Бюджет на кибербезопасность в крупном банке: три драйвера для оценки затрат и секвестирование как недоверие

В дискуссии о стоимости информационной безопасности на Т1 Форуме, который проходил 19 марта на территории парка «Зарядье», в Москве, участвовал руководитель управления информационной безопасности ВТБ Станислав Попов, он обозначил три драйвера формирования бюджета: бизнес-проекты, IT-ландшафт и регуляторику. Секвестирование трактуется как признак недоверия к ИБ-подразделению, а приоритеты выстраиваются по принципу «отвечаем за всё сразу» — без ранжирования систем по доходности.

Три фундаментальных драйвера

Любое планирование затрат на информационную безопасность в банке строится на трёх фундаментальных драйверах.

Первый — потребности бизнеса. Безопасность не существует сама по себе. Она встраивается в бизнес-проекты, новые продукты, стратегические направления развития. Защита закладывается на этапе проектирования, а не добавляется в уже работающие системы.

Второй — IT-проекты и технологии. Ландшафт информационных систем, их архитектура, планы модернизации и обновления определяют, какие именно средства защиты потребуются. Бюджет формируется не под абстрактные «средства защиты», а под конкретные потребности, продиктованные технологической повесткой.

Третий — регуляторная составляющая. В неё входят не только требования законодательства, но и внутренний стандарт группы ВТБ. Этот стандарт выступает входящим драйвером для планирования работ на год, на пятилетку и на более длинные горизонты, задавая единые правила для всей экосистемы.

Диалог вместо освоения средств

При обосновании затрат ключевым является не стремление «освоить» выделенные средства, а привязка к реальным потребностям бизнеса. Помогает именно диалог, важно не просто заявить о необходимости расходов, а показать, какой вклад эти расходы вносят в общую прибыль компании. Без такой привязки любые аргументы о защищённости остаются для бизнеса абстракцией.

Секвестирование бюджета как маркер недоверия

Особое внимание уделяется в банках вопросу секвестирования — ситуации, когда в середине года поступает команда сократить согласованный бюджет. Такой сценарий трактуется как маркер недоверия к ИБ-подразделению. Если средства урезаются без объективных причин, это сигнал, что концепция или аргументация выстроены недостаточно убедительно.

Если сокращение всё же необходимо, предпочтительный способ — не отказываться от проектов, а перераспределять время. Перенос реализации на следующий квартал или следующий год формально даёт сокращение в текущем периоде, но позволяет сохранить проекты и отношения с бизнесом. Урезание ради самого сокращения, как правило, приводит к обратному результату: всегда возникает незапланированная задача, требующая срочных затрат.

Ключевое правило — наличие резерва. Если у подразделения остаётся незапланированный остаток, его можно оперативно перебросить на задачи, требующие срочного решения, без дополнительного запроса бюджета. Когда же резерва нет и ситуация критическая, средства запрашиваются в экстренном порядке — и их выделяют, потому что речь идёт о задачах, которые требуют немедленного исполнения. В таких случаях бюджет порой даже увеличивается.

Приоритеты: ответственность за всю инфраструктуру

В дискуссии прозвучал подход, при котором очерёдность защиты информационных систем выстраивается исходя из выручки, которую эти системы генерируют. В банке такой подход признан неприменимым. Ответственность распространяется на всю инфраструктуру в равной степени: если инцидент происходит там, куда был поставлен последний приоритет, ссылка на невысокую доходность этого сервиса не принимается.

Поэтому в банке выстроен базовый уровень защиты для всей инфраструктуры, а дополнительные усилия направляются на наиболее критичные элементы. В первую очередь — внешний периметр, наиболее подверженный атакам. Затем — внутренняя инфраструктура, хотя и здесь деление условно: ответственность за результат лежит на всей системе целиком.

Отраслевая специфика: КИИ и не только

Вопросы, связанные с критической информационной инфраструктурой (КИИ), в деятельности банка не являются профильными, поэтому детали этой темы остаются за рамками приоритетов. Однако сам факт существования разных регуляторных контуров требует учёта специфики бизнеса: подходы к защите, которые работают в одной отрасли, могут быть неприменимы в другой.

Минимальный уровень затрат

Минимально необходимые затраты на информационную безопасность оцениваются в 5–10 % от IT-бюджета. Принципиально важно, что это не «дополнительная нагрузка» к IT-бюджету, а его естественное отражение: расходы на защиту жёстко привязаны к технологиям, которые подлежат защите.

Планирование вместо инцидентов

Подход, реализованный в банке, демонстрирует переход от практики «выбить денег под инцидент» к системному планированию. Бюджеты встраиваются в бизнес-проекты и IT-архитектуру, секвестирование рассматривается как повод пересмотреть доверие к ИБ-подразделению, а приоритеты строятся исходя из полноты ответственности, а не из доходности отдельных сервисов.

Ключевые элементы этой системы — дисциплина, наличие резервов, перераспределение во времени и прозрачная связь с бизнесом. Без них даже самый значительный бюджет не гарантирует реальной защищённости.