Сколько надо тратить на ИБ?

Деньги Бизнес

7 лет я не обращался к этой теме, что является достаточно большим сроком, чтобы вновь поднять ее на флаг и посмотреть с высоты накопленного опыта. На тот момент одним из самых популярных подходов в выделении денег на ИБ было использование % от ИТ-бюджета и ключевой вопрос был в том, каков должен быть этот процент. До сих пор бытует некое заблуждение, что значение этого показателя должно быть на уровне 7-12%. Поэтому и считается, что стоимость средств защиты должна составлять примерно 10% от стоимости защищаемой ИТ-инфраструктуры.

Но это в корне неверная позиция! По крайней мере в большинстве случаев она ведет нас не туда!

Эта позиция исходит из заблуждения, что ИБ является частью ИТ и предназначена для защиты ИТ-систем. Но ведь это не так! У нас даже ФСТЭК занимается регулятором в области технической защитой конфиденциальной информации, а не информационных систем. И это правильно. На первом, простом, уровне восприятия мы защищаем в первую очередь информацию, стоимость которой может считаться по разному — как затратным методом, так и доходным или рыночным. Но она в большинстве случаев превосходит стоимость инфраструктуры, которая ее обрабатывает. Другой вопрос, что мы часто не умеем считать стоимость информации и поэтому мы не можем ответить на вопрос, заданный в заголовке заметки.

На прошедшем на прошлой неделе киберфестивале PHDays я модерировал секцию «CISO 2.0. С бордом на одном борде» с пятью действующими руководителями по ИБ, 3 из которых подчинялись напрямую первому лицу своей организации, а не ИТ-руководству (такой директор по ИБ в дискуссии был только один). Пятый руководитель ИБ поделился наблюдением, что у нас в стране около 70% CISO не подчиняются ИТ.

Для меня такая цифра было удивительной — я думал, что это значение все-таки ниже!

В исследовании, которое было проведено Positive Technologies в 2018-м году среди руководителей ИТ и ИБ крупных российских предприятий, было показано, что только в 21% организаций бюджет на ИБ входит в состав ИТ. В почти 80% случаев CISO получает деньги на решение задач организации в области кибербеза независимо от ИТ-бюджета.

За чей счет формируется бюджет на ИБ?
За чей счет формируется бюджет на ИБ?

Получается, что сам по себе подход формирования бюджета на ИБ от ИТ-бюджета хоть и имеет право на существование, но не является превалирующим и не должен рассматриваться как догма и руководство к действию.

Но если все-таки вы пойдете по этому пути, то да, 10% от ИТ-бюджета, будет самым распространенным вариантом, который называет большинство CISO из той пятой части компаний, которое подчиняется ИТ.

Правда, было это в 2018-м году и с тех пор многое могло поменяться. Например, по данным Лаборатории Касперского, которые были опубликованы 10 февраля средний объем расходов на ИБ в российских организациях составил в 2022-м году 19% от ИТ-бюджета. В малом и среднем бизнесе этот показатель и вовсе составляет чуть больше 50%!!!

Но для меня эти цифры выглядят немного странновато и я бы предположил, что такой рост скорее связан с уходом иностранных ИБ-компаний из России и необходимостью переходить на отечественные решения, чем с взрывным ростом интереса к ИБ и увеличением бюджета на нее.

Я бы все-таки ориентировался совсем на другие факторы, которые стоит принимать в расчет при бюджетировании ИБ. В рамках образовательной программы «Киберустойчивая организация: управление компанией в цифровом шторме«, которая была разработана Positive Technologies и МГУ, и где я читаю несколько лекций, я готовил отдельный материал на тему бюджетирования ИБ (как оказалось, это очень популярный вопрос у топ-менеджеров, участвовавших в обучении). Я выделил и описал 8 подходов к решению этого вопроса:

Подходы к бюджетированию ИБ
Подходы к бюджетированию ИБ

Ключевых выводов я могу сделать три:

  1. Универсального подхода к бюджетированию не существует и уж точно определение бюджета в % от ИТ не является единственно верным и правильным!
  2. Бюджет зависит от решаемых задач службы ИБ. Сегодня он у вас может быть Х рублей, а в следующем году 2Х, а через год 0,5Х. Такая волатильность не говорит ровным счетом ни о чем. В рамках импортозамещения, очевидно, бюджет у вас будет возрастать. А потом он начнет сокращаться. А потом вы решите купить средства защиты, нужные вам как воздух, и потребность в бюджете вновь возрастет, а потом вы уйдете в облака и капитальные затраты на ИБ вновь снизятся.
  3. Бюджет зависит от того, что вы защищаете или что вы предотвращаете. Если вы защищаете сеть, то да, странно, когда покупаемый NGFW будет стоить дороже всех ваших коммутаторов и маршрутизаторов вместе взятых. Но если вы защищаете организацию от кражи денег в размере 20% от прибыли или в размере 4% от оборота, то стоимость решения класса NTA/NDR на общем фоне будет незначительна. Если вы пытаетесь защитить себя от штрафа в 60 тысяч рублей за утечку ПДн, то проект по приведению себя в соответствие с ФЗ-152 за 24 миллиона рублей выглядит странновато. Но та же сумма может быть вполне адекватной, если вы ставите перед собой задачу обеспечения лояльности клиентов и защиты от их ухода, что, при среднем чеке на клиента в 5500 рублей в год и числе клиентов в 500 тысяч и уходе 10% из-за утечки их ПДн может привести к потерям в 275 миллионов рублей (соотношение 1 к 10 вполне себе имеет право на существование).

