«Количественная оценка, это не магия и не слепая вера в цифры. Это попытка превратить интуицию и опыт в язык, понятный для расчётов и решений. Если качественная оценка отвечает на вопрос «что может случиться?», то количественная — «с какой вероятностью и во что это нам обойдётся?». Её главная цель — не получить идеально точное число, а создать основу для сравнения: какой риск больше, какие меры защиты окупятся, а какие — нет. Без этого обосновать бюджет на безопасность перед руководством или выбрать приоритеты из списка в сотню угроз практически невозможно.»
От теории к практике: зачем считать риски в цифрах
Количественная оценка часто воспринимается как нечто сложное и избыточное, особенно в российском ИТ-контексте, где требования регуляторов часто сводятся к формальному выполнению списков мероприятий. Однако за формальным подходом скрывается простая экономическая логика: ресурсы на безопасность всегда ограничены. Без количественной оценки невозможно определить, стоит ли тратить миллион на защиту от угрозы, потенциальный ущерб от которой оценивается в сто тысяч.
Такой подход напрямую перекликается с логикой 152-ФЗ и документами ФСТЭК, которые, по сути, требуют от организации обоснованного подхода к защите информации. Качественный анализ (выявление угроз и уязвимостей), это лишь первый шаг. Количественная же оценка превращает выявленные риски в аргументы для управленческих решений.
Фундамент: что нужно сделать до подсчётов
Попытка сразу перейти к цифрам обречена на провал. Количественная оценка строится на результатах предыдущих этапов.
1. Определение актива и его ценности
Актив, это то, что нужно защищать. Это не только серверы и базы данных, но и репутация, клиентская база, уникальные бизнес-процессы. Стоимость актива редко равна его балансовой стоимости. Она складывается из:
- Прямых финансовых потерь: стоимость восстановления оборудования, выплаты штрафов (например, за нарушение 152-ФЗ), компенсации клиентам.
- Косвенных потерь: упущенная выгода из-за простоя, расходы на PR-кампанию по восстановлению репутации, рост стоимости страхования.
- Нематериального ущерба: потеря доверия партнёров, уход ключевых специалистов, снижение капитализации бренда.
Оценить нематериальные активы сложнее всего, но их игнорирование делает оценку рисков неполной. Для ИТ-системы, обрабатывающей персональные данные, её ценность может быть приравнена к максимальному размеру штрафа по 152-ФЗ, умноженному на вероятность его применения регулятором, плюс оценка репутационных потерь.
2. Качественный анализ угроз и уязвимостей
Это этап, когда вы составляете список конкретных сценариев: «Что, если злоумышленник, используя уязвимость в веб-приложении (CVE-XXXX-XXXX), получит доступ к базе данных с персональными данными?». Без такого списка нечего оценивать количественно. Источниками для анализа служат не только общедоступные базы уязвимостей, но и отраслевые отчёты, инциденты в вашей же организации и у коллег по рынку.
Ключевые метрики: из чего складывается цифра риска
Классическая формула выглядит просто: Риск = Вероятность × Ущерб. Однако за этой простотой скрывается основная сложность — как измерить каждую из составляющих.
Оценка вероятности (Frequency или Likelihood)
Вероятность, это не абстрактный процент, а частота возникновения инцидента за определённый период (например, раз в год). Её можно оценивать несколькими способами:
- Статистически: если у вас есть данные по инцидентам за несколько лет. Для новых угроз или систем этот способ малоприменим.
- Экспертно: опрос внутренних специалистов (архитекторов, администраторов, специалистов по безопасности) и внешних экспертов. Ключ — в усреднении и обосновании мнений. Вопрос должен звучать не «Какова вероятность?», а «Как часто, по вашему опыту, подобный инцидент может происходить в подобной системе?».
- По косвенным факторам: высокая активность угрозы в вашем сегменте, наличие готовых эксплойтов в открытом доступе, низкая сложность атаки по шкале CVSS — всё это повышает вероятность.
Часто используется качественная шкала, которая затем конвертируется в числовые значения для расчётов. Например:
| Качественная оценка | Интерпретация | Примерная частота (раз в год) | Числовое значение |
|---|---|---|---|
| Очень высокая | Инцидент почти неизбежен в течение года | >1 | 1.0 |
| Высокая | Вполне вероятно, может произойти | 0.1 — 1 | 0.5 |
| Средняя | Может произойти за несколько лет | 0.01 — 0.1 | 0.1 |
| Низкая | Маловероятно, но нельзя исключать | 0.001 — 0.01 | 0.01 |
| Очень низкая | Крайне маловероятно в обозримом будущем | <0.001 | 0.001 |
Оценка ущерба (Impact)
Ущерб, это финансовый эквивалент последствий реализации угрозы. Оценивать нужно не максимально возможный ущерб (worst-case scenario), а наиболее вероятный (expected loss). Для этого рассматривают несколько сценариев:
- Оптимистичный: инцидент быстро обнаружен и локализован, ущерб минимален.
- Наиболее вероятный: инцидент развивается по стандартному сценарию с типичными для организации потерями.
- Пессимистичный: реализуется каскадный сбой, срабатывают все негативные факторы.
