«Процент от IT-бюджета — это не метрика, а ловушка. Она создаёт иллюзию контроля, отвлекает от реальных угроз и заставляет бизнес тратить деньги не на защиту, а на отчётность. Настоящие расходы определяются стоимостью того, что может сломаться, а не стоимостью того, что стоит в серверной.»
Почему «процент от IT-бюджета» — плохой ориентир
Запрос на магическую цифру — 5%, 10%, 15% — обычно возникает там, где нет понимания предмета. Этот подход фундаментально неверен, потому что подменяет суть безопасности формальным отчётом.
IT-бюджет — величина ситуативная. Он может резко вырасти из-за миграции в облако или покупки дорогого ERP-решения. Но увеличение затрат на инфраструктуру не означает, что хакеры стали атаковать в два раза чаще. И наоборот, оптимизация IT-затрат через виртуализацию не снижает ценности данных, которые остаются на этих виртуальных машинах.
Главный недостаток процентного подхода — игнорирование специфики бизнеса. Две компании с одинаковым IT-бюджетом в 50 млн рублей в год могут иметь абсолютно разный профиль риска. Одна — интернет-банк, обрабатывающий платежи, другая — сайт-визитка производственного холдинга. Их затраты на безопасность не могут быть одинаковыми по определению, потому что цена инцидента для них отличается на порядки.
Слепое следование проценту создаёт опасную иллюзию. Руководство видит в отчёте цифру, скажем, 7%, ставит галочку и перестаёт задавать вопросы. При этом деньги могут уходить на устаревшие сигнатурные антивирусы, которые не ловят ничего, кроме известных угроз десятилетней давности. Бюджет освоен, отчётность сдана, реальная защита — нулевая.
От чего на самом деле зависят расходы на ИБ
Вместо поиска универсального коэффициента бюджет нужно выводить из трёх взаимосвязанных факторов: модели угроз, стоимости сбоя и аппетита бизнеса к риску.
1. Модель угроз и профиль риска
Это основа, а не формальность. Защищаться от всего — значит не защитить ничего. Сначала нужно определить, кто ваш противник, какие методы он использует и что именно ему нужно. Бюджет должен быть направлен на противодействие этим конкретным угрозам.
Для разработчика ПО с закрытым исходным кодом критична защита репозиториев и контроль доступа к средам разработки. Для оператора персональных данных — корректная настройка СКЗИ, DLP и строгий регламент обработки. Универсального набора мер не существует.
[ИЗОБРАЖЕНИЕ: Схема, показывающая, как отрасль, тип обрабатываемых данных и регуляторные требования формируют модель угроз, которая, в свою очередь, определяет структуру и объём бюджета на ИБ]
2. Стоимость потенциального инцидента
Логика проста: инвестиции в предотвращение должны быть экономически оправданы. Если потенциальные убытки от инцидента составляют X, то разумно потратить на его предотвращение сумму, значительно меньшую X.
Убытки — это не только прямые штрафы от регулятора по 152-ФЗ. Это судебные издержки, выплаты клиентам, затраты на расследование, репутационный ущерб, приводящий к оттоку клиентов, и простои критичных бизнес-процессов. Для оценки часто используют методологии типа FAIR (Factor Analysis of Information Risk), которые переводят качественные риски в количественные финансовые показатели.
3. Приемлемый для бизнеса уровень риска
Нулевого риска не бывает. Задача службы ИБ — не ликвидировать его полностью, а снизить до уровня, который собственник или совет директоров готов принять. Это бизнес-решение, а не техническое.
Один бизнес в высококонкурентной сфере будет инвестировать в превентивную аналитику и дорогие решения класса EDR, чтобы минимизировать даже маловероятные атаки. Другой, в более стабильной отрасли, может сознательно сэкономить, приняв на себя больший остаточный риск. Бюджет ИБ — это финансовое выражение выбранной стратегии отношения к угрозам.
Как структурировать бюджет информационной безопасности
Когда угрозы понятны, а аппетит к риску определён, можно переходить к планированию затрат. Их делят на несколько категорий, соотношение которых варьируется от компании к компании.
