CISO знает, что автоматизация процессов информационной безопасности необходима. Руководство хочет видеть цифры. Между этими двумя позициями — расчёт ROI, который переводит риски и экономию времени на язык бизнеса. В этой статье — полная методика расчёта окупаемости SGRC-системы: формулы, метрики до и после внедрения, кейсы и готовый шаблон, который можно адаптировать под свою организацию.
Зачем CISO нужен расчёт ROI автоматизации ИБ
Язык бизнеса для разговора с руководством
Информационная безопасность говорит на языке рисков, угроз и уязвимостей. Руководство говорит на языке денег, сроков и рентабельности. Пока CISO оперирует терминами «модель угроз» и «приказ ФСТЭК», бюджетный комитет слышит только расходы без понятного возврата.
ROI (Return on Investment) — универсальный инструмент, который позволяет:
- Перевести экономию времени ИБ-специалистов в рубли
- Оценить снижение рисков штрафов в денежном выражении
- Сравнить сценарий «как есть» (ручные процессы) со сценарием «как будет» (SGRC)
- Показать срок окупаемости инвестиций в конкретных месяцах
Типичные возражения и как на них отвечать
| Возражение руководства | Ответ на языке ROI |
|---|---|
| «ИБ — это только расходы» | Экономия ФОТ 1.5-3 млн руб./год за счёт автоматизации рутины |
| «У нас и так всё работает в Excel» | Стоимость ручных процессов: 150+ часов/месяц, время подготовки к аудиту — 4 недели |
| «Дорого» | Потенциальные штрафы по 152-ФЗ — до 18 млн руб., стоимость SGRC — от 500 тыс. руб./год |
| «Нет срочности» | Вероятность проверки Роскомнадзора за год — 5-15%, средний штраф растёт ежегодно |
| «Справятся и два человека» | Два специалиста тратят 60% времени на рутину вместо аналитики и развития |
Когда экономическое обоснование особенно важно
Расчёт ROI критичен в трёх ситуациях:
- Запрос бюджета — ежегодное планирование, когда ИБ конкурирует с другими подразделениями за финансирование
- Предстоящая проверка — регулятор объявил о проверке, и нужно быстро привести процессы в порядок
- Рост организации — количество активов удвоилось, а штат ИБ остался прежним
Из чего складывается ROI SGRC-системы
Прямая экономия (ФОТ, время)
Основной и наиболее измеримый компонент — экономия рабочего времени ИБ-специалистов. SGRC-система автоматизирует рутинные операции, высвобождая время для аналитической работы.
Типичные процессы, подлежащие автоматизации:
- Инвентаризация ИТ-активов — ручной обход и заполнение Excel заменяется автоматическим сканированием
- Учёт СКЗИ — ручное ведение журналов заменяется электронным учётом с автоматическим формированием журналов
- Формирование документов ИБ — создание пакета документов по шаблонам с автозаполнением данных из реестра
- Подготовка к аудитам — вместо ручного сбора доказательств — выгрузка отчётов из системы
- Отчётность — вместо ручной агрегации — готовые дашборды в реальном времени
Снижение рисков (штрафы, инциденты)
Второй компонент — уменьшение вероятности и масштаба финансовых потерь:
| Тип риска | Потенциальный ущерб | Как SGRC снижает |
|---|---|---|
| Штраф по 152-ФЗ (ПДн) | До 18 млн руб. | Автоматический контроль мер защиты ИСПДн |
| Штраф по 187-ФЗ (КИИ) | Уголовная ответственность | Учёт объектов КИИ, контроль мер защиты |
| Утечка данных | 5-50 млн руб. | Своевременное обнаружение незакрытых уязвимостей |
| Нарушение учёта СКЗИ | До 1 млн руб. | Электронный поэкземплярный учёт |
| Провал аудита | Повторная проверка + санкции | Постоянная готовность к аудиту |
Непрямые выгоды (прозрачность, масштабируемость)
Выгоды, которые сложно измерить в рублях, но критичны для бизнеса:
- Прозрачность для руководства — дашборд состояния ИБ в реальном времени вместо ежеквартального отчёта
- Снижение зависимости от ключевых сотрудников — процессы зафиксированы в системе, не теряются при увольнении
- Масштабируемость — при росте организации в 2 раза не нужно удваивать штат ИБ
- Скорость реакции — обнаружение проблемы за минуты, а не за недели
- Аудиторский след — все действия зафиксированы, доказательная база для регулятора
Затраты на внедрение и владение (TCO)
Полная стоимость владения SGRC-системой:
| Статья затрат | Диапазон | Периодичность |
|---|---|---|
| Лицензия / подписка | 500 тыс. - 3 млн руб. | Ежегодно |
| Внедрение и настройка | 150 тыс. - 1.5 млн руб. | Разово |
| Обучение персонала | 50 - 150 тыс. руб. | Разово + обновления |
| Интеграция (AD, SIEM, сканеры) | 100 - 300 тыс. руб. | Разово |
| Техническая поддержка | 15-20% от лицензии | Ежегодно |
| Администрирование | 10-20% времени одного специалиста | Ежемесячно |
КиберОснова предлагает модульный подход: можно начать с одного модуля (например, учёт СКЗИ или инвентаризация) от 500 тыс. руб./год и масштабировать по мере необходимости, снижая порог входа.
