«Cost-benefit analysis, это не про то, чтобы найти «самую выгодную защиту». А про то, чтобы понять, какая именно часть вашего ИБ-бюджета работает и приносит реальный эффект, вместо того чтобы имитировать активность. На российском рынке, опутанном 152-ФЗ и ФСТЭК, это часто превращается в формальность: закупили СОВ, поставили галочку. Но стоимость владения и реальная польза — совсем разные вещи, и мы их почти никогда не считаем. Настало время.»
Метод cost-benefit analysis, или анализ «затраты-выгода», в информационной безопасности часто воспринимается как непозволительная роскошь. Причина в том, что траты на ИБ, это статья бюджета, которая не приносит прибыли, а только помогает её сохранить. А значит, оценить ROI («окупаемость» или возврат на вложения) для средств защиты очень трудно. Поэтому многие ограничиваются формальным соответствием требованиям — установили рекомендованное средство защиты, отчитались, поставили на обслуживание. Периодически его обновляют.
Такой подход создаёт иллюзию безопасности. Технические средства и организационные меры тихо накапливаются в инфраструктуре, образуя цифровые долги и скрытые уязвимости. Эффективность одних мер перекрывается устареванием других, а команда тратит ресурсы на поддержку устаревших или малоэффективных систем.
Парадокс затрат на ИБ
Типичная ситуация в российской ИТ-индустрии: компания следует требованиям регулятора. Например, реализует меры из приказов ФСТЭК или стремится к соответствию 152-ФЗ. Выбираются средства защиты из рекомендованного перечня, часто по остаточному принципу — «что есть на рынке, что одобрено». Точка выбора смещается с «что максимально эффективно» на «что минимально соответствует требованию». А дальше начинается самое главное: стоимость владения.
Сама цена лицензии для СОВ или DLP, это лишь вершина айсберга. Компания платит за внедрение, обучение персонала, операционную поддержку, обновление сигнатур, разработку и доработку правил, интеграцию с другими системами. И каждый рубль, вложенный в поддержку малоэффективного инструмента,, это рубль, изъятый у бюджета на реальные угрозы.
Что измерять вместо «безопасности»
Прямо измерить «уровень безопасности» невозможно. Но можно и нужно измерять конкретные метрики, которые косвенно говорят об эффективности контроля.
Для разных типов controls подходят разные метрики:
- Для DLP-систем: количество истинных инцидентов утечек, обнаруженных системой, против процента ложных срабатываний. Обнаружила ли система реальную утечку или только завалила отдел ИБ событиями о «подозрительных» действиях рядового сотрудника?
- Для СОВ: среднее время обнаружения реальной атаки, процент автоматически отработанных инцидентов. Или система фиксирует тысячи событий, из которых десяток — реальная кибератака, затерявшаяся в шуме.
- Для криптографических средств (СКЗИ): частота успешной и прозрачной для пользователя аутентификации/шифрования, количество сбоев, требующих ручного вмешательства.
- Для организационных мер: время, затрачиваемое сотрудниками на соблюдение процедуры. Если новая политика паролей заставляет всех писать пароли на стикерах, её «стоимость» для безопасности выше, чем польза.
Как проводить cost-benefit анализ для российского контекста
Процесс можно разделить на несколько этапов.
Этап 1. Каталогизация Controls
Составьте полный перечень всех средств защиты в организации, включая организационные меры (политики, инструкции). Для каждого укажите:
- Назначение и декларируемую функцию (например, «защита от утечек», «контроль периметра»).
- Прямые затраты: лицензии, подписка.
- Косвенные затраты (TCO — Total Cost of Ownership): трудозатраты на поддержку, обучение, доработку, интеграцию.
- Регуляторные требования (если применимо): 152-ФЗ, ФСТЭК, отраслевые стандарты.
Этап 2. Количественная оценка выгоды
Выгода в ИБ, это предотвращённый ущерб. Оценить его можно через моделирование рисков.
- Определите актуальные сценарии угроз для вашего бизнеса.
- Оцените потенциальный финансовый ущерб от материализации угрозы: простой, штрафы регулятора, затраты на расследование, репутационные потери.
