Измерение реальных рисков как KPI для CISO

от

«Показатель должен показывать результат, а не активность. Если метрики заставляют команду заниматься счётной бюрократией или «ставить галочки» вместо реального снижения угроз, они не просто бесполезны — они вредны. Задача CISO — не создать иллюзию безопасности, а измерить и управлять риском. KPI — это инструмент для этого управления, а не самоцель.»

Зачем CISO нужны KPI и почему это сложно

Совет директоров не спрашивает о сканере уязвимостей, он спрашивает о рисках для операционной деятельности, выручки и репутации. KPI руководителя службы информационной безопасности — это механизм перевода технических данных в бизнес-последствия, понятные неспециалисту.

Основная сложность в самой сути функции: её успех — это отсутствие инцидентов и ущерба. Невозможность предъявить «результат» в привычном для бизнеса формате ведёт к попыткам измерять активность: количество установленных обновлений, проведённых проверок, созданных отчётов. Такие метрики не отражают реальной безопасности, но провоцируют команду на игру в цифры. Например, патчить старые тестовые серверы, чтобы улучшить статистику по закрытым уязвимостям, вместо работы с критическими пробелами в корпоративных системах.

Задача — выстроить показатели, которые будут отражать не активность отдела, а изменение уровня риска, который эта деятельность призвана снизить.

Базовые принципы построения KPI для CISO

Прежде чем выбирать цифры, стоит зафиксировать несколько правил, которые уберегут от метрик, не имеющих управленческого смысла.

  • Привязка к бизнес-рискам. Каждый KPI должен прямо отвечать на вопрос: «К какому из признанных бизнесом рисков это относится?». Например, риск простоя ERP-системы, риск утечки базы заказчиков, риск блокировки операций из-за предписания регулятора.
  • Измеримость через данные, а не мнения. «Высокий уровень зрелости» — не KPI. «Внедрены 18 из 23 контрольных точек из методики ФСТЭК для системы 1-го класса» — измеримый факт, основанный на данных аудита.
  • Контролируемость CISO. Показатель должен находиться в зоне прямого влияния руководителя службы безопасности. «Количество нуле-дней в мире» — нет. «Время установки критических обновлений на серверах категории 1» — да.
  • Ориентация на итог, а не на процесс. «Проведено 20 обучений» — это процесс. «После цикла обучения 90% сотрудников филиала А прошли тест на знание политик работы с ПДн» — измеримый итог процесса.

Структура KPI: четыре ключевых блока

Показатели стоит группировать по направлениям ответственности. Эта структура покрывает основные аспекты работы руководителя службы ИБ в российской компании, находящейся под действием регуляторных требований.

1. Стратегические и управленческие KPI

Эти метрики показывают, насколько безопасность встроена в бизнес как управляемая функция, а не как пожарная команда, реагирующая на события.

  • Выполнение дорожной карты. Процент завершённых стратегических инициатив за отчётный период. Например, внедрение SOC второго уровня, миграция на отечественные средства защиты информации, реализация требований новых приказов ФСТЭК. Показывает исполнение плана, утверждённого руководством.
  • Бюджетная эффективность. Соотношение освоенного бюджета к плановому, а также показатели возврата на инвестиции для ключевых проектов. Например, снижение средних операционных потерь на один инцидент после внедрения платформы автоматического реагирования (SOAR).
  • Уровень вовлечённости топ-менеджмента. Измеряется через регулярность проведения и состав участников комитета по безопасности, процент стратегических инициатив, получивших финансирование.

[ИЗОБРАЖЕНИЕ: Диаграмма-карта, на которой слева — бизнес-цели (запуск онлайн-сервиса, цифровизация процессов), в центре — цели ИБ (обеспечение отказоустойчивости, защита персональных данных), справа — конкретные KPI (время восстановления RTO, процент охвата критических активов СЗИ).]

2. KPI по снижению рисков и уязвимостей

Техническое ядро, которое должно быть напрямую связано с вероятностью и потенциальным ущербом от инцидентов.

  • Среднее время устранения критических и высоких уязвимостей (MTTR). Не общее количество установленных патчей, а скорость закрытия дыр, эксплуатация которых может привести к существенному ущербу. Метрика требует предварительной классификации активов по критичности.
  • Покрытие критической инфраструктуры средствами контроля. Процент серверов, рабочих станций и сетевых сегментов, охваченных системами обнаружения аномалий, SIEM, решениями класса EDR. Позволяет выявлять «слепые зоны» в защите.
  • Эффективность реагирования. Среднее время от появления индикатора до обнаружения (MTTD) и до локализации (MTTR) для инцидентов высокой критичности. Снижение этих показателей напрямую влияет на операционные и репутационные потери.

3. KPI по соответствию требованиям

Особенно критично для работы в рамках 152-ФЗ, приказов ФСТЭК и отраслевых стандартов. Эти метрики показывают формализацию и легитимизацию защиты.

  • Динамика несоответствий по аудитам. Не просто количество, а тенденция. Рост числа критических несоответствий — красный флаг. Важно учитывать контекст — расширение зоны аудита может дать временный рост.
  • Процент реализованных обязательных мер защиты. Например, доля выполненных требований из приказа ФСТЭК №17 для информационной системы, обрабатывающей персональные данные. Показывает прогресс в формализации защиты, а не просто наличие политик.
  • Время исполнения предписаний регулятора. Если пришло предписание Роскомнадзора или ФСТЭК, как быстро служба безопасности обеспечивает выполнение корректирующих действий и закрытие нарушения.

4. KPI по культуре безопасности

Человеческий фактор остаётся ключевым вектором атак, и его состояние нужно измерять.