Финансовый расчёт должен включать все компоненты, описанные в разделе про ценность актива. Например, для утечки данных клиентов:
- Прямые затраты: штраф от Роскомнадзора (по 152-ФЗ для юрлиц — до 300 тыс. руб., но при повторном нарушении — до 1 млн руб.), стоимость уведомления клиентов, услуги юристов.
- Косвенные: отток клиентов (оценивается как процент от клиентской базы, умноженный на средний доход с клиента), рост затрат на привлечение новых.
- Нематериальные: снижение доверия (может быть выражено через рост числа отказов от сотрудничества со стороны партнёров).
Итоговый ущерб часто представляет собой не одно число, а диапазон. Для расчётов используют среднее значение по наиболее вероятному сценарию или специальные методы вроде анализа Монте-Карло, который моделирует тысячи сценариев с разной вероятностью.
Методы расчёта: от простых к сложным
Матрица рисков
Самый распространённый и интуитивно понятный метод, часто рекомендуемый в методиках ФСТЭК. Вероятность и ущерб оцениваются по качественной шкале (например, от 1 до 5). Пересечение строки и столбца даёт уровень риска (низкий, средний, высокий). Недостаток метода — субъективность и низкая точность для сравнения рисков с близкими значениями. Он хорошо подходит для первичного ранжирования, но плохо — для расчёта бюджета.
Формула ALE (Annual Loss Expectancy)
Более строгий метод, пришедший из финансового риск-менеджмента. Рассчитывается как: ALE = SLE × ARO.
- SLE (Single Loss Expectancy) — ожидаемый ущерб от одного инцидента в денежном выражении.
- ARO (Annual Rate of Occurrence) — ежегодная частота возникновения инцидента (вероятность).
Пример: Утечка данных из CRM (SLE = 2 000 000 руб., включая штрафы, компенсации и репутационные потери) с вероятностью 1 раз в 10 лет (ARO = 0.1). Тогда ALE = 2 000 000 × 0.1 = 200 000 руб. в год. Это значит, что с экономической точки зрения ежегодные затраты на защиту от этой угрозы не должны превышать 200 тыс. руб., иначе они станут нецелесообразными. ALE — мощный инструмент для обоснования затрат.
Анализ «затраты-выгода» для средств защиты
Количественная оценка рисков становится практичным инструментом, когда её используют для выбора контрмер. Формула проста: Эффективность меры = (ALE до внедрения – ALE после внедрения) – Годовая стоимость меры.
Если результат положительный, мера экономически оправдана. Если отрицательный — вы тратите на защиту больше, чем потенциально сэкономите. При этом «ALE после внедрения» никогда не бывает нулевым — остаточный риск есть всегда.
Особенности в контексте регуляторики 152-ФЗ и ФСТЭК
Официальные методики российских регуляторов часто делают акцент на качественной оценке. Однако требование об «обоснованности принимаемых мер защиты информации» (прямо закреплённое в 152-ФЗ) открывает дорогу для количественных аргументов. Используя ALE, можно обосновать, почему для защиты конкретного информационного ресурса выбраны одни технические меры (например, DLP-система), а не другие, более дорогие.
Важный нюанс — оценка рисков для систем, обрабатывающих персональные данные, должна в обязательном порядке учитывать санкции регуляторов как компонент ущерба. При этом вероятность проверки и наложения штрафа — не абстрактная величина. Её можно грубо оценить, исходя из статистики Роскомнадзора по вашему региону и отрасли, публичности компании и истории предыдущих инцидентов.
Отчёт об оценке рисков, подкреплённый расчётами ALE и анализом «затраты-выгода», выглядит для проверяющих органов значительно убедительнее, чем стандартная таблица с качественными оценками «высокий/средний/низкий».
Типичные ошибки и как их избежать
- Ошибка точности: стремление получить «точную» цифру. Все оценки носят вероятностный характер. Цель — не точность до копейки, а корректный порядок величин для сравнения.
- Игнорирование «хвостовых» рисков: фокусировка только на высоковероятных, но низкоущербных рисках, в то время как основная финансовая угроза может таиться в маловероятных, но катастрофических событиях (например, полное уничтожение ЦОД).
- «Замыливание взгляда»: использование одних и тех же шаблонных значений вероятности и ущерба для всех активов. Каждая система уникальна.
- Отрыв от бизнеса: проведение оценки силами только ИТ-специалистов без привлечения финансового департамента, юристов и руководителей бизнес-направлений для оценки реального ущерба.
Инструменты и следующее действие
Расчёты можно вести в Excel или Google-таблицах, создав свою модель. Существуют и специализированные программные продукты для управления рисками (GRC-системы), которые автоматизируют сбор данных, расчёты и построение отчётов.
Конечный результат количественной оценки — не просто таблица с цифрами. Это документ, который:
- Даёт приоритизированный список рисков, ранжированных по их потенциальному финансовому воздействию (ALE).
- Содержит обоснование для выбора или отказа от конкретных мер защиты на языке финансов.
- Служит основой для регулярного пересмотра рисков: при изменении системы, появлении новых угроз или после реализации инцидентов цифры необходимо актуализировать.
Начинать стоит не со сложных моделей, а с оценки одного-двух ключевых рисков по методу ALE. Это позволит понять логику процесса и получить первые аргументы для диалога с руководством о необходимости системного подхода к управлению рисками информационной безопасности.