1С Продажа и Услуги
Коротко о главном
• Средний ущерб от одного инцидента с утечкой данных в российских компаниях составляет ~41 млн рублей по максимальным оценкам InfoWatch (2024).
• Базовая формула ROI в ИБ: ROI = (Предотвращенный ущерб - Затраты на защиту) / Затраты на защиту x 100%.
• Стандарт ГОСТ Р ИСО/МЭК 27005-2010 определяет методологии оценки рисков ИБ, на которой строится расчет экономической эффективности.
• С 30 мая 2025 года в России действуют оборотные штрафы за утечку персональных данных: от 3 до 500 млн рублей в зависимости от повторности нарушения.
• Корректный ROI проекта ИБ учитывает не только прямые финансовые потери, но и репутационный ущерб, штрафные санкции и стоимость простоя бизнеса.
Почему расчет ROI в информационной безопасности отличается от других инвестиций
Инвестиции в информационную безопасность не приносят выручки напрямую - они предотвращают потери. Именно эта особенность делает расчет ROI в ИБ нетривиальной задачей: результат измеряется не прибылью, а отсутствием убытков. Директор по информационной безопасности не может прийти к финансовому директору и сказать "мы заработали X рублей на новом антивирусе". Он может сказать другое: "без этих инвестиций мы потеряли бы Y рублей с вероятностью Z процентов".
Именно поэтому ROI в ИБ рассчитывается через концепцию предотвращенного ущерба. В англоязычной практике этот показатель называют ROSI - Return on Security Investment. Смысл тот же, что у классического ROI, но числитель формулы содержит не реализованную прибыль, а ожидаемые потери, которых удалось избежать благодаря внедренным мерам защиты.
Ключевое отличие от ИТ-инвестиций в целом состоит в том, что экономический эффект от системы защиты проявляется не постепенно, а скачкообразно - в момент отражения атаки или предотвращения инцидента. Это существенно усложняет расчет на этапе планирования и требует работы с вероятностными моделями, а не с детерминированными прогнозами.
Базовые формулы расчета ROI в информационной безопасности
ROI проекта ИБ рассчитывается по трем уровням сложности в зависимости от доступных данных и горизонта планирования.
Базовая формула выглядит следующим образом:
ROI = (ALE_до - ALE_после - Стоимость_меры) / Стоимость_меры x 100%
Здесь ALE (Annual Loss Expectancy, ожидаемые годовые потери) - это ключевой компонент, который рассчитывается отдельно:
ALE = SLE x ARO
Где SLE (Single Loss Expectancy) - ожидаемые потери от одного инцидента, ARO (Annual Rate of Occurrence) - ожидаемое количество инцидентов в год.
Пример расчета ALE: компания хранит базу данных клиентов. Ожидаемые потери от одной утечки (SLE) составляют 15 млн рублей (с учетом штрафов, устранения последствий и репутационного ущерба). По оценкам специалистов, вероятность утечки без защитных мер - один раз в два года, то есть ARO = 0,5. Тогда ALE = 15 000 000 x 0,5 = 7 500 000 рублей в год.
Расширенная формула ROSI учитывает эффективность снижения риска:
ROSI = (ALE x % снижения риска - Стоимость_решения) / Стоимость_решения x 100%
Если DLP-система стоит 2 млн рублей в год и снижает вероятность утечки на 70%, то: ROSI = (7 500 000 x 0,70 - 2 000 000) / 2 000 000 x 100% = (5 250 000 - 2 000 000) / 2 000 000 x 100% = 162,5%
Это означает, что каждый рубль, вложенный в DLP-систему, возвращает 1,62 рубля в виде предотвращенных потерь. Такой показатель однозначно говорит об экономической целесообразности инвестиции.
Для долгосрочных проектов (3-5 лет) применяется формула NPV (чистой приведенной стоимости):
NPV = -I0 + сумма по t от 1 до n: (CFt / (1+r)^t)
Где I0 - первоначальные инвестиции, CFt - денежный поток (предотвращенный ущерб минус операционные затраты) в год t, r - ставка дисконтирования (обычно 20-25% для российских компаний).
Структура затрат и выгод: что включать в расчет
Типичная ошибка при расчете ROI проектов ИБ - неполный учет как затрат, так и выгод. Неполный учет затрат ведет к завышению ROI, неполный учет выгод - к его занижению и отказу от экономически обоснованных инвестиций.
