MTTR: что это такое, как рассчитать и сократить время реагирования

Бюджет на информационную безопасность защищают не стандарты и не угрозы — его защищают фактами и цифрами. Когда CISO приходит к финансовому директору с запросом на расширение SOC или подключение MDR-сервиса, разговор неизбежно переходит в плоскость денег: сколько стоит инцидент, сколько времени он длится и во что обходится каждая минута простоя. MTTR — Mean Time to Repair/Restore — это именно та метрика реагирования на инциденты, которая переводит технические показатели эффективности SOC на язык бизнеса. Разбираем, как рассчитывать MTTR, чем он отличается от простоя и как управление инцидентами ИБ влияет на итоговые потери компании.

Что такое MTTR

Каждая минута на счету

MTTR — это не просто цифра в отчете. Это стоимость каждой минуты, пока атака развивается, а бизнес теряет деньги. Именно поэтому сокращение Mean Time to Repair/Restore — один из главных KPI зрелой команды реагирования.

Команда Solar JSOC

MTTR в контексте ИБ — это среднее время от момента обнаружения инцидента до полного восстановления нормальной работы затронутых систем. Метрика охватывает весь цикл: анализ и классификацию, сдерживание угрозы, устранение последствий и возврат инфраструктуры в рабочее состояние.

За аббревиатурой MTTR скрываются несколько близких, но различных показателей:

Mean Time to Respond — среднее время от получения сигнала до начала активных действий.
Mean Time to Repair/Restore — время от начала работ до восстановления системы.
Mean Time to Resolve — полное время закрытия инцидента с учетом профилактических мер.

Для оценки эффективности SOC чаще всего используется именно Mean Time to Repair/Restore: оно отражает операционную скорость команды.

Формула расчета MTTR

Расчет MTTR прост по структуре, но требует дисциплины в сборе данных: MTTR = суммарное время устранения всех инцидентов за период / Количество инцидентов за тот же период. Пример: за месяц зафиксировано шесть инцидентов с суммарным временем устранения 18 часов. MTTR = 18 / 6 = три часа на инцидент. Если SLA с провайдером SOC предусматривает реагирование в течение двух часов — норматив не выполняется.

Важно договориться об определениях до начала расчетов: с какого момента начинается отсчет MTTR — с получения алерта или с момента подтверждения инцидента? Учитываются ли нерабочие часы? Без единой методологии сравнение MTTR между периодами или провайдерами теряет смысл.

MTTR против простоя: в чем разница для бизнеса

MTTR и простой часто путают, хотя это разные показатели с разным управленческим смыслом.

	MTTR	Простой (Downtime)
Что измеряет	Среднее время устранения одного инцидента	Суммарное время недоступности систем за период
На что влияет	Оценка скорости и зрелости команды реагирования	Финансовые потери, SLA, репутация
Как считается	Среднее время по инцидентам	Сумма времени всех инцидентов за период
Для кого важен	CISO, SOC, команда ИБ	Финансовый директор, операционное руководство

Бизнес считает не MTTR, а стоимость простоя. Средняя цена одного значимого инцидента, по данным InfoWatch, средний ущерб от одного инцидента достигает 11,5 млн рублей. Именно поэтому CISO нужно уметь переводить метрики реагирования на инциденты в финансовые аргументы: каждый час сверх целевого MTTR — это конкретная сумма, которую компания теряет.

Инструментарий для улучшения реагирования: расширяем возможности SOC

Базовый SOC обеспечивает мониторинг и анализ инцидентов. Чтобы управление инцидентами ИБ действительно влияло на MTTR, нужны дополнительные сервисы — каждый закрывает конкретный этап цикла реагирования:

Контроль конечных точек (EDR). Злоумышленники часто входят в инфраструктуру через рабочие станции и серверы. EDR-агенты обнаруживает подозрительную активность на уровне хоста и автоматически изолирует зараженное устройство до того, как атака распространится по сети. По данным Solar JSOC, 47% критических внешних инцидентов происходит ночью — именно тогда автоматическая изоляция без участия человека ценна особенно.
Анализ сетевого трафика (NTA). Многие атаки обходят периметровые средства защиты и живут в сети месяцами, не триггерируя стандартные правила. NTA выявляет аномалии на уровне коммуникаций — паттерны бокового перемещения, эксфильтрации данных, командных серверов. Инцидент, обнаруженный на раннем этапе, устраняется быстрее и дешевле. По данным Mandiant M-Trends, в 2024 году атакующие в среднем оставались незамеченными в инфраструктуре 11 дней — и в 57% случаев компания узнавала о компрометации не от собственных средств защиты, а из внешних источников.
Автоматизация реагирования (IRP). Каждый ручной шаг добавляет минуты к итоговому MTTR. IRP переводит стандартные действия в плейбуки: блокировка учетной записи, уведомления, сбор форензики — все выполняется по заданным сценариям без ожидания. Результат — меньше человеческого фактора, быстрее каждый этап.
Промышленные системы и КИИ. Для объектов критической инфраструктуры MTTR — не просто KPI, а регуляторное требование: ФЗ-187 и приказы ФСТЭК устанавливают обязательные параметры реагирования. При этом специфика промышленных сред накладывает ограничения: изоляция узла может привести к остановке производства. Эффективность SOC здесь измеряется способностью сократить MTTR без нарушения технологического процесса.

