В блог
Статьи
14/05/2026
Бюджет ИБ: как сократить риски, не увеличивая затраты
Анна Толмачева
Консультант по ИБ в «КИТ»
Каждый руководитель службы информационной безопасности (далее — ИБ) хотя бы раз слышал от финансового директора (CFO) одну и ту же фразу: «Докажи, зачем нам это нужно». ИБ традиционно воспринимается как «центр затрат» — деньги уходят, видимого результата нет. Пока ничего не случилось, защита кажется избыточной, когда инцидент произошел — оказывается, что ее было катастрофически мало.
Проблема обострилась: глобальный рынок кибербезопасности в 2024 году достиг 183,9 млрд долларов и, по оценке Gartner, вырос еще на 15% в 2025 году до 212 млрд долларов. Российский рынок идет в том же темпе — более 25% роста ежегодно. При этом бюджеты большинства компаний не успевают за угрозами.
Ключевой тезис: «Больше денег = больше безопасности» – это миф. Эффективность защиты определяется не объемом, а правильной расстановкой приоритетов.
Экономика ИБ
Кривая убывающей отдачи
В экономике безопасности давно известен принцип убывающей отдачи: каждый следующий рубль, вложенный в защиту, приносит все меньше снижения риска. Первые 20% бюджета закрывают 80% наиболее критичных уязвимостей. Оставшиеся 80% бюджета борются с оставшимися 20% - часто экзотическими угрозами с низкой вероятностью реализации.
Это не означает, что нужно экономить на всем. Это означает, что приоритизация критичнее объема.
Три категории затрат на ИБ
Весь бюджет службы безопасности делится на три компоненты:
Превентивные
Политики, обучение, аудиты, базовые средства защиты информации
Рентабельность инвестиций (ROI):
Наилучшая — снижает вероятность
Детектирующие
Система управления информацией и событиями безопасности (SIEM), центр мониторинга ИБ (SOC), мониторинг, система обнаружения/предотвращений вторжений (IDS/IPS)
Рентабельность инвестиций (ROI):
Высокая – снижает время реакции
Корректирующие
Восстановление, форензика, штрафы, антикризисные коммуникации
Рентабельность инвестиций (ROI):
Отрицательная — реакция на свершившееся
Заметим, что компании недофинансируют превентивные и детектирующие меры — и переплачивают за корректирующие. Восстановление после инцидента в 5−10 раз дороже предотвращения.
Формула оценки риска в деньгах (ALE)
Фундаментальный принцип: стоимость защиты не должна превышать стоимость защищаемого актива, умноженную на вероятность угрозы. Для расчета используется метрика годового ожидаемого ущерба (ALE −Annual Loss Expectancy):
ALE = SLE × ARO
SLE (Single Loss Expectancy) — ущерб от одного инцидента;
ARO (AnnualRate of Occurrence) — ожидаемая частота в год.
Пример: утечка клиентской базы = 30 млн руб. × 10% вероятность = ALE = 3 млн руб./год. Вывод: тратить на защиту от этой угрозы более 3 млн/год – экономически нецелесообразно.
Метрики, которые реально работают
Традиционный показатель возврата инвестиций (ROI − Return on Investment) плохо применим к ИБ — сложно «продать» предотвращенный ущерб. Более рабочие метрики:
  • показатель возврата инвестиций в безопасность (ROSI − Return on Security Investment) — разница между ожидаемым ущербом без защиты и с защитой, минус стоимость защиты;
  • среднее время обнаружения инцидента (MTTD − Mean Time to Detect), каждый час промедления увеличивает ущерб;
  • среднее время реагирования на инцидент (MTTR − Mean Time to Respond);
  • стоимость инцидента — прямые и косвенные потери.
По данным IBM Cost of a Data Breach Report, наличие выделенной команды реагирования снижает среднюю стоимость инцидента на 1,49 млн долларов. Это конкретная, измеримая окупаемость.
Сколько стоит не защищаться?
Мировая стоимость инцидента в 2024–2025 годах
Данные IBM Cost of a Data Breach Report фиксируют рост среднего ущерба от утечки данных с 4,45 млн долларов в 2023 году до 4,88 млн долларов в 2024 году — самый большой годовой скачок с эпохи пандемии. В 2025 году показатель скорректировался до 4,44 млн долларов на фоне распространения инструментов автоматизации защиты.
Отрасль
Средний ущерб от инцидента (2024)
Динамика
Здравоохранение
9,77 млн долларов
Лидер 14-й год подряд
Финансовый сектор
6,08 млн долларов
Рост vs 2023
Промышленность
Рост +830 тыс. долларов
Максимальный прирост
Среднемировой показатель
Рост +830 тыс. долларов
+10% год к году
Россия (InfoWatch)
11,5 млн руб.
По данным пострадавших
Примечательно: 70% организаций сообщили о значительных нарушениях бизнес-процессов после атаки, и только 12% полностью восстановились в разумные сроки. Остальные продолжают работать с последствиями.