Методика расчёта ROI: формула и компоненты
Формула ROI для SGRC
Базовая формула:
ROI = (Суммарная выгода за период - Суммарные затраты за период) / Суммарные затраты за период x 100%
Где:
- Суммарная выгода = Экономия ФОТ + Снижение риск-экспозиции + Экономия на аудитах + Оптимизация процессов
- Суммарные затраты = Лицензия + Внедрение + Обучение + Интеграция + Поддержка + Администрирование
Как оценить экономию времени
Пошаговый расчёт экономии ФОТ:
- Определите процессы — перечислите все ИБ-процессы, выполняемые вручную
- Измерьте текущие трудозатраты — сколько часов в месяц тратит каждый специалист на каждый процесс
- Оцените трудозатраты после автоматизации — используйте данные вендора или пилотного проекта
- Рассчитайте разницу — экономия в часах
- Переведите в рубли — умножьте на стоимость часа работы специалиста
Стоимость часа работы ИБ-специалиста (Москва, 2026): 1 500 - 2 500 руб./час с учётом ФОТ, налогов, накладных расходов.
Как оценить снижение рисков
Формула оценки снижения риск-экспозиции:
Снижение риска = Вероятность события x Потенциальный ущерб x Коэффициент снижения
Пример: вероятность проверки Роскомнадзора за год — 10%, потенциальный штраф — 6 млн руб., SGRC снижает вероятность нарушения на 80%.
Снижение риск-экспозиции = 0.10 x 6 000 000 x 0.80 = 480 000 руб./год
Суммируйте по всем видам рисков: 152-ФЗ, 187-ФЗ, учёт СКЗИ, утечка данных.
Пример расчёта для организации среднего размера
Исходные данные: организация с 500 ИТ-активами, 3 ИБ-специалиста, субъект КИИ, оператор ПДн.
Экономия ФОТ:
| Процесс | Часов/мес. (до) | Часов/мес. (после) | Экономия | Руб./год |
|---|---|---|---|---|
| Инвентаризация активов | 40 | 4 | 36 ч | 756 000 |
| Учёт СКЗИ | 16 | 2 | 14 ч | 294 000 |
| Документы ИБ | 20 | 5 | 15 ч | 315 000 |
| Подготовка к аудитам | 15 | 3 | 12 ч | 252 000 |
| Отчётность | 8 | 1 | 7 ч | 147 000 |
| Управление уязвимостями | 12 | 3 | 9 ч | 189 000 |
| Итого | 111 | 18 | 93 ч | 1 953 000 |
Расчёт при стоимости часа 1 750 руб.
Снижение рисков:
| Риск | Ущерб | Вероятность | Снижение SGRC | Экономия/год |
|---|---|---|---|---|
| Штраф 152-ФЗ | 6 000 000 | 10% | 80% | 480 000 |
| Штраф 187-ФЗ (КИИ) | 3 000 000 | 5% | 70% | 105 000 |
| Нарушение учёта СКЗИ | 500 000 | 15% | 90% | 67 500 |
| Утечка данных | 15 000 000 | 3% | 30% | 135 000 |
| Итого | 787 500 |
Итого выгода за первый год: 1 953 000 + 787 500 = 2 740 500 руб.
Затраты за первый год:
| Статья | Сумма |
|---|---|
| Лицензия (3 модуля) | 1 200 000 |
| Внедрение | 400 000 |
| Обучение | 100 000 |
| Интеграция с AD и сканером | 150 000 |
| Итого | 1 850 000 |
ROI = (2 740 500 - 1 850 000) / 1 850 000 x 100% = 48% — за первый год (включая разовые затраты на внедрение).
ROI за второй год (без разовых затрат): (2 740 500 - 1 380 000) / 1 380 000 x 100% = 99%.
