Проблема: Непредсказуемость премии для среднего бизнеса — страховщики РФ не публикуют единые тарифы, оценка стоимости требует индивидуального андеррайтинга.

Причины:
1. Отсутствие стандартизованного рейтинга киберрисков (аналога KRI/RiskLens).
2. Зависимость от: выручки, NDA-объёмов, наличия ПДн/ГТ, типа ИТ-инфраструктуры (on-premise/cloud), локации ЦОДов, истории инцидентов.
3. Учёт уровня защищённости по результатам пентеста или аудита (например, соответствие 152-ФЗ, приказу ФСТЭК №21, PCI DSS).

Решение (методика расчёта):

1. Сбор факторов через OSINT (легально):
- ИНН → выручка, ОКВЭД (отрасль) → базовый коэффициент (условно: 0,1–2% от выручки).
- Открытые данные о нарушениях 152-ФЗ (Роскомнадзор) — повышение.
- Лимиты ответственности: 5–50 млн ₽ (покрытие утечки, шифровальщика, судебных издержек).

2. Учёт уровня защиты (пентест/форензика):
- Челлендж-тест: Shodan/Censys (поиск открытых портов, уязвимостей) → риск взлома → донаценка/скидка.
- Например, отсутствие MS17-010 patch на SMB → +20% к премии.
- Результаты сертифицированного пентеста (методика OWASP/PTE) → скидка до 30%.

3. Формула (оценка):
- `Премия = (Выручка Отраслевой_фактор Трансфертный_лимит) Базовый_тариф (1 ± Множ.защиты) Коэф.опыта`
- Пример для розничной сети с выручкой 300 млн ₽:
- Базовый тариф: 1,2% (среднее по рынку) = 3,6 млн ₽.
- Скидка за ISO 27001 (легальный аудит): -15% → 3,06 млн ₽.
- Надбавка за хранение ПДн без шифрования (обнаружено при аудите): +25% → 3,82 млн ₽.

4. Инструменты для верификации (легальные):
- `https://www.reputation.com/ru/` — оценка уязвимостей публичной сети.
- `theHarvester -d company.ru -b google` — сбор доменов и контактов (OSINT для оценки поверхности атаки).
- `nmap -sV -p 1-65535 ` — сканирование открытых портов (только со своего IP и с согласия владельца).

Важно:** Конкретную стоимость даёт только страховщик после предоставления результатов аудита (пентест-отчёт, акт категорирования ПДн). Самостоятельный расчёт — лишь оценка для бюджета.