4 года назад на CISO FORUM Дмитрий Мананников предложил простой тест: «Обнулите» весь бюджет на ИБ, который вы потратили за время своей работы и ответьте — готовы ли снова вы потратить эти деньги на тоже самое, на что вы тратили в прошлом?

А что зарубежом? Как там вычисляют размер ИБ-бюджета? Если погуглить в Интернете, задав вопрос про % от ИТ-затрат, то да, вы найдете немало интересных ссылок на статьи и исследования (в 2016-м году я так и делал, что и привело к рождению первоначальной статьи). Но если задать этот вопрос тем, кто выделяет деньги на бюджет, то результат будет не таким однозначным. Да, ИТ-история будет по-прежнему превалировать, но будет немало и тех, кто идет не по простому пути, а исходя из потребностей организации в управлении конкретными актуальными рисками или недопустимыми событиями. А уж каким в этом случае получится бюджет на ИБ, больше ИТшного или меньше, в размере 10% от ИТ или нет, вопрос десятый.

Какие подходы к бюджетированию ИБ существуют?
Какие подходы к бюджетированию ИБ существуют по версии PWC?

«У нас в бюджете образовались лишние 100 косарей. Решил инвестировать их в безопасность и тимбилдинг. В этом месяце делимся на две команды: Контр-теppopиcты: девопсы, админы, безопасники и все остальные, кому положен доступ к базам. Вы должны защитить боевые базы данных, и тогда сотка ваша. Если не сможете, то из ваших квартальных премий вычтем сотку, на которую будем играть в следующем месяце. Тeppoриcты — все остальные. Должны дропнуть хотя бы одну боевую базу, желательно вместе со всеми бэкапами. Тот, кто нанесёт больше всего ущерба, забирает банк. Правил никаких нет, можете хоть с паяльниками друг друга в подъездах ловить.»

Из телеграм-канала «I’m CTO, bitch»

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. пофиг

    Бюджетники-отдельная когорта ИБ, где суммы от бешенных до копеечных и защита идет чисто от законодательства и только по нормативке, т.е. защита от регулятора. Коммерсанты- в 99 процентах включая госсектор кладут болт, и часто это оправдано, достаточно базовых мер которые могут закрывать админы(ответственные админы). Про банки , ИТ сферу(разработка) и некоторые критические сферы это не касается, т.к. не знаю. Что касается подчинения ИБ , ИБ подчиняет часто из-за 152 фз под руководство(отвественный за обработку пд)…официально. Фактически может может быть подчинен ИТ(неформально).

    Ответить
  2. Сергей Солдатов

    Алексей, ты не прав. Ошибка, а, может, и манипуляция, в этом предложении: «мы защищаем в первую очередь информацию, стоимость которой может считаться по разному — как затратным методом, так и доходным или рыночным. Но она в большинстве случаев превосходит стоимость инфраструктуры, которая ее обрабатывает».
    Сценарий, когда ИТ — обслуживают инфраструктуру, а ИБ — безопасность, не работает на практике, либо несет еще бОльшие риски для безопасности. Весь Operations ИБ должен располагаться в ИТ, поэтому косты на операционную безопасность — это и есть часть костов ИТ. Эмпирически их можно посчитать как 10% от ИТ — эта дельта затрат ИТ, идущая на выполнение требований ИБ. В предлагаемой мной схеме за ИБ сохраняются — постановка требований и контроль исполнения (тут может подключаться внутренний аудит или\и деп-т внутреннего контроля).

    Ответить
    1. Алексей Лукацкий автор

      Сергей, мне кажется ты выдвинул тезис, который не мой, и сейчас с ним споришь 🙂

      Я написал и настаиваю, что ИБ защищает не ИТ, а активы компании, которыми ИТ не владеет, а также обеспечивает их работоспособность, доступность и т.п. И стоимость таких активов может быть в разы или даже на порядки выше стоимости серверов, обрабатывающих эти активы. Поэтому привязывать бюджет на ИБ к бюджету на ИТ не совсем корректно.

      Ты же пишешь про то, где и как может реализовываться ФУНКЦИЯ ИБ. И да, я и не спорю с тем, что служба ИБ должна заниматься постановкой задач и контролем их исполнения, а ИТ должны заниматься эксплуатацией СрЗИ, харденингом и т.п.

      Ответить