В затраты необходимо включать:
• лицензии и подписки на программное обеспечение;
• стоимость оборудования с учетом амортизации (согласно ФСБУ 6/2020 , срок полезного использования средств защиты информации обычно составляет 3-5 лет);
• затраты на внедрение и настройку;
• обучение персонала;
• стоимость технической поддержки;
• трудозатраты администраторов безопасности (рассчитываются как произведение ФОТ на долю рабочего времени, посвященного данному инструменту).
В выгоды включают несколько категорий.
1. Прямое предотвращение финансовых потерь от инцидентов. По данным InfoWatch, средний ущерб от утечки для российских компаний среднего и крупного бизнеса составляет 11,5 млн рублей, а максимальные оценки пострадавших превышают 41 млн рублей.
2. Избежание штрафных санкций. С мая 2025 года за первичный инцидент с утечкой персональных данных компании грозит штраф от 3 до 20 млн рублей, при повторном нарушении – 1% до 3% совокупной выручки за предыдущий календарный год или за часть текущего года. При этом штраф не может быть меньше 20 млн рублей и больше 500 млн. рублей.
3. Сокращение операционных затрат: автоматизация ручных процессов, сокращение времени реагирования на инциденты, снижение нагрузки на службу поддержки.
4. Стоимость непрерывности бизнеса: предотвращение простоя, который для среднего предприятия стоит от 100 тысяч до нескольких миллионов рублей в час.
Существуют также нематериальные выгоды, которые трудно оцифровать напрямую: доверие клиентов, соответствие требованиям регуляторов (комплаенс), конкурентное преимущество на тендерах, где требуется подтвержденный уровень защищенности.
Методы оценки рисков согласно ГОСТ Р ИСО/МЭК 27005-2010
Расчет ROI невозможен без корректной оценки рисков. В России методологическая база определяется стандартом ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности". Стандарт поддерживает требования ГОСТ Р ИСО/МЭК 27001-2021 и описывает итеративный процесс управления рисками.
Согласно ГОСТ Р ИСО/МЭК 27005-2010, анализ рисков может быть качественным, количественным или комбинированным. На практике большинство российских компаний используют комбинированный подход: сначала качественную оценку для приоритизации рисков, затем количественную - для наиболее критичных из них.
Качественная оценка присваивает рискам уровни (высокий, средний, низкий) на основе экспертных суждений. Количественная оценка выражает вероятность и ущерб в денежном эквиваленте. Именно количественная оценка является основой для расчета ROI.
Процесс оценки рисков по ГОСТ включает пять этапов:
✓ идентификацию активов и определение их ценности;
✓идентификацию угроз и уязвимостей;
✓ оценку вероятности реализации угроз;
✓оценку потенциального ущерба; определение итогового уровня риска как произведения вероятности на ущерб.
Дополнительно при оценке рисков и расчете ROI используют методы стандарта ГОСТ Р ИСО/МЭК 31010-2019 "Менеджмент риска. Методы оценки риска", который описывает более 40 техник, включая дерево отказов, анализ сценариев и метод Монте-Карло. Метод Монте-Карло особенно полезен для моделирования распределения возможных потерь, когда точечная оценка ущерба ненадежна.
Практический пример расчета ROI для проекта внедрения SIEM
Рассмотрим реальный сценарий для производственной компании с оборотом 500 млн. рублей в год. Компания рассматривает внедрение SIEM-системы (Security Information and Event Management) для мониторинга инцидентов ИБ.
Шаг 1. Оценка текущего уровня риска (ALE до внедрения).
Компания ежегодно сталкивается с атаками на инфраструктуру. По данным внутреннего аудита и отраслевой статистики, оценки таковы: вероятность успешной кибератаки без SIEM - 40% в год (ARO = 0,4); средний ущерб от одного инцидента - 18 млн. рублей (остановка производства на 2 дня + восстановление данных + расследование). ALE_до = 18 000 000 x 0,4 = 7 200 000 рублей в год.
Шаг 2. Оценка затрат на внедрение SIEM.
Лицензия и оборудование (ориентировочно для небольшой SIEM-системы): 4 500 000 рублей (единовременно, амортизируется 3 года = 1 500 000 рублей/год). Внедрение и настройка: 800 000 рублей (единовременно). Ежегодная техподдержка: 600 000 рублей. Трудозатраты одного аналитика SOC (0,5 ставки): 720 000 рублей/год. Итого годовые затраты (включая амортизацию): 1 500 000 + 600 000 + 720 000 = 2 820 000 рублей. В первый год добавляется стоимость внедрения: 2 820 000 + 800 000 = 3 620 000 рублей.
Шаг 3. Оценка эффективности снижения риска.
SIEM снижает вероятность успешной атаки с 40% до 12% (снижение риска на 70%). ALE_после = 18 000 000 x 0,12 = 2 160 000 рублей в год.
