Бюджет ИБ без иллюзий

Бюджет на информационную безопасность – один из самых сложных для принятия управленческих решений. Давление на сокращение затрат растёт, при этом цена ошибки слишком высока. Любое неверное распределение расходов становится видно только постфактум – в момент инцидента. Как выстроить бюджет так, чтобы он отражал реальные риски, а не формальные требования? Разбираемся вместе с Виктором Виноградовым, директором по информационной безопасности mt cloud.

Когда экономия становится риском

Частая ошибка при формировании бюджета – опора на привычные инструменты и прошлые решения. В этом случае структура расходов отражает не реальные риски, а сложившуюся практику. В результате деньги продолжают идти на второстепенные задачи, а критичные зоны недополучают защиту.

Приоритизацию имеет смысл выстраивать от обратного – от последствий инцидента для бизнеса. В фокусе оказываются системы и процессы, от которых напрямую зависит выручка, производство и доступность сервисов. Их защита и задаёт основу бюджета.

Ещё один ориентир для приоритизации – наиболее частые сценарии атак. Речь про внешний периметр, фишинг, компрометацию учетных данных, атаки через подрядчиков и DDoS. По данным Positive Technologies, Лаборатория Касперского и Solar, именно эти векторы остаются основными в последние годы. Защита от них формирует базовый уровень безопасности и требует стабильного финансирования.

Экономия в критичных зонах быстро приводит к росту рисков, поэтому сокращение затрат обычно ищут в других статьях. В первую очередь пересматриваются новые проекты и избыточные внешние аудиты. Их можно отложить, если базовый уровень защиты уже выстроен.

Границы допустимой экономии каждый раз определяются бизнесом. Ориентир здесь один – последствия инцидента. Если сбой системы останавливает ключевые процессы, её защита остаётся в числе обязательных расходов.

Как сократить ИБ бюджет без потери защиты

После того как определены критичные зоны, возникает следующий вопрос – как именно сокращать расходы, не снижая уровень защиты. Экономия в ИБ достигается не за счёт отказа от мер безопасности, а за счёт изменения модели их реализации.

Один из самых эффективных способов оптимизации – переход к использованию профессиональных сервисов безопасности (MSS). Использование профессиональных сервисов безопасности позволяет снизить нагрузку на собственную команду и перевести часть затрат из капитальных в операционные. Компания в этом случае, в рамках сервиса, может получить экспертизу и инструменты без долгого процесса внедрения и обучения персонала.

Отдельные направления защиты уже давно требуют специализированных команд. Речь про SOC, MDR/MXDR или защиту от DDoS-атак. Поддержка таких функций внутри компании обходится дорого и часто оказывается неэффективной. Аутсорсинг в этих зонах позволяет получить более высокий уровень экспертизы без роста постоянных затрат. В результате для большинства компаний оптимальной становится гибридная модель с уклоном в аутсорсинг. Критичные функции и управление остаются внутри, а ресурсоёмкие и узкоспециализированные задачи передаются внешним провайдерам.

Использование решений с открытым исходным кодом снижает затраты на лицензии, но переносит часть расходов на команду – в настройку и поддержку. Экономия в этом случае достигается за счёт человеко-часов и оправдана при наличии сильных специалистов и времени на внедрение. Фрилансеры в такой модели могут подключаться для разовых задач, например для проведения пентеста, но операционную безопасность на них строить нецелесообразно: защита требует постоянного контроля и непрерывной работы, а не точечных подключений.

Где бюджет ИБ даёт сбои

Даже при выстроенной стратегии бюджет ИБ часто «сыпется» в одном и том же месте – в недооценке инцидентов. Компании планируют защиту, но не закладывают расходы на последствия. Чаще всего выпадают две статьи: реагирование на инциденты и потенциальные штрафы. Ожидание, что инцидент не произойдёт, приводит к срочным и незапланированным тратам в самый неподходящий момент.

Практическое решение – заранее заключить рамочный договор с внешней командой реагирования, чтобы условия и стоимость работ были определены до инцидента. Тогда при его возникновении не требуется искать подрядчика и согласовывать бюджет, и реагирование начинается сразу.

В структуре бюджета рекомендую отдельно учитывать резерв на непредвиденные расходы. На практике имеет смысл закладывать 5–10% от общего бюджета ИБ на форс-мажоры. Альтернативный способ расчёта резерва – ориентироваться на стоимость среднего инцидента в отрасли и закладывать фиксированную сумму.

Ещё одна сложность связана с обоснованием затрат. Без перевода рисков в деньги безопасность остаётся абстрактной и не воспринимается как приоритет. Основание для решений простое: расходы на защиту сопоставляются с возможными потерями от инцидента. В таком виде затраты становятся понятными бизнесу и обсуждаются в финансовых категориях.

В 2026 году лучше всего работают два показателя. Первый – размер возможных штрафов, например за утечку персональных данных. Второй – стоимость простоя критических сервисов. Эти метрики напрямую показывают финансовые последствия инцидента и помогают обосновать инвестиции в защиту.