• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Планирование бюджета для обеспечения ИБ

Created: 28 March 2022

Бюджет составляется лишь для того, чтобы его сокращать.

Бюджет — это математическое подтверждение подозрений.

Сколько нужно денег на обеспечение информационной безопасности?
Каждый руководитель подразделение по обеспечению информационной безопасности сталкивается с необходимостью планирования. И один из самых сложных аспектов этого - формирование бюджета. Какие есть «берега», которые нельзя терять ИБ-руководителю при формировании бюджета?
С одной стороны, есть очевидное соображение   стоимость защиты информации не может быть больше цены самой информации. Но стоимость информации (базы данных, информационной системы) на практике не может определить ни один собственник.
Для первого приближения можно использовать передовой мировой опыт. По данным исследований на цели информационной безопасности приходится до 10% бюджетов, выделяемых в целом на информационные технологии, по другим данным - до 0,9% от общей выручки компании. Бюджет на информационные технологии наверняка уже есть на любом среднем или крупном предприятии, он и будет являться ориентиром.
Совет. Проведите хотя бы поверхностную инвентаризацию своей ИТ-инфраструктуры и прикиньте грубо, сколько нужно будет потратить обеспечение соответствия основным стандартом по ИБ, требованиям регуляторов, закону «О персональных данных». Реалистичными будут цифры, составляющие до 10-20% от ИТ-бюджета.

Стоит ли ждать окупаемости вложений в безопасность?
Финансовые подразделения предприятия охотнее прислушаются к аргументам о необходимости трат на ИБ, если они будут сформулированы в привычных им терминах. Например, с использованием самого известного показателя эффективности вложений - ROI (от англ. return on investment). Среди экспертов по ИБ давно идёт полемика о возможности применения финансовой терминологии при описании эффективности безопасности. Один из самых известных в мире экспертов по киберебезопасности, Брюс Шнайер, считает применение ROI бессмысленным. По его мнению, сфера ИБ слишком быстро меняется, чтобы использовать в ней сколько-нибудь статичные методы. И вообще невозможно говорить о прибыли от безопасности. «Безопасность - это не про прибыль, это про предотвращение убытков» (в оригинале на англ. «Security is about loss prevention, not about earnings»).
    Действительно, давайте взглянем на самые громкие инциденты в киберпространстве за последние шесть лет:

  • 2016 год - предполагаемое внешнее вмешательство в президентские выборы в США через киберпространство и утечка базы электронной почты одной из партий.
  • 2017 год - распространение вируса-шифровальщика WannaCry, поразившее более 200 000 компьютеров в 150 странах мира.
  • 2018 год - утечка данных 50 миллионов пользователей социальной сети Facebook.
  • 2019 год - кража злоумышленниками архива записей музыкальной группы Radiohead с требованием выплаты выкупа в 150 тысяч долларов.
  • 2020 год - проникновение злоумышленников в программное обеспечение компании SolarWinds, а через него в сети тысяч потребителей программного обеспечения этой компании . Масштабы атаки неясны до сих пор.
  • 2021 год - атака на трубопроводную систему компании Colonial Pipeline в США, которая привела к пятидневной приостановке его работы.

Даже по такому краткому списку становится понятно, что жертвой атаки может стать предприятие из любой отрасли и нет какого-то единственного решения, панацеи, внедрив которое можно было бы быть спокойным за свои информационные активы. Тем более, что в большинстве случаев это не столько прямые финансовые потери, сколько ущерб репутации с долгосрочными последствиями.
Как донести важность проблем ИБ до руководителя/собственника/финансового директора? При разговоре с руководством самая сложная задача убедить их в реальности угроз. Проще всего было бы привести данные о размерах штрафов и убытках аналогичных компаний. Но в Узбекистане статистика в сфере ИБ практически недоступна. Поэтому сколько-нибудь качественный анализ можно сделать только по итогам неформальных бесед с коллегами в экспертном сообществе. Например, на конференциях, но они в очном формате практически не проводятся последние полтора года. А на онлайн-конференциях как раз нет неформального общения, того, что называется «в кулуарах» или «в курилке».

Опасные и нежелательные приёмы при планировании расходов.
Отсутствие доверия и взаимопонимания между службой безопасности и финансовым менеджментом может привести к таким манипуляциям:

  • Преднамеренное завышение сумм при планировании. Применяется подход: «Если тебе нужно сто тысяч ‑ прости двести. Расходы урежут вдвое и получишь свои сто тысяч».
  • Включение заведомо нереализуемых проектов. Это другая разновидность предыдущей техники. В смету включаются проекты, которые и не предполагается внедрять. При сокращении сметы именно эти позиции «идут под нож». Т.е. непроходные позиции являются как бы громоотводом, жертвой, которую нужно принести для сохранения в смете действительно важных позиций.
  • Реализация («освоение») бюджета любой ценой. Часто в рамках своей аудиторской деятельности на предприятиях мы обнаруживаем закупленное ПО или оборудование, которое хранится на складе и не используется. В неформальной беседе сотрудники предприятия говорят, что купили то что не могут внедрить только для того чтобы полностью реализовать смету на текущий год. Ведь если в конце года останутся нереализованные проекты, то на будущий год эти деньги могут и не выделить.

