Стратегия безопасности: откуда берутся инвестиции в ИБ

от

“Спросить «сколько процентов бюджета на ИБ» — как спросить «сколько мне нужно лекарства». Без диагноза — ответ бесполезен. Главный вопрос не «сколько», а «что именно» и «зачем». Процент от IT — не цель, а побочный продукт продуманной стратегии.”

Миф о волшебной цифре

В мире, где многое измеряется метриками и процентами, возникает естественное желание найти универсальный ответ. Запрос «сколько нужно инвестировать в ИБ в процентах от IT-бюджета» — его яркое проявление. Руководители и владельцы бизнеса хотят простого ориентира: «Мы тратим X% на IT, значит, на безопасность должно быть Y%». Этот подход понятен, но глубоко ошибочен.

Попытки найти «золотой стандарт» приводят к цифрам вроде 5–15% от IT-расходов. Эти данные — усреднённые результаты опросов по разным отраслям и странам. Для конкретной российской компании из сектора финансов или интернет-торговли они не имеют никакой практической ценности. Бюджет, основанный на таком проценте, будет либо избыточным и неэффективным, либо, что чаще, недостаточным и создающим иллюзию защищённости.

Истина в том, что не существует корреляции между здоровьем системы безопасности и процентом от IT-бюджета. Можно потратить 20% на дорогие, но не те инструменты и остаться уязвимым. Или, напротив, выделив 3% на критически важные процессы, достичь приемлемого уровня защищённости для своего профиля рисков. Фокус должен сместиться с вопроса «сколько» на вопросы «на что», «почему именно это» и «что мы защищаем».

От процента к процессу: как формируется бюджет на ИБ

Формирование обоснованного бюджета, это не арифметика, а последовательный управленческий процесс. Он начинается не с цифр, а с понимания контекста бизнеса.

1. Определение того, что нужно защищать (активы)

Прежде чем распределять средства, необходимо составить инвентаризацию критичных для бизнеса активов. Это не только серверы и базы данных, но и:

  • Интеллектуальная собственность: исходный код, патенты, ноу-хау.
  • Персональные данные клиентов и сотрудников (в контексте 152-ФЗ).
  • Ключевые бизнес-процессы: платёжный шлюз, система управления заказами.
  • Репутация бренда и доверие клиентов.

Без чёткого списка приоритетных активов инвестиции распыляются, а защита становится точечной и несвязанной.

2. Оценка угроз и рисков

Следующий шаг — понять, от чего эти активы нужно защищать. Угрозы для интернет-магазина (DDoS-атаки, взломы учётных записей) и для промышленного предприятия (вирусы-шифровальщики в SCADA) радикально различаются. Оценка рисков помогает ответить на вопросы:

  • Какие инциденты с наибольшей вероятностью могут произойти?
  • Какой финансовый и репутационный ущерб они нанесут?
  • Какие уязвимости уже существуют в нашей инфраструктуре?

Этот анализ — основа для расстановки приоритетов в бюджете. Средства в первую очередь направляются на снижение наиболее вероятных и опасных рисков.

3. Учёт требований регуляторов

Для многих компаний в России значительную часть бюджета определяют не внутренние риски, а внешние требования. Невыполнение грозит крупными штрафами и приостановкой деятельности.

  • 152-ФЗ «О персональных данных»: обязывает операторов ПДн реализовать комплекс мер защиты. Бюджетная статья здесь — средства криптографической защиты информации (СКЗИ), системы управления доступом, DLP.
  • Требования ФСТЭК России: для государственных информационных систем (ГИС) и критической информационной инфраструктуры (КИИ) действуют жёсткие стандарты (например, приказы ФСТЭК). Затраты на их выполнение могут быть очень существенными и часто не оставляют выбора в распределении средств.
  • Отраслевые стандарты: Банк России, ФСБ, Роскомнадзор предъявляют свои требования к поднадзорным организациям.

В этом случае часть бюджета перестаёт быть «инвестицией» в классическом смысле и становится обязательным «налогом» на ведение деятельности. Эти расходы необходимо выделять в первую очередь.

4. Выбор стратегии: Build, Buy или Hybrid

После определения «что» и «зачем» защищать, встаёт вопрос «как». От ответа на него сильно зависит структура затрат.

Стратегия Что означает Влияние на бюджет
Build (строить) Развитие собственной экспертизы и команды, разработка или глубокая кастомизация решений. Высокие капитальные расходы (CapEx) на найм специалистов, разработку. Низкие операционные (OpEx). Подходит для уникальных задач или компаний с высокой экспертизой.
Buy (покупать) Закупка готовых коммерческих или open-source решений, аутсорсинг услуг (MSSP). Смещение в сторону OpEx (подписки, лицензии, услуги). Быстрый старт, но возможна зависимость от вендора и ограниченная гибкость.
Hybrid (гибрид) Сочетание готовых решений для базовых задач (антивирус, межсетевой экран) с собственной разработкой для специфических процессов. Наиболее распространённый подход. Позволяет гибко распределять бюджет между CapEx и OpEx в зависимости от потребностей.

Выбор стратегии определяет, пойдут ли основные средства на закупку железа и софта или на фонд оплаты труда и обучение собственных кадров.

На что уходит бюджет: разбивка по статьям расходов

Чтобы понимать, куда именно направлять средства, полезно разложить бюджет на составляющие. Условно их можно разделить на три большие категории.

Люди и процессы (около 40–60%)

Самая значительная и часто недооцениваемая часть. Без грамотных специалистов и отлаженных процессов даже самые дорогие инструменты бесполезны.

