Управление рисками в сфере IT

Москва 
ИНФРА-М 
2023

Управление 
рисками в сфере IT

а.в. Щербак

 

МоНогРАФИя

УДк 004.9+005.53(075.4)
ббк 16.2:65стд1-09
 
Щ61

Щербак а.в.
Щ61  
Управление рисками в сфере IT : монография / А.В. Щербак. — 
Москва : ИНФРА-М, 2023. — 243 с. — (Научная мысль). — DOI 
10.12737/1900623.

ISBN 978-5-16-017972-8 (print)
ISBN 978-5-16-110975-5 (online)

В монографии рассмотрены особенности управления рисками в сфере ин-
формационных технологий, описана методика построения организационной 
структуры управления рисками, проанализирована последовательность шагов 
по установлению контроля над рисками, большое внимание уделено методам 
и инструментам управления рисками в IT. Приведены сведения о стратеги-
ческих и тактических рисках, а также о рисках проектов, разобраны нюансы 
запуска и контроля управления рисками в IT.
Предназначена для широкого круга специалистов, деятельность которых 
связана с рисками в сфере IT, для преподавателей, а также для студентов укруп-
ненных групп направлений подготовки и специальностей «Информатика и вы-
числительная техника», «Информационная безопасность» и «Электроника, 
радиотехника и системы связи».
УДК 004.9+005.53(075.4)
ББК 16.2:65стд1-09

Р е ц е н з е н т ы:
Андреев В.В., кандидат экономических наук, доцент, председатель 
цикловой комиссии общетехнических дисциплин и компьютерных 
технологий Академии управления городской средой, градостроитель-
ства и печати (г. Санкт-Петербург);
Зубов А.В., доктор физико-математических наук, доцент, заведую-
щий кафедрой математической теории микропроцессорных систем 
управления Санкт-Петербургского государственного университета

ISBN 978-5-16-017972-8 (print)
ISBN 978-5-16-110975-5 (online)
© Щербак А.В., 2023

Введение

Информационные технологии проникли уже во все сферы 
деятельности, без них невозможно представить себе целые от-
расли. Безусловно, информационные технологии открывают 
новые возможности, позволяют снижать издержки, делают 
возможными новые бизнес-модели. однако их использование 
создает новые риски. Хранение информации в базе данных 
с доступом по локальной сети удобно, но, оказывается, зло-
умышленники могут подключиться к этой базе, а затем скопи-
ровать и/или изменить данные. Управление технологическим 
процессом с помощью компьютера эффективно, однако, как 
показывает практика, выход из строя управляющего компью-
тера ведет, как правило, к остановке производства. Хранение 
и транспортировка файлов в памяти смартфона удобны, 
но, выясняется, смартфон может быть потерян или украден.
Специалисты, занимающиеся IT-рисками, знают, что подобные 
инциденты случаются во всех отраслях и могут затронуть 
организацию любой величины. Вопрос, собственно 
говоря, не в том, произойдет ли та или иная «неприятность» 
вообще, а в том, когда она произойдет и каков будет ущерб. 
Таким образом, необходимы предупредительные мероприятия. 
Но разработка и реализация подобных мероприятий, 
во-первых, дело непростое, а во-вторых, не гарантирует успеха. 
Эксперты обнаруживают, что новые слабые места возникают 
еще до устранения старых, а мероприятия могут стать неэффективны 
еще до того, как будут предложены новые.
Задачами настоящей монографии являются изложение актуальной 
теории, освещение вопросов практического применения 
описываемых методов и инструментов и соединение 
теории и практики в реальных примерах. Примеры взяты 
из бесед со специалистами и из интернета, по понятным причинам 
информация анонимизирована.

Щербак А.В.

Широкое использование автором зарубежных источников 
привело к тому, что в монографии употребляются термины, 
перевод которых на русский язык в профессиональной литературе 
различается. Это не означает неверности подаваемого 
материала, а подтверждает то, что данный материал настолько 
актуален, что еще даже не успели сформироваться устойчивые 
варианты перевода. Во избежание недопонимания все такие 
термины даются с определениями, а там, где необходимо, приводятся 
также синонимичные термины.
Конечно, в одной книге практически невозможно рассмотреть 
все аспекты данной отрасли знаний, автор и не ставил 
перед собой такой цели. главным было найти разумное сочетание 
теории и практики, которое позволило бы получить 
целостное впечатление об управлении рисками тем, кто еще 
не имеет опыта в данной сфере. Тем же, кто уже работал с рисками 
в IT, данная монография, возможно, даст новый импульс 
в развитии.

Глава 1.  
РИСК: ПОНЯТИЕ И СВЯЗЬ С IT

1.1. ПОНЯТИЕ РИСКа

Существует множество определений термина «риск». они 
сходятся в одном: риск есть попытка измерить неизвестность. 
Риск описывает вероятность того, что определенные действия 
или события приведут к неопределенному событию в виде выигрыша (
денежной прибыли или вещественной пользы) или 
проигрыша (денежных убытков или вещественного вреда). 
При этом оценка того, что считать вещественной пользой или 
вещественным вредом, субъективна. Таким образом, возможны 
положительные результаты (шансы) и результаты отрицательные (
опасность). Риск характеризуется относительной частотой 
некоего события (или вероятностью) и его воздействием.
Выделяют риски «нетто» и «брутто». В случае нетто-рисков 
уже были предприняты мероприятия, направленные 
на уменьшение вероятности и/или последствий наступления 
события. Брутто-риски являются полностью новыми, ранее 
неизвестными. В дальнейшем под словом «риск» будем понимать 
риск «нетто», так как рисками «брутто» в чистом 
виде управлять невозможно, а после первого проявления они 
превращаются в риски «нетто», поскольку уже могут предлагаться 
мероприятия по их уменьшению. Например, организация 
впервые столкнулась с тем, что один из менеджеров 
по продажам скопировал себе клиентскую базу, затем уволился 
и открыл свою фирму, переманивая клиентов у своего 
прежнего работодателя. Поскольку подобное событие произошло 
впервые, следует говорить о риске «брутто». Для того 
чтобы данный риск перешел в разряд «нетто», руководство 
должно проанализировать происшествие и принять меры, направленные 
на уменьшение вероятности повторения события 

Щербак А.В.

(например, установление более справедливого процента 
с продаж уменьшает стимул к похищению клиентской базы) 
и на уменьшение отрицательных последствий (например, ведение 
каждым менеджером своей отдельной базы без предоставления 
доступа к базе всей организации уменьшает объем 
информации, которая может быть украдена одним лицом).
К сожалению, не всегда удается оценить риск количественно. 
В таких случаях прибегают к качественным оценкам 
(например, «высокий риск», «низкий риск», «угроза дальнейшему 
существованию» и т.д.). Часто риск характеризуют 
произведением вероятности события на величину последствий. 
однако более показательно использовать не произведение, 
а комбинацию, поскольку произведение недостаточно 
информативно и может, например, не позволить оценить 
преимущества новой рискованной технологии. Кроме того, 
риски достаточно редко оцениваются точечными значениями, 
чаще используются границы значений. На точечные значения 
можно полагаться только в тех случаях, когда есть надежная 
база для вычислений. Например, сельскохозяйственное предприятие 
на основе данных, накопленных за 150 лет, знает, что 
в данной местности один раз в пять лет бывают заморозки 
в августе, а урожай созревает в конце августа. Тогда руководство 
может оценить риск точечно, так как частота негативного 
события (0,2) и ущерб (стоимость потерянного урожая) 
могут быть определены в виде конкретных значений.
Последствия можно оценивать с помощью денежных величин (
увеличение прибыли, убытки), временных интервалов 
(период остановки конвейера, недоступности сайта) или физических 
величин (количество поврежденных компьютеров, 
уменьшение поголовья скота). В случае, если нужно комплексно 
оценить последствия, которые выражаются в разных 
единицах, бывает полезно перейти к неким безразмерным величинам (
баллам). Вообще риски могут касаться организации 
в целом или ее частей, а также могут иметь различное значение 
в разные моменты времени.

Управление рисками в сфере IT

В зависимости от количества и качества имеющейся информации 
о рисках выделяют следующие случаи:
1) «неизвестные неизвестности» — полностью неизвестные 
и потому крайне опасные риски; в рамках управления 
рисками такими случаями не занимаются;
2) «известные неизвестности» — известные, но еще не оцененные 
риски;
3) «известные известности» — известные и уже оцененные 
риски.
С растущей цифровизацией экономики IT-системы организаций 
подвергаются все большему числу рисков. Риск 
в сфере информационных технологий показывает, с какой вероятностью 
произойдет событие, связанное с IT и имеющее 
негативные материальные или нематериальные последствия 
для коммерческой деятельности предприятия и/или его 
партнеров. Как правило, эти события вызваны внутренними 
или внешними угрозами, воздействующими на слабые места 
IT-системы. они могут воздействовать кратко-, средне- или 
долгосрочно, а также вызывать полное разрушение IT-системы.

Риск в сфере информационных технологий можно рассматривать 
с двух точек зрения: как ИТ-риск — понятие тех-
ническое, включает в себя элементы IT-системы, и как риск 
информационной безопасности — понятие содержательное, 
включает в себя бизнес-процессы, данные, роли.
Учитывая, что в литературе используется большое количество 
родственных понятий (кибер-риск, информационный 
риск, риск безопасности и т.д.), то мы в дальнейшем будем 
использовать нейтральное понятие «риск». Ну а на практике 
всегда необходимо четко определять, что означает тот или 
иной риск в конкретном контексте. В организации иногда 
даже может быть целесообразно провести семинар, на котором 
следует объяснить, какие именно риски объединяет данное 
конкретное понятие, кто за эти риски отвечает и как должна 
осуществляться координация усилий.

Щербак А.В.

