Слайд 12. KPI стратегии: как измерить успех через 12 месяцев

Блок 5. Метрики и непрерывность + практическое задание KPI стратегии: как измерить успех через 12 месяцев Слайд 12 / 14

LEVEL 1 — Board (ежегодно)

Cyber Risk Exposure (уровень кибер-риска, ALE — Annual Loss Expectancy)

Исходный 28M → Цель 15M → Текущий 18M

NIST CSF Tier (уровень зрелости по Cybersecurity Framework)

Исходный 1.6 → Цель 2.2 → Текущий 2.0

Cost of Incidents (стоимость инцидентов)

Исходный 100% → Цель −40% → Текущий −28%

Вопросы Board / Чеклист / Доказательства

Q: Какой наш кибер-риск в цифрах? (ALE = 18M, цель 15M)

Q: Насколько мы зрелы по NIST? (Tier 2.0, цель 2.2)

Чеклист: Board одобрил KPI, CISO представил 1-стр Executive Summary

Доказательство: утверждённый Risk Appetite Statement, подписано CEO+CISO

↓
↓

LEVEL 2 — CISO (ежеквартально)

% Critical CVE in SLA Amber ↑

% сотрудников обучено Green ↑

MTTD (среднее время до обнаружения) Green ↓

MTTR (среднее время восстановления) Amber →

Tabletop-учения проведены

MFA coverage (охват) Green ↑

Vendor risk assessments Red →

Вопросы CISO / Чеклист / Доказательства

Q: Какие RAG-метрики ухудшаются? (Vendor risk = Red, MTTR = Amber)

Q: Tabletop проведён? (4 учения = Green ↑)

Чеклист: quarterly review проведён, RAG dashboard обновлен

Доказательство: AAR от tabletop, MTTD trend за 6 мес, vendor assessment report

↓
↓

LEVEL 3 — Team (ежемесячно)

Asset inventory % (охват инвентаризации)

Полный реестр IT-ресурсов — фундамент всех метрик

Patch compliance % (соблюдение патчей)

Критические обновления в SLA — закрывает 80% векторов

Backup test % (тесты резервного копирования)

Регулярная проверка восстановления — защита от ransomware

Policy updates (обновление политик)

Пересмотр не реже раза в год — живой документ

Log coverage % (охват журналирования)

% систем с логами в SIEM — без этого MTTD = ∞

Access review % (проверки доступа)

Регулярная проверка прав — zombie accounts = дыра

Вопросы Team / Чеклист / Доказательства

Q: Все критичные системы в инвентаризации? (coverage %)

Q: Backup протестирован на восстановление? (success %)

Чеклист: патчи в SLA, логи в SIEM, zombie accounts удалены

Доказательство: scan reports, backup restore logs, access review audit trail

KPI, согласованный с советом директоров это договор в реализацию за которую будете отвечать головой. KPI без согласия совета или Генерального директора это когда CISO оценивает сам себя.
Правило: 3 конечных результата (Ultimate Outcomes) + 5–7 опережающих индикаторов (Leading Indicators) + N метрик активности (Activity Metrics). Совет директоров видит только уровень 1–2.