Российская специфика: штрафы и нормативное регулирование
С 2025 года ландшафт нормативных рисков в России кардинально изменился. Принятые поправки к законодательству о персональных данных предусматривают:
  • оборотные штрафы за повторные утечки — от 1% до 3% годовой выручки;
  • уголовную ответственность вплоть до 10 лет лишения свободы за утечку персональных данных;
  • уголовную ответственность за создание сайтов для распространения похищенных данных.
Российский рынок ИБ в цифрах
По данным CNews Analytics, более 62% российских ИТ-компаний запланировали рост бюджета на ИБ в 2025 году. Тенденция сохраняется: по данным исследования Кода Безопасности, 64% российских организаций не планируют сокращать инвестиции в ИБ в 2026 году, а 32% намерены их увеличить. По прогнозу Центра стратегических разработок, российский рынок ИБ вырастет в 2026 году на 12% − до 448 млрд рублей, а к 2030 году достигнет 968 млрд рублей. Главные драйверы роста: увеличение числа и сложности атак, ужесточение нормативного регулирования, кадровый дефицит, импортозамещение.
Человеческий фактор: главная уязвимость
По данным Verizon DBIR, более 68% нарушений ИБ происходило из-за случайных действий пользователей. По российской статистике СерчИнформ, 67% инцидентов в российских компаниях сотрудники совершали случайно.
При этом IBM фиксирует три главных фактора, снижающих среднюю стоимость инцидента — обучение сотрудников, использование инструментов искусственного интеллекта и машинного обучения (AI/ML) и применение систем управления событиями безопасности (SIEM). Вложения в осведомленность дают один из лучших показателей возврата инвестиций в безопасность (ROSI).
Практика: как оптимизировать без потери качества
Риск-ориентированный подход: защищать то, что важно
Главная ошибка при формировании бюджета ИБ — попытка защитить все одинаково. На практике это означает защищать все плохо.
Риск-ориентированный подход требует последовательных шагов:
1. Инвентаризация активов — что именно нужно защищать? Данные клиентов, финансовые системы, производственные процессы?
2. Оценка критичности — какие активы при компрометации приведут к максимальному ущербу?
3. Анализ угроз — кто атакует, как именно, с какой вероятностью?
4. Приоритизация мер — каждое мероприятие оценивается по четырем критериям: влияние на риск, скорость внедрения, стоимость реализации, количество рисков, на которые воздействует мера.
Матрица рисков — результат оценки — показывает консолидированную картину и позволяет построить дорожную карту, понятную бизнесу: «мы защищаем вот эти активы, потому что их потеря обойдется компании в такую-то сумму». Это существенно упрощает согласование бюджета.
Меры с наилучшим показателем возврата инвестиций в безопасность (ROSI): что дает максимум при минимуме
1. Обучение и повышение осведомленности сотрудников
При ущербе от человеческого фактора в 67−80% инцидентов — это самая дешевая и эффективная инвестиция. Системное обучение снижает количество успешных фишинговых атак в 5−7 раз. При этом годовой бюджет на обучение 100 сотрудников сопоставим со стоимостью одного серьезного инцидента.
2. Многофакторная аутентификация (MFA)
По данным Microsoft, многофакторная аутентификация блокирует более 99% атак на основе скомпрометированных учетных данных. Стоимость внедрения — от нескольких тысяч рублей на пользователя в год. Стоимость инцидента из-за компрометации учетной записи — в разы выше. Это, пожалуй, самая дешевая «страховка» в ИБ.
3. Управление уязвимостями и патч-менеджмент
Большинство успешных атак эксплуатируют уязвимости, для которых патч уже выпущен. Регулярный аудит уязвимостей плюс структурированный процесс патч-менеджмента закрывают целый класс угроз без дорогостоящих инструментов.
4. Резервное копирование по правилу 3−2-1
Три копии данных, на двух разных носителях, одна — вне периметра. Стоимость хранения — копейки относительно стоимости восстановления после атак шифровальщиков. При этом план восстановления нужно регулярно тестировать: неработающий бэкап хуже его отсутствия.
5. Сегментация сети
Грамотная сегментация не требует дорогого оборудования, но существенно ограничивает горизонтальное распространение атаки. «Упавший» сегмент не означает катастрофы для всей инфраструктуры.
Аутсорсинг или собственная команда: экономика выбора
Один из ключевых вопросов при оптимизации бюджета — строить ли собственную ИБ-функцию или передать ее внешнему провайдеру?
Параметр
cравнения
Собственный центр мониторинга (5 аналитиков)
Коммерческий провайдер управляемой безопасности
Стоимость в год
15−20+ млн руб. фонд оплаты труда + инфраструктура + лицензии
3−8 млн руб. в зависимости от уровня
Покрытие 24/7
Сложно: нужны смены, подмена, отпуска
Включено в базовый сервис
Актуальность данных об угрозах
Ограничена экспертизой команды
Агрегируется из тысяч клиентов
Кадровый риск
Высокий: рынок дефицитный
Риск на стороне провайдера
Контроль данных
Полный
Требует соглашения об уровне сервиса и о неразглашении (SLA и NDA)
Порог входа
Высокий
Минимальный
По оценкам РАЭК, свыше 70% российских организаций в 2025 году увеличили инвестиции в передачу функций ИБ внешним провайдерам. Дефицит кадров превысил 55 тысяч специалистов по всей стране.
