7 лет я не обращался к этой теме, что является достаточно большим сроком, чтобы вновь поднять ее на флаг и посмотреть с высоты накопленного опыта. На тот момент одним из самых популярных подходов в выделении денег на ИБ было использование % от ИТ-бюджета и ключевой вопрос был в том, каков должен быть этот процент. До сих пор бытует некое заблуждение, что значение этого показателя должно быть на уровне 7-12%. Поэтому и считается, что стоимость средств защиты должна составлять примерно 10% от стоимости защищаемой ИТ-инфраструктуры.
Но это в корне неверная позиция! По крайней мере в большинстве случаев она ведет нас не туда!
Эта позиция исходит из заблуждения, что ИБ является частью ИТ и предназначена для защиты ИТ-систем. Но ведь это не так! У нас даже ФСТЭК занимается регулятором в области технической защитой конфиденциальной информации, а не информационных систем. И это правильно. На первом, простом, уровне восприятия мы защищаем в первую очередь информацию, стоимость которой может считаться по разному — как затратным методом, так и доходным или рыночным. Но она в большинстве случаев превосходит стоимость инфраструктуры, которая ее обрабатывает. Другой вопрос, что мы часто не умеем считать стоимость информации и поэтому мы не можем ответить на вопрос, заданный в заголовке заметки.
На прошедшем на прошлой неделе киберфестивале PHDays я модерировал секцию «CISO 2.0. С бордом на одном борде» с пятью действующими руководителями по ИБ, 3 из которых подчинялись напрямую первому лицу своей организации, а не ИТ-руководству (такой директор по ИБ в дискуссии был только один). Пятый руководитель ИБ поделился наблюдением, что у нас в стране около 70% CISO не подчиняются ИТ.
Для меня такая цифра было удивительной — я думал, что это значение все-таки ниже!
В исследовании, которое было проведено Positive Technologies в 2018-м году среди руководителей ИТ и ИБ крупных российских предприятий, было показано, что только в 21% организаций бюджет на ИБ входит в состав ИТ. В почти 80% случаев CISO получает деньги на решение задач организации в области кибербеза независимо от ИТ-бюджета.
Получается, что сам по себе подход формирования бюджета на ИБ от ИТ-бюджета хоть и имеет право на существование, но не является превалирующим и не должен рассматриваться как догма и руководство к действию.
Но если все-таки вы пойдете по этому пути, то да, 10% от ИТ-бюджета, будет самым распространенным вариантом, который называет большинство CISO из той пятой части компаний, которое подчиняется ИТ.
Правда, было это в 2018-м году и с тех пор многое могло поменяться. Например, по данным Лаборатории Касперского, которые были опубликованы 10 февраля средний объем расходов на ИБ в российских организациях составил в 2022-м году 19% от ИТ-бюджета. В малом и среднем бизнесе этот показатель и вовсе составляет чуть больше 50%!!!
Но для меня эти цифры выглядят немного странновато и я бы предположил, что такой рост скорее связан с уходом иностранных ИБ-компаний из России и необходимостью переходить на отечественные решения, чем с взрывным ростом интереса к ИБ и увеличением бюджета на нее.
Я бы все-таки ориентировался совсем на другие факторы, которые стоит принимать в расчет при бюджетировании ИБ. В рамках образовательной программы «Киберустойчивая организация: управление компанией в цифровом шторме«, которая была разработана Positive Technologies и МГУ, и где я читаю несколько лекций, я готовил отдельный материал на тему бюджетирования ИБ (как оказалось, это очень популярный вопрос у топ-менеджеров, участвовавших в обучении). Я выделил и описал 8 подходов к решению этого вопроса:
Ключевых выводов я могу сделать три:
- Универсального подхода к бюджетированию не существует и уж точно определение бюджета в % от ИТ не является единственно верным и правильным!
- Бюджет зависит от решаемых задач службы ИБ. Сегодня он у вас может быть Х рублей, а в следующем году 2Х, а через год 0,5Х. Такая волатильность не говорит ровным счетом ни о чем. В рамках импортозамещения, очевидно, бюджет у вас будет возрастать. А потом он начнет сокращаться. А потом вы решите купить средства защиты, нужные вам как воздух, и потребность в бюджете вновь возрастет, а потом вы уйдете в облака и капитальные затраты на ИБ вновь снизятся.
