Вне зависимости от модели финансирования, главная задача руководителя ИБ — превратить расходы на безопасность из обязательных издержек в понятный бизнесу актив, который предотвращает убытки и создает ценность. Это не бухгалтерская формальность, а стратегический вопрос, определяющий полномочия и реальное влияние отдела.
Почему модель финансирования, это не только про деньги
Разговор о финансировании информационной безопасности часто сводится к запросу на увеличение бюджета. Однако форма, в которой этот бюджет формируется и распределяется, определяет не только сумму, но и саму сущность функции ИБ в компании. Модель финансирования, это механизм, который влияет на скорость согласования закупок, независимость отдела от условных «фаворитов» из бизнес-подразделений, возможность планировать на несколько лет вперед и, в конечном счете, на реальную способность защищать активы.
В российских реалиях, где требования регуляторов (152-ФЗ, 187-ФЗ, приказы ФСТЭК) задают обязательный минимум, выбор модели финансирования часто становится компромиссом между бюрократической целесообразностью и оперативной гибкостью. Одни модели идеально подходят для прохождения проверок, другие — для быстрого реагирования на инциденты.
Модель 1: Централизованный бюджет (Cost Center)
Это классическая и самая распространенная модель, особенно в государственных структурах и крупных корпорациях с жесткой иерархией. Функция ИБ финансируется как центр затрат из общего бюджета компании или IT-департамента. Все расходы — на зарплаты, софт, железо, услуги — проходят через единую смету, утверждаемую на год вперед.
Как это работает на практике
В начале финансового года руководитель ИБ подает заявку, которая проходит согласование с финансовым департаментом и высшим руководством. После утверждения бюджет фиксируется. Любое непредвиденное расходование (например, срочная покупка средств анализа утечек после инцидента) требует отдельной, часто долгой, процедуры внесения изменений в смету или использования резервных фондов.
Преимущества модели очевидны для регуляторного аудита: все траты прозрачны, документированы и легко ложатся в отчетность по выполнению требований 152-ФЗ. Финансовый контроль максимален.
Главные подводные камни
- Негибкость и медленная реакция. Угрозы не живут по финансовому календарю. Необходимость срочно закупить инструмент для анализа новой уязвимости может утонуть в многонедельных согласованиях.
- Конкуренция за ресурсы. Бюджет ИБ конкурирует в общем котле с бюджетами на развитие бизнес-приложений или обновление офисной техники. В споре за деньги аргумент «это нужно для безопасности» часто проигрывает аргументу «это принесет доход в следующем квартале».
- Синдром «используй или потеряешь». К концу года часто возникает стремление потратить остатки бюджета на что угодно, лишь бы не получить урезание финансирования в следующем цикле, что ведет к нерациональным закупкам.
Модель 2: Финансирование через внутренние сервисные соглашения (Internal Service Provider)
Эта модель переносит логику аутсорсинга внутрь компании. Отдел ИБ перестает быть просто центром затрат и начинает работать как внутренний провайдер услуг. Он заключает сервисные соглашения (Service Level Agreement, SLA) с другими департаментами — например, с отделом разработки, финансов или кадровой службой.
Принцип распределения затрат
Финансирование формируется не из единого бюджета, а за счет средств, которые бизнес-подразделения выделяют на безопасность своих процессов. Условно, если отдел продаж использует CRM-систему, часть затрат на ее содержание включает и оплату услуг ИБ по защите данных клиентов в этой системе. Бюджет отдела ИБ становится суммой этих внутренних «платежей».
Такая модель максимально приближает ИБ к бизнесу. Затраты на безопасность напрямую увязываются с конкретными активами и процессами, что повышает осознанность руководителей подразделений.
Сложности внедрения
- Сложность расчетов. Нужно четко определить, как оценивать «услугу безопасности». По количеству защищенных рабочих мест? По сложности приложения? По объему обрабатываемых персональных данных? Методология может стать предметом споров.
- Административная нагрузка. Требуется ведение внутреннего учета, выставление счетов и постоянные переговоры об SLA, что отвлекает от оперативной работы.
