Как определить реалистичный бюджет на информационную безопасность

от

“Популярные «отраслевые нормативы» трат на ИБ — это статистический шум, усреднивший несопоставимые риски разных бизнесов. Искать в них ориентир бессмысленно. Адекватный бюджет — это сумма, которая приводит специфические риски вашей компании к уровню, приемлемому для собственников и регулятора. Он определяется не тем, сколько тратят другие, а тем, что именно вы защищаете и от кого.”

Откуда берутся «нормальные» цифры и почему они бессмысленны

Первое, что делает руководитель, пытаясь оценить будущие затраты на информационную безопасность, — ищет «отраслевой норматив». Поиск обычно выдает цифры в диапазоне 5–15% от общего ИТ-бюджета. Эти проценты — не норматив, а медианные значения из отчетов аналитических агентств, собранные по тысячам компаний по всему миру.

Фундаментальная проблема таких данных — попытка усреднить несопоставимое. В одну выборку попадают затраты банка, для которого ИБ — обязательное условие лицензирования, и региональной логистической компании, где главная угроза — сбой в учетной системе. Выходит статистически красивая, но практически бесполезная для конкретного случая цифра.

Кроме того, эти отчеты часто основаны на данных публичных компаний или крупного бизнеса, где структура затрат, регуляторное давление и ландшафт угроз существенно отличаются от российских реалий. Попытка применить глобальный медианный показатель к российской компании среднего размера, работающей под требованиями 152-ФЗ и ФСТЭК, почти гарантированно ведет к одной из двух ошибок: перерасходу на ненужные активности или фатальному недофинансированию критических направлений защиты.

Ключевой фактор: от чего зависит объём необходимой защиты?

Чтобы определить, куда должны уходить деньги, нужно ответить не на вопрос «сколько тратят другие?», а на два других: «что мы защищаем?» и «от кого?». Бюджет — это производная от ценности активов и уровня угроз.

Что вы защищаем? Ценность информационных активов

Актив в контексте ИБ — это не только база персональных данных, хотя для целей 152-ФЗ она ключевая. Это также исходный код продукта, ноу-хау производства, клиентская база, финансовая модель, конфигурации промышленных систем. Ценность актива определяет последствия его утраты или компрометации: от штрафов по 152-ФЗ до потери уникального конкурентного преимущества и репутации.

Бюджет на защиту актива должен быть соизмерим с этими последствиями. Нет экономического смысла тратить несколько миллионов рублей в год на защиту базы данных, утечка которой повлечет максимальный штраф в несколько сотен тысяч. Но если для IT-разработчика утечка исходного кода означает срыв многомиллионного контракта, то и бюджет на его защиту будет принципиально иным.

От кого защищаем? Уровень и мотивация угроз

Второй определяющий фактор — реалистичный профиль угрозы. Кто ваш вероятный противник и какими ресурсами он располагает?

  • Массовые, немотивированные угрозы. Автоматические сканеры, вирусы-шифровальщики, широкий фишинг. Защита — базовый уровень гигиены: актуальное ПО, обучение пользователей, антивирус.
  • Целевые угрозы с умеренным ресурсом. Конкуренты, ищущие коммерческую тайну; отдельные злоумышленники. Используют доступные эксплойты и социальную инженерию. Противодействие требует средств обнаружения аномалий и анализа инцидентов.
  • Целевые угрозы с высоким ресурсом (APT). Организованные группы, часто государственно-спонсируемые. Цель — долговременное присутствие, кража данных или саботаж. Противодействие требует серьезных инвестиций в экспертизу и продвинутые технологии.

Для большинства российских компаний, подпадающих под 152-ФЗ, актуальны первые два уровня. Бюджет должен строиться исходя из реалистичной оценки, кто именно заинтересован в их активах. Тратить средства на защиту от APT, когда главная угроза — инсайдер по неосторожности, так же нерационально, как и игнорировать риск целевого фишинга от конкурентов.

[ИЗОБРАЖЕНИЕ: Диаграмма с двумя осями: «Ценность защищаемых активов» (низкая/высокая) и «Уровень угроз» (массовые/целевые). В квадрантах расположены примеры типов компаний: розничная сеть (низкая ценность, массовые угрозы), разработчик ПО (высокая ценность, массовые/целевые угрозы), системный интегратор с госконтрактами (высокая ценность, целевые угрозы), банк (критическая ценность, высокий уровень угроз).]

Структура адекватного бюджета: на что идут деньги

Когда цели защиты ясны, можно планировать расходы. Бюджет на ИБ редко бывает однородным. Его структура говорит об адекватности подхода больше, чем общая сумма.

1. Люди и процессы (до 50-60% бюджета)

Наибольшая и часто недооцениваемая статья. Сюда входит:

  • Фонд оплаты труда штатных специалистов ИБ или стоимость услуг аутсорсингового SOC.
  • Обучение и аттестация как сотрудников ИБ, так и всех пользователей.
  • Разработка и актуализация организационно-распорядительной документации (положений, регламентов), обязательной для соответствия 152-ФЗ и ФСТЭК.
  • Проведение внутренних аудитов и оценок.

