23.11.2025 17:24
Zabuza34 0 170 Источник

На связи CISO Дмитрий Бабчук, и сегодня я хотел бы поговорить о метриках информационной безопасности — о том, какие из них действительно доносят ценность ИБ до бизнеса, а какие остаются просто техническими цифрами в отчетах.


Роль Директора по информационной безопасности (CISO) кардинально изменилась за последнее десятилетие. Если раньше это был «технический жрец», отвечающий за брандмауэры и антивирусы, то сегодня это стратегический лидер, который должен говорить на одном языке с советом директоров и генеральным директором. А язык этот — риск, деньги и репутация.

Ключевой инструмент для этого диалога — метрики. Но не все метрики одинаково полезны. Докладывая о «проценте заблокированных фишинговых писем» или «количестве срабатываний SIEM», можно быстро потерять внимание аудитории, чьи мысли заняты выручкой, акционерами и рыночной долей.

Итак, с какими же метриками современный CISO должен приходить к своему руководству?

Эволюция отчета CISO: От «что сломалось» к «какие риски мы контролируем»

Чтобы понять, какие метрики нужны, нужно осознать, какие вопросы задает руководство:

  1. Насколько мы защищены? (Общая картина рисков)

  2. Куда мы вкладываем наши деньги и почему? (Обоснование бюджета и ROI)

  3. Справляемся ли мы с инцидентами? (Эффективность операционной деятельности)

  4. Соответствуем ли мы требованиям? (Комплаенс и репутационные риски)

  5. Готовы ли мы к будущему? (Стратегическая зрелость)

Исходя из этих вопросов, все метрики можно разделить на четыре ключевых блока.

Блок 1: Метрики бизнес-риска (Самое важное для Совета Директоров)

Эти метрики переводят технические события на язык бизнес-последствий.

1. Ключевые показатели рисков (KRIs — Key Risk Indicators)
Это опережающие индикаторы, показывающие, растет или снижается наш уровень риска.

  • Примеры:

    • Количество критических уязвимостей в внешней периметре: Показывает «поверхность атаки». Рост этого показателя — прямой сигнал о повышении вероятности взлома.

    • Среднее время устранения критических уязвимостей (от обнаружения до патча): Демонстрирует операционную эффективность. Даже если уязвимости есть, быстрое их устранение резко снижает риск.

    • Количество привилегированных учетных записей с неотслеживаемой активностью: Показывает риск инсайдерской угрозы или компрометации учетных данных.

    • Уровень риска сторонних поставщиков (количество поставщиков с «красным» уровнем риска): Показывает, насколько наши партнеры угрожают нашей среде.

2. Моделирование финансового воздействия
Вместо того чтобы говорить «мы можем быть атакованы», CISO должен говорить «в случае успешной атаки типа ransomware, наши финансовые потери могут составить X млн рублей». Для этого используются модели, такие как FAIR (Factor Analysis of Information Risk).

  • Что показывать руководству:

    • Смоделированные потери для ТОП-5 сценариев угроз: Ransomware, утечка данных клиентов, выход из строя критической системы.

    • Сравнение стоимости внедрения контроля и потенциальных потерь: Это лучший способ обосновать бюджет. «Внедрение контроля X за 2 млн рублей снижает вероятность инцидента на 70%, что эквивалентно экономии 15 млн рублей потенциальных убытков».

3. Показатели осведомленности и культуры безопасности
Человеческий фактор — ключевое звено. Но вместо «прошли обучение 95% сотрудников» нужно показывать результат.

  • Примеры:

    • Уровень кликабельности в фишинговых симуляциях (и его динамика): Показывает, становятся ли сотрудники более бдительными.

    • Количество сообщений от сотрудников о подозрительных письмах: Рост этого показателя — позитивный сигнал о росте культуры безопасности.

Блок 2: Метрики эффективности программы ИБ (Для CEO и Операционного руководства)

Эти метрики отвечают на вопрос «хорошо ли мы работаем?» и управляют операционной деятельностью.

1. Время — главный враг: Метрики скорости и эффективности реагирования

  • Mean Time to Detect (MTTD): Среднее время от начала атаки до ее обнаружения. Стремимся снижать.