  • Результаты тестирования на фишинг. Не просто процент кликов, а процент сотрудников, которые не только не поддались, но и корректно сообщили об атаке в службу безопасности. Полезно отслеживать снижение повторных попаданий одних и тех же людей.
  • Активность обратной связи от сотрудников. Количество легитимных обращений в службу ИБ с вопросами или сообщениями о подозрительных событиях. Рост говорит о росте осведомлённости и доверия, а не только об увеличении количества угроз.
  • Индекс вовлечённости в программу ИБ. Составная метрика, которая может включать прохождение ежегодного обучения, результаты итоговых тестов, участие во внутренних расследованиях по запросу.

Примеры конкретных метрик и как их считать

От принципов к рабочим формулам. Вот несколько примеров для разных контекстов.

Направление Конкретная метрика Формула / Как считать Целевое значение (пример)
Снижение рисков Взвешенная экспозиция к риску Σ (Вероятность инцидента × Потенциальный финансовый ущерб) для 10 ключевых бизнес-активов. Вероятность и ущерб оцениваются по шкале 1-5 на основе данных SIEM и внутренних данных об активах. Снижение на 20% за год
Операционная эффективность Уровень автоматизации реагирования (Количество инцидентов, обработанных по playbook без ручного вмешательства / Общее количество инцидентов) × 100% Увеличить с 10% до 35% за год
Соответствие Выполнение требований 152-ФЗ Количество реализованных обязательных мер защиты / Общее количество применимых обязательных мер × 100% 100% для актуального состояния ИС
Культура безопасности Коэффициент сообщений о фишинге Количество сообщений от сотрудников о тестовых и реальных атаках / Количество отправленных тестовых фишинг-писем × 100% >30% (каждый третий тест вызывает осознанную реакцию)

Целевые значения устанавливаются не интуитивно, а на основе базового замера, доступных ресурсов команды и приоритетов бизнеса на текущий период. Например, если основной риск года — запуск нового цифрового сервиса, фокус KPI смещается в сторону тестирования безопасности приложений (DevSecOps) и покрытия новой инфраструктуры.

Чего не должно быть в KPI для CISO: типичные ошибки

Некоторые метрики создают ложное ощущение контроля и провоцируют вредное поведение, отвлекая от реальных угроз.

  • «Ноль инцидентов». Нереалистичная цель, ведущая к сокрытию проблем и занижению классификации событий. Лучше измерять скорость и качество реакции на неизбежные инциденты.
  • «Количество заблокированных атак/спама». Бессмысленная и легко накручиваемая статистика. Объём событий на межсетевом экране не отражает реальной угрозы и зависит от настроек.
  • Процессуальные KPI без оценки результата. «Все политики пересмотрены раз в год». Без проверки, что они актуальны, доведены до сотрудников и исполняются, это бюрократическая активность, а не результат.
  • Метрики, находящиеся вне зоны контроля. Например, «общее количество утечек в отрасли». На это повлиять невозможно, это фон, а не показатель эффективности.

[ИЗОБРАЖЕНИЕ: Инфографика с двумя колонками: «Вредные KPI» (с примерами: «0 инцидентов», «10 000 заблокированных IP», «100% охват базовым обучением») и «Полезные KPI» (с примерами: «MTTR для критических уязвимостей < 7 дней», «Доля ложных срабатываний в SOC снижена на 15%», «95% сотрудников сообщают о подозрительных письмах»).]

Как внедрить и пересматривать KPI

KPI — живой инструмент, который требует регулярной калибровки и пересмотра, иначе он быстро устаревает.

  1. Согласование с ключевыми стейкхолдерами. Показатели должны быть понятны и приняты генеральным директором, финансовым директором, советом директоров. Без этого KPI останутся внутренней кухней отдела ИБ и не будут использоваться для управленческих решений.
  2. Определение источников данных и ответственных. У каждой метрики должен быть чёткий источник: SIEM, система управления уязвимостями, тикет-система, LMS. И назначенный ответственный за сбор и верификацию данных.
  3. Установка периода отчётности. Стратегические метрики (бюджет, дорожная карта) — поквартально или раз в полгода. Операционные (инциденты, уязвимости) — ежемесячно. Культурные — раз в квартал.
  4. Плановый пересмотр и адаптация. Раз в год — обязательный анализ. Не привели ли KPI к нежелательному поведению? Не устарели ли они в связи с изменением модели угроз, появлением новых бизнес-направлений или ужесточением регуляторных требований?

KPI и личная ответственность руководителя службы ИБ

В российском правовом поле ответственность руководителя за безопасность информации закреплена в КоАП и УК РФ. Правильно выстроенные и задокументированные KPI могут выполнять роль доказательной базы, демонстрирующей, что CISO принимал разумные и достаточные меры для защиты в рамках своей компетенции.

Поэтому в метрики полезно включать не только факт выполнения, но и документально зафиксированное обоснование управленческих решений. Например, KPI может отражать, что для унаследованной некритичной системы был принят и утверждён бизнес-владельцем остаточный риск с компенсирующими мерами, так как её полная модернизация экономически нецелесообразна. Это показывает процесс принятия решений на основе оценки рисков (risk-based decision making), что является ключевым аргументом при проверках.

В конечном итоге, грамотные KPI переводят безопасность из категории неизмеримой «страховки» в категорию управляемого бизнес-процесса. Они позволяют руководителю службы ИБ говорить с руководством на одном языке, аргументировать бюджет и в конечном счёте реально снижать уровень риска, а не просто отчитываться о проделанной работе.

Оставьте комментарий