- Риск «отказа от услуги». Бизнес-подразделение, стремясь сэкономить, может попытаться минимизировать свой вклад, аргументируя это малым риском, что в итоге подрывает общий уровень безопасности.
Модель 3: Гибридная модель с фондом быстрого реагирования
Этот подход пытается взять лучшее от двух предыдущих моделей. Основная часть бюджета (70-80%) утверждается централизованно на плановые нужды: зарплаты, техническую поддержку, лицензии, ежегодное обучение. При этом создается отдельный, относительно небольшой фонд быстрого реагирования (или фонд инноваций в области ИБ), которым руководитель отдела может распоряжаться в упрощенном порядке.
Механика работы фонда
Фонд предназначен для непредвиденных, но критически важных расходов. Примеры: срочная закупка средств защиты для нового, не запланированного изначально проекта; оплата услуг цифровых криминалистов при серьезном инциденте; участие в отраслевой конференции для изучения новых трендов угроз. Траты из этого фонда требуют постфактумного отчета с обоснованием, но не многоэтапного предварительного согласования.
Такой подход решает ключевую проблему централизованной модели — отсутствие гибкости, сохраняя при этом общий финансовый контроль и прозрачность.
Что нужно для успеха гибридной модели
- Доверие со стороны руководства. Существование фонда основано на доверии к компетенциям и здравому смыслу руководителя ИБ.
- Четкие и прозрачные правила. Должны быть письменно зафиксированы лимиты фонда, категории допустимых расходов и формат отчетности. Без этого фонд быстро станет объектом претензий со стороны других отделов.
- Связь с управлением рисками. Каждая трата из фонда должна обосновываться не просто потребностью, а снижением конкретных рисков из реестра. Это превращает расходы из спонтанных в управляемые.
Как выбрать модель для своей организации
Выбор не должен быть случайным. Он зависит от зрелости функции ИБ, общей культуры управления компанией и отраслевых особенностей.
| Критерий | Централизованный бюджет | Internal Service Provider | Гибридная модель |
|---|---|---|---|
| Тип организации | Госучреждения, крупные корпорации, компании с жесткой вертикалью власти | Крупные холдинги с независимыми бизнес-юнитами, IT-компании | Средний и крупный бизнес, стремящийся к гибкости, компании в регулируемых отраслях (финансы, телеком) |
| Зрелость ИБ | Начальный и средний уровень. Фокус на compliance (152-ФЗ, ФСТЭК). | Высокий уровень. ИБ — партнер бизнеса, риски оценены и оцифрованы. | Средний и высокий уровень. Есть понимание процессов и рисков. |
| Скорость реакции | Низкая | Средняя (зависит от согласования с внутренним «клиентом») | Высокая (за счет фонда быстрого реагирования) |
| Сложность администрирования | Низкая | Высокая | Средняя |
| Лучшее для | Гарантированного выполнения регуляторных требований, тотального финансового контроля. | Внедрения культуры ответственности за безопасность на уровне бизнес-подразделений. | Баланса между плановостью, гибкостью и выполнением требований регуляторов. |
Вместо заключения: бюджет как инструмент управления
Итоговая рекомендация сводится не к выбору одной «идеальной» модели, а к осознанию, что модель финансирования, это такой же инструмент управления рисками, как система обнаружения вторжений или политика паролей. Ее можно и нужно адаптировать и комбинировать.
Например, в рамках централизованной модели можно ввести упрощенную процедуру для закупок из единого каталога предварительно одобренных решений. А в модели внутреннего провайдера — закрепить за ИБ централизованный бюджет на фундаментальную инфраструктуру (например, межсетевые экраны периметра), распределяя по подразделениям только стоимость «прикладных» услуг.
Главный переход, который необходимо совершить, — перестать говорить с бизнесом на языке затрат («нам нужно 2 миллиона на SIEM») и начать говорить на языке защиты активов и предотвращения убытков («это позволит снизить риск финансовых потерь от утечки данных с 10 до 2 миллионов рублей в год»). Модель финансирования, которая помогает донести эту мысль, и будет правильной для вашей компании.