Как обосновать бюджет на ИБ перед руководством: говорим на языке приказов ОАЦ и бизнес-рисков

В современном цифровом мире кибербезопасность перестала быть сугубо технической задачей IT-отдела и превратилась в один из ключевых факторов устойчивости и успешности любого бизнеса. Однако, несмотря на растущие угрозы, IT-руководителям в Беларуси часто приходится сталкиваться с непониманием со стороны руководства при обосновании бюджета на информационную безопасность (ИБ). Мы подробно разберем, как перевести технические нужды на язык бизнес-рисков, законодательных требований и финансовой выгоды.

Почему руководство не понимает важность ИБ

Типичная ситуация для IT-руководителя в Беларуси: вы готовите бюджет на информационную безопасность и слышите от финансового директора: «Зачем нам эти ваши дорогие пентесты и SIEM? Мы же никогда не взламывались». Или того хуже: «У нас антивирус есть, этого достаточно». Знакомо?

Проблема заключается в фундаментальном разрыве в восприятии: специалисты по безопасности оперируют терминами технологий, уязвимостей и угроз («нам нужен пентест и SIEM»), в то время как руководство мыслит категориями прибыли, затрат, рисков и, что особенно важно в белорусском контексте, соответствия законодательству. Задача IT-руководителя — стать эффективным «переводчиком» между этими двумя мирами, продемонстрировав, что информационная безопасность — это не статья расходов, а стратегическая инвестиция в стабильность и будущее компании.

Игнорировать эту проблему становится все опаснее. В 2024 году Беларусь заняла второе место в мире по доле пользователей, атакованных киберугрозами из интернета — 43,5% всех пользователей. За неполный 2024 год в стране зафиксировано 470 киберинцидентов, при этом количество атак шпионскими программами выросло на 34%, а бэкдорами — на 36%. По данным Следственного комитета, в 2024 году треть всех зарегистрированных в Беларуси преступлений была совершена с использованием информационно-коммуникационных технологий. Это не абстрактная статистика — это реальные и постоянно растущие риски для вашего бизнеса.​

Раздел 1: Три столпа успешного обоснования бюджета ИБ

Чтобы ваш диалог с руководством был предметным и убедительным, необходимо строить аргументацию на трёх прочных основаниях. Эти «три столпа» позволят вам говорить на одном языке с бизнесом и принимать взвешенные решения.

1. Требования законодательства (приказы ОАЦ)

Это самый сильный и неоспоримый аргумент в белорусских реалиях. Невыполнение требований регулятора — это не гипотетический риск, а гарантированные последствия в виде штрафов, отзыва аттестатов и даже приостановки деятельности. Руководство боится конкретных, юридически закрепленных последствий гораздо больше, чем абстрактных киберугроз.

2. Финансовые риски для бизнеса

Цифры убеждают лучше любых слов. Ваша задача — перевести потенциальные киберугрозы в конкретные финансовые потери. Не используйте общие фразы вроде «возможные убытки». Вместо этого представьте расчеты: сколько будет стоить один день простоя ключевых бизнес-процессов, во сколько обойдется восстановление данных после атаки шифровальщика, каковы будут потери от оттока клиентов и ущерба репутации.

3. ROI инвестиций в ИБ

Покажите, что затраты на ИБ — это не безвозвратные расходы, а умные инвестиции. Рассчитайте Return on Investment (ROI), сравнив потенциальные убытки от инцидентов со стоимостью предлагаемых мер защиты. Продемонстрируйте, что каждый рубль, вложенный в безопасность, защищает активы компании и обеспечивает непрерывность бизнеса, тем самым сохраняя и приумножая прибыль.

Раздел 2: Язык приказов ОАЦ — ваше главное оружие

В Беларуси нормативно-правовая база в сфере защиты информации является мощнейшим рычагом для обоснования ИБ-бюджета. Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ) устанавливает четкие и обязательные для исполнения требования.

2.1. Ключевые требования приказа №66 (с изменениями №259)

С 1 марта 2025 года вступили в силу значительные изменения в приказ ОАЦ №66, внесенные приказом №259 от 10 декабря 2024 года. Эти нововведения существенно ужесточили требования к системам защиты информации (СЗИ) и сделали многие ранее рекомендательные меры обязательными.

