От качественных оценок к цифрам: оценка рисков в Excel с помощью Монте-Карло

от

«Вместо того чтобы пытаться угадать единое значение риска, симуляция Монте-Карло показывает все возможные сценарии и вероятность каждого. Это перевод управленческих интуиций и разрозненных оценок на язык цифр, который понимают руководители и контролёры. Простейший инструмент для входа — Excel.»

Чем простая оценка риска отличается от количественной

В российской регуляторике по 152-ФЗ и требованиям ФСТЭК часто говорят об оценке рисков информационной безопасности. Но в большинстве случаев это носит качественный характер: риски ранжируются как «высокий», «средний», «низкий» на основе экспертного мнения. Такой подход субъективен. Количественная оценка ставит своей целью выразить риск в числовом виде: в рублях потерянной прибыли, в часах простоя, в вероятности реализации угрозы. Это меняет диалог с руководством и позволяет обоснованно распределять бюджет на защиту.

Ключевая проблема качественных методов — отсутствие понимания реального масштаба. Если два риска оценены как «высокие», но один может привести к убытку в 100 тысяч рублей с вероятностью 10%, а другой — к убытку в 10 миллионов с вероятностью 1%, приоритеты будут совершенно разными. Количественная оценка даёт эту ясность.

Сила метода Монте-Карло: моделирование неопределённости

В основе количественной оценки часто лежит метод Монте-Карло. Его суть не в сложных вычислениях, а в идее. Вместо того чтобы подставлять в формулу одно «самое вероятное» значение, мы признаём: многие параметры неизвестны точно. Например, время восстановления после инцидента может составлять от 2 до 48 часов. Частота успешных атак — от 1 до 5 раз в год.

Монте-Карло превращает эти неопределённости в распределения вероятностей. Алгоритм делает тысячи или десятки тысяч «прогонов» модели, каждый раз случайным образом выбирая значения для всех переменных параметров согласно заданным распределениям. В результате получается не одно число (ожидаемый убыток), а гистограмма всех возможных исходов. На выходе мы видим не только среднее значение, но и наихудшие сценарии с их вероятностью.

Это напрямую соотносится с требованием регуляторов учитывать максимально возможный ущерб. Модель показывает, какова вероятность ущерба, превышающего допустимый для компании порог.

Практический пример: оценка риска простоя веб-сервиса

Рассмотрим гипотетический риск: недоступность ключевого веб-сервиса из-за DDoS-атаки или сбоя оборудования. Чтобы оценить его количественно, нужно определить параметры модели.

Переменные и их распределения

Вместо фиксированных чисел зададим интервалы или распределения для каждой переменной:

  • Частота инцидентов в год: Экспертная оценка — от 1 до 3 раз. В модели используем равномерное распределение.
  • Длительность простоя (часы): Зависит от эффективности SOC и SLA с провайдером. Обычно от 1 до 6 часов, но с малой вероятностью может достигать 24 часов. Подойдёт треугольное распределение с минимумом 1, модой 3 и максимумом 24.
  • Стоимость простоя в час: Рассчитывается из условной потери прибыли и репутационных потерь. Допустим, это 50 000 – 200 000 рублей. Используем нормальное распределение со средним 100 000 и стандартным отклонением 30 000.

Годовая потеря = Частота * Длительность * Стоимость в час. Простая формула, но с тремя переменными величинами.

Реализация симуляции в Excel

Для запуска Монте-Карло в Excel не нужны макросы или надстройки. Достаточно встроенных функций. Создадим таблицу для 10 000 итераций.

Структура расчётной таблицы

  1. Столбец A (Итерация): Номер прогона от 1 до 10000.
  2. Столбец B (Частота): =RANDBETWEEN(1,3) или для равномерного распределения между 1 и 3: =1+RAND()*(3-1).
  3. Столбец C (Длительность): Для треугольного распределения можно использовать формулу на основе условий. Например: =ЕСЛИ(СЛЧИС()<=(Мода-Мин)/(Макс-Мин); Мин+КОРЕНЬ(СЛЧИС()*(Макс-Мин)*(Мода-Мин)); Макс-КОРЕНЬ((1-СЛЧИС())*(Макс-Мин)*(Макс-Мода))). На практике часто используют упрощение через среднее из нескольких случайных чисел.
  4. Столбец D (Стоимость/час): =НОРМ.ОБР(СЛЧИС();100000;30000) — генерирует значение из нормального распределения.
  5. Столбец E (Убыток): =B2*C2*D2 — формула годового ущерба для данной итерации.

Протянув формулы на 10 000 строк, получим массив возможных годовых убытков. Каждая пересчёт листа (клавиша F9) даёт новый набор случайных чисел и новую картину.

Анализ результатов

С помощью стандартных функций Excel проанализируем полученный массив данных в столбце E:

  • Средний ожидаемый убыток: =СРЗНАЧ(E2:E10001).
  • Медианный убыток: =МЕДИАНА(E2:E10001).
  • 95-й процентиль (наихудший сценарий с вероятностью 5%): =ПРОЦЕНТИЛЬ.ВКЛ(E2:E10001;0,95). Это значение часто используют для резервирования средств или оценки достаточности страхового покрытия.
  • Вероятность превышения порога: Например, какова вероятность, что убыток превысит 1 млн рублей? =СЧЁТЕСЛИ(E2:E10001;">1000000")/10000.

Эти цифры — основа для управленческого решения. Руководитель видит, что средний годовой риск оценивается, например, в 450 тыс. рублей, но с вероятностью 5% потери могут составить 1.8 млн. Стоит ли внедрять систему отказоустойчивости за 800 тыс. рублей в год? Модель даёт данные для такого расчёта.

От симуляции к управлению рисками в рамках 152-ФЗ

Количественная оценка через Монте-Карло — не самоцель, а инструмент для выполнения требований регуляторов более осмысленно. В соответствии с 152-ФЗ, оператор должен принимать меры, адекватные угрозам. Качественная оценка «высокий риск» может обосновать любое решение. Количественная — показывает, насколько конкретная мера (например, приобретение резервного канала связи) снижает вероятный ущерб и вероятность катастрофических сценариев.

Модель можно и нужно дорабатывать, добавляя корреляции между событиями (например, длительный простой чаще сопровождается более высокими репутационными потерями) или цепочки событий. Это превращает простую таблицу в динамическую модель угроз организации.

Главный барьер — не сложность метода, а получение исходных данных для распределений. Здесь на помощь приходят инцидент-менеджмент, метрики SOC, данные о времени восстановления из SLA. Даже приблизительные оценки, оформленные как диапазоны, дадут более честную картину рисков, чем субъективные ярлыки.

Что дальше после Excel

Excel — отличный инструмент для знакомства с методом и решения относительно простых задач. Когда модель усложняется (десятки взаимосвязанных рисков, необходимость частого пересчёта), имеет смысль посмотреть в сторону специализированных сред для статистического моделирования или скриптовых языков, таких как Python с библиотеками NumPy и SciPy. Однако принцип остаётся тем же: определение распределений, симуляция, анализ результатов. Освоив логику Монте-Карло в наглядном Excel, вы получаете фундамент для любых более сложных количественных оценок в сфере информационной безопасности и не только.

Оставьте комментарий