Каждый специалист по информационной безопасности хотя бы раз оказывался в ситуации, когда утверждение бюджета превращалось в полноценный «бой» с аргументами и возражениями. Руководство хочет экономить, бизнесу важна прибыль, а ИБ кажется «черной дырой» для денег. Ведущий консультант по ИБ AKTIV.CONSULTING Ольга Копейкина делится пошаговыми советами, как подготовиться к защите бюджета так, чтобы не только его получить, но и сохранить даже в условиях сокращений.
Этапы подготовки годового бюджета
Формирование годового бюджета часто воспринимается как неприятная и непрофильная задача, особенно для подразделений, не связанных напрямую с планированием. Однако важно помнить: бюджет — это не просто список расходов, а полноценный годовой план, отражающий ваши цели и задачи.
Он может стать удобным рабочим инструментом: помогать структурировать планы, избегать завалов в работе и контролировать выполнение задач в течение года. Именно поэтому стоит подходить к составлению бюджета на ИБ осознанно — от качественной подготовки зависит успешное прохождение ключевого этапа, защиты бюджета, и ошибки в ходе подготовки могут сделать этот финальный этап особенно болезненным.
Определение приоритетов и целей
Первый этап — это постановка задачи и определение ключевых статей бюджета. Стартовать этот этап можно, не дожидаясь задачи извне, ведь свои задачи и потребности вы знаете лучше других. На первом этапе важно выделить две основные группы расходов:
- поддержание и развитие действующих систем — продление лицензий, амортизация оборудования, закупка запасных частей, обновление документации;
- инвестиции в модернизацию и развитие — новые проекты и улучшения, которые требуют отдельного финансирования и часто сложнее поддаются обоснованию.
Поддержание и развитие систем относится к накладным расходам, которые проще утвердить, так как без них работа остановится. Инвестиционные статьи требуют более тщательного подхода и учета планов всей компании, включая стратегию развития и планы IT-подразделений. Особенно важно учитывать изменения в нормативных актах, актуализацию документации и инвентаризацию средств защиты. Все эти данные помогут собрать полный и реалистичный перечень статей затрат, что станет основой для дальнейшей работы с бюджетом.
Сбор и анализ информации
После того как мы определились с грядущими приобретениями ИБ продуктов, необходимо подготовить доказательную базу для руководства. Помимо собственных потребностей важно учитывать требования регуляторов и бизнес-задачи — ведь именно бизнес финансирует нашу работу.
Для обоснования бюджета собираем данные из разных источников: планы и отчеты, логи и обращения пользователей, например, нехватка токенов или истекшие лицензии, а также актуальные нормативные документы и отраслевые обсуждения. Все это поможет сформировать убедительные аргументы для поддержки ваших расходов и обеспечить согласование бюджета.
Разработка предложений
Как только данные собраны, приступаем к следующему этапу — подготовке предложений для бюджетного комитета или аналогичного органа, который будет решать, выделять вам средства или нет. Основные направления расходов здесь:
- закупка коробочных решений — средства защиты, ПО и оборудование;
- внедрение и техническая поддержка — ведь купленное нужно еще грамотно настроить и обслуживать;
- услуги — ИБ аудит и оценка, разработка документации, пентесты, комплексные проекты и другие работы.
Для формирования бюджета обязательно запрашивайте официальные прайс-листы (GPL), так как это поможет заложить максимально реальную верхнюю планку стоимости.
По услугам и индивидуальным решениям потребуется подготовка технических коммерческих предложений — этот процесс занимает время, обычно от недели.
Обратите внимание на правильное оформление кодов ОКПД для статей расходов — от этого зависит, сможете ли вы без проблем оплатить услуги и гибко перераспределять бюджет.
И обязательно возьмите бюджет прошлого года, проанализируйте, что тогда не удалось получить, за что критиковали — это поможет учесть ошибки и сделать защиту ИБ бюджета более успешной.
Согласование и утверждение
Этап защиты бюджета — самый ответственный. Готовьтесь к нему максимально тщательно. Вы должны четко знать, что именно хотите, зачем это нужно, какую выгоду или экономию даст бизнесу и от каких рисков защитит. На этом этапе уже не место для импровизации — все аргументы должны быть подготовлены заранее.
Это полезно
- Имейте альтернативный вариант. Если сумма кажется руководству слишком большой, сразу предлагайте упрощенный вариант с меньшими затратами, который хотя бы частично решает задачу.
- Ставка на «пряник», а не на «кнут». Пугать штрафами и проверками больше неэффективно. Говорите о выгоде для бизнеса — экономии средств, ускорении процессов, повышении комфорта работы.
- Четкие и универсальные формулировки. Используйте общие названия. Например, вместо «токенов для электронной подписи» — «криптографические средства защиты информации». Это позволит гибко перераспределять бюджет при необходимости.
- Подготовка доказательств. Статистика, логи, отчеты, реальные кейсы из вашей практики.
- Памятки. Сделайте две памятки: краткую — для руководителя (основные плюсы) и расширенную — для себя (ответы на возможные неудобные вопросы).
- Используйте наглядность. С помощью инфографики, диаграмм и слайдов можно визуально показать выгоду от инвестиций в информационную безопасность.
Хорошая подготовка и грамотная подача помогут вам не только получить одобрение бюджета, но и укрепить доверие к ИБ как к бизнес-инструменту.
Пересмотр и внесение изменений
Кажется, бюджет уже согласован и утвержден, но внезапно начинается пересмотр — из‑за экономии или неожиданных изменений в бизнесе. Чтобы не потерять критически важные статьи, нужно заранее подготовиться.