Требование 7.17: Обязательный ежегодный пентест

Для информационных систем (ИС) классов 3-бг (обрабатывающих биометрические и генетические данные), 3-дсп (содержащих информацию для служебного пользования) и 3-юл (обрабатывающих коммерческую тайну и персональные данные) теперь обязательно ежегодное проведение оценки эффективности защищенности, то есть тестирования на проникновение (пентест).

• Как это озвучить руководству:
  «Согласно требованию пункта 7.17 приказа ОАЦ №66 в редакции приказа №259, мы обязаны проводить ежегодное тестирование на проникновение нашей информационной системы. Это не рекомендация, а обязательное требование для прохождения аттестации СЗИ. Отсутствие отчета о пентесте будет являться основанием для отказа в выдаче аттестата соответствия. Работа без аттестата — это прямое нарушение законодательства, которое грозит остановкой деятельности компании и административной ответственностью руководства».
• Стоимость пентеста в Беларуси: от 15 000 BYN (для простого веб-приложения) до 30 000 BYN и выше для комплексной инфраструктуры. Это примерно 357-714 базовых величин по курсу 2025 года.

Требования 1.1-1.5: SIEM-система обязательна

Для систем тех же классов (3-бг, 3-дсп и 3-юл) введено обязательное требование по обеспечению централизованного сбора и хранения сведений о событиях информационной безопасности в течение не менее одного года. На практике это означает необходимость внедрения SIEM-системы (Security Information and Event Management).

• Как это озвучить руководству:
  «Требования пунктов 1.1-1.5 приказа ОАЦ №66 обязывают нас внедрить систему централизованного мониторинга событий ИБ — SIEM. Без этой системы мы не сможем:
  • Пройти аттестацию СЗИ.
  • Выявлять сложные и скрытые атаки на ранней стадии.
  • Доказать соблюдение требований регулятора при проверках.
  • Своевременно обнаруживать инсайдерские угрозы и мошенничество.
    SIEM позволит нам выполнить сразу несколько требований законодательства и существенно снизить риск успешной кибератаки. Альтернатива — это отзыв аттестата и остановка обработки персональных данных или коммерческой информации».

Требование 7.18: EDR-решения (новое с 2025 года)

С 1 марта 2025 года добавлено новое требование 7.18: обеспечение обнаружения и реагирования на угрозы безопасности на конечных точках (компьютерах, серверах). Это обязательно для систем классов 3-бг и 3-дсп и настоятельно рекомендуется для остальных. Речь идет о внедрении решений класса EDR (Endpoint Detection and Response).

• Как это озвучить руководству:
  «Новый пункт 7.18 приказа ОАЦ требует от нас внедрения систем класса EDR для защиты рабочих мест и серверов. Обычный антивирус уже не справляется с современными угрозами. EDR позволяет не просто блокировать известные вирусы, но и выявлять подозрительную активность, расследовать инциденты и изолировать зараженные машины до того, как атака распространится по всей сети».

Ежегодный анализ эффективности СЗИ

Приказ №259 также ввёл обязательное проведение анализа эффективности применяемой системы защиты информации не реже одного раза в год. Результаты этого анализа должны быть оформлены в виде официального документа и утверждены руководителем организации.

2.2. Что грозит за невыполнение требований

Последствия игнорирования предписаний ОАЦ могут быть крайне серьезными для бизнеса:

• Отказ в выдаче или отзыв действующего аттестата соответствия СЗИ.
• Запрет на обработку информации с ограниченным распространением (персональные данные, коммерческая тайна, служебная информация), что равносильно остановке основной деятельности для многих компаний.
• Административная ответственность руководителя и должностных лиц.
• Приостановка действия лицензии (для лицензиатов ОАЦ) до устранения выявленных нарушений.
• Штрафы до 50 базовых величин (2 100 BYN в 2025 году) за нарушение законодательства о защите персональных данных, с перспективой ужесточения ответственности в будущем.
• Пример для руководства:
  «Отсутствие аттестата означает, что мы не имеем законного права обрабатывать персональные данные наших клиентов. Это автоматически останавливает работу нашей [CRM-системы / веб-сайта / системы бронирования / бухгалтерии]. Простой всего одного рабочего дня обойдётся компании в X рублей, не считая репутационных потерь и оттока клиентов, которые уйдут к конкурентам».

