«Процент от IT-бюджета на безопасность — это такая же грубая абстракция, как средняя температура по больнице. Она ничего не говорит о конкретном диагнозе и лечении. В российских реалиях, где регуляторная повестка ФСТЭК и 152-ФЗ накладывается на импортозависимые ландшафты и профильные угрозы, разговор должен идти не о проценте, а о цене управления конкретными рисками, которые бизнес не готов терпеть.»
Почему «процент от IT-бюджета» — опасный мираж
Усреднённые цифры в 5–15%, кочующие из отраслевых отчётов, не просто бесполезны — они вредны. Их использование основано на трёх ложных предпосылках. Во-первых, это предполагает, что базовый IT-бюджет изначально выверен и оптимален, что редко соответствует действительности. Во-вторых, такой подход игнорирует разницу в регуляторном давлении: требования ФСТЭК для оператора связи и для интернет-магазина различаются на порядок. В-третьих, он подменяет цель: вместо достижения определённого уровня защищённости фокус смещается на освоение «положенной» суммы.
В российском контексте это усугубляется двумя факторами. Импортозамещение часто делает затраты на безопасность неявными — они «зашиты» в стоимость отечественных решений или, наоборот, становятся дополнительной статьёй на интеграцию разнородных систем. Кроме того, саморегулируемые организации и отраслевые стандарты (например, в финансовом секторе) создают слои требований поверх базовых норм 152-ФЗ, что полностью ломает любую усреднённую модель.
От процента к модели: три ключевых фактора для расчёта
Реальный бюджет формируют три драйвера: обязательные требования регуляторов, профиль актуальных угроз и внутренний бизнес-контекст. Их совместный анализ заменяет поиск магического числа.
1. Регуляторный мандат: от базиса к отраслевым надстройкам
Это не обсуждаемый минимум. Его стоимость — плата за легальное существование на рынке.
- 152-ФЗ (персональные данные): Бюджет здесь зависит от масштаба обработки. Для небольшой компании с одним сервером учёта это могут быть затраты на базовое шифрование и организационные меры. Для крупного оператора с миллионами записей — это уже масштабные проекты по DLP, сегментации сетей и полноценным системам мониторинга (СМИ).
- Требования ФСТЭК и профильных регуляторов: Здесь начинается серьёзная дисперсия. Для субъектов критической информационной инфраструктуры (КИИ) бюджет закономерно стремится к верхним границам. Он включает не просто средства защиты, а сертифицированные по определённым классам СЗИ, затраты на физическую безопасность, выделенный персонал и регулярные проверки. Например, для кредитных организаций обязательным стало использование отечественных криптосредств с аппаратными модулями безопасности, что формирует отдельную значительную статью расходов.
[ИЗОБРАЖЕНИЕ: Схема в виде пирамиды. Широкое основание — «152-ФЗ» (низкая специфичность, широкий охват). Средняя часть — «Отраслевые стандарты (БР, ФСТЭК)» (уже, выше требования). Вершина — «КИИ / Регулируемые организации» (максимальная специфичность, наивысшие требования и затраты).]
2. Профиль угроз: на что вы реально можете «налететь»
Регулятор диктует, что делать нужно. Угрозы показывают, от чего защищаться нужно прямо сейчас. Эти векторы не всегда совпадают.
- Целевые атаки против массового спама: Защита от APT-группы требует вложений в продвинутый мониторинг (NTA, EDR), анализ поведенческих аномалий и киберразведку. Борьба с массовым фишингом решается в первую очередь обучением пользователей и базовыми почтовыми шлюзами. Пропорции затрат на эти направления будут разными для исследовательского института и для розничного онлайн-сервиса.
- Природа ключевых активов: Если главная ценность — исходный код или проектная документация, бюджет сфокусируется на DLP и строгом контроле доступа. Если ключевой актив — бесперебойность работы (как у оператора связи), основные средства уйдут на отказоустойчивость, защиту от DDoS и WAF.
- Архитектурная сложность: Наличие публичных API, мобильных приложений, гибридных облаков кратно увеличивает поверхность атаки. Соответственно, появляются отдельные статьи на безопасность разработки (DevSecOps), сканирование API и аудит конфигураций облачных сред.
3. Бизнес-контекст: что вы можете себе позволить и на что рассчитываете
Это поле баланса между ресурсами и амбициями.
- Зрелость бизнеса: Стартап будет закрывать только риски, способные его уничтожить одномоментно. Публичная компания с репутационными рисками заложит в бюджет полноценную программу управления рисками, регулярные пентесты и, возможно, даже программу вознаграждений за уязвимости.
- Аппетит к риску топ-менеджмента: Готово ли руководство смириться с определённым уровнем остаточного риска или требует «нулевой» терпимости? Второй путь почти всегда ведёт к экспоненциальному росту затрат с убывающей отдачей.
