1 2 Атаки на цепочки поставок ПО стали главной угрозой 2026 года. 1275.ru. Дата обращения: 28 мая 2026.
  30. 1 2 Атаки на цепочку поставок: что это такое и как защититься. Лаборатория Касперского. Дата обращения: 28 мая 2026.
  31. The Open Source Trust Crisis: Supply Chain Attacks in 2026 (англ.). Cyber Technology Insights. Дата обращения: 28 мая 2026.
  32. Сбербанк ожидает кратного роста хищений с применением дипфейков в 2026 году. Интерфакс. Дата обращения: 28 мая 2026.
  33. Как ИИ меняет фишинг и социальную инженерию в 2026 году. Хабр. Дата обращения: 28 мая 2026.
  34. Chad Perrin. Understanding risk, threat, and vulnerability (англ.). TechRepublic. Дата обращения: 28 мая 2026. Архивировано 1 августа 2013 года.
  35. Почему импортозамещение делает IT-рынок уязвимее и как с этим справиться. Forbes.ru. Дата обращения: 28 мая 2026.
  36. Технический долг: что это, чем опасен и как с ним бороться. Cortel Cloud Blog (13 февраля 2025). Дата обращения: 28 мая 2026.
  37. При импортозамещении уязвимости возникают на стыках оборудования. Новости IT-канала. Дата обращения: 28 мая 2026.
  38. Risk Management Framework — Monitor & Review (англ.). Chartered Accountants Australia and New Zealand. Дата обращения: 28 мая 2026. Архивировано 10 июля 2025 года.
  39. Риски использования искусственного интеллекта. TAdviser. Дата обращения: 28 мая 2026.
  40. Риски генеративного ИИ. LayerX Security. Дата обращения: 28 мая 2026.
  41. Риски внедрения искусственного интеллекта: полный разбор. 1Seller. Дата обращения: 28 мая 2026.
  42. Transparency in AI. Ultralytics. Дата обращения: 28 мая 2026.
  43. «Черный ящик» науки. Наука Mail.ru. Дата обращения: 28 мая 2026.
  44. AI Risk Management Framework. NIST. Дата обращения: 28 мая 2026.
  45. Открывая эру надежного ИИ: что нужно знать о сертификации ISO/IEC 42001. DQS Russia. Дата обращения: 28 мая 2026.
  46. The EU AI Act. European Commission. Дата обращения: 28 мая 2026.
  47. В фокусе киберпреступников в 2026 году — крупный бизнес. Корпоративное страхование. Дата обращения: 28 мая 2026.
  48. Рынок киберстрахования в РФ увеличился на 20-30% по итогам 2025 года и продолжает свой рост. Secpost.ru. Дата обращения: 28 мая 2026.

Категории