Каждый второй финансовый директор признаётся: строчку «расходы на обеспечение информационной безопасности» он копирует из прошлогоднего бюджета, добавляя 5–10 % «на рост». Такой подход работал, пока ландшафт угроз менялся медленно. В 2026 году это уже рискованная стратегия.
Почему старая модель планирования больше не годится
За 2024–2025 годы число целевых атак на российские предприятия выросло, по оценкам BI.ZONE, на 40 %. Появились новые формы шантажа: злоумышленники не просто шифруют данные, а угрожают опубликовать их, если жертва не платит. Расходы по информационной безопасности, рассчитанные по модели пятилетней давности, не покрывают ни обучение персонала, ни внедрение современных средств защиты, ни инвестиции в мониторинг.
Статьи бюджета, которым стоит уделить внимание
При формировании ИБ-бюджета на 2026 год важно заложить средства по нескольким категориям. Статьи трат, которые чаще всего недофинансируются:
- обучение и тренировка сотрудников — фишинговые симуляции, курсы по security-осведомлённости;
- резервное копирование и регулярное тестирование восстановления;
- аудит информационной безопасности — минимум раз в 12 месяцев;
- обновление программных средств защиты: антивирусов, EDR, SIEM-систем.
Эти позиции нередко урезаются первыми, если нужно сократить общий ИТ-бюджет. Парадокс в том, что именно они предотвращают убытки, многократно превышающие сэкономленную сумму.
Как рассчитать оптимальный объём расходов
Международная практика предлагает ориентироваться на долю расходов на ИБ в общем ИТ-бюджете. Для организаций с умеренным уровнем риска это 8–12 %. В регулируемых отраслях (финансы, медицина, госсектор) доля может достигать 15–20 %. Однако формулы составляют лишь каркас: итоговую цифру определяют конкретные угрозы и зрелость текущих решений в контуре безопасности.
По оценке Positive Technologies, средний ущерб от одного успешного инцидента для среднего бизнеса в России составляет от 5 до 20 млн рублей. Сюда входят простои, штрафы, репутационные потери и работа по восстановлению.
Полезно также запланировать резерв — 10–15 % от ИБ-бюджета — на экстренные закупки. Атаки случаются не по расписанию, и возможность оперативно приобрести нужный инструмент без долгих согласований может сохранить бизнесу миллионы рублей. Помимо этого, стоит заложить отдельную строку на страхование киберрисков: полисы покрывают расходы на расследование инцидента и уведомление клиентов.
ИТ-аутсорсинг как способ оптимизации
Содержать собственную команду безопасников дорого, особенно в Москве, где зарплаты специалистов по ИБ начинаются от 250 тыс. рублей. Альтернатива — передать часть функций на ИТ-аутсорсинг. Компании при ит-аутсорсинге берут на себя мониторинг, управление уязвимостями и реагирование на инциденты. Заказчик получает предсказуемую ежемесячную стоимость вместо непрогнозируемых расходов компаний на информационную безопасность.
Грамотное планирование ИБ-бюджета — не перестраховка, а здравая экономика. Учёт расходов на информационную безопасность в структуре годового плана позволяет не латать дыры задним числом, а системно выстраивать защиту бизнеса. Чем раньше финансовый и ИТ-директор сядут за один стол, тем устойчивее окажется компания к новым вызовам на рынке.