- Стратегические горизонты: Планы по IPO, выход на международные рынки или работа с крупными госзаказчиками становятся мощными драйверами для увеличения бюджета. Безопасность превращается из статьи расходов в обязательный пропускной билет.
Практический фреймворк: как считать свой бюджет
Процесс формирования бюджета — это последовательность аудитов и оценок, а не вычисление процента.
| Этап | Действия | Выходные данные |
|---|---|---|
| 1. Инвентаризация обязательств | Составление матрицы соответствия всем применимым требованиям (152-ФЗ, ФСТЭК, отраслевые стандарты) и анализ разрывов (Gap Analysis). | Список обязательных к исполнению мероприятий с примерной оценкой стоимости (проекты, закупка СЗИ, услуги). |
| 2. Оценка угроз и активов | Проведение воркшопов с владельцами бизнес-процессов для выявления ТОП-5 цифровых активов и моделирования для них наиболее вероятных и критичных инцидентов. | Ранжированный список неприемлемых для бизнеса рисков. Основа для приоритизации инвестиций. |
| 3. Анализ текущего состояния | Проведение внутреннего аудита или внешнего penetration test. Оценка зрелости процессов по актуальным рамкам (например, адаптированным NIST CSF). | Объективная картина уязвимостей. Понимание, куда вкладывать средства эффективнее: в технологии, в дообучение персонала или в регламенты. |
| 4. Формирование дорожной карты | На основе данных предыдущих этапов строится программа улучшений на 1-3 года. Инициативы делятся на категории: «обязательные» (регулятор), «критические» (риски), «стратегические» (развитие). | Дорожная карта с поэтапной оценкой бюджета. Каждая статья имеет чёткое бизнес-обоснование. |
Итоговая цифра появляется только в конце этого цикла. Тогда, для внутренней метрики, можно вычислить её процент от IT-бюджета. Но это будет ваше уникальное значение, а не заимствованный шаблон.
Куда уходят деньги: структура бюджета на ИБ
Распределение средств — индикатор зрелости. Сосредоточение 80% бюджета на «железе» характерно для начальных стадий.
- Технологии (40–50%): Закупка, лицензирование и обновление средств защиты (межсетевые экраны, WAF, EDR, SIEM, DLP). Сейчас существенная часть может уходить на миграцию с иностранных решений на отечественные и их интеграцию в существующий ландшафт.
- Персонал (30–40%): Фонд оплаты труда внутренней команды, обучение, сертификация. Аутсорсинг функций (мониторинг SOC, аудит, пентест). Дефицит квалифицированных кадров постоянно увеличивает удельный вес этой статьи.
- Процессы и сервисы (20–30%): Проведение аттестационных мероприятий, киберстрахование, регулярное обучение всех сотрудников, разработка политик, управление инцидентами. Рост этой доли говорит о переходе от точечных решений к построению системы.
[ИЗОБРАЖЕНИЕ: Круговая диаграмма, показывающая типичное распределение бюджета ИБ: Технологии (45%), Персонал (35%), Процессы и сервисы (20%). Рядом — стрелка, указывающая на сдвиг в сторону увеличения долей «Персонал» и «Процессы» по мере роста зрелости.]
Красные флаги: когда процент всё-таки говорит о проблеме
Хотя нормативов нет, есть явные аномалии, видимые в соотношениях.
- Менее 3–5% в регулируемой отрасли (финансы, КИИ, телеком): С высокой вероятностью компания либо игнорирует часть требований, либо работает на пределе риска, что чревато катастрофическими последствиями при первой же проверке или атаке.
- Стабильно более 20–25% без очевидных стратегических причин: Может сигнализировать о неэффективном расходовании средств, избыточной сложности инфраструктуры или попытке компенсировать слабые процессы дорогими технологиями. Требует детального аудита эффективности.
- Резкие скачки бюджета (±50% год к году) без смены бизнес-модели: Свидетельство отсутствия стратегического планирования, переход от режима «пожарного» реагирования к периоду застоя.
Итог: бюджет ИБ — это не статья расходов, а язык диалога с бизнесом
В условиях динамичного регуляторного поля и усложняющегося ландшафта угроз разговор должен вестись не о процентах, а о конкретике. Правильный вопрос к бизнесу: «От каких инцидентов, способных нанести неприемлемый ущерб, мы должны защититься в первую очередь, и сколько будет стоить приведение соответствующих рисков к приемлемому уровню?».
Сформированный через аудит обязательств, оценку угроз и анализ возможностей бюджет становится материальным выражением стратегического выбора компании. Он перестаёт быть обременительной статьёй расходов для финансового директора и превращается в понятный, измеримый инструмент управления одним из ключевых операционных рисков.