Раздел 3: Язык бизнес-рисков — считаем деньги

Руководство всегда мыслит в категориях финансовых показателей. Ваша задача — перевести абстрактные киберугрозы в конкретные и понятные цифры потенциальных потерь.

3.1. Формула расчёта потенциального ущерба

Для оценки рисков можно использовать базовую формулу:

Ожидаемые годовые потери (ALE) = Вероятность инцидента в год (%) × Возможный ущерб от одного инцидента (BYN)

Возможный ущерб складывается из множества факторов:

• Прямые потери:
  • Стоимость восстановления данных и систем (оплата работы специалистов, закупка нового оборудования).
  • Сумма выкупа, требуемая злоумышленниками (в случае атак шифровальщиков).
  • Затраты на расследование инцидента (привлечение внешних экспертов).
  • Финансовые потери от простоя бизнес-процессов (недополученная выручка).
• Косвенные потери:
  • Упущенная выгода из-за остановки деятельности.
  • Потеря клиентов и репутационный ущерб (по данным исследований, издержки от ущерба бренду могут в 7,5 раз превышать прямые затраты на восстановление).
  • Штрафы от регуляторов за утечку данных.
  • Компенсации пострадавшим клиентам или партнерам.
  • Судебные издержки.

3.2. Реальные цифры киберугроз 2024-2025

Чтобы ваши расчеты были убедительными, используйте актуальную статистику:

• Стоимость атаки шифровальщиком: Глобальные убытки от киберпреступности в 2025 году могут достигнуть $10,5 трлн ежегодно. Для отдельной компании средняя стоимость инцидента ИБ может составлять миллионы долларов, включая восстановление.
• Реальный пример: В 2024 году американская компания CDK Global, поставщик ПО для автодилеров, заплатила хакерам выкуп в размере $25 млн после атаки шифровальщиком. При этом из-за двухнедельного простоя систем компания потеряла более $600 млн.
• Средний срок обнаружения и устранения инцидента: В среднем проходит около 280 дней с момента первоначального взлома до полного обнаружения и устранения угрозы. За это время злоумышленники могут нанести колоссальный ущерб.

3.3. Практический пример расчёта для руководства

Рассмотрим конкретный кейс для белорусской компании среднего размера.

• Исходные данные:
  • Компания: Интернет-магазин с годовым оборотом 10 млн BYN.
  • Среднесуточный оборот: ~27 400 BYN.
  • База данных: 50 000 клиентов (физических лиц).
  • Класс ИС: 3-юл (обрабатывается коммерческая информация и персональные данные).

Сценарий 1: Атака шифровальщиком

• Вероятность: 15% в год (оценочно, на основе общей статистики для сектора).
• Возможный ущерб:
  • Простой сайта и невозможность обработки заказов (7 дней): 7 × 27 400 BYN = 191 800 BYN.
  • Стоимость восстановления систем и данных (привлечение специалистов): 50 000 BYN.
  • Аудит безопасности после инцидента: 30 000 BYN.
  • Потеря доверия и отток 10% клиентов (потеря 10% от годового оборота): 100 000 BYN.
  • Штрафы за утечку ПДн: до 50 БВ = 2 100 BYN.
  • Итого возможный ущерб: 373 900 BYN.
• Ожидаемые потери в год (ALE): 373 900 BYN × 0,15 = 56 085 BYN.