Экономия здесь — прямой путь к созданию «мертвых» технологий, которые никто не умеет использовать, и формальных процессов, не работающих в реальности. Классический пример — дорогой DLP-комплекс, который не дает результата из-за отсутствия в бюджете средств на инженеров для его тонкой настройки и аналитиков для расследования инцидентов.

2. Технологии и инструменты (30-40% бюджета)

Средства защиты, приобретаемые «в коробке» или в виде сервиса:

  • Средства защиты периметра (межсетевые экраны, системы обнаружения/предотвращения вторжений).
  • Средства защиты рабочих мест (EDR, современные антивирусы).
  • Системы централизованного сбора и анализа логов (SIEM).
  • Специализированные средства для выполнения требований регуляторов: DLP, средства криптографической защиты информации (СКЗИ), аттестованные антивирусы.

Важный нюанс: лицензии часто приобретаются на 3 года, что создает «ступенчатый» график расходов. Также сюда входят затраты на инфраструктуру для этих систем.

3. Внешние оценки и аудит (5-15% бюджета)

Эти расходы носят периодический характер, но критически важны для объективной оценки положения:

  • Тестирование на проникновение (пентесты) внешними специалистами.
  • Аудиты соответствия требованиям ФСТЭК и 152-ФЗ для получения заключений.
  • Консультационное и юридическое сопровождение при взаимодействии с регуляторами.

Попытка сэкономить на независимой оценке приводит к «синдрому шапочки из фольги»: возникает иллюзия защищенности, не подкрепленная объективными данными.

[ИЗОБРАЖЕНИЕ: Круговая диаграмма с примерным распределением бюджета ИБ: «Люди и процессы» — 55%, «Технологии и инструменты» — 35%, «Внешние оценки и аудит» — 10%. Подпись: «Типичное распределение в компании, где ИБ — часть бизнес-процессов, а не формальность».]

Почему компании тратят «мало»: четыре системные ошибки

  1. ИБ как «стоимость согласия», а не инвестиция. Бюджет формируется как минимальная сумма для формального выполнения требований регулятора, а не для реального снижения бизнес-рисков. Любое превышение этого порога воспринимается как перерасход.
  2. Отсутствие понятного языка для диалога с бизнесом. Руководитель ИБ говорит на языке «уязвимостей» и «требований ФСТЭК», а совет директоров — на языке «окупаемости инвестиций» и «операционной прибыли». Без перевода рисков ИБ в финансовые показатели запрос на бюджет выглядит как техническая прихоть.
  3. Неверная оценка вероятности инцидента. Убеждение «С нами такого не случится, мы никому не интересны» игнорирует природу большинства атак — они носят немотивированный, массовый характер. Не обязательно быть целью, чтобы стать жертвой.
  4. «Слепая» экономия на операционных расходах (OpEx). Руководство охотнее выделяет разовый капитальный бюджет (CapEx) на покупку «железа», чем ежегодные средства на зарплаты экспертов или обновление лицензий. В итоге дорогое оборудование используется на минимальную мощность, создавая иллюзию защищенности.

Практический шаг: как оценить свой бюджет

Вместо поиска магического процента, проведите внутреннюю оценку по шагам.

  1. Инвентаризация и оценка активов. Выявите всё, что имеет ценность и подлежит защите. Оцените последствия утраты хотя бы в порядковых величинах: низкие, средние, критические.
  2. Анализ угроз и уязвимостей. Определите, кто и какими методами может угрожать вашим активам. Изучите инциденты в вашей отрасли.
  3. Определение необходимых мер защиты. Для каждой значимой пары «актив-угроза» определите, какие меры (организационные, технические) нужны для снижения риска до приемлемого уровня.
  4. Оценка стоимости мер. Просчитайте полную стоимость владения выбранными мерами: закупка, внедрение, эксплуатация (включая персонал). Это и будет приближением к реалистичному бюджету.
  5. Сравнение с текущими затратами. Соберите все текущие расходы на ИБ, включая «спрятанные» в других бюджетах. Сравните с оценкой из пункта 4. Разрыв покажет уровень недофинансирования или перерасхода.

Норма — это не цифра, а соответствие

Нормальный бюджет на информационную безопасность — это не абстрактный процент, а сумма, достаточная для приведения рисков, связанных с ключевыми активами компании, к уровню, приемлемому для её собственников и требований регулятора. Эта сумма уникальна для каждого бизнеса.

Тратить «мало» — значит осознанно или неосознанно принимать остаточный риск, который превышает допустимые пределы. Часто это следствие не жадности, а непонимания, как устроена реальная защита и из чего складывается её цена. Смещение фокуса с вопроса «сколько» на вопросы «что», «от кого» и «как» — единственный способ выйти из порочного круга формального выполнения требований и перейти к построению системы, которая действительно защищает бизнес.

Оставьте комментарий