Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Киберриски в рублях: как обосновать бюджет на кибербезопасность

Обновлено 07.07.2026 04:38

 

Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС

Сайт: legascom.ru

Email: petukhov@legascom.ru

Сегодня регуляторы требуют от бизнеса не просто фиксировать угрозы, а считать потери от киберинцидентов в деньгах. Компании обязаны оценивать потенциальный ущерб - от прямых финансовых потерь до репутационных издержек. Невыполнение требований грозит штрафами и даже приостановкой деятельности. При этом 60 % российских компаний не могут точно рассчитать возможный ущерб - из‑за этого инвестиции в кибербезопасность либо недостаточны, либо неэффективны.

Как разорвать порочный круг

Проблема возникает из‑за разрыва между бизнесом и ИБ: технические специалисты не умеют обосновывать затраты, а руководство не видит масштаба угроз. В результате решения принимаются интуитивно, а ресурсы распределяются нерационально.

Решение - ущерб‑ориентированный подход. Его суть в том, чтобы оценивать не сами угрозы, а их бизнес‑последствия. В основе подхода лежат два инструмента:

BIA (Business Impact Analysis) - помогает измерить потенциальный ущерб от сбоев критических процессов.

CRQ (Cyber Risk Quantification) - позволяет выразить киберриски в финансовой величине.

С их помощью команда отвечает на ключевые вопросы: какие процессы приносят основную выручку, сколько стоят простои и штрафы, какие IT‑активы критичны для бизнеса. Это даёт базу для выбора мер защиты, плана аварийного восстановления и формирования бюджета на ИБ.

От разового отчёта к работающей системе

Регуляторы ждут не единичный документ, а доказательство, что управление рисками - непрерывная часть корпоративного управления. Для этого нужно:

синхронизировать циклы оценки киберрисков с операционными и стратегическими рисками;

внедрить понятные KPI, которые показывают снижение уровня риска и эффективность защиты;

объединить данные об активах, уязвимостях и инцидентах в единую картину.

Так кибербезопасность становится стратегической функцией - и напрямую влияет на устойчивость и инвестиционную привлекательность бизнеса.

Почему целостной картины часто нет

На практике CISO и риск‑менеджеры сталкиваются с тремя основными проблемами:

Информационные разрывы. Данные разбросаны по разным системам: активы - в устаревшей CMDB, уязвимости - в отчётах сканеров, инциденты - в тикетной системе, требования регуляторов - в файлах на общем диске. Из‑за этого сложно быстро оценить влияние новой уязвимости на бизнес‑процессы.

Операционная неэффективность. Любое изменение в ИТ‑инфраструктуре требует ручного пересчёта десятков сценариев - часто в Excel. Подготовка отчёта превращается в многодневный сбор данных.

Тактическая разобщённость. Команды работают изолированно: риск‑менеджмент не видит данных аудита, а специалисты по непрерывности - актуальных критических рисков. Это приводит к дублированию усилий и противоречивым решениям.

В результате CISO не может дать руководству простые и понятные ответы: насколько компания стала безопаснее за квартал и куда выгоднее инвестировать в первую очередь.

Цикл управления рисками и ключевые параметры

Эффективное управление строится как непрерывный трёхлетний цикл:

На старте задаются параметры: риск‑аппетит, шкала критичности ущерба, цели управления рисками.

Выявляются стратегические риски кибербезопасности.

Ежегодно проводится переоценка актуальных сценариев и работа с контрмерами.

В конце цикла оценивается достижение целей и корректируются параметры.

Риск‑аппетит утверждает руководство и фиксирует допустимый уровень негативных последствий (например, лимит ущерба). На его основе определяют приемлемый остаточный риск.

Шкала критичности ущерба классифицирует последствия по типам (финансовые, репутационные и др.) и уровням значимости. Это позволяет единообразно оценивать риски.

Цели управления рисками формулируют ожидаемые результаты в среднесрочной перспективе - например, удержание негативных последствий в пределах риск‑аппетита.

Практические инструменты анализа

Для построения системы управления рисками используют несколько методов:

Карта актуальных угроз строится для каждого актива на базе стандартов (ISO/IEC 27005:2022, NIST, ФСТЭК России) с учётом модели угроз, типа актива и его характеристик.

Выявление уязвимостей опирается на типизацию IT‑активов и готовые перечни уязвимостей по методологии.

Сценарный анализ рассматривает комбинации четырёх факторов: актив, угроза, уязвимость, нарушитель. Из‑за большого количества возможных сценариев важно использовать автоматизированные инструменты.

PESDTREL‑анализ помогает оценить полный спектр последствий киберинцидента: политические, экономические, социальные, оборонные, технологические, репутационные, экологические и правовые. Такой подход позволяет прогнозировать каскадные эффекты и действовать на опережение.

Примеры из практики

DDoS‑атаки. Если рассматривать их как бизнес‑риск, появляются чёткие цифры: минута простоя может стоить 2 млн рублей из‑за остановленных сделок, нарушение SLA - 5 млн рублей штрафа, а утрата доверия - потери 15 % клиентов. Так техническая проблема становится основанием для стратегических решений.

Производственное предприятие. Внедрение управления непрерывностью бизнеса позволяет не останавливать критические процессы при кибератаке: используются резервные мощности, работает схема резервирования данных, персонал действует по отработанным сценариям. В результате вместо многомиллионных убытков компания несёт лишь небольшие временные затраты на переключение режимов.

Крупная ИТ‑компания. Здесь управление рисками становится естественной частью каждого стратегического решения: при запуске продукта автоматически оцениваются киберриски, инвестиции в ИТ согласуются с риск‑аппетитом, а показатели киберустойчивости входят в KPI топ‑менеджеров. Безопасность перестаёт быть только статьёй расходов и становится конкурентным преимуществом.

Вывод

Ущерб‑ориентированный подход трансформирует кибербезопасность из «технической функции» в измеримый инструмент защиты прибыли. Когда ИБ‑специалисты говорят с бизнесом на языке финансовых последствий, а руководители видят реальную стоимость киберугроз, меняется сама роль CISO: он становится стратегическим партнёром, способным экономически обосновать инвестиции и показать влияние рисков на бизнес‑процессы. Управление киберрисками - это не разовая акция, а непрерывный цикл, который делает работу службы ИБ прозрачной, измеримой и значимой для всей компании.