Сценарий 2: Отзыв аттестата за невыполнение требований ОАЦ

• Вероятность: 80% (при плановой проверке без внедренных пентеста и SIEM).
• Возможный ущерб:
  • Запрет на обработку заказов до получения нового аттестата (минимум 90 дней): 90 дней × 27 400 BYN = 2 466 000 BYN (в оригинальном тексте была ошибка в расчете, исправлено на основе суточного оборота).
  • Срочное внедрение СЗИ и аттестация «с нуля»: 150 000 BYN.
  • Административные штрафы: 5 000 BYN.
  • Репутационные потери и отток клиентов: 200 000 BYN.
  • Итого возможный ущерб: 2 821 000 BYN.
• Ожидаемые потери в год (ALE): 2 821 000 BYN × 0,8 = 2 256 800 BYN.

3.4. Шаблон презентации для руководства

Слайд 1: Проблема

«Наша информационная система, обрабатывающая персональные данные 50 000 клиентов и коммерческую тайну, подлежит аттестации по классу 3-юл. Согласно приказу ОАЦ №66 с изменениями №259, мы обязаны:

• Ежегодно проводить тестирование на проникновение (п. 7.17).
• Внедрить систему мониторинга событий безопасности — SIEM (п. 1.1-1.5).
• Проводить ежегодный анализ эффективности СЗИ.
  На данный момент эти требования не выполняются, что создает критические риски для бизнеса».

Слайд 2: Последствия невыполнения (финансовые риски)

«Наши ожидаемые финансовые потери от киберрисков и несоответствия требованиям ОАЦ составляют более 2,3 млн BYN в год. Это 23% от годового оборота компании».

Слайд 3: Решение (предлагаемый бюджет)

«Мы предлагаем внедрить комплекс мер для выполнения требований законодательства и защиты бизнеса:

«Общие затраты на приведение в соответствие с требованиями ОАЦ — 116 тыс. BYN. Это в 20 раз меньше, чем ожидаемые потери от несоответствия».

Слайд 4: ROI (Окупаемость инвестиций)

«ROI = (2 312 885 - 116 000) / 116 000 × 100% = 1893%

Каждый вложенный в ИБ рубль сэкономит компании почти 19 рублей потенциальных потерь. При этом мы:

• Выполним все требования законодательства и избежим отзыва аттестата.
• Снизим риск успешной кибератаки на 70%.
• Обеспечим непрерывность бизнес-процессов.
• Защитим репутацию и доверие наших клиентов».

Раздел 4: Структура бюджета ИБ — что включать

Профессионально составленный бюджет должен быть детализированным и охватывать все аспекты защиты информации.

4.1. Технические средства защиты

• SIEM-система (требование 1.1-1.5):
  • Облачное решение (SaaS): от 3 000 BYN/мес.
  • On-premise решение (собственные серверы): от 150 000 BYN единовременно + ежегодная поддержка.
• Межсетевой экран нового поколения (NGFW) (требование 7.12):
  • Аппаратное решение: от 80 000 BYN.
  • Виртуальный appliance: от 40 000 BYN.
• Средства криптографической защиты (СКЗИ):
  • VPN-шлюзы с СКЗИ: от 50 000 BYN.
• Антивирусная защита (требование 7.10):
  • Корпоративное решение: от 500 BYN/рабочее место в год.
• EDR-решение (требование 7.18):
  • Endpoint Detection and Response: от 1 000 BYN/узел в год.
• Система резервного копирования:
  • Надежное решение для защиты от шифровальщиков: от 60 000 BYN.

4.2. Услуги и работы

• Проектирование, создание и аттестация СЗИ:
  • Полный цикл (проектирование + внедрение + аттестация) может занять до 125 рабочих дней и стоить от 100 000 BYN в зависимости от сложности системы.
• Ежегодный пентест (требование 7.17):
  • Внешний пентест: от 15 000 BYN.
  • Внутренний пентест: от 20 000 BYN.
  • Комплексный (внешний + внутренний): 30 000-50 000 BYN.
• Обучение персонала:
  • Курсы повышения осведомлённости: 5-10 тыс. BYN/год.
  • Сертификация ИБ-специалистов: 15-20 тыс. BYN на одного сотрудника.

4.3. Персонал

Для организаций с ИС классов 3-бг, 3-дсп, 3-юл необходимо иметь в штате подразделение по защите информации или ответственное должностное лицо с профильным образованием.