Метрики до и после внедрения SGRC
Таблица метрик: процесс, до, после, экономия
| Метрика | До SGRC | После SGRC | Улучшение |
|---|---|---|---|
| Время инвентаризации 500 активов | 2-3 недели | 2-4 часа | В 40 раз |
| Время подготовки к аудиту | 2-4 недели | 2-3 дня | В 5-7 раз |
| Время формирования комплекта документов ИБ | 80 часов | 20 часов | В 4 раза |
| Просроченные задачи ИБ | 30-50% | 5-10% | В 5 раз |
| Покрытие требований регуляторов | 40-60% | 85-95% | В 1.5-2 раза |
| Время обнаружения неучтённого актива | Дни-недели | Минуты | В 100+ раз |
| Формирование отчёта руководству | 8 часов | 15 минут | В 30 раз |
| Количество неучтённых СКЗИ | 10-20% | 0-2% | В 5-10 раз |
Инвентаризация активов
До автоматизации: сотрудник обходит кабинеты с Excel-таблицей, записывает серийные номера, возвращается и вносит данные. Один кабинет — 30-60 минут. 100 кабинетов — 2-3 недели работы.
После: модуль инвентаризации КиберОснова автоматически сканирует сеть, обнаруживает устройства, собирает конфигурации. Новое устройство в сети — обнаружено за минуты. Изменение конфигурации — зафиксировано автоматически.
Учёт СКЗИ
До: бумажные журналы, ручное заполнение, физическая сверка экземпляров. Ошибки при заполнении, потерянные записи, невозможность быстро найти информацию.
После: электронный учёт СКЗИ с автоматическим формированием журналов по форме ФАПСИ, поэкземплярным учётом, уведомлениями о необходимости замены ключей.
Управление документами ИБ
До: шаблоны в Word, ручное заполнение, рассылка на согласование по email, потеря версий.
После: модуль документов ИБ — шаблоны с автозаполнением данных из реестра активов, электронное согласование, версионирование, контроль актуальности.
Подготовка к аудитам
До: за месяц до аудита начинается аврал — собираются документы, актуализируются реестры, заполняются пропущенные записи.
После: модуль аудита ИБ — постоянная готовность, отчёты формируются в несколько кликов, доказательная база собрана в системе.
Кейсы: экономический эффект внедрения SGRC
Кейс 1: Средняя компания (200 активов, 3 ИБ-специалиста)
Профиль: торговая компания, 200 рабочих мест, оператор ПДн (3 ИСПДн), 3 ИБ-специалиста.
Проблемы до внедрения:
- Реестр активов в Excel устаревал за 2 недели
- Журналы СКЗИ велись на бумаге — при проверке обнаружены несоответствия
- Подготовка к проверке Роскомнадзора заняла 4 недели
- 2 из 3 специалистов тратили 70% времени на рутину
Результат после внедрения КиберОснова (модули: инвентаризация + учёт СКЗИ + документы ИБ):
- Экономия: 85 часов/месяц (1 487 500 руб./год при ставке 1 460 руб./час)
- Стоимость: 800 000 руб./год (лицензия) + 300 000 руб. (внедрение)
- ROI первый год: (1 487 500 - 1 100 000) / 1 100 000 x 100% = 35%
- ROI второй год: (1 487 500 - 920 000) / 920 000 x 100% = 62%
- Окупаемость: 9 месяцев
Кейс 2: Крупная организация (1000+ активов, субъект КИИ)
Профиль: промышленное предприятие, 1200 ИТ-активов, субъект КИИ (5 значимых объектов), оператор ПДн (8 ИСПДн), 7 ИБ-специалистов.
Проблемы до внедрения:
- Категорирование объектов КИИ затянулось на 8 месяцев из-за неполных данных об активах
- 3 из 5 журналов учёта СКЗИ содержали ошибки
- Подготовка к аудиту ФСТЭК — 6 недель авральной работы
- Руководство не видело реального состояния ИБ
Результат после внедрения (полный комплект модулей):
- Экономия ФОТ: 200 часов/месяц (4 200 000 руб./год)
- Снижение риск-экспозиции: 1 500 000 руб./год
- Стоимость: 2 500 000 руб./год (лицензия) + 1 000 000 руб. (внедрение)
- ROI первый год: (5 700 000 - 3 500 000) / 3 500 000 x 100% = 63%
- ROI второй год: (5 700 000 - 2 875 000) / 2 875 000 x 100% = 98%
- Окупаемость: 7 месяцев
Снижение рисков штрафов как компонент ROI
Штрафы по 152-ФЗ (до 18 млн руб.)
