Годовой бюджет ИБ: как связать риски, меры и деньги, чтобы получить согласование
Изображение: recraft
Часто бюджет на ИБ выглядит для руководства как перечень затрат: лицензии, сервисы, обучение, подрядчики. Не всегда ясно, какие риски они закрывают и что случится с бизнесом, если эти меры проигнорировать.
Грамотно обоснованный ИБ-бюджет строится на простой логике: есть угроза, есть мера защиты, и есть стоимость. В таком виде руководство видит, за что платит, какие риски снижает и какие последствия возможны, если отложить инвестиции в безопасность на потом.
Почему бюджет ИБ не согласовывают?
1. Нет привязки к рискам бизнеса. В бюджете фигурируют EDR, DLP, SIEM, обучение, аудит, но не сказано, от чего именно они защищают. Руководству сложно согласовывать «инструменты», если непонятно, какой бизнес-риск за ними стоит.
2. Все выглядит как «страховка на всякий случай». Фразы вроде «повышение уровня защищенности» или «снижение вероятности инцидентов» не помогают принять решение. Бизнесу важно понимать, от каких конкретных потерь он себя защищает.
3. Нет приоритетов. Все меры подаются как одинаково важные. В итоге создается ощущение, что бюджет можно просто урезать, потому что непонятно, что действительно критично, а что можно отложить без серьезных последствий.
4. Недооценен человеческий фактор. Обучение сотрудников часто воспринимается как второстепенная статья: «можно сократить», «проведем потом». При этом именно через людей происходит большая часть инцидентов.
5. Отсутствует сценарий “если ничего не делать”. В бюджете редко показано, что произойдет при успешной атаке: простои процессов, штрафы регуляторов, срыв контрактов, репутационные потери.
Как бизнес на самом деле смотрит на ИБ-бюджет
Для руководства безопасность — это прежде всего стабильность бизнеса. Поэтому бюджет ИБ должен отвечать на вопросы, которые действительно волнуют топ-менеджмент:
- Ценность: какие активы для нас критичны и приносят деньги?
- Уязвимость: как именно мы можем их потерять или лишиться доступа к ним?
- Вероятность: насколько реален такой сценарий в наших условиях?
- Решение: что именно мы делаем, чтобы этого не произошло?
- Целесообразность: сколько стоит защита по сравнению с возможным ущербом?
Когда бюджет ИБ строится по этой логике, он перестает быть просто набором затрат. Руководству становится понятно, зачем он нужен и какие задачи решает.
Как связать риски, меры и деньги?
Шаг 1. Зафиксировать ключевые риски бизнеса
Для начала нужно ответить на простой вопрос: что именно может потерять бизнес в случае инцидента. Это может быть:
- Остановка продаж или производства;
- Потеря клиентской базы;
- Недоступность критичных ИТ-систем;
- Штрафы регуляторов за утечки данных (152-ФЗ, КИИ, отраслевые требования);
- Репутационные потери и срыв контрактов.
Шаг 2. Привязать каждый риск к реальному сценарию атаки
Дальше риск нужно разложить на шаги: как именно это может произойти. Например:
- Фишинговое письмо → сотрудник вводит пароль → злоумышленник получает доступ к почте;
- Зараженный файл → шифрование сервера → простой отдела или всей компании;
- Утечка данных → проверка регулятора и штраф.
Такие сценарии помогают руководству понять, что речь идет о вполне реалистичной цепочке событий.
Шаг 3. Подобрать меры под каждый риск
Только после этого появляются средства защиты — как ответ на конкретную угрозу. Например:
- Риск: компрометация учетных записей;
- Сценарий: фишинг и повторное использование паролей;
- Меры: MFA, почтовая защита, обучение сотрудников;
- Результат: снижение вероятности успешного входа злоумышленника.
В таком виде EDR, SIEM или обучение становятся частью понятной логики защиты.
Шаг 4. Показать деньги и приоритеты
Дальше — самое важное для согласования: деньги и приоритеты. Для каждого риска стоит показать:
- Возможный ущерб;
- Стоимость мер защиты;
- Последствия для бизнеса, если эту меру отложить.
Благодаря этому проще расставить приоритеты: где риск приемлем, а где — нет.
Шаг 5. Отдельно показать важность обучения
Обучение часто выносят в конец бюджета как необязательную строку. По статистике, 88% атак происходят через электронную почту. Даже при мощной технической защите большинство инцидентов начинаются с действий сотрудников.
Поэтому обучение является базовой мерой по снижению рисков, а не дополнением к основному бюджету. Обучение напрямую снижает:
- Вероятность фишинга;
- Количество инцидентов;
- Нагрузку на ИБ и ИТ-команды.
Шаг 6. Формулируем бюджет так, чтобы его можно было защитить
Руководству важно не что вы покупаете, а какой риск вы снижаете. Рабочие аргументы:
- Сколько инцидентов происходит в отрасли;
- Сколько стоит один инцидент для компании;
- Какие риски остаются без финансирования;
- Какие требования закона и регуляторов должны быть выполнены;
- Какие последствия будут при проверке или утечке.
Что в итоге видит руководство?
Грамотно составленный бюджет переводит разговор с технических деталей на язык интересов бизнеса:
- Вот наши ключевые бизнес-риски;
- Вот сценарии, которые к ним приводят;
- Вот меры, которые эти сценарии закрывают;
- Вот стоимость защиты;
- К чему приведет ее отсутствие.
Такой подход позволяет получить не только согласование, но и поддержку со стороны руководства. Безопасность перестает быть «проблемой ИБ-отдела» и становится управляемым бизнес-риском.