При формировании бюджета закладывайте универсальные статьи расходов, которые при необходимости можно снять или перераспределить. Формулировки должны быть максимально общими — ориентируйтесь на формулировки в ОКПД. А при запросе цен у поставщиков берите ТКП с запасом — надежные партнеры понимают, что бюджет формируется с учетом рисков, и помогут. В случае урезания они же могут предложить альтернативные решения, скидки или разбивку проекта на этапы.
Помните, что включать в бюджет нужно не только новые закупки, но и операционную поддержку существующих систем, работы из проектной документации и обучение по информационной безопасности. Последнее особенно важно для новых руководителей с непрофильным образованием — их обучение должно быть заложено заранее. Стоимость таких курсов легко найти в открытых источниках.
Главное правило — думать стратегически: предусмотреть, чем можно пожертвовать, чтобы сохранить ключевые направления, и иметь партнеров, готовых помочь в сложной ситуации.
К кому идти за помощью в ИБ и зачем
На рынке есть три основные группы компаний, которые помогают решать задачи информационной безопасности. Каждая из них решает разные задачи и подходит для разных этапов работы (таблица 1).
Таблица 1. Группы компаний, выполняющих задачи по информационной безопасности
В итоге выбор зависит от задачи: если нужно быстрое внедрение — идите к интеграторам, если нужен независимый аудит или проектирование — к специалистам по ИБ консалтингу, если только покупка и тестирование решений — к вендорам или дистрибьюторам.
Что сложнее всего «выбить» в бюджете
Если руководителя еще можно убедить купить антивирус или продлить поддержку уже имеющихся решений, то вот услуги, пентесты и дорогие системы вроде SIEM и DLP — это совсем другая история. Тут начинаются самые интересные разговоры.
Услуги по разработке документации и аудиту
Вопрос руководителя: «Зачем мы вас тогда в штате держим, если вы сами не можете разработать документы?»
Звучит логично, но у большинства ИБ-команд небольшой штат: те же люди одновременно настраивают защиту, консультируют пользователей и решают кучу ежедневных задач. Разработка документации требует других компетенций и времени, которого у них нет.
Кроме того, это разовая задача. Внешние эксперты выполнят ее быстрее и, что важно для бюджета, зачастую дешевле, чем привлечение собственных сотрудников и оплата их обучение. А обученные специалисты, к тому же, могут легко уйти к конкурентам — рынок перегрет.
Для руководителя аргумент простой: найм подрядчика экономит деньги и снижает риски.
Пентесты
Вопрос руководителя: «Зачем нам надо, чтобы кто-то что-то ломал? А если все испортят?»
Такой скепсис встречается часто. Руководители боятся, что внешний специалист «сломает что-то важное» или утащит данные. Задача ИБ-специалиста — объяснить, что пентест это не хаотичный хакинг, а контролируемая и безопасная процедура.
Для сравнения можно привести пример с практикой Bug Bounty: там вы фактически приглашаете незнакомых «белых хакеров» искать уязвимости, и риски действительно выше. Пентест же — это строго регламентированные работы с техническим заданием, понятными сроками и фиксированными точками доступа. Все действия специалиста контролируются, а значит, риск минимален.
Для того, чтобы подать мысль проще, хорошо работает аналогия с автомобилем: даже если машина не ломается, ее периодически отправляют на ТО, чтобы избежать серьезных проблем в будущем. Пентест — это такое же «плановое обслуживание», которое в итоге экономит деньги: дешевле заплатить за проверку, чем потом ликвидировать последствия взлома или срочно покупать новые системы.
Дорогие системы
Руководители часто задают резонный вопрос: «Зачем нам этот ваш SIEM / DLP / PAM / IdM? Годами без них все работает, и еще столько же проработает». Особенно если в штате десятки специалистов, которые и так «держат оборону».
На первый взгляд действительно можно обойтись без систем — расширить команду, вручную мониторить трафик и анализировать логи. Но это дорого и неэффективно: люди устают, отвлекаются, болеют, а человеческий фактор еще никто не отменял. Один пропущенный инцидент может стоить компании гораздо дороже, чем любая система мониторинга.
Автоматизация же снимает рутину и экономит ресурсы. SIEM или DLP обрабатывают потоки данных в реальном времени и сразу отправляют оповещения об угрозе. В крупных компаниях это позволяет держать штат минимальным. Пример из практики: организация с 3,5 тысячами сотрудников и филиальной сетью обходилась всего двумя специалистами, контролирующими события безопасности в масштабах всей компании.
Такой аргумент трудно проигнорировать: вместо десятков окладов — пара профессионалов и система, которая не пьет кофе, не болеет и не уходит в отпуск.
Заключение
Главный секрет успешной защиты бюджета — это не только цифры и таблицы, но и ваша способность объяснить их человеческим языком. Формируйте бюджет так, чтобы его было легко защищать: дробите статьи, оставляйте пространство для маневров, будьте готовы к пересмотру. Готовьтесь к защите, как к самому важному собеседованию в жизни — продумайте ответы на неудобные вопросы, покажите, что вы не просто просите деньги, а решаете реальные бизнес-задачи и экономите ресурсы.
И, пожалуй, самый важный совет: говорите с руководителем простыми словами и на понятных примерах. Никакой поток сложных терминов не убедит его так, как бытовая наглядная аналогия — с чекапом в поликлинике или тем же пентестом, который «как ТО для автомобиля». Начальник не должен чувствовать себя глупо — он должен почувствовать себя уверенно, глядя на вас и ваши предложения. Тогда у бюджета гораздо больше шансов быть одобренным.