С 2024 года штрафы за нарушение обработки персональных данных существенно увеличены:
- Обработка ПДн без согласия субъекта — до 700 000 руб. (повторно — до 1.5 млн руб.)
- Утечка ПДн (1 000 - 10 000 субъектов) — до 5 млн руб.
- Утечка ПДн (10 000 - 100 000 субъектов) — до 10 млн руб.
- Утечка ПДн (100 000+ субъектов) — до 18 млн руб.
- Непредоставление информации Роскомнадзору — до 300 000 руб.
SGRC-система обеспечивает контроль мер защиты ПДн: перечень ИСПДн, модель угроз, назначение ответственных, контроль выполнения мер по Приказу ФСТЭК №21.
Ответственность по 187-ФЗ (КИИ)
Для субъектов КИИ предусмотрена уголовная ответственность:
- Ст. 274.1 УК РФ — неправомерное воздействие на значимые объекты КИИ — от 3 до 10 лет лишения свободы (ч.1–3 ст. 274.1 УК РФ)
- Несоблюдение требований ФСТЭК к обеспечению безопасности КИИ — административные санкции
- Непредоставление сведений о категорировании — штрафы и предписания
Штрафы за нарушение учёта СКЗИ
Приказ ФАПСИ №152 (действующий) требует поэкземплярного учёта СКЗИ. Нарушения учёта выявляются при проверках ФСБ и влекут:
- Предписание об устранении нарушений
- Штраф до 500 000 руб.
- Приостановление деятельности (в крайних случаях)
Как рассчитать риск-экспозицию
Для каждого типа нарушения оцените три параметра:
- Вероятность проверки — как часто регулятор проверяет вашу отрасль (Роскомнадзор — 5-15% в год, ФСТЭК для субъектов КИИ — 10-20%)
- Вероятность обнаружения нарушения — при ручных процессах 40-60%, при автоматизированных 5-15%
- Размер штрафа — минимальный, средний, максимальный
Риск-экспозиция = Вероятность проверки x Вероятность обнаружения нарушения x Средний штраф
Суммируйте по всем типам рисков — получите годовую риск-экспозицию. Разница между риск-экспозицией «до» и «после» SGRC — компонент ROI.
Как представить ROI руководству
Структура бизнес-кейса
Эффективная презентация для руководства включает:
- Проблема — текущее состояние: сколько времени тратится на рутину, какие риски не закрыты
- Решение — что предлагается: конкретная система, модули, сроки внедрения
- Затраты — TCO за 1-3 года с разбивкой по статьям
- Выгоды — экономия ФОТ + снижение рисков + непрямые выгоды
- ROI — расчёт окупаемости, срок возврата инвестиций
- Сравнение сценариев — с SGRC и без (через 1-3 года)
- Следующие шаги — план действий, если бюджет утверждён
Визуализация: дашборд vs отчёт
Для руководства подготовьте одностраничный дашборд:
- Слева — текущее состояние (проблемы, риски, затраты времени)
- Справа — целевое состояние (после SGRC)
- Внизу — финансовые показатели: затраты, экономия, ROI, срок окупаемости
Избегайте многостраничных отчётов — руководитель примет решение на основе 1-2 страниц.
Сравнение сценариев: с SGRC и без
| Параметр | Без SGRC (3 года) | С SGRC (3 года) |
|---|---|---|
| ФОТ на рутину | 5 859 000 руб. | 756 000 руб. |
| Риск-экспозиция | 2 362 500 руб. | 472 500 руб. |
| Стоимость SGRC | 0 | 4 610 000 руб. |
| Итого расходы + риски | 8 221 500 руб. | 5 838 500 руб. |
| Разница | 2 383 000 руб. экономии |
Шаблон расчёта ROI для SGRC
Используйте этот шаблон, подставив данные своей организации:
| Компонент | Формула | Ваши данные | Пример |
|---|---|---|---|
| ВЫГОДЫ | |||
| Экономия ФОТ | Часы экономии/мес. x Стоимость часа x 12 | ___ руб. | 1 953 000 |
| Снижение риска 152-ФЗ | Вероятность x Штраф x % снижения | ___ руб. | 480 000 |
| Снижение риска 187-ФЗ | Вероятность x Штраф x % снижения | ___ руб. | 105 000 |
| Снижение риска СКЗИ | Вероятность x Штраф x % снижения | ___ руб. | 67 500 |
| Прочие выгоды | Оценка | ___ руб. | 135 000 |
| Итого выгод | Сумма | ___ руб. | 2 740 500 |
| ЗАТРАТЫ | |||
| Лицензия/год | По прайсу | ___ руб. | 1 200 000 |
| Внедрение (разово) | 30-50% лицензии | ___ руб. | 400 000 |
| Обучение (разово) | По договору | ___ руб. | 100 000 |
| Интеграция (разово) | По оценке | ___ руб. | 150 000 |
| Поддержка/год | 15-20% лицензии | ___ руб. | 180 000 |
| Итого затрат (год 1) | Сумма | ___ руб. | 2 030 000 |
| ROI (год 1) | (Выгоды - Затраты) / Затраты x 100% | ___% | 35% |
| Итого затрат (год 2) | Лицензия + поддержка | ___ руб. | 1 380 000 |
| ROI (год 2) | (Выгоды - Затраты) / Затраты x 100% | ___% | 99% |
Рассчитайте ROI для вашей организации: запросите демо КиберОснова и получите персональный расчёт экономического эффекта с учётом специфики ваших процессов.
