💡 ИБ за 60 секунд

Как правило, перед руководителем ИБ стоят следующие вопросы:

• Какой размер бюджета заложить?

• Как обосновать необходимость инвестирования в развитие ИБ?

• Как показать эффективность ИБ?

• А точно ли стоит покупать именно это решение?

 Для начала необходимо определиться с приоритетами и целями безопасности информационной системы, а также провести анализ уязвимостей и рисков.Сформируйте дорожную карту достижения целей ИБ.

Часто при обосновании бюджета вам придется считать ROI (ReturnonInvestment – отдача от инвестиций), именно оно поможет вам перейти на язык «денег» и наладить диалог с бизнесом.

 После этого следует определить, какие ресурсы будут необходимы для достижения поставленных целей. Это может включать в себя инвестиции в обновление программного обеспечения, обучение сотрудников, закупку оборудования и др.Очень важно учитывать, что бюджет информационной безопасности не должен быть статичным и должен регулярно обновляться в зависимости от изменений в угрозах, необходимости модернизации системы защиты и т. д.

В целом, планирование бюджета информационной безопасности должно осуществляться на основе комплексного подхода. Но обычно он состоит из 3 основных затрат: 

• траты на административно-организационные мероприятия (пентесты, аудиты, лицензирование)

• траты на технические мероприятия (закупка новых СЗИ)

• ликвидация последствий (резервные копии, деньги на экстренное выделение ресурсов).

В среднем, хорошо выделять около 10% бюджета, заложенного на ИТ или даже выручки компании.  

При выборе решения стоит обращать внимание не только на стоимость, но и на последующее обслуживание – лицензии, поддержка, обновления и. т. д. Часто можно повестись на низкую стоимость и на дистанции в 3-5 лет потратить сумму, многократно превышающую стоимость продукта.