Когда аутсорсинг не подходит: организации с жесткими требованиями к конфиденциальности данных (государственной структуры с государственной тайной), компании с уникальной инфраструктурой, где контекст наработан годами. Отдельную роль играют нормативные требования: в частности, Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» обязывает организации из числа субъектов критической информационной инфраструктуры, государственных органов и госкорпораций иметь штатных ИБ-специалистов и назначать заместителя руководителя, ответственного за ИБ. Для таких организаций полный аутсорсинг ИБ-функции невозможен по закону − внешний провайдер может лишь дополнять штатную команду.
Принцип «Безопасность с самого начала» (Shift Left Security) гласит: безопасность нужно встраивать на этапе проектирования архитектуры, а не «прикручивать» к готовой системе. Ключевые инструменты:
  • автоматическое сканирование кода в конвейере непрерывной интеграции и доставки (CI/CD pipeline) с помощью статического и динамического анализа защищенности (SAST/DAST);
  • инфраструктура как код (Infrastructure as Code) с проверками безопасности конфигураций;
  • стандарты безопасности, зашитые в шаблоны развертывания.
Практические рекомендации для директора по ИБ (CISO)
Как обосновать бюджет перед советом директоров
Язык директора по ИБ (CISO) и язык финансового директора (CFO) — разные языки. Техническая терминология в разговоре с бизнесом не работает. Работает следующее:
  • переводите риски в деньги: Не «150 критических уязвимостей», а «потенциальный ущерб — X рублей при вероятности Y%»;
  • показывайте сравнения: «Конкурент N потратил на восстановление 80 млн руб. Предлагаемые меры стоят 5 млн. Какой вариант предпочесть?»;
  • используйте страховую аналогию: безопасность – это страховка. Никто не спрашивает страховщика: «Докажи мне, что дом сгорит»;
  • привязывайтесь к нормативному регулированию: с 2025 года — оборотные штрафы. Это не «хотим потратить», а «нам нужно выполнить требования закона, иначе штраф больше, чем защита».
Оптимальное распределение бюджета ИБ
Превентивные
Обучение, политики, многофакторная аутентификация (MFA), управление обновлениями, базовые средства защиты информации
Приоритет: Высокий
Доля бюджета: 40-50%
Детектирующие
Система управления событиями безопасности (SIEM), центр мониторинга/провайдер управляемой безопасности (SOC/MSSP), мониторинг сети, защита конечных точек (EDR)
Приоритет: Высокий
Доля бюджета: 25-35%
Реагирование и восстановление
Планы обеспечения непрерывности и восстановления (BCP/DR), план реагирования на инциденты (IRP), цифровая криминалистика
Приоритет: Средний
Доля бюджета: 15-20%
Соответствие требованиям и аудиты
Тесты на проникновение, аудит по требованиям регуляторов
Приоритет: Ситуативно
Доля бюджета: 5-10%
Чек-лист: приоритеты при ограниченном бюджете
01
Немедленно (без значительных затрат):
  • провести инвентаризацию активов и составить реестр критичных данных;
  • включить многофакторную аутентификацию (MFA) на всех привилегированных учетных записях и внешних сервисах;
  • настроить политику паролей и запрет переиспользования;
  • отключить неиспользуемые сервисы и открытые порты;
  • настроить резервное копирование по правилу 3−2-1 и проверить восстановление.
02
В течение 1−3 месяцев (небольшие инвестиции):
  • запустить программу обучения сотрудников основам цифровой гигиены;
  • провести внешний тест на проникновение периметра;
  • внедрить сканер уязвимостей (vulnerability scanner) и закрыть критические уязвимости;
  • настроить централизованный сбор журналов событий — на начальном этапе достаточно использовать встроенные возможности контроллера домена. Полноценная система управления событиями безопасности (SIEM) — следующий шаг, актуальный при росте инфраструктуры и зрелости процессов ИБ;
  • разработать и протестировать план реагирования на инциденты (IRP).
03
В течение 6−12 месяцев (стратегические инвестиции):
  • оценить целесообразность перехода на провайдера управляемой безопасности (MSSP) или коммерческий центр мониторинга (SOC);
  • провести аудит и консолидацию инструментального стека;
  • выстроить процесс управления рисками ИБ с регулярной переоценкой;
  • внедрить контроль цепочки поставок (поставщики как вектор атаки).
Сократить риски без увеличения затрат — это не красивый лозунг и не невозможная задача. Это результат системного подхода: понимания того, что защищать, от чего защищать и как выстроить защиту с максимальной эффективностью при имеющихся ресурсах.
Мир не станет безопаснее. Атак больше, они сложнее, порог входа для атакующих снижается. В первом полугодии 2025 года российские компании подверглись более чем 63 000 кибератак — на 27% больше, чем годом ранее. Но это не повод паниковать и покупать все подряд. Это повод думать стратегически.