«Чтобы получить бюджет на безопасность, недостаточно говорить на языке угроз. Нужно говорить на языке денег. Но деньги требуют точных цифр, а в безопасности их почти никогда нет. ROSI и другие методы — это не калькуляторы для поиска истины, а набор линз, через которые можно показать руководству, как снижение рисков превращается в реальную экономию или избежание убытков.»
Почему классический ROSI рушится в реальных условиях
В основе большинства учебных материалов лежит модель ожидаемого годового ущерба (ALE). Это чистая теория вероятностей: перемножить оценку ущерба от одного инцидента на частоту его возникновения. Разница между ущербом «до» и «после» внедрения защиты за вычетом её стоимости и даёт ROSI — возврат на инвестиции в безопасность.
ROSI = ((ALE * Коэффициент снижения риска) - Стоимость контрмеры) / Стоимость контрмерыФормально логика безупречна, но на практике каждая переменная превращается в допущение. Частоту целевых атак для конкретного бизнеса нельзя предсказать по прошлогодней статистике. Ущерб — это не только восстановление серверов, но и простои, штрафы от Роскомнадзора, потеря клиентов. Коэффициент снижения риска для новой системы DLP или антивируса — часто результат оптимистичных предположений.
Презентовать такие расчёты руководству — верный способ потерять доверие. Мнимые точные цифры при первом же вопросе разваливаются, дискредитируя не только проект, но и саму идею экономического обоснования. Классический ROSI остаётся инструментом для внутренних гипотез, но не для защиты бюджета.
Методы, которые работают с неопределённостью, а не игнорируют её
Когда прямое вычисление не работает, на помощь приходят более адаптивные подходы. Их общая черта — отказ от иллюзии точности в пользу прагматичных сравнений и вероятностных оценок.
Ориентация на отраслевые траты (Benchmarking)
Если сложно оценить свои уникальные риски, можно оттолкнуться от рынка. Метод отвечает на простой вопрос: сколько тратят похожие компании? Данные берутся из отраслевых отчётов или аналитики.
Аргумент смещается с гипотетической экономии на позицию соответствия практике. Это понятно бизнесу: мы не отстаём и не становимся самым лёгким объектом для атаки в своей нише. Но здесь кроется ловушка — усреднённые показатели игнорируют специфику. У компании могут быть уникальные критические активы, требующие особых вложений, или, наоборот, избыточные траты на ненужные в её контексте технологии.
Сравнение решений по критерию «эффективность/стоимость»
Когда перевести риск в рубли не получается, можно сравнить альтернативные средства защиты между собой. Вопрос ставится иначе: какой вариант даёт наибольшее снижение риска на каждый вложенный рубль?
Риск измеряется не в валюте, а в баллах на основе оценки угроз и уязвимостей. Для каждого рассматриваемого решения (например, разных вендоров DLP) оценивается совокупная стоимость владения на 3–5 лет и ожидаемый эффект (по результатам тестов или экспертных заключений). Выбирается вариант с лучшим соотношением. Этот метод не доказывает необходимость трат вообще, но помогает максимально эффективно распределить уже утверждённый бюджет.
Вероятностное моделирование (Метод Монте-Карло)
Это прямой ответ на главную слабость ALE. Вместо подстановки одного числа для частоты или ущерба, для каждого параметра задаётся вероятностный диапазон — от минимально до максимально возможного значения с наиболее вероятной серединой. Алгоритм проводит тысячи симуляций, каждый раз случайно выбирая значения из этих диапазонов и пересчитывая итог.
На выходе — не одно число, а спектр возможных результатов с их вероятностью. [ИЗОБРАЖЕНИЕ: График распределения вероятности возможных значений ROSI. По горизонтали — процент ROSI, по вертикали — вероятность. Кривая показывает, что наиболее вероятные значения группируются в районе 20-40%, а вероятность отрицательного результата (убытка) составляет небольшую площадь под кривой слева от нуля].
Это позволяет говорить на языке доверительных интервалов: «С вероятностью 90% отдача от проекта составит от 15% до 60%» или «Вероятность того, что инвестиция окажется в минусе, не превышает 5%». Такая аргументация честнее и устойчивее, так как не скрывает неопределённость, а управляет ею.
Фреймворк для подготовки обоснования: от угрозы до цифр
Выбор метода вторичен. Первична — системная подготовка данных. Последовательность шагов превращает разрозненные факты в связную историю для принятия решения.
| Этап | Суть | Ключевые вопросы | Что использовать |
|---|---|---|---|
| 1. Фокусировка | Определить, что именно защищается и от какой конкретной угрозы. | Какой процесс или данные под угрозой? Вымогатели, утечка данных, саботаж? | Реестр активов, модель угроз, история инцидентов. |
| 2. Оценка текущего риска | Понимание масштаба проблемы без новых вложений. | Каков потенциальный ущерб? Какова вероятность? Насколько работают текущие меры? | Оценки рисков, данные аудитов, отраслевая статистика. |
| 3. Анализ решений | Выбор контрмеры и оценка её влияния на риск. | Насколько снижается вероятность или ущерб? Есть ли побочные выгоды — автоматизация, комплаенс? | Техническая документация, пилотные проекты, экспертиза. |
| 4. Расчёт полной стоимости | Учёт всех затрат, не только цены закупки. | Капзатраты (лицензии, внедрение)? Операционные расходы (поддержка, обучение, администрирование)? | КП, модели TCO, оценка трудозатрат. |
| 5. Калькуляция выгоды | Сравнение сокращённого риска с понесёнными затратами. | На сколько снижается ALE? Какова величина предотвращённых штрафов? Итоговый ROSI или иной показатель? | Модель на основе данных предыдущих этапов. |
Качественные аргументы: что решает в российском контексте
Чистая математика часто упускает факторы, которые в условиях российского регулирования становятся определяющими.
- Комплаенс как обязательное условие. Требования 152-ФЗ и приказов ФСТЭК делают внедрение отдельных средств защиты не предметом обсуждения, а обязанностью. В этом случае выгода — это избежание не абстрактных рисков, а конкретных санкций: крупных штрафов, предписаний, вплоть до приостановки обработки данных. Этот предотвращённый ущерб должен быть первой строкой в экономическом расчёте.
- Защита репутации и доверия. Утечка персональных данных или длительный простой услуг подрывают доверие. Хотя оценить это сложно, можно использовать косвенные метрики: стоимость привлечения нового клиента взамен ушедшего, снижение лояльности действующих. В некоторых отраслях репутационный ущерб многократно превышает прямые потери.
- Операционные улучшения. Внедрение современных систем часто даёт побочные выгоды. SOAR-платформа автоматизирует рутинные ответы, экономя время аналитиков. SIEM может быстрее выявлять не только атаки, но и сбои в инфраструктуре. Эти эффекты стоит попытаться перевести в экономию ФОТ или снижение простоев.
- Влияние на киберстрахование. Наличие сертифицированных средств защиты и отлаженных процессов управления инцидентами — веский аргумент для снижения годовой премии по полису киберстрахования. Получаемая ежегодная экономия — прямая финансовая выгода от инвестиций в ИБ.
Собирая картину: ROSI как инструмент для диалога
Итоговая цифра ROSI — не самоцель. Ценность методик в том, что они структурируют хаос. Они заставляют ИБ-специалиста думать не только о технических спецификациях, но и о бизнес-процессах, реальных угрозах и полной стоимости владения.
Успешное обоснование — это не презентация с самым высоким процентом возврата. Это документ, где каждое допущение обосновано, качественные факторы учтены, а границы неопределённости чётко обозначены. Такой подход превращает запрос бюджета из просьбы о финансировании в обсуждение управления корпоративными рисками на понятном для бизнеса языке.