Шаг 4. Расчет ROI.
Первый год: ROI = (7 200 000 - 2 160 000 - 3 620 000) / 3 620 000 x 100% = 39,2%.
Второй и последующие годы: ROI = (7 200 000 - 2 160 000 - 2 820 000) / 2 820 000 x 100% = 78,7%.
NPV за 3 года при ставке дисконтирования 15%: положительный, около 4,1 млн рублей.
Срок окупаемости - примерно 14 месяцев.
Вывод: проект экономически целесообразен, особенно с учетом рисков штрафов по новому законодательству о персональных данных.
Пример расчета ROI для DLP-системы
Торговая компания с 300 сотрудниками и клиентской базой 150 тысяч человек рассматривает внедрение DLP-системы для предотвращения утечек данных.
Исходные данные для расчета.
Без DLP вероятность утечки ПДн клиентов в течение года - 25% (ARO = 0,25).
Ожидаемые потери от утечки: штраф РКН 10 млн рублей + репутационный ущерб и отток клиентов 8 млн рублей + расходы на расследование 3 млн рублей = 21 млн рублей. ALE_до = 21 000 000 x 0,25 = 5 250 000 рублей/год.
Стоимость DLP-решения: лицензия 1 200 000 рублей/год, внедрение 400 000 рублей (единовременно), поддержка входит в лицензию.
При горизонте расчета 3 года среднегодовые затраты = (1 200 000 x 3 + 400 000) / 3 = 1 333 333 рублей/год.
DLP снижает риск утечки с 25% до 5% (снижение на 80%). ALE_после = 21 000 000 x 0,05 = 1 050 000 рублей/год.
ROSI = (5 250 000 - 1 050 000 - 1 333 333) / 1 333 333 x 100% = 215%.
Дополнительный фактор: с введением оборотных штрафов за повторные утечки (до 500 млн рублей) ROI стремительно растет. Если учитывать штраф при повторном нарушении в размере 50 млн рублей с вероятностью 10%, то ALE возрастает до 9 млн рублей в год, а ROSI превышает 500%.
Особенности расчета ROI для разных типов проектов ИБ
Сравнительная таблица подходов к расчету ROI в зависимости от типа проекта:
|
Тип проекта |
Основной эффект |
Горизонт расчета |
Сложность оценки |
Когда выбрать |
|
Антивирусная защита / EDR |
Снижение числа инцидентов с вредоносным ПО |
1-2 года |
Низкая (есть статистика) |
Для всех компаний как базовый уровень |
|
SIEM / SOC |
Раннее обнаружение атак, сокращение времени реакции |
3-5 лет |
Высокая (требует моделирования) |
При сложной инфраструктуре от 100 рабочих мест |
|
DLP-система |
Предотвращение утечек данных, соответствие ФЗ-152 |
2-3 года |
Средняя (есть нормативная база) |
При работе с персональными данными и коммерческой тайной |
|
Пентест / аудит ИБ |
Выявление уязвимостей до атаки |
Разовая оценка |
Низкая |
Перед крупными проектами или по требованию регулятора |
|
Обучение персонала |
Снижение риска фишинга и социальной инженерии |
1 год |
Средняя |
При высокой доле инцидентов по вине сотрудников |
|
Резервное копирование и DR |
Сокращение времени восстановления |
3-5 лет |
Средняя |
При критичных бизнес-процессах и высокой стоимости простоя |
|
Шифрование данных |
Снижение ущерба при физической краже или утечке |
3-5 лет |
Высокая |
При мобильных рабочих местах и работе с ПДн |
Для проектов, связанных с соответствием требованиям (комплаенс), ROI рассчитывается иначе. Здесь затраты сравниваются не с вероятностным ущербом от инцидентов, а с ценой несоответствия: штрафами, предписаниями, отзывом лицензии. Если стоимость соответствия требованиям Федерального закона N 187-ФЗ "О безопасности критической информационной инфраструктуры" для конкретной компании составляет 10 млн рублей, а штраф за несоответствие и уголовная ответственность руководителя - несопоставимо выше, ROI такого проекта рассчитывается через стоимость регуляторного риска.
Типичные ошибки при расчете ROI проектов ИБ
Первая и самая распространенная ошибка - использование только прямых финансовых потерь при оценке ущерба. По данным InfoWatch, 61% компаний либо вообще не оценивают ущерб от инцидентов, либо проводят лишь общую оценку без разбивки по статьям. В результате получается заниженный ALE, а ROI системы защиты выглядит непривлекательно.
