«Перестать платить за безопасность» звучит как призыв к безрассудству. На деле это смена парадигмы: переход от пассивной покупки статуса «защищён» к активному управлению, где каждая копейка тратится на снижение конкретного риска. Выходишь из роли клиента вендора и становишься архитектором собственной защищённости. В России, где регуляторный диалог с ФСТЭК и по 152-ФЗ часто строится вокруг «списков необходимых средств», этот сдвиг болезненный, но единственный путь к реальной, а не бумажной, безопасности.
Система сломалась: рынок продаёт обещания, а не безопасность
Типичная закупка средств защиты информации (СЗИ) в корпоративном секторе следует предсказуемому сценарию. Уязвимость в софте вендора. Процесс поставки безопасности в компании выглядит так:
- Тревога: Появляется новость об уязвимости в популярном корпоративном софте. Или регулятор выпускает новую методичку с рекомендациями.
- Запрос: Руководство или отдел ИБ требует «закрыть дыру» или «соответствовать требованиям».
- Поиск решения: Отдел закупок или ИБ ищет на рынке «средство защиты от X». Вендоры предлагают продукты с громкими названиями: «Защита от целевых атак», «Платформа киберустойчивости», «Система предотвращения утечек».
- Закупка и внедрение: Продукт покупается и внедряется «как у всех» или как рекомендовал вендор. Формируется отчёт о выполнении требований.
- Стагнация: Система работает в фоновом режиме. Отчёты генерируются, сигналы иногда просматриваются. Фактическая эффективность остаётся неизмеренной. Риски не пересчитываются.
Платёж здесь, это плата за обещание безопасности. За статус «у нас есть система», за галочку в отчёте для проверяющих органов ФСТЭК. Деньги уходят, но связь между этими затратами и реальным снижением угроз для бизнес-процессов компании часто остаётся недоказанной, гипотетической. Вендоры продают функционал (флажки в техническом задании), а не результат (снижение вероятности инцидента на Y% для актива Z).
Язык рисков: на чём говорит бизнес и регулятор
Чтобы выйти из этого тупика, нужен общий язык. Таким языком между техническими специалистами, руководством и регулятором становится язык управления рисками. 152-ФЗ прямо закрепляет подход, основанный на оценке вреда и принятии мер, соразмерных этому вреду. ФСТЭК в своих методиках также оперирует категориями угроз и уязвимостей.
Проблема в том, что на практике эта оценка часто носит формальный характер. Составляется реестр информационных активов, к каждому привязываются шаблонные угрозы из приказов ФСТЭК, назначаются условные вероятности и ущербы. Полученные цифры редко используются для принятия решений о закупках. Процесс идёт в обратную сторону: сначала выбирается модный или рекомендованный продукт, а затем под него «подгоняется» обоснование рисков.
Настоящее измерение рисков начинается с ответа на конкретные вопросы бизнеса:
- Если на сутки откажет система расчёта заработной платы, какой финансовый ущерб понесёт компания? Включая репутационные потери и штрафы.
- Какая вероятность, что злоумышленник получит доступ к базе данных персональных данных клиентов? Не абстрактно, а с учётом текущего состояния периметра, прав доступа и активности сотрудников.
- Какой максимальный ущерб возможен от утечки проектной документации нового продукта?
Ответы на эти вопросы — не догадки, а результаты моделирования, анализа инцидентов в отрасли и аудита собственных систем. Они дают количественную, измеримую основу для диалога.
От продуктов к контрмерам: что покупаем на самом деле
Когда известны ключевые риски (например, риск компрометации учётных записей сотрудников с доступом к финансовым системам), фокус смещается с «покупки DLP» на «внедрение контроля доступа и мониторинга аномальных действий». Это принципиально разный подход к составлению технического задания.
Вместо списка продуктов формируется перечень необходимых контрмер (мер защиты). Каждая контрмера должна напрямую влиять на один или несколько факторов риска: снижать вероятность реализации угрозы или минимизировать возможный ущерб.
Пример трансформации:
| Старый подход (покупка обещания) | Новый подход (покупка снижения риска) |
|---|---|
| Закупить систему предотвращения утечек (DLP) для соответствия 152-ФЗ. | Внедрить меры по снижению риска несанкционированной передачи конфиденциальных данных. Меры включают: технический контроль каналов передачи (DLP-ядро), организационные процедуры работы с данными, сегментацию сети, мониторинг действий привилегированных пользователей. |
| Установить межсетевой экран нового поколения (NGFW) для «усиления периметра». | Снизить риск несанкционированного доступа извне к внутренним сервисам. Реализовать: сегментацию сети на основе бизнес-логики, строгие правила фильтрации на границе, регулярный аудит правил, мониторинг попыток несанкционированного доступа. |
Во втором случае продукт (DLP, NGFW) — лишь один из инструментов в арсенале. Его эффективность можно измерить в контексте общей задачи: на сколько процентов после внедрения комплекса мер снизилась оценка вероятности утечки? Выросло ли среднее время обнаружения попытки? Эти метрики становятся ключевыми показателями эффективности (KPI) для службы ИБ, а не просто фактом наличия системы.