Типичные риски IT-системы:
1) сбой важной программы, обусловленный физическими 
помехами или целенаправленным вмешательством извне 
(риск безопасности IT);
2) кража важной информации за счет воздействия на сотрудников (
социальная инженерия, риск информационной 
безопасности);
3) целенаправленное воздействие на веб-приложение, которое 
имеет слабое место (кибер-риск);
4) прослушивание линии связи (риск информационной 
безопасности);
5) нарушение патентов при программировании, если это 
привело к ограничению доступности приложения или к возникновению 
новых рисков использования (риск безопасности IT);
6) существенные задержки или разногласия в важном IT-
проекте (риск безопасности IT).

1.2. ОПаСНОСТИ, уГРОЗы И СлабыЕ мЕСТа 
В ИНфОРмацИОННых ТЕхНОлОГИЯх

опасность и угроза являются центральными понятиями 
управления рисками в информационных технологиях. опасность 
можно определить как абстрактное описание негативных 
обстоятельств, которые невозможно или очень сложно 
просчитать и которые влекут за собой ущерб. Угроза — реальная 
опасность, то есть имеет привязку к конкретному времени, 
месту, людям, организациям и т.п. она влияет на доступность, 
целостность и конфиденциальность информации 
и может стать причиной ущерба. Угрозы можно систематизировать 
следующим образом.
1. Непреодолимая сила. Это угрозы, на которые не могут 
повлиять люди и организация в целом. Например, это силы 
природы, войны и т.п.
2. Действия людей. Это неосторожные или целенаправленные 
действия. Такие угрозы становятся известны, если, 

Управление рисками в сфере IT

например, данные клиентов или иные конфиденциальные 
данные попадают в открытый доступ.
3. Технические проблемы. Возникают из-за старения материалов, 
недопустимых условий эксплуатации и т.п. Например, 
старение носителя данных на сервере может привести 
к потере данных.
Каждая угроза имеет собственный уровень значимости. 
он определяется по действию на непрерывность работы предприятия.

Конечно, угрозы являются причиной негативного воздействия 
на предприятие и причиной возникновения рисков. 
Но предприятие может подвергнуться риску только при наличии 
слабых мест. Слабое место — это одно из центральных 
понятий управления рисками в информационных технологиях.

Слабое место характеризует состояние недостаточности 
мероприятий по контролю риска. оно описывает связь между 
риском, относящимися к нему угрозами и осуществляемыми 
мероприятиями. Слабое место позволяет угрозе на самом 
деле воздействовать на предприятие, его IT-инфраструктуру 
и бизнес-процессы. оно является опасной характеристикой 
IT-системы. Слабые места тоже можно классифицировать.
1. Технические слабые места. Сюда относятся IT-инфраструктура, 
технические компоненты, приложения и т.д. Например, 
приложение может быть написано с ошибками, оборудование 
может иметь плохую конструкцию, климатическая 
установка серверной может иметь недостаточную мощность 
и т.д.
2. Человеческие слабые места. Сюда относятся все люди, 
как-то связанные с нашей IT-системой. Например, персонал, 
ответственный за информационную безопасность, может 
иметь недостаточную квалификацию или быть подверженным 
влиянию социальной инженерии.
3. организационные слабые места. Сюда относится все, 
что регулирует деятельность. Например, доступ админис-

Щербак А.В.

тратора не защищен паролем, и все сотрудники могут получить 
полный доступ к серверу. Другой пример — передача 
через интернет в незашифрованном виде файла, содержащего 
конфиденциальную информацию.
оценивать значение слабых мест все труднее из-за растущей 
сложности информационных технологий и все более 
глубокого их проникновения. Для оценки необходима признанная 
система критериев. Примером такой системы является 
Common Vulnerability Scoring System, которая на сегод-
няшний день существует в версии 3.0. Система предусматривает 
оценку слабых мест с разных сторон, выделяют три 
группы показателей (метрик):
1) качественная оценка уязвимости (не зависит от времени 
и программного обеспечения);
2) показатели, характеризующие реакцию производителя 
уязвимого продукта с момента обнаружения слабого места 
до его устранения;
3) показатели, учитывающие требования к конкретной 
системе, в которой работает уязвимый продукт.
Если существует слабое место, через него в любой момент 
может произойти атака. Атаки, как правило, проводятся 
умышленно и связаны с неправомочным и нежелательным 
действием. При этом организации наносится вред и/или нападающий 
может создать для себя какие-то преимущества 
или нанести вред третьим лицам. Атаки могут проводиться 
по чьему-то поручению.
Направление атаки — логический путь к точке атаки. Возможные 
направления атаки: путь из интернета через межсетевой 
экран (точка атаки), внутрисетевые роутеры к системе 
управления конвейером (цель атаки); путь через локальную 
консоль администратора (точка атаки) в вычислительный 
центр к центральному серверу данных (цель атаки).
Когда направление атаки дополняется выбранной техникой 
для атаки, то говорят о векторе атаки. Примеры: путь 
через экс плойт (инструмент атаки) в программный код опе-