Вторая ошибка - некорректная оценка вероятности. Многие компании берут среднеотраслевую статистику, не учитывая собственный профиль угроз. Производственное предприятие и финтех-стартап имеют принципиально разные векторы атак и вероятности инцидентов. Правильный подход - проводить оценку угроз в соответствии с методологией ГОСТ Р ИСО/МЭК 27005-2010, адаптируя ее под конкретную организацию.
Третья ошибка - забывать о TCO (совокупной стоимости владения). Стоимость лицензии - лишь часть затрат. Нередко затраты на внедрение, обучение и поддержку в 2-3 раза превышают стоимость лицензии. Расчет ROI только на основе лицензионной стоимости приводит к систематическому завышению показателя.
Четвертая ошибка - игнорирование временного фактора. Внедрение защитных систем требует времени - от нескольких недель до полугода. В этот период компания несет затраты, но еще не получает защиты. Корректный расчет должен учитывать этот временной разрыв.
Пятая ошибка - расчет без учета остаточного риска. Ни одна система защиты не снижает риск до нуля. Расчет, предполагающий 100% эффективность защитного решения, нереалистичен и ведет к неверным управленческим решениям.
Как считать ROI с учетом требований российского законодательства
Российское регуляторное поле 2025 года создает значительные дополнительные стимулы для инвестиций в ИБ, которые необходимо учитывать в расчетах ROI.
Федеральный закон N 152-ФЗ "О персональных данных" с поправками 2024 года и вступившими в силу оборотными штрафами меняет математику ROI кардинально. При первичной утечке штраф составляет от 3 до 20 млн рублей, при повторной - от 20 до 500 млн рублей. Закон предусматривает также уголовную ответственность за умышленную передачу ПДн третьим лицам.
Федеральный закон N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" обязывает субъекты КИИ (энергетика, финансы, здравоохранение, транспорт и ряд других отраслей) категорировать объекты КИИ и выполнять требования по защите. Нарушение требований влечет уголовную ответственность по статье 274.1 УК РФ. Для субъектов КИИ ROI проектов ИБ дополнительно включает стоимость избежания уголовного преследования руководителей.
Требования Банка России (Положение N 716-П о требованиях к системе управления операционным риском, Положение N 683-П об обеспечении защиты информации для кредитных организаций) делают инвестиции в ИБ обязательными для банков и формируют жесткий нижний порог затрат. Для таких организаций расчет ROI правильнее строить не как "инвестировать или нет", а как "какое решение дает лучший ROI при соответствии всем регуляторным требованиям".
При расчете ROI с учетом регуляторных рисков ALE корректируется следующим образом:
ALE регул = ALE инцидент + (Штраф+Расходы на уведомление+Иски) x Вероятность инцидента) x Вероятность обнаружения регулятором)
На практике вероятность обнаружения регулятором при утечке ПДн в 2024-2025 годах возросла существенно: РКН зафиксировал 135 фактов утечек только в 2024 году и демонстрирует устойчивую тенденцию к росту числа проверок.
О компании: ваш надежный партнер в вопросах информационной безопасности
Вопросы расчета ROI, оценки рисков ИБ, соответствия требованиям законодательства - это не просто теория. За каждым числом в формуле стоят реальные решения, которые влияют на финансовую устойчивость и безопасность бизнеса.
Компания БелИнфоНалог специализируется на комплексном сопровождении организаций в области информационной безопасности и правового сопровождения в вопросах обеспечения информационной безопасности. Мы помогаем бизнесу не просто выполнить формальные требования регуляторов, но и выстроить систему защиты, которая реально работает и имеет измеримый экономический эффект.
Наши услуги охватывают полный цикл работ: от аудита текущего состояния ИБ и оценки рисков по методологии ГОСТ Р ИСО/МЭК 27005 до разработки модели угроз, расчета ROI планируемых инвестиций и сопровождения при проверках регуляторов. Мы проводим консультации по требованиям Законов 149-ФЗ, 152-ФЗ, 187-ФЗ, включая аттестацию информационных систем и подготовку документации для контролирующих органов.
Если вы стоите перед выбором - какие средства защиты внедрять, как обосновать бюджет на ИБ перед руководством, как рассчитать реальный ROI конкретного проекта, - обратитесь к нам за консультацией. Мы поможем перевести риски в цифры, а цифры - в обоснованные управленческие решения.