Диалог с регулятором: от отчётности к демонстрации управления
Страх перед проверками ФСТЭК — один из главных двигателей рынка «обещаний». Компании стремятся купить именно те сертифицированные продукты, которые, как считается, гарантируют прохождение проверки. Это приводит к неэффективным тратам, когда под требования закона подбирается максимально дорогое и комплексное решение, а не оптимальное.
Переход на риск-ориентированный подход меняет и эту динамику. Вместо папки с сертификатами на стеллажи СЗИ инспектору можно продемонстрировать живую систему управления информационной безопасностью:
- Документированную модель угроз для критических информационных активов.
- Реестр рисков с количественными оценками и назначенными владельцами.
- План обработки рисков, где каждая запланированная контрмера (включая закупаемые средства) обоснована расчётом снижения риска и соотношением затрат к эффекту.
- Протоколы измерений и метрики, показывающие эффективность уже внедрённых мер (например, снижение количества успешных фишинговых атак после проведения тренингов и внедрения почтового шлюза).
Такой подход показывает регулятору, что компания не формально выполняет требования, а осознанно управляет своей безопасностью. Это более зрелая позиция, которая часто находит понимание. Более того, многие методические рекомендации ФСТЭК прямо предусматривают возможность выбора мер защиты, адекватных выявленным рискам, а не тотальное применение всего списка.
Практика: как начать измерять, а не верить на слово
Сдвиг не происходит за один день. Это последовательный процесс изменения культуры и процессов внутри компании.
- Начните с одного критического актива. Выберите не всю инфраструктуру, а одну ключевую систему: платёжный шлюз, базу данных с персональными данными, систему управления производством. Сконцентрируйтесь на ней.
- Смоделируйте реалистичные угрозы. Откажитесь от абстрактных списков. Проведите сессию с архитекторами, разработчиками и бизнес-владельцами системы. Каким образом её работу могут нарушить? Кто может быть заинтересован в краже данных из неё? Используйте методологии типа STRIDE или сценарии из отраслевых отчётов.
- Оцените ущерб в деньгах или в критичности для бизнеса. Подсчитайте не только прямые затраты на восстановление, но и потери от простоя, репутационный вред, размер потенциальных штрафов по 152-ФЗ.
- Проанализируйте текущее состояние защиты. Какие меры уже применяются? Проведите пентест или аудит безопасности конкретно для этого актива. Выявите реальные, а не предполагаемые, уязвимости.
- Рассчитайте текущий уровень риска. Пусть первые оценки будут грубыми (низкий/средний/высокий). Важна не абсолютная точность цифры, а сравнительный анализ.
- Определите целевые контрмеры. Для каждой ключевой угрозы определите 2-3 наиболее эффективные меры. Одна может быть технической (внедрение WAF), другая — организационной (введение четырёхглазого принципа для утверждения изменений), третья — связанной с обучением.
- Просчитайте эффективность и стоимость. Насколько каждая мера снизит вероятность или ущерб? Сколько будет стоить её внедрение и сопровождение? Здесь появляется основа для обоснования закупки: мы тратим X рублей, чтобы снизить риск с уровня «высокий» до «умеренный», что эквивалентно предотвращению потенциальных потерь в размере Y рублей в год.
- Внедряйте, измеряйте, пересчитывайте. После внедрения мер не останавливайтесь. Замеряйте новые метрики: количество блокированных атак на WAF, скорость реакции на инциденты, результаты повторного аудита. Пересчитайте уровень остаточного риска. Этот цикл — суть управления.
Что изменилось на самом деле
Перестав «платить за безопасность», вы не отказались от защиты. Вы начали инвестировать в её конкретные, измеримые аспекты. Бюджет ИБ перестаёт быть чёрным ящиком, который ежегодно поглощает деньги на обновление лицензий. Он становится инструментом управления, где каждая статья расходов напрямую связана с защитой конкретной бизнес-ценности и снижением конкретного риска.
Диалог с вендорами меняется с фундаментально. Вместо вопроса «Что делает ваш продукт?» вы задаёте вопрос: «Как ваш продукт поможет мне снизить вероятность инцидента типа А для актива Б на величину, которую я смогу измерить?». Это отсекает маркетинговую шелуху и заставляет говорить на языке результатов.
Внутри компании служба ИБ трансформируется из центра затрат в команду, управляющую рисками. Её ценность доказывается не количеством купленных «коробок», а графиками снижения ключевых рисков и предотвращённого ущерба.
В условиях российского регуляторного поля этот путь — не лёгкий выбор. Он требует больше аналитической работы на старте, смелости отходить от «проверенных» шаблонов и готовности выстраивать содержательный диалог с регулятором. Однако именно он ведёт от иллюзии защищённости, купленной за деньги, к реальной, выстроенной на знании своих слабых мест и системной работе над ними. В конечном счёте, вы платите не меньше — вы платите осознанно, получая взамен не обещание, а управляемую и понятную картину безопасности своего бизнеса.