• Штатный специалист по ИБ: от 2 000 BYN/мес (24 000 BYN/год + налоги).
• Аутсорсинг ИБ-функций (vCISO, SOC): от 1 500 BYN/мес (18 000 BYN/год).

4.4. Пример полного бюджета ИБ на год

Для компании среднего размера с ИС класса 3-юл:

• Обоснование для руководства:
  «Предлагаемый бюджет ИБ на 2025 год составляет 189 200 BYN, что составляет всего 1,9% от годового оборота компании. Эти инвестиции защищают нас от потенциальных потерь в 2,3 млн BYN и обеспечивают полное соответствие требованиям законодательства. ROI составляет 1122%».

Раздел 5: Как презентовать бюджет — пошаговый алгоритм

Шаг 1: Подготовка (за 2-3 месяца до защиты бюджета)

• Проведите внутренний аудит: что выполнено, что нет.
• Соберите данные о рисках: статистика по отрасли, примеры атак.
• Запросите коммерческие предложения у нескольких поставщиков.

Шаг 2: Формирование документа

• Структурируйте документ: резюме, требования законодательства, анализ рисков, предлагаемые меры, бюджет, ROI.
• Используйте инфографику и таблицы для наглядности.

Шаг 3: Презентация руководству

• Начинайте с главного: «Мы рискуем потерять 2,3 млн BYN и получить отзыв аттестата».
• Говорите на языке денег: не «нужен пентест», а «требование 7.17 обязывает нас провести пентест стоимостью 25 000 BYN, иначе грозит отзыв аттестата и простой с убытками в 2,8 млн BYN».
• Покажите альтернативу: «Либо мы инвестируем 189 тыс. BYN сейчас, либо принимаем на себя риск потерь в 2,3 млн BYN».

Шаг 4: Работа с возражениями

• Возражение 1: «Слишком дорого»
  • Ответ: «Стоимость бюджета ИБ — 189 тыс. BYN. Ожидаемые потери от бездействия — 2,3 млн BYN. Невыполнение требований ОАЦ обойдётся в 12 раз дороже».
• Возражение 2: «Нас никогда не взламывали»
  • Ответ: «43,5% белорусских пользователей были атакованы в 2024 году. В среднем проходит 280 дней от момента взлома до его обнаружения. Возможно, мы уже скомпрометированы, но пока не знаем об этом. Без SIEM-системы мы этого не увидим».
• Возражение 3: «Давайте в следующем году»
  • Ответ: «С 1 марта 2025 года вступили в силу новые требования. Наш аттестат истекает [дата]. Без выполнения этих требований нам откажут в его продлении, что приведет к остановке бизнеса».
• Возражение 4: «У нас есть антивирус, этого достаточно»
  • Ответ: «Антивирус — это лишь одно из множества требований (п. 7.10). Приказ ОАЦ обязывает нас также иметь SIEM (п. 1.1-1.5), NGFW (п. 7.12), проводить пентест (п. 7.17), использовать EDR (п. 7.18) и выполнять другие меры. Без комплексной СЗИ аттестат не получить».

От слов к делу

Обоснование бюджета ИБ — это не техническая, а управленческая и коммуникационная задача. Ваша цель — не объяснить руководству, как работает SIEM или пентест, а показать на языке денег, рисков и законов, почему инвестиции в кибербезопасность критически важны для выживания и процветания бизнеса.

Три ключевых принципа успешного обоснования:

• Говорите на языке приказов ОАЦ: конкретные пункты, обязательные требования, последствия.
• Считайте деньги: ожидаемые потери, стоимость защиты, ROI.
• Показывайте альтернативу: либо контролируемые инвестиции сейчас, либо неконтролируемые и гораздо большие потери потом.

В 2025 году, когда законодательные требования ужесточились, а киберугрозы стали повседневной реальностью, экономия на ИБ — это не просто риск, а прямой путь к финансовым и репутационным катастрофам. Используйте предложенные в этой статье подходы, адаптируйте их под специфику вашей компании и защищайте бюджет на информационную безопасность так же профессионально, как вы защищаете её цифровые активы.