- Технологии (CAPEX/OPEX). Затраты на оборудование, ПО, облачные сервисы (MSSP, защита от DDoS, облачный SIEM). Важно считать не только стоимость лицензии, но и скрытые эксплуатационные расходы: обновления, интеграция, техподдержка, вычислительные ресурсы для работы систем.
- Персонал. Зарплаты штатных специалистов (CISO, аналитики SOC, инженеры), услуги аутсорсинга (например, управляемый SOC или регулярные пентесты), обучение. Часто это самая значительная и при этом недооценённая статья — без квалифицированных людей даже самое дорогое ПО бесполезно.
- Процессы и комплаенс. Затраты на разработку и актуализацию политик безопасности, внутренний аудит, подготовку к проверкам ФСТЭК или Роскомнадзора, сертификацию, юридическое сопровождение.
- Осведомлённость и культура. Регулярное обучение сотрудников, проведение учений по реагированию на инциденты, имитационные фишинговые кампании. Это не разовая акция, а постоянная статья расходов.
Соотношение статей — индикатор зрелости. Стартап может уйти в облако и OPEX, минимизируя CAPEX. Крупная организация с жёсткими требованиями ФСТЭК будет вынуждена содержать большой штат для сопровождения аттестованных средств защиты.
Практические шаги для расчёта
Вместо вопроса «сколько процентов» последовательно ответьте на следующие пункты.
- Определите активы. Составьте реестр информационных активов: данные клиентов (ПДн), ноу-хау, исходный код, системы управления финансами. Ранжируйте их по критичности для непрерывности бизнеса.
- Сформулируйте угрозы. На основе активов разработайте модель угроз. Какие сценарии атак наиболее вероятны и разрушительны для вашего бизнеса? Это могут быть ransomware для бухгалтерии или утечка базы клиентов через инсайдера.
- Оцените последствия. Хотя бы ориентировочно прикиньте финансовые и репутационные потери от реализации ключевых угроз. Это даст верхнюю планку для возможных инвестиций.
- Проведите GAP-анализ. Оцените разрыв между текущим состоянием защиты (существующие средства, процессы) и желаемым уровнем, определённым на предыдущих шагах.
- Составьте дорожную карту. Сформируйте план по закрытию разрывов: какие средства защиты внедрить, каких специалистов нанять, какие процессы регламентировать. Каждому пункту назначьте стоимость и сроки.
Сумма затрат по этой дорожной карте и будет вашим обоснованным бюджетом. Он может составить и 3%, и 30% от IT-бюджета — но эта цифра станет следствием анализа, а не его отправной точкой.
[ИЗОБРАЖЕНИЕ: Инфографика, иллюстрирующая последовательность: «Активы → Угрозы → Оценка ущерба → GAP-анализ → Дорожная карта мероприятий → Итоговый бюджет». Показаны входящие и исходящие данные для каждого этапа.]
Распространённые ошибки при планировании бюджета
- Финансирование «от достигнутого». Индексация прошлогоднего бюджета на инфляцию. Такой подход гарантирует, что защита будет всегда отставать от эволюции угроз.
- Фетишизация технологий. Закупка «волшебной» дорогой системы без плана по её интеграции в процессы и обучению персонала. Результат — shelfware, коробка, которая пылится на полке.
- Игнорирование операционных расходов. Лицензия на SIEM может стоить 1 млн рублей, а затраты на её тонкую настройку, содержание серверов для хранения логов и зарплату аналитика для её мониторинга — ещё 5 млн в год.
- Реактивное финансирование. Выделение средств только после громкого инцидента в отрасли или предписания от регулятора. Это самый дорогой и неэффективный способ вкладываться в безопасность.
Заключение
Вопрос о проценте — это вопрос не к финансистам, а к риск-менеджерам. Искомая цифра — не входной параметр для планирования, а расчётный результат оценки активов, угроз и бизнес-последствий.
Сместите фокус с абстрактных цифр на конкретные меры. Донесите до руководства не запрос на N миллионов рублей, а обоснование: «Чтобы снизить риск утечки базы ПДн с потенциальным ущербом в X млн рублей до приемлемого нами уровня, необходимо внедрить DLP, усилить контроль доступа и обучить сотрудников, что потребует Y млн рублей в год». Такой подход переводит информационную безопасность из статьи непонятных затрат в инструмент управления конкретными бизнес-рисками с измеримым ROI.