  • Mean Time to Respond (MTTR): Среднее время от обнаружения до полного устранения последствий. Стремимся снижать.

  • Пример для отчета: «В этом квартале наш MTTD составил 24 часа (улучшение на 30% к прошлому кварталу), а MTTR — 48 часов. Наша цель — выйти на показатели 12 и 24 часа к концу года».

2. Эффективность контроля
Вместо «мы включили новую систему» — «наша новая система дает такой-то эффект».

  • Примеры:

    • Эффективность EDR: Процент автоматически заблокированных угроз от общего числа обнаруженных.

    • Процент зашифрованных устройств: Показывает готовность к риску потери данных.

    • Уровень успешности тестов резервного копирования и восстановления: Показывает реальную готовность к атаке ransomware.

3. Затраты и эффективность инвестиций (ROI)

  • Соотношение затрат на ИБ к общим IT-расходам: Отраслевой бенчмарк, который помогает понять, адекватен ли наш уровень инвестиций.

  • Стоимость одного инцидента: Позволяет оцифровать ущерб и показать, как новые инвестиции снижают эту стоимость.

Блок 3: Метрики комплаенса и зрелости (Для Аудиторов и Регуляторов)

Эти метрики демонстрируют соблюдение внешних и внутренних требований.

  • Уровень соответствия стандартам: Процент выполнения требований GDPR, PCI DSS, 152-ФЗ, ISO 27001 и т.д. (например, «выполнено 198 из 210 требований, уровень соответствия — 94%»).

  • Количество несоответствий по результатам аудитов и динамика их закрытия.

  • Уровень зрелости программы ИБ (по шкале, например, CMMI): Показывает стратегический прогресс. «За год мы перешли с «стихийного» уровня зрелости на «управляемый».

Как правильно подать метрики: Искусство дашборда для руководства

Самый эффективный способ — это единый дашборд на одной-двух страницах, визуализирующий ключевые метрики. Принципы его создания:

  1. Цветовая палитра: «Светофор».

    • Зеленый: Все в порядке, риск приемлем.

    • Желтый: Требует внимания и мониторинга.

    • Красный: Критическая ситуация, требуется немедленное вмешательство и решение.

  2. Фокус на тренды, а не на абсолютные значения. График, показывающий, как MTTD снижается из квартала в квартал, гораздо красноречивее сухой цифры «24 часа».

  3. Контекст и интерпретация. Рядом с каждой метрикой должна быть краткая аннотация: «Почему это важно?», «Что это значит для бизнеса?», «Какие наши действия?».

    Пример:

    • Метрика: Количество критических уязвимостей в CRM-системе.

    • Значение: 5 (▼ на 40% с прошлого месяца).

    • Интерпретация для бизнеса: Снижение риска перебоев в работе с клиентами и утечки их данных. Наша программа патч-менеджмента работает эффективно.

    • Рекомендация: Продолжить текущие практики, запланировать пентест на следующий квартал.

  4. Связь с бизнес-целями. В начале отчета всегда должна быть фраза: «Для поддержки нашей стратегической цели по запуску нового цифрового продукта, мы фокусируемся на следующих рисках безопасности...».

Чего делать нельзя: Токсичные метрики

  • Количество срабатываний IDS/IPS: Это «шум», который не говорит ни о чем, кроме нагрузки на аналитиков.

  • Процент заблокированного фишинга: 100% недостижим и не отражает реальной угрозы, которая проскользнула.

  • Количество установленных заплаток: Не важно, сколько, важно — на каких системах и как быстро.

Заключение

Современный CISO — это не инженер, а переводчик и стратег. Он переводит язык киберугроз на язык бизнес-рисков. Метрики — его главный инструмент в этом деле.

Идеальный отчет CISO для руководства — это не технический документ, а краткий, визуальный, ориентированный на будущее дашборд, который:

  • Показывает общую картину рисков.

  • Объясняет эффективность инвестиций.

  • Демонстрирует операционную готовность.

  • Доказывает стратегическую ценность отдела информационной безопасности для достижения бизнес-целей компании.

Только такой подход позволяет перейти от роли «центра затрат» к статусу стратегического бизнес-партнера, который защищает компанию сегодня и позволяет ей безопасно развиваться завтра.

Комментарии (0)