- Определите, какой процент этого ущерба потенциально снижает рассматриваемое средство защиты. Например, DLP теоретически снижает ущерб от утечки на 70%, так как предотвращает часть каналов.
Формула для упрощённого расчёта: Выгода = (Вероятность_угрозы × Потенциальный_ущерб) × Эффективность_средства.
Пример: Вероятность DDoS-атаки – 20% в год. Потенциальный ущерб от простоя сервиса – 1.5 млн руб. Ущерб, который предотвращает WAF, – 60% от общего. Годовая выгода от WAF = 0.20 × 1 500 000 × 0.60 = 180 000 руб.
Этап 3. Сопоставление с TCO
Сведите данные в таблицу для наглядности:
| Средство защиты | Прямые затраты (в год) | TCO (в год) | Оценка предотвращённого ущерба (выгода, в год) | Коэффициент (Выгода / TCO) |
|---|---|---|---|---|
| DLP-система | 500 000 руб. | 1 200 000 руб. | 400 000 руб. | 0.33 |
| Обновлённый WAF | 200 000 руб. | 350 000 руб. | 180 000 руб. | 0.51 |
| Ежеквартальные тренинги по ИБ | 80 000 руб. | 80 000 руб. | 150 000 руб. | 1.88 |
Коэффициент меньше 1 говорит о том, что на поддержку средства тратится больше, чем оно приносит пользы в текущей конфигурации и с текущими угрозами.
Этап 4. Принятие решений и оптимизация
Полученные данные — не приговор, а основа для действий. Не обязательно сразу отказываться от средства с низким коэффициентом.
Возможные действия:
- Тюнинг и оптимизация: Возможно, DLP показывает низкую эффективность из-за избыточных правил и шума. Пересмотр политик и обучение системы может резко повысить её реальную пользу.
- Консолидация: Если у вас несколько однотипных средств от разных вендоров, обслуживание которых «съедает» бюджет, возможна консолидация на одной платформе.
- Аутсорсинг или SOC как услуга: Для сложных средств вроде СОВ, где требуются редкие экспертные навыки, передача мониторинга и реагирования внешнему SOC может снизить TCO и повысить качество.
- Полный отказ: Решение для устаревших или нишевых инструментов, угрозы от которых ушли в прошлое, а поддержка осталась. Например, защита от специфического вектора, который уже не атакуют.
Ключевое правило: решение об отказе от средства, прямо требуемого регулятором (152-ФЗ, ФСТЭК), невозможно без его замены на альтернативный, одобренный контроль. Анализ помогает обосновать выбор среди разрешённых альтернатив.
Где cost-benefit анализ бесполезен, а где критически важен
CBA не панацея. В некоторых случаях цифры будут слишком спекулятивными.
Бесполезно применять для базовых, фундаментальных мер, без которых работа невозможна. Например, анализ «окупаемости» системы резервного копирования — занятие в вакууме. Её отсутствие рано или поздно приведёт к катастрофе, а её наличие — необходимое условие, а не опция.
Критически важен анализ для ситуаций выбора:
- Выбор между вендорами средств защиты. Когда оба соответствуют требованиям ФСТЭК, но TCO и потенциальная эффективность различаются в разы.
- Приоритизация проектов ИБ. На что направить ограниченный бюджет в первую очередь: на новую DLP или на модернизацию системы аутентификации?
- Обоснование расходов перед руководством. Сухие цифры о предотвращённом ущербе часто убедительнее абстрактных рассуждений о растущих киберугрозах.
Итог: управление, а не соответствие
Cost-benefit analysis, это инструмент перехода от позиции «мы соответствуем требованиям» к позиции «мы управляем своей безопасностью осознанно». В российских реалиях, где регуляторика задаёт жёсткий каркас, легко спрятаться за этим каркасом и перестать думать. Казалось бы, всё есть по приказу ФСТЭК. Но реальную устойчивость к атакам создают не отчёты, а выверенные, работающие и экономически обоснованные controls.
Расчёт затрат и выгод заставляет задавать неудобные вопросы: «А почему мы платим за это столько?», «А что эта система реально предотвратила за последний год?», «Может быть, эти деньги принесли бы больше пользы в другом месте?». Ответы на них — и есть управление информационной безопасностью как бизнес-активом, а не как обузой.