Habr, привет!

На связи Дмитрий Бабчук (CISO), и сегодня мы разберем один из самых болезненных вопросов, который регулярно возникает как у руководителей, так и у специалистов по информационной безопасности: «Сколько нужно тратить на ИБ?».

Этот вопрос сравним с вопросом «Сколько нужно тратить на медицину?». Ответ всегда контекстный: можно обходиться базовой страховкой, а можно проходить ежегодный чек-ап в лучших клиниках мира. Все зависит от состояния здоровья, образа жизни и аппетитов к риску.

В информационной безопасности не существует единой «правильной» цифры. Но существуют методики, позволяющие обосновать бюджет, который будет адекватен рискам вашего бизнеса.

Почему не работают «средние показатели по рынку»?

Многие начинают с поиска отраслевых бенчмарков: «В нашем секторе в среднем тратят 5% от IT-бюджета». Это полезный ориентир, но опасный KPI. Ваши риски могут кардинально отличаться даже внутри одной отрасли:

• Стартап в режиме гиперроста и государственная компания с устоявшимися процессами

• Компания, работающая только в России, и международный бизнес под действием GDPR

• IT-продуктовая компания и производственный холдинг

Слепое следование средним показателям приводит либо к избыточным затратам, либо к фатальной недооценке рисков.

Три подхода к расчету бюджета на ИБ

1. От рисков (Risk-Based Approach) — самый зрелый и эффективный

Логика: Бюджет на ИБ — это инвестиция в снижение вероятности или реализации бизнес-рисков.

Как считать:

1. Проведите оценку рисков: Сформируйте перечень наиболее критичных для бизнеса активов (данные клиентов, IP, производственные системы) и смоделируйте для них сценарии угроз (утечка, сбой).

2. Оцените финансовое воздействие (ALE): Для каждого сценария посчитайте потенциальные финансовые потери (штрафы, простои, репутационный ущерб, затраты на восстановление).

3. Определите меры контроля: Какие инструменты и процессы нужны, чтобы снизить вероятность или ущерб от инцидента до приемлемого уровня?

4. Стоимость контроля = Обоснованный бюджет.

Пример: Риск остановки производства из-за кибератаки оценивается в 100 млн руб. в год. Внедрение сегментации сети и MDR-сервиса стоимостью 15 млн руб. снижает этот риск на 80%. ROI очевиден.

Для кого подходит: Для компаний с зрелым управлением, где ИБ воспринимается как часть бизнес-стратегии.

2. От требований (Compliance-Based Approach) — базовый уровень

Логика: Бюджет определяется стоимостью выполнения обязательных требований регуляторов и стандартов.

Как считать:

1. Определите требования: 152-ФЗ, ФЗ-187, PCI DSS, GDPR, отраслевые стандарты.

2. Сформируйте «дорожную карту» соответствия: Что необходимо внедрить или доработать (шифрование, SIEM, PAM, процессы).

3. Оцените стоимость реализации дорожной карты: Затраты на закупку ПО, найм персонала, консалтинг.

Плюс: Бюджет легко обосновать — «это требуется по закону».
Минус: Соответствие стандартам ≠ безопасность. Этот подход защищает от штрафов, но не обязательно от целевой атаки.

Для кого подхода: Для компаний в строго регулируемых отраслях (финансы, энергетика, здравоохранение) или как отправная точка для построения ИБ.

3. От аналогии (Benchmarking Approach) — для старта и примерной оценки

Логика: Сравнение с тратами аналогичных компаний.

Как считать:

• % от IT-бюджета: В среднем по рынку это 3-8%. Для технологических компаний может достигать 10-15%.

• % от выручки: 0.1% - 0.5% в зависимости от рисков.

• На одного сотрудника: От 15 000 до 150 000 руб. в год (сильно зависит от оснащения рабочего места).

Важно: Используйте этот подход не для финального расчета, а для проверки гипотез. Если ваш расчет от рисков дал 2% от IT-бюджета, а бенчмарк по отрасли — 6%, стоит перепроверить, все ли риски учтены.

Практический шаблон: Из чего складывается бюджет?

Разбейте свои запросы на логические блоки:

1. Люди (40-60%): Зарплаты команды ИБ (CISO, аналитики, инженеры, архитектор).

2. Технологии (25-40%): Лицензии на ПО (EDR, SIEM, PAM, шлюзы), обновления, техподдержка.

3. Сервисы (10-25%): Аутсорс (SOC, пентесты, аудиты), подписки (разведка угроз, базы уязвимостей).

4. Операционные расходы (5-10%): Обучение, сертификация, командировки.

Ключевой вывод: сколько же все-таки тратить?

Правильный ответ: Ровно столько, сколько стоит снижение ваших киберрисков до уровня, приемлемого для совета директоров.

Не ищите магическое число. Выстройте диалог с бизнесом:

1. Поймите ключевые бизнес-процессы и что их прерывает.

2. Оцените риски этих прерываний в деньгах и репутации.

3. Предложите меры контроля с четким ROI.

Ваша цель — не отчитаться о потраченных процентах от IT-бюджета, а продемонстрировать, что каждый вложенный рубль в ИБ защищает бизнес от существенных финансовых и репутационных потерь.

А как вы обосновываете бюджет в своей компании? Сталкивались ли с ситуацией, когда подход «от рисков» кардинально менял сумму запроса?