Ключевые метрики для оценки эффективности программы информационной безопасности

от

Эффективность программы ИБ — абстракция, которую пытаются измерить сотней KPI, но реальность показывают 5–7 ключевых. Если их нет, отчеты для руководителей превращаются в набор красивых графиков, не связанных с бизнес-рисками. Погоня за идеальными цифрами приводит к тому, что сотрудники просто начинают их ‘играть’, и реальная безопасность падает.

Что измерять: метрики результата vs. метрики работы

Основная ошибка — путать процесс и результат. Метрики процесса показывают, как мы работаем: сколько патчей установлено, сколько сотрудников прошло обучение, как часто обновляются политики. Они важны для операционного контроля, но не отвечают на главный вопрос: стала ли компания безопаснее? Руководитель может видеть 100% закрытых уязвимостей и при этом быть взломанным через фишинг.

Метрики результата фокусируются на конечном состоянии: снижение уровня риска, уменьшение частоты инцидентов, сокращение времени их обнаружения и устранения. Их сложнее собирать, но именно они отражают реальную эффективность. Программа ИБ должна оцениваться по балансу: процессные метрики, это механизм управления, а результативные — итоговая оценка для совета директоров.

Уровни метрик: от оператора до совета директоров

Разные уровни управления требуют разного представления данных.

Операционный уровень (специалисты ИБ, SOC)

  • MTTD (Mean Time to Detect) — среднее время обнаружения инцидента.
  • MTTR (Mean Time to Respond/Remediate) — среднее время на реакцию и устранение.
  • Количество ложных срабатываний в системах мониторинга.
  • Процент охвата систем средствами защиты (EDR, DLP, SIEM).

Тактический уровень (руководитель ИБ, CISO)

  • Уровень киберриска в денежном выражении (например, через модели FAIR).
  • Динамика количества и тяжести инцидентов по категориям.
  • Процент выполнения плана работ по ИБ (Roadmap).
  • Средняя стоимость одного инцидента.

Стратегический уровень (топ-менеджмент, совет директоров)

  • Исполнение требований регуляторов (152-ФЗ, ФСТЭК, ФСБ). Оценивается не просто факт наличия документов, а полнота и актуальность реализованных мер защиты.
  • Влияние ИБ на бизнес-показатели: защищенность данных клиентов, бесперебойность ключевых сервисов, сохранность коммерческой тайны.
  • Репутационные риски — потенциальные убытки от публикации в СМИ о нарушениях.
  • Бюджет ИБ как процент от ИТ-бюджета или выручки компании (сравнительный анализ с рынком).

Ключевые групп метрик для российской регуляторики

В условиях обязательного выполнения требований ФСТЭК и 152-ФЗ часть метрик становится не рекомендацией, а необходимостью для отчетности. Но их можно превратить из формальности в инструмент управления.

Защита персональных данных (152-ФЗ)

  • Процент ИСПДн, для которых проведена актуализация модели угроз и оценка рисков.
  • Время между обнаружением уязвимости в системах обработки ПДн и её устранением.
  • Количество инцидентов с утечкой ПДн и процент из них, о которых было сообщено в Роскомнадзор в установленный срок.

Защита государственных информационных систем (требования ФСТЭК)

  • Соответствие средств защиты информации (СЗИ) аттестованным образцам.
  • Процент выполненных мероприятий по плану защиты информации.
  • Результаты регулярного контроля эффективности СЗИ (например, тестирование на проникновение).

Общие для регуляторов

  • Уровень зрелости процессов ИБ (оценка по методикам, например, на основе требований ФСТЭК).
  • Полнота и актуальность организационно-распорядительной документации (положений, регламентов, инструкций).

Метрики, которые чаще всего игнорируют

  • Индекс устаревания инфраструктуры. Доля серверов и сетевого оборудования с прекращенной поддержкой вендора. Это прямой индикатор роста риска, который часто маскируется высокими метриками по установке патчей.
  • Скорость развертывания средств защиты в новых проектах. Время от старта разработки нового сервиса до включения его в зону действия базовых средств защиты (WAF, мониторинг). Показывает, насколько ИБ встроено в процессы разработки.
  • Удовлетворенность внутренних «клиентов». Регулярные опросы разработчиков и бизнес-подразделений на тему понятности требований ИБ и скорости согласования.
  • Эффективность автоматизации. Процент рутинных операций в SOC (например, обработка однотипных алертов), переданных на автоматическое исполнение. Снижает MTTD/MTTR и высвобождает силы на сложные угрозы.

Как организовать сбор и визуализацию

Сбор метрик не должен превращаться в рутину, отнимающую больше времени, чем сама работа по ИБ. Практичный подход — децентрализованный сбор данных с агрегацией в единой панели.

  • Источники данных: системы мониторинга (SIEM), тикет-системы (для инцидентов и уязвимостей), системы управления ИТ-активами (CMDB), платформы автоматизации (SOAR), HR-системы (для обучения).
  • Панель управления (Dashboard): создайте три ключевых дашборда — операционный (на уровне SOC), тактический (для CISO) и стратегический (красочный и лаконичный для руководства). Главное правило для стратегического — один экран, без необходимости скроллить. Используйте светофорную систему (зеленый/желтый/красный) для быстрого восприятия.

Типичные ошибки при внедрении

  1. Измерять всё подряд. 50+ метрик никому не нужны. Начните с 5-7 ключевых, имеющих прямое отношение к целям бизнеса и снижению рисков.
  2. Менять метрики каждые полгода. Это лишает возможности увидеть долгосрочную динамику. Метрики должны быть стабильными.
  3. Привязывать метрики напрямую к премии без контекста. Это провоцирует сотрудников и отделы на манипуляции данными, чтобы «выполнить план» в ущерб реальной безопасности.
  4. Не объяснять смысл метрик бизнесу. Руководитель финансового департамента не обязан понимать, что такое MTTD. Ему нужно объяснить это как «время, за которое мы обнаруживаем атаку, чтобы минимизировать ущерб». Говорите на языке бизнес-последствий.

Заключение

Программа ИБ без измеримых метрик, это дорогостоящее мероприятие с неясным итогом. Ключ к успеху — перестать измерять активность и начать измерять влияние на риск. Российский контекст требует особого внимания к метрикам регуляторного соответствия, но и их можно сделать содержательными. Выберите небольшой набор ключевых индикаторов на каждом уровне, обеспечьте их надежный сбор и главное — используйте полученные данные для принятия решений, а не просто для отчетов. Тогда метрики превратятся из бюрократии в реальный инструмент повышения безопасности.

Оставьте комментарий