Начните с одного модуля — учёт СКЗИ или инвентаризация активов. Окупаемость возможна уже в первый квартал. Узнайте стоимость КиберОснова для вашей организации.
Часто задаваемые вопросы
Как рассчитать ROI внедрения SGRC-системы?
Формула ROI SGRC: ROI = (Выгода - Затраты) / Затраты × 100%. Выгода складывается из: экономия ФОТ на рутинных операциях (учёт активов, формирование документов, подготовка отчётов); снижение рисков штрафов за несоответствие (152-ФЗ — до 18 млн руб., КИИ — до 6 лет лишения свободы); сокращение времени подготовки к аудитам (с 2–4 недель до 2–3 дней); снижение вероятности инцидентов ИБ. Затраты: стоимость лицензии/подписки, внедрение, обучение, поддержка. Типичный ROI при внедрении SGRC в организации с 200+ активами: 150–300% за первый год.
Сколько времени экономит SGRC-система?
Типичная экономия по процессам: инвентаризация ИТ-активов — с 40 ч/мес. (ручной обход + Excel) до 4 ч/мес. (автоматическое сканирование); учёт СКЗИ — с 16 ч/мес. до 2 ч/мес.; формирование документов ИБ — с 80 ч на комплект до 20 ч (шаблоны + автозаполнение); подготовка к аудиту — с 80–160 ч до 16–24 ч; отчётность руководству — с 8 ч/мес. до 1 ч/мес. (готовые дашборды). Суммарно: экономия 100–200 часов в месяц для команды ИБ из 2–3 человек.
Какие метрики использовать для обоснования внедрения SGRC?
Ключевые метрики: время на рутинные операции ИБ (до/после); количество просроченных задач ИБ (% снижения); время подготовки к аудиту регулятора; покрытие требований регуляторов (% выполненных мер); количество неучтённых активов (до/после); среднее время обнаружения уязвимости на активах; стоимость потенциальных штрафов (риск-экспозиция); ФОТ на процессы ИБ, которые можно автоматизировать. Эти метрики составляют основу технико-экономического обоснования для руководства.
Как убедить руководство выделить бюджет на SGRC?
Аргументы для руководства: снижение риска штрафов — показать конкретные суммы по 152-ФЗ и 187-ФЗ, умноженные на вероятность проверки; экономия ФОТ — перевести сэкономленные часы в рубли; повышение прозрачности — руководство получает дашборд состояния ИБ в реальном времени; сокращение зависимости от ключевых сотрудников — процессы не теряются при увольнении; масштабируемость — при росте организации SGRC масштабируется без кратного увеличения штата ИБ.
Каковы типичные затраты на внедрение SGRC?
Структура затрат: лицензия/подписка — от 500 тыс. до 3 млн руб./год (зависит от количества модулей и пользователей); внедрение и настройка — 30–50% от стоимости лицензии; обучение персонала — 1–3 дня (50–150 тыс. руб.); интеграция с существующими системами (AD, SIEM) — 100–300 тыс. руб.; поддержка — 15–20% от стоимости лицензии в год. КиберОснова предлагает модульный подход: можно начать с одного модуля и масштабировать по мере необходимости.
Через какое время окупается SGRC-система?
Типичный срок окупаемости SGRC: для малых организаций (50–200 активов) — 12–18 месяцев; для средних (200–1000 активов) — 6–12 месяцев; для крупных (1000+ активов) — 3–6 месяцев. Ускоряют окупаемость: предстоящая проверка регулятора (экономия на штрафах), текущий большой штат ИБ (экономия ФОТ), множество регуляторных требований (автоматизация комплаенса). При правильном расчёте ROI составляет 150–300% за первый год.