FAQ: часто задаваемые вопросы о ROI проектов информационной безопасности
- Как доказать руководству что затраты на ИБ оправданы если инцидентов не было
Отсутствие инцидентов как раз может свидетельствовать об эффективности уже реализованных мер защиты, а не об отсутствии угроз. Для обоснования используйте метод сравнительного анализа: покажите статистику инцидентов в аналогичных компаниях отрасли (данные InfoWatch, Positive Technologies, BI.ZONE публикуются ежегодно), рассчитайте ALE для вашей организации и продемонстрируйте, что именно существующая защита удерживает вас ниже этого уровня. Дополнительно включите в расчет стоимость регуляторных рисков - штрафы по ФЗ-152 или требования ОАЦ, несоответствие которым повлечет санкции независимо от наличия инцидентов.
Вторым фактором отсутствия инцидентов может быть просто отсутствие инструментов, позволяющих обнаружить скрытое присутствие злоумышленников в инфраструктуре.
Побуждением к действию, которое стоит донести до топ-менеджмента – это не «если произойдет инцидент», а «когда произойдет инцидент», т.е., не должно быть призрачных надежд на то, что инцидентов удастся избежать.
- Какой ROI считается хорошим для проекта ИБ
Общепринятого "хорошего" значения ROI в ИБ не существует, поскольку показатель сильно зависит от отрасли, профиля угроз и стоимости защищаемых активов. На практике проекты ИБ с ROI выше 100% считаются бесспорно целесообразными, 50-100% - приемлемыми с учетом регуляторных рисков. Проекты с ROI ниже 50% требуют дополнительного обоснования, однако при наличии обязательных требований регулятора расчет ROI теряет смысл - вопрос стоит не "внедрять или нет", а "как внедрить наиболее экономично".
- Можно ли рассчитать ROI для уже реализованного проекта ИБ
Да, и такой ретроспективный расчет крайне полезен. Для этого сравниваются фактические данные об инцидентах до и после внедрения защиты, фиксируются реально предотвращенные инциденты (по журналам SIEM, отчетам антивируса, журналам DLP), рассчитывается экономия. Проблема в том, что 63% российских компаний по данным InfoWatch не ведут детальный учет ущерба от инцидентов, что делает ретроспективный расчет затруднительным. Именно поэтому учет инцидентов и их финансовых последствий нужно начинать вести до внедрения защитного решения.
- Чем ROSI отличается от ROI и что лучше считать для проектов ИБ
ROSI (Return on Security Investment) - это адаптация классического ROI для проектов безопасности, где выгода выражается через предотвращенный ущерб, а не через прямую прибыль. Математически формулы идентичны, но ROSI явно указывает на специфику: числитель содержит разницу между ALE до и ALE после внедрения защиты. Для внутренней отчетности термины взаимозаменяемы, однако при общении с финансовыми директорами рекомендуется использовать привычный им термин ROI, четко объясняя логику расчета "предотвращенных потерь".
- Как учесть репутационный ущерб при расчете ROI проекта ИБ
Репутационный ущерб - наиболее сложный компонент для количественной оценки. Существует несколько подходов: метод аналогий (изучение публичных случаев - как повлияла утечка данных на котировки или выручку сопоставимых компаний); метод оценки оттока клиентов (процент клиентов, которые уйдут после инцидента, умноженный на их средний LTV); метод стоимости восстановления репутации (затраты на PR-кампанию, маркетинг, программы лояльности после инцидента). По данным исследований, утечки данных приводят к оттоку в среднем 7-12% клиентской базы в первый год. Для компании с годовой выручкой 200 млн рублей это может означать потери 14-24 млн рублей только за счет оттока.
- NPV или ROI - что лучше для оценки долгосрочного проекта ИБ
Для проектов сроком до 2 лет достаточно стандартного ROI - он нагляден и прост в интерпретации. Для проектов с горизонтом 3 года и более правильнее использовать NPV или IRR (внутреннюю норму доходности), поскольку они учитывают временную стоимость денег и позволяют корректно сравнивать проекты с разными профилями затрат и выгод. В российских условиях при высоких ставках дисконтирования (15-20%) разница между простым и дисконтированным ROI за 5 лет может достигать 40-60 процентных пунктов.
- Как часто нужно пересчитывать ROI уже реализованных проектов ИБ
Пересчет ROI действующих проектов ИБ рекомендуется проводить ежегодно или при существенном изменении условий: появлении новых регуляторных требований (как это произошло с оборотными штрафами в 2025 году), изменении профиля угроз, расширении бизнеса, изменении стоимости защищаемых активов. Ежегодный пересчет позволяет своевременно выявлять устаревшие или избыточные меры защиты и перераспределять бюджет в пользу более эффективных решений. По рекомендациям ГОСТ Р ИСО/МЭК 27001-2021, пересмотр оценки рисков должен проводиться с запланированной периодичностью или при существенных изменениях.