  • Заработная плата команды ИБ: аналитики, пентестеры, архитекторы, SOC-инженеры.
  • Обучение и сертификация: как для сотрудников ИБ, так и для всего персонала (повышение киберграмотности).
  • Аутсорсинг: услуги Managed Security Service Provider (MSSP), внешний аудит, расследование инцидентов.
  • Разработка и поддержка политик безопасности: документооборот, регламенты, должностные инструкции.

Технологии и инструменты (около 30–50%)

Капитальные и операционные расходы на софт и железо.

  • Закупка и обновление лицензий: межсетевые экраны нового поколения (NGFW), системы предотвращения вторжений (IPS), антивирусы, SIEM.
  • Затраты на инфраструктуру: серверы для систем безопасности, выделенные каналы связи.
  • Облачные сервисы безопасности: подписки на SaaS-решения (например, облачный WAF или Sandbox).
  • Средства криптографической защиты (СКЗИ): необходимы для выполнения требований регуляторов.

Операционные и непредвиденные расходы (около 10–20%)

Резерв на неплановые ситуации и ежедневную деятельность.

  • Пентест и аудит: регулярные проверки на проникновение и оценка защищённости.
  • Формирование резервного фонда на инциденты: средства на срочный вызов специалистов, выплаты по киберстраховке (если есть).
  • Тестирование восстановления из резервных копий (DRP): проверка планов аварийного восстановления.

Факторы, которые «сдвигают» процент

Почему две похожие компании могут тратить на безопасность радикально разные доли IT-бюджета? На это влияет ряд факторов.

  • Стадия зрелости ИБ: Компания, только начинающая строить безопасность, потратит больше на базовую инфраструктуру (CapEx). Зрелая организация инвестирует в оптимизацию, автоматизацию и тонкую настройку (OpEx).
  • Отрасль и уровень риска: Финансовый сектор или госкомпании тратят значительно больше из-за регуляторного давления и высокой цены инцидента. Небольшая производственная фирма может обойтись меньшим бюджетом.
  • Масштаб и география: Распределённая сеть филиалов требует вложений в защиту периметра каждого из них, что увеличивает расходы.
  • История инцидентов Компания, пережившая серьёзный взлом или утечку данных, часто увеличивает бюджет на ИБ, осознав реальную стоимость рисков.
  • ИТ-стратегия компании: Массовый переход в облако (облака) смещает бюджет с закупки железа на подписки и конфигурацию облачных политик безопасности (CSPM).

Как рассчитать свой ориентир: практический подход

Вместо поиска магического процента, следуйте алгоритму, который приведёт к обоснованной цифре.

  1. Базовый минимум (регуляторика): Рассчитайте стоимость выполнения всех обязательных требований (152-ФЗ, ФСТЭК, отраслевые). Это ваша неизбежная базовая сумма.
  2. Запросы бизнеса: Определите, какие инициативы в IT-отделе (внедрение нового CRM, переход на микросервисы) требуют сопутствующих инвестиций в безопасность. Заложите их в бюджет ИБ.
  3. Снижение ключевых рисков: Основываясь на оценке рисков, составьте дорожную карту из 3-5 наиболее важных проектов по ИБ на следующий год (например, внедрение SIEM, запуск программы обучения сотрудников). Оцените их стоимость.
  4. Операционные расходы: Прибавьте текущие затраты на поддержку существующих систем, зарплаты, обучение, услуги аутсорсеров.
  5. Суммирование: Сложите все четыре составляющие. Полученная сумма, это и есть ваш обоснованный бюджет на ИБ на следующий период.
  6. Сравнение с IT-бюджетом (постфактум): Только теперь разделите рассчитанную сумму на общий IT-бюджет. Вы получите ваш уникальный, ситуативный процент. Он может быть 3%, 8% или 25% — и это будет правильная цифра для вашей компании здесь и сейчас.

О чём спросить себя вместо «Какой процент?»

Когда возникает вопрос о бюджете, задайте эти вопросы, чтобы сместить фокус с затрат на ценность.

  • Какой максимальный финансовый ущерб от инцидента ИБ компания может пережить без критических последствий?
  • Какие обязательства перед клиентами и регуляторами мы не имеем права нарушить?
  • Насколько мы готовы к проверке со стороны ФСТЭК или Роскомнадзора прямо сегодня?
  • Какие три самых слабых места в нашей безопасности, устранение которых даст максимальный эффект?
  • Понимаем ли мы, как каждый рубль, заложенный в бюджет ИБ, снижает конкретные бизнес-риски?

Ответы на эти вопросы — лучший фундамент для диалога с руководством о финансировании, чем ссылка на абстрактные отраслевые проценты.

К чему стремиться: эффективность вместо процента

Конечная цель — не достижение определённой доли от IT-бюджета, а построение системы управления информационной безопасностью, которая:

  • Сбалансирована по рискам: Уровень защиты адекватен угрозам и ценности активов.
  • Интегрирована с бизнес-процессами: Безопасность не тормозит, а обеспечивает развитие.
  • Доказуема и измерима: Эффективность вложений оценивается через метрики (MTTD — среднее время обнаружения, MTTR — среднее время восстановления, количество успешно отражённых атак).
  • Устойчива к изменениям: Модель финансирования позволяет гибко реагировать на новые угрозы и изменения в бизнесе.

Процент от IT-бюджета, это не KPI для отдела информационной безопасности. Это всего лишь финансовая мета, побочный результат принятых стратегических решений. Сосредоточьтесь на процессе управления рисками, и правильная цифра в смете найдётся сама собой.

Оставьте комментарий