- Бюджет зависит от того, что вы защищаете или что вы предотвращаете. Если вы защищаете сеть, то да, странно, когда покупаемый NGFW будет стоить дороже всех ваших коммутаторов и маршрутизаторов вместе взятых. Но если вы защищаете организацию от кражи денег в размере 20% от прибыли или в размере 4% от оборота, то стоимость решения класса NTA/NDR на общем фоне будет незначительна. Если вы пытаетесь защитить себя от штрафа в 60 тысяч рублей за утечку ПДн, то проект по приведению себя в соответствие с ФЗ-152 за 24 миллиона рублей выглядит странновато. Но та же сумма может быть вполне адекватной, если вы ставите перед собой задачу обеспечения лояльности клиентов и защиты от их ухода, что, при среднем чеке на клиента в 5500 рублей в год и числе клиентов в 500 тысяч и уходе 10% из-за утечки их ПДн может привести к потерям в 275 миллионов рублей (соотношение 1 к 10 вполне себе имеет право на существование).
4 года назад на CISO FORUM Дмитрий Мананников предложил простой тест: «Обнулите» весь бюджет на ИБ, который вы потратили за время своей работы и ответьте — готовы ли снова вы потратить эти деньги на тоже самое, на что вы тратили в прошлом?
А что зарубежом? Как там вычисляют размер ИБ-бюджета? Если погуглить в Интернете, задав вопрос про % от ИТ-затрат, то да, вы найдете немало интересных ссылок на статьи и исследования (в 2016-м году я так и делал, что и привело к рождению первоначальной статьи). Но если задать этот вопрос тем, кто выделяет деньги на бюджет, то результат будет не таким однозначным. Да, ИТ-история будет по-прежнему превалировать, но будет немало и тех, кто идет не по простому пути, а исходя из потребностей организации в управлении конкретными актуальными рисками или недопустимыми событиями. А уж каким в этом случае получится бюджет на ИБ, больше ИТшного или меньше, в размере 10% от ИТ или нет, вопрос десятый.
«У нас в бюджете образовались лишние 100 косарей. Решил инвестировать их в безопасность и тимбилдинг. В этом месяце делимся на две команды: Контр-теppopиcты: девопсы, админы, безопасники и все остальные, кому положен доступ к базам. Вы должны защитить боевые базы данных, и тогда сотка ваша. Если не сможете, то из ваших квартальных премий вычтем сотку, на которую будем играть в следующем месяце. Тeppoриcты — все остальные. Должны дропнуть хотя бы одну боевую базу, желательно вместе со всеми бэкапами. Тот, кто нанесёт больше всего ущерба, забирает банк. Правил никаких нет, можете хоть с паяльниками друг друга в подъездах ловить.»
Из телеграм-канала «I’m CTO, bitch»
Бюджетники-отдельная когорта ИБ, где суммы от бешенных до копеечных и защита идет чисто от законодательства и только по нормативке, т.е. защита от регулятора. Коммерсанты- в 99 процентах включая госсектор кладут болт, и часто это оправдано, достаточно базовых мер которые могут закрывать админы(ответственные админы). Про банки , ИТ сферу(разработка) и некоторые критические сферы это не касается, т.к. не знаю. Что касается подчинения ИБ , ИБ подчиняет часто из-за 152 фз под руководство(отвественный за обработку пд)…официально. Фактически может может быть подчинен ИТ(неформально).
Алексей, ты не прав. Ошибка, а, может, и манипуляция, в этом предложении: «мы защищаем в первую очередь информацию, стоимость которой может считаться по разному — как затратным методом, так и доходным или рыночным. Но она в большинстве случаев превосходит стоимость инфраструктуры, которая ее обрабатывает».
Сценарий, когда ИТ — обслуживают инфраструктуру, а ИБ — безопасность, не работает на практике, либо несет еще бОльшие риски для безопасности. Весь Operations ИБ должен располагаться в ИТ, поэтому косты на операционную безопасность — это и есть часть костов ИТ. Эмпирически их можно посчитать как 10% от ИТ — эта дельта затрат ИТ, идущая на выполнение требований ИБ. В предлагаемой мной схеме за ИБ сохраняются — постановка требований и контроль исполнения (тут может подключаться внутренний аудит или\и деп-т внутреннего контроля).
Сергей, мне кажется ты выдвинул тезис, который не мой, и сейчас с ним споришь 🙂
Я написал и настаиваю, что ИБ защищает не ИТ, а активы компании, которыми ИТ не владеет, а также обеспечивает их работоспособность, доступность и т.п. И стоимость таких активов может быть в разы или даже на порядки выше стоимости серверов, обрабатывающих эти активы. Поэтому привязывать бюджет на ИБ к бюджету на ИТ не совсем корректно.
Ты же пишешь про то, где и как может реализовываться ФУНКЦИЯ ИБ. И да, я и не спорю с тем, что служба ИБ должна заниматься постановкой задач и контролем их исполнения, а ИТ должны заниматься эксплуатацией СрЗИ, харденингом и т.п.