Исследование посвящено механизму формирования бюджетов на информационную безопасность в крупных российских компаниях и факторам, влияющим на рост или сокращение этих расходов. В условиях сохраняющейся высокой интенсивности кибератак и усиления государственного регулирования бизнес вынужден пересматривать стратегии защиты и объёмы инвестиций в ИБ.
Как формируются бюджеты ИБ
Средний бюджет крупной компании на информационную безопасность составил 294 млн рублей в год — на 29% больше, чем в 2024 году. Лидерами по размеру бюджета являются компании ИТ и финансового сектора, где расходы достигают в среднем 447 и 507 млн рублей в год соответственно. При этом финансирование ИБ в большинстве случаев происходит экстенсивно: 64% организаций определяют объём бюджета исходя из общего ИТ-бюджета, а 66% — исходя из текущих операционных нужд поддержания работы ИБ.
Разрыв между риск-менеджментом и финансированием
89% крупных российских организаций проводят формализованную оценку критических рисков ИБ — это демонстрирует высокий уровень зрелости риск-ориентированных методик. Однако только 5% компаний при определении объёма финансирования ИБ ориентируются на результаты этой оценки рисков и потенциального ущерба от кибератак. Похожий разрыв виден и в реакции на инциденты: лишь 9% респондентов отметили, что инциденты ИБ повлияли на изменение объёма или подходов к финансированию, тогда как основными факторами, определяющими бюджет, респонденты называют изменение финансовых показателей бизнеса (75%) и нормативные требования (44%).
Авторы делают вывод об уверенном росте инвестиций в ИБ на фоне растущей важности темы для бизнеса, но фиксируют неустойчивую коммуникацию между бизнесом и службами безопасности: качественный разрыв между методологической оценкой угроз и практикой формирования бюджетов остаётся одной из ключевых точек роста зрелости российской корпоративной кибербезопасности.