Сократите MTTR с MDR-сервисом «Солара»

Расширьте возможности SOC, подключив сервис выявления и реагирования на инциденты (SOC) — круглосуточная защита с командой экспертов четвертой линии.

Собрать MDR: комплексный подход к сокращению MTTR

MDR-сервисMDR (Managed Detection and Response) — модель управляемого обнаружения угроз и реагирования. Внешняя команда экспертов SOC берет на себя мониторинг, анализ и устранение инцидентов ИБ в режиме 24/7. (Managed Detection and Response) — базовый уровень управляемой защиты, с которого начинают большинство компаний. Разница с полноценным SOC не в наличии мониторинга, а в модели: MDR — это готовый аутсорс-сервис, SOC строится поверх него, когда компания готова к более глубокой кастомизации и собственной экспертизе. MDR обнаруживает, анализирует, изолирует и устраняет угрозы, причём часть действий выполняется автоматически. Что дает подключение сервиса MDR:

Покрытие всех уровней инфраструктуры. Интеграция EDR, NTA и IRP закрывает конечные точки, сетевой трафик и автоматизацию реагирования. Каждый слой сокращает MTTR на своем этапе — в совокупности эффект кратно выше, чем у каждого инструмента отдельно.
Эксперты четвертой линии в режиме 24/7. Критические атаки чаще разворачиваются ночью и в выходные — когда внутренняя команда ИБ недоступна. MDR-сервис обеспечивает круглосуточное присутствие специалистов, способных не только зафиксировать угрозу, но и принять решение о реагировании без задержек.
Прозрачность и метрики. Эффективный MDR-сервис предоставляет дашборд с MTTR с разбивкой по типам инцидентов и временным интервалам — без агрегирования, скрывающего пики.

MDR в действии

В проекте «Почты России» по построению системы кибербезопасности ключевым требованием было реагирование в нерабочее время: инфраструктура охватывает тысячи точек по всей стране, и задержка на несколько часов могла обойтись значительными операционными потерями. MDR-подход закрыл этот риск.

Аналогичная логика — в проекте «Солара» и «Softline Решения» в Уральском банке реконструкции и развития: выстроенный процесс управления инцидентами ИБ охватил все уровни от разработки до эксплуатации с едиными метриками на каждом этапе.

Прозрачные метрики — мост между ИБ и бизнесом

MTTR — это не технический показатель для внутренней отчетности SOC. Это язык, на котором служба ИБ разговаривает с бизнесом о реальной стоимости рисков. Каждая минута сверх целевого MTTR — это деньги, которые компания теряет на простое, восстановлении и репутационных издержках.

Снижение MTTR — это результат системной работы: автоматизации через IRP, видимости через EDR и NTA, экспертизы команды MDR-сервиса 24/7. Метрики реагирования на инциденты становятся инструментом обоснования бюджета только тогда, когда за ними стоят конкретные действия, а не просто цифры в дашборде.

Часто задаваемые вопросы

Как перевести MTTR в финансовые потери для бизнеса?

Стоимость часа простоя складывается из нескольких составляющих: прямые потери выручки (дневная выручка ÷ 24), заблокированные сотрудники × стоимость их рабочего часа, штрафы по SLA и расходы на восстановление. Умножьте сумму на MTTR в часах — получите цифру, понятную финансовому директору.

Какие метрики важны при оценке внешнего SOC и MDR-сервиса?

Ключевые: MTTR, MTTD (время обнаружения), процент ложных срабатываний и SLA реагирования. Вместе они дают объективную картину зрелости команды и скорости закрытия инцидентов.

Как EDR и IRP помогают снизить простой инфраструктуры?

EDR изолирует зараженный хост автоматически — атака локализуется до распространения. IRP через плейбуки сокращает ручные операции, убирая человеческий фактор из критичных этапов реагирования.

Почему MTTR для КИИ и коммерческого сектора считаются по-разному?

Для КИИ MTTR ограничен регуляторными требованиями (ФЗ-187, приказы ФСТЭК). Коммерческий сектор ориентируется на SLA и бизнес-потери. Методология расчета схожа, но целевые значения и ответственность различаются.

Что делать, если провайдер SOC не укладывается в целевой MTTR?

Запросите детализацию по этапам: где именно теряется время — в обнаружении, анализе или реагировании. Если узкое место системное, рассмотрите подключение EDR или IRP-автоматизации к существующему сервису.

Как отслеживать реальную эффективность SOC по времени реакции?

Требуйте от провайдера метрики с разбивкой по типам инцидентов и временным интервалам. Эффективный MDR-сервис предоставляет прозрачный дашборд с MTTR в режиме реального времени — без агрегирования, скрывающего пики.