Сложно упрекнуть сотрудников ИБ за это. Ведь такими манипуляциями приемами пользуются и другие подразделения предприятия, конкурирующие за общий бюджет, например ИТ. И если одни будут придерживаться этических правил, а другие использовать описанные выше приёмы, то пострадавшим окажется скорее те, кто действовал честно. Такую сформировавшуюся порочную практику очень непросто искоренить. Единственным выходом от этого «планового подхода» (в худшем смысле слова) видится повышение доверия между финансовым менеджментом и «расходными подразделениями», которыми являются ИБ и ИТ. Ещё один возможный шаг - создание гибкой системы планирования, не привязанной к такому большому периоду времени как календарный год, а то и более. Ведь сметы на будущий год начинают формироваться в сентябре-октябре текущего.

Каковы риски и возможные ошибки долгосрочного планирования?

  • Расходы на будущие периоды закладываются по текущим ценам без учёта инфляции. Особенно это касается планирования в национальной валюте, ведь её курс более волатильный/изменчивый чем курсы свободно конвертируемых валют. В результате может оказаться, что через полгода цена на требуемую позицию увеличивается из-за девальвации. Учитывая, что большая часть бюджета ИБ тратится на приобретение ПО и оборудования зарубежного производства такая зависимость от курса валют особенно чувствительна. Вывод - при планировании учитывать прогнозы курсовой разницы и инфляции.
  • На цены и доступность товаров могут повлиять факторы, которые невозможно спрогнозировать. Сейчас для описания таких событий часто используют термин «черный лебедь». («чёрный лебедь» — теория, рассматривающая труднопрогнозируемые и редкие события, которые имеют значительные последствия). Яркие примеры таких явлений в сфере высоких технологий:
        - дефицит микросхем для производства автомобилей из-за сбоев в цепочках поставок на фоне пандемии коронавируса.
        - рост цен и дефицит видеокарт из-за популярности майнинга (добычи) криптовалют. Именно видеокарты являются основным компонентом компьютера для обработки транзакций в блокчейне.
  • Т.к. спрогнозировать такие явления почти невозможно, то единственной мерой является наличие некоторого запаса оборудования, запчастей, чтобы можно было «пережить» периоды скачков цен. Но это, во-первых требует отвлечения значительных средств для закупки запасного оборудования. Во-вторых, вряд ли кто-то мог предсказать что последствия кризиса с пандемией будут такими долгосрочными. Т.е. долгосрочный запас создать не удастся всё равно.
  • Изменение действующего законодательства может привести к значительным финансовым затратам. Яркий пример - введение требования о локализации обработки персональных данных граждан Узбекистана на территории страны. С момента публикации требования до его вступления в силу прошло всего несколько месяцев. За это время необходимо было не только перестроить технологические процессы, но и перевести/купить/арендовать часть оборудования внутри страны. Пожалуй, единственный положительный момент того, что Узбекистан находится в фарватере (или арьергарде) высокотехнологичного развития и отстаёт на 10-15 лет, в том, что можно заранее предсказывать появление подобных правовых нормы. Ведь они уже несколько лет есть в России и Казахстане, где действуют подобные нашему законы. Но всё это возможно только при наличии хорошей технико-юридической экспертизы, аналитических служб на предприятии. В Узбекистане это большая редкость.

Совет: внимательно отслеживать изменения в законодательстве и закладывать некоторый резерв в финансовый план.

Таким образом, с учётом всех этих знаний, формирование финансового плана по обеспечению ИБ можно представить в несколько шагов.
1. Проведение инвентаризации и выявление того, что нужно купить/продлить в любом случае. Почти наверняка на предприятии есть антивирусное ПО и вряд ли в будущем году от него можно отказаться. Также в перечень «обязательных покупок» входят продление сервисной поддержки на оборудование, операционные системы и прикладное ПО.
2. Определение требований законодательства и расходов на их реализацию. Тут будет проще обосновать выделение средств. Ведь для каждого из нарушений уже предусмотрены санкции. Так, например, для некоторых нарушений в сфере защиты персональных данных предусмотрено даже уголовное преследование должностных лиц.
При формировании позиции в смете лучше прямо указывать какой именно НПА и в какой статье требует подобные затраты. Это очень важный этап, ведь именно тут проходит граница разделения ответственности. Если в смету внесены и грамотно аргументированы позиции для реализации конкретного закона, но затем они «срезаны», то ответственность за это переходит от начальника отдела ИБ к руководителю предприятия. К сожалению, бывает ровно наоборот - средства не выделяются, а требования остаются. Т.е. создаётся ситуация прямо описанная в сказке «Каша из топора».
3. Формирование бюджета развития. При планировании внедрения новых решений по ИБ нужно тщательное обоснование такого шага. Выше отмечено, что сложно перевести информационную безопасность на язык финансов и сделать привычное технико-экономическое обоснование. Но подготовить несколько вариантов развития событий, с внедрением и без него, будет полезно. Ещё лучше - подготовиться к защите этих статей бюджета, представить возражения финансовой службы и контраргументы на них.
4. Создание резерва. Независимо от качества планирования, наверняка в течение года появятся непредвиденные расходы. Поэтому важно обосновать перед финансовым менеджментом необходимость резерва. Некоторые аргументы и примеры мы привели выше. Размер резерва   чем больше, тем лучше, но хотя бы 10-15% от общего бюджета на информационную безопасность.

Антон Ракитский, специально для IT-TEAM SERVICE

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости