CISO (директор по информационной безопасности): кто это, чем занимается и как им стать

За последние несколько лет должность директора по информационной безопасности перестала быть частью технической службы и переместилась ближе к совету директоров. Подтолкнули к этому оборотные штрафы за утечки персональных данных, новые статьи Уголовного кодекса и ужесточение требований к субъектам критической информационной инфраструктуры (КИИ). Отдельную роль сыграл Указ Президента РФ № 250. Он прямо обязал целый пласт организаций назначить ответственного за защиту информации на уровне заместителя руководителя. Должность CISO выросла из технической в управленческую, с собственным бюджетом, отчётностью перед первым лицом и личной ответственностью за результат.

CISO (Chief Information Security Officer) [директор по информационной безопасности] отвечает за то, чтобы компания понимала свои киберриски и держала их под контролем, чтобы защита информации работала на бизнес, а не мешала ему. Это не инженер, который своими руками настраивает средства защиты, а руководитель, который оценивает риски в деньгах, защищает бюджет, выстраивает программу ИБ и отвечает за неё перед руководством и регуляторами. В России роль формировалась под сильным давлением государства. На неё влияли требования ФСТЭК России и ФСБ России, специфика критической инфраструктуры и санкционные ограничения.

В этом материале разбираем, кто такой CISO и как расшифровывается аббревиатура, чем директор по ИБ занимается на уровне управления, какие компетенции ему нужны и как измеряют его работу, чем отличается от CIO, CSO, CTO, BISO и DPO, кому подчиняется и за что отвечает по закону, включая уголовную ответственность. Отдельно смотрим на судебную практику, на разницу между российским и зарубежным директором по ИБ, на зарплаты по данным нашего раздела вакансий и на путь до этой должности. Статья будет полезна тем, кто строит карьеру в информационной безопасности, руководителям и HR-специалистам, которые нанимают директора по ИБ, и самим действующим CISO.

Содержание

1. Кто такой CISO и как расшифровывается аббревиатура
2. Как роль выросла из техники в управление
3. Место CISO в управлении компанией
4. Чем занимается CISO: риск-ориентированный подход
5. CISO, CIO, CSO, CTO, BISO и DPO: чем различаются роли
6. Что должен знать и уметь CISO: компетенции
7. Как измеряют работу CISO: бизнес-метрики
8. За что CISO отвечает по закону: нормативная рамка
9. Личная ответственность CISO и судебная практика
10. CISO в России и за рубежом: в чём разница
11. Сколько зарабатывает CISO в России
12. Образование и сертификация CISO в России
13. Как стать CISO: карьерный путь и vCISO
14. Частые вопросы
15. Что важно понять о роли CISO

Кто такой CISO и как расшифровывается аббревиатура

CISO расшифровывается как Chief Information Security Officer, по-русски директор по информационной безопасности. В российских компаниях должность в трудовой книжке формулируют по-разному. По данным нашего раздела «Вакансии», чаще всего встречается «начальник отдела информационной безопасности», далее идут «руководитель отдела или службы ИБ», «директор по информационной безопасности», «директор по безопасности». Само слово CISO в названии вакансии в России пока редкость, хотя в профессиональном общении прижилось прочно.

Ключевое в аббревиатуре — не security, а chief. CISO относится к категории руководителей высшего звена, к так называемому C-level, наравне с финансовым директором (CFO) и директором по информационным технологиям (CIO). Он не настраивает межсетевые экраны своими руками, а отвечает за то, чтобы этим занимались нужные люди в рамках выстроенных процессов. Его работу оценивают не числом отражённых атак, а тем, насколько киберриски компании управляемы, понятны бизнесу и удержаны в допустимых пределах.

Важно не путать директора по ИБ с рядовым специалистом по защите информации. Аналитик центра мониторинга (SOC, Security Operations Center), специалист по тестированию на проникновение, инженер по защите информации работают руками и решают конкретные технические задачи. CISO отвечает за стратегию, бюджет и за то, чтобы работа всех этих специалистов складывалась в слаженную программу защиты. Зоны ответственности у них принципиально разные, и подменять управленческую роль работой технического специалиста нельзя.

У роли есть и облегчённые формы, которые прижились на российском рынке. Внешний директор по ИБ на условиях аутсорсинга, vCISO (virtual CISO), закрывает потребность небольших компаний, которым полноценный руководитель такого уровня в штате не по карману. Встречаются и обозначения вроде gCISO или rCISO, но это скорее маркетинговые ярлыки, чем отдельные профессии. К формату vCISO мы вернёмся в разделе про карьеру.

Как роль выросла из техники в управление

Ещё пятнадцать лет назад человек, который отвечал за защиту информации, был частью ИТ-отдела и занимался техникой, от антивирусов и паролей до межсетевых экранов и разграничения доступа. Защита воспринималась как функция внутри ИТ, а её руководитель подчинялся ИТ-директору и редко выходил за пределы серверной. О выступлениях перед советом директоров речи не шло.

Перелом произошёл, когда утечки и атаки начали бить по выручке и репутации напрямую. Совет директоров увидел, что инцидент в ИБ оборачивается не сбоем техники, а финансовым и юридическим ущербом, сопоставимым с потерей крупного контракта. С этого момента от руководителя по защите информации потребовались новые качества. Ему пришлось оценивать риск в деньгах, обосновывать бюджет, говорить с топ-менеджментом на языке бизнеса и лично отвечать за результат.

В России этот сдвиг ускорили сразу несколько факторов. Закон о безопасности КИИ, ужесточение требований к персональным данным, массовый уход западных вендоров после 2022 года и резкий рост числа атак на отечественные компании заставили директора по ИБ одновременно перестраивать инфраструктуру на российские решения, выполнять требования регуляторов и противостоять возросшему потоку атак. Объём задач и плата за ошибку выросли в разы.

Отдельный и решающий толчок дал Указ Президента РФ от 01.05.2022 № 250. Он обязал госорганы, госкомпании, субъекты КИИ и системообразующие организации возложить полномочия по обеспечению информационной безопасности на заместителя руководителя и создать профильное структурное подразделение либо поручить эти функции уже действующему подразделению. Типовые требования к такому заместителю и подразделению закрепило постановление Правительства РФ от 15.07.2022 № 1272. Фактически для целого пласта организаций должность уровня CISO из пожелания превратилась в обязанность. Как устроена защита значимых объектов, мы подробно разбирали в материале «Безопасность значимых объектов КИИ».

Сегодня директор по ИБ стоит ближе к бизнесу, чем к технике. Он по-прежнему обязан понимать, как работает центр мониторинга и из чего складывается архитектура защиты, но большую часть времени тратит на управление людьми, процессами, бюджетами и отношениями с регуляторами и подрядчиками. На отраслевых мероприятиях всё чаще обсуждают не настройку средств защиты информации, а место директора по ИБ в управленческой команде и его выход на совет директоров.

Место CISO в управлении компанией

Чтобы понять роль директора по ИБ, удобно опереться на международную рамку компетенций ISACA, по которой строится сертификация CISM (Certified Information Security Manager). Среди сертификаций по ИБ именно CISM описывает управленца, а не технического исполнителя. Её четыре области знаний — это руководство ИБ, управление рисками, управление программой защиты и управление инцидентами, то есть ровно круг задач директора по ИБ. Более известная сертификация CISSP охватывает восемь технических доменов и подтверждает широкую экспертизу инженера или архитектора, поэтому как рамка для управленческой роли подходит хуже.

В управленческой сертификации CISM (ISACA) первый из четырёх доменов называется Information Security Governance. Само слово governance в русской традиции, в том числе в стандарте ГОСТ ISO/IEC 27014—2021 (перевод международного ISO/IEC 27014), переводят как руководство, а не управление. В семействе стандартов ISO 27000 руководство означает управление на верхнем уровне организации, со стороны совета директоров и топ-менеджмента, и его не путают с операционным менеджментом. Речь о том, чтобы защита информации стала частью корпоративного управления, а её стратегия согласовывалась с целями бизнеса и не жила отдельной технической жизнью. Этим директор по ИБ и занимается в первую очередь.

На практике это означает, что CISO переводит угрозы с технического языка на язык бизнеса. Он объясняет совету директоров, какие киберриски угрожают выручке, репутации и непрерывности работы, во сколько обходится их снижение и какой уровень риска компания готова принять. Из этого вырастают стратегия защиты, бюджет и приоритеты по проектам, которые директор по ИБ отстаивает перед руководством. Без этой управленческой надстройки даже сильная техническая команда работает вслепую, обрабатывая угрозы по наитию, а не по значимости.

Кому подчиняется директор по ИБ

Большое значение имеет и линия подчинения внутри компании. В одних компаниях директор по ИБ подчиняется генеральному директору напрямую, в других входит в зону ответственности CIO, в третьих замыкается на директора по безопасности или на совет директоров. От этого во многом зависит реальный вес роли. Чем выше CISO в иерархии, тем больше у него полномочий и тем меньше его решения подчиняются чужим интересам. Для государственных организаций и субъектов КИИ самостоятельность службы ИБ опирается на Указ № 250, который задаёт уровень заместителя руководителя и тем самым выводит функцию из-под ИТ.

Когда компании нужен отдельный CISO

Отдельный вопрос — с какого момента компании вообще нужен полноценный директор по ИБ. Универсального порога нет, но есть понятные ориентиры, при которых такой CISO в штате оправдан.

• Компания работает с большими объёмами персональных данных.
• Организация относится к субъектам критической информационной инфраструктуры.
• Бизнес выходит на регулируемый рынок, например финансовый.
• Масштаб таков, что инцидент грозит ощутимыми финансовыми и репутационными потерями.

Для госорганов, госкомпаний и системообразующих предприятий вопрос вообще не стоит, наличие ответственного за ИБ уровня заместителя руководителя для них обязательно по Указу № 250 и не зависит от желания бизнеса.

Пока коммерческая компания до этих порогов не доросла, функцию обычно закрывает руководитель ИТ, выделенный специалист по защите информации или внешний vCISO. Это разумная экономия, а не пренебрежение защитой. В средних компаниях роли вообще нередко смешиваются, и обязанности директора по ИБ берёт на себя ИТ-директор. Чем крупнее организация и выше плата за ошибку, тем строже эти роли разводят, а признаком зрелости становится независимость CISO от ИТ и прямой выход на первое лицо.

CISO в компаниях разного размера

Форма роли заметно меняется в зависимости от масштаба бизнеса. В стартапах и малом бизнесе отдельного директора по ИБ обычно нет, функцию совмещает основатель, технический директор или системный администратор, а недостающую экспертизу закрывает внешний vCISO. Задачи здесь сводятся к базовой защите информации и выполнению требований по персональным данным, выделенной службы ИБ ещё нет.

В среднем бизнесе появляется выделенный руководитель ИБ, чаще в статусе начальника отдела под ИТ-директором. Поводом для штатной позиции становятся рост объёма персональных данных, выход на регулируемый рынок или попадание в периметр КИИ. В крупных компаниях и банках работает полноценный CISO уровня C-level, со своей службой, центром мониторинга, бюджетом и выходом на совет директоров, а в распределённых структурах к нему добавляются BISO в отдельных бизнес-направлениях.

При этом размер компании решает не всегда. Указ № 250 обязывает госорганы, госкомпании, субъекты КИИ и системообразующие организации назначить ответственного за ИБ уровня заместителя руководителя независимо от выручки и численности. Поэтому даже небольшая по обороту организация, если она попадает под это требование или относится к субъектам КИИ, обязана иметь такую должность.

Тип компании	Форма роли по информационной безопасности
Стартап, малый бизнес	Совмещение (основатель, CTO, ИТ-специалист) или внешний vCISO
Средний бизнес	Выделенный руководитель отдела ИБ, чаще под CIO; иногда vCISO
Крупный бизнес, банк	Полноценный CISO уровня C-level, служба ИБ, SOC, выход на совет директоров, возможны BISO
Госорганы, госкомпании, субъекты КИИ	Обязательно ответственный за ИБ уровня заместителя руководителя по Указу № 250, вне зависимости от размера

Чем занимается CISO: риск-ориентированный подход

Единого документа, который описывал бы обязанности директора по ИБ, в России нет. Они вытекают из требований законодательства о персональных данных и КИИ, профессиональных стандартов и сложившейся практики. Но если искать общий принцип, то работа CISO строится вокруг управления рисками. В рамке CISM этому посвящены сразу два домена, управление рисками информационной безопасности и управление программой ИБ. Именно риск-ориентированный подход отличает руководителя от исполнителя.

Управление риском как основа работы

Суть подхода в том, что директор по ИБ оценивает угрозы не как технические события, а как возможный ущерб для бизнеса. Он измеряет риск по вероятности и последствиям, согласует с руководством приемлемый уровень риска, который компания готова на себя взять, и решает, что с каждым риском делать. Часть рисков он снижает мерами защиты, часть осознанно принимает, когда защита дороже возможного ущерба, от части отказывается вовсе, не запуская слишком опасный сервис, а часть переносит, например через киберстрахование или передачу функции внешнему подрядчику. Удобный инструмент здесь — реестр рисков, где каждый риск оценён по вероятности и возможному ущербу в деньгах. Так абстрактная защищённость превращается в управляемые и понятные бизнесу решения.

Само техническое моделирование угроз для такой оценки выполняет команда, а не директор лично. В России для этого применяют методический документ ФСТЭК России «Методика оценки угроз безопасности информации» 2021 года и банк данных угроз (БДУ ФСТЭК России). Как строится такое моделирование, мы разбирали в статье «Модель угроз безопасности информации по методике ФСТЭК России». Для CISO это не повседневная задача руками, а инструмент команды, результаты которого он переводит в управленческие решения, приоритеты и статьи бюджета.

Программа защиты и реагирование на инциденты

Из управления риском вырастает программа защиты. Директор по ИБ набирает и развивает команду, ставит процессы, распределяет бюджет между проектами и отвечает за то, чтобы система защиты держалась каждый день. В его зоне находятся центр мониторинга и реагирования (SOC), контроль уязвимостей, защита инфраструктуры и приложений, управление доступом к критичным системам, безопасная разработка собственного программного обеспечения и другое. В последние годы к этому добавились киберразведка, контроль защищённости подрядчиков и всей цепочки поставок, а также защита от новых угроз вроде атак с применением генеративного ИИ и дипфейков. Подобрать конкретные средства защиты под эти задачи помогает каталог продуктов CISOCLUB.

Отдельным и самым напряжённым блоком стоит управление инцидентами, которому в рамке CISM посвящён четвёртый домен. Когда происходит атака или утечка, директор по ИБ отвечает за то, чтобы инцидент вовремя обнаружили, локализовали и уведомили о нём регуляторов. Для субъектов КИИ это означает уведомление НКЦКИ [Национальный координационный центр по компьютерным инцидентам] в установленные сроки, а для операторов персональных данных — уведомление Роскомнадзора об утечке в сжатый срок, закреплённый законом. Нарушение этих сроков само по себе влечёт ответственность. Порядок действий мы разбирали в материале «Реагирование на инциденты».

Соответствие требованиям закона

Круг задач замыкает соответствие требованиям закона и регуляторов, то есть комплаенс. Директор по ИБ следит, чтобы компания выполняла нормы по защите персональных данных и безопасности КИИ, отраслевые требования Банка России для финансового сектора, предписания ФСТЭК России и ФСБ России. На практике это аттестация объектов информатизации, лицензии на отдельные виды деятельности, категорирование объектов КИИ и подготовка к проверкам. CISO не готовит каждый документ лично, но отвечает за то, чтобы организация была к проверке готова и могла подтвердить выполнение требований. И этот блок он тоже рассматривает через риск, потому что несоответствие оборачивается штрафами и личной ответственностью должностных лиц.

CISO, CIO, CSO, CTO, BISO и DPO: чем различаются роли

В крупных компаниях руководящих должностей с приставкой chief много, и их легко спутать. Чаще всего CISO путают с CIO, потому что обе роли связаны с информацией и технологиями. Разница между ними при этом принципиальная и заложена в самих целях этих ролей. CIO (Chief Information Officer) [директор по информационным технологиям] отвечает за то, чтобы ИТ работали и приносили пользу бизнесу. CISO отвечает за то, чтобы эти же ИТ были защищены. Их цели нередко вступают в конфликт, и именно поэтому роли разделяют.

Понять разницу проще всего на рабочем примере. ИТ-директор хочет быстрее запустить новый сервис и упростить сотрудникам доступ к системам, потому что это удобно и экономит время. Директор по ИБ видит в том же решении риск и требует дополнительных проверок и ограничений. Если CISO подчинён CIO, защита информации чаще проигрывает удобству, поскольку начальник заинтересован в скорости. Поэтому крупные компании выводят директора по ИБ из-под ИТ и дают ему независимую линию подчинения.

Рядом стоят ещё несколько ролей, и для российских компаний у них своя специфика. CSO (Chief Security Officer) [директор по безопасности] в России чаще отвечает за корпоративную безопасность в широком смысле — физическую охрану и экономическую защиту, и нередко эту должность занимают выходцы из силовых структур. CTO (Chief Technology Officer) [технический директор] отвечает за технологии и продукт для клиентов и к защите информации прямого отношения не имеет. Отдельного внимания заслуживают две роли, которые в России понимают не всегда верно: BISO и DPO.

BISO (Business Information Security Officer) [офицер ИБ на стороне бизнес-подразделения] работает на стыке защиты информации и конкретного бизнес-направления. Это своего рода CISO в миниатюре, который доносит киберриски до отдельного бизнес-процесса и обычно подчиняется директору по ИБ. На зрелых западных рынках роль распространена в банках и финтехе, в России она встречается пока точечно, в основном в крупных технологических компаниях и банках, и общепринятого стандарта для неё нет. Называть BISO массовой российской практикой было бы преувеличением, но знать о роли стоит, потому что спрос на неё постепенно растёт.

DPO (Data Protection Officer) в международной практике отвечает за законность обработки персональных данных. В российском законодательстве термина DPO нет, зато есть близкая роль. По статье 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор назначает лицо, ответственное за организацию обработки персональных данных. Важный нюанс в том, что ответственное лицо получает указания напрямую от исполнительного органа компании и подотчётно именно ему, а не директору по ИБ. Это формальная роль по закону, а не технический руководитель, поэтому смешивать DPO и CISO неверно.

Роль	Расшифровка	За что отвечает	Специфика в России
CISO	Директор по информационной безопасности	Стратегия и программа ИБ, киберриски, комплаенс, реагирование на инциденты	Часто называется начальником отдела или службы ИБ; в средних компаниях функцию берёт CIO
CIO	Директор по информационным технологиям	Работа и развитие ИТ, инфраструктура, цифровизация	Нередко курирует и ИБ, если отдельного CISO нет
CSO	Директор по безопасности	Корпоративная безопасность в широком смысле	Чаще физическая и экономическая безопасность, служба безопасности
CTO	Технический директор	Технологии и продукт для клиентов, разработка	К защите информации прямого отношения не имеет
BISO	Офицер ИБ бизнес-подразделения	Связь киберрисков с конкретным бизнес-направлением	Роль редкая, встречается в банках и финтехе, обычно подчиняется CISO
DPO	Ответственный за обработку ПДн	Законность обработки персональных данных	По 152-ФЗ назначается оператором, подотчётен руководству, формальная роль

Что должен знать и уметь CISO: компетенции

Набор компетенций директора по ИБ удобно описывать не на глаз, а по признанной рамке. Международный стандарт ISACA, на котором держится сертификация CISM, выделяет четыре области знаний управленца по информационной безопасности. Это руководство ИБ (governance), управление рисками, управление программой защиты и управление инцидентами. В сумме они описывают именно руководителя, а не исполнителя, и хорошо ложатся на российскую практику.

Первая область, governance, требует от CISO умения встроить защиту информации в управление компанией, согласовать её стратегию с целями бизнеса и выстроить отчётность перед руководством. Вторая область — управление рисками — это способность оценивать киберриски в терминах ущерба, определять приемлемый уровень риска и выбирать, какие риски снижать, принимать, переносить или исключать вовсе. Эти две области сильнее всего отличают директора по ИБ от хорошего инженера, потому что требуют мышления управленца и понимания, как устроен бизнес.

Третья область, управление программой ИБ, охватывает построение и развитие всей системы защиты, набор команды, постановку процессов, распределение бюджета и работу с подрядчиками. Четвёртая область — управление инцидентами — это готовность к кризису, когда от собранности руководителя зависит, насколько быстро компания обнаружит атаку, локализует её и восстановится. Обе области ближе к работе любого топ-менеджера, чем к настройке техники, и именно их работодатели проверяют на собеседовании в первую очередь.

При этом без технической базы директор по ИБ обойтись не может, иначе он не оценит риски и не проверит свою команду. Он не обязан сам писать правила корреляции для системы мониторинга событий (SIEM, Security Information and Event Management), но обязан понимать, как устроена защита на разных уровнях. В минимальный технический кругозор входит несколько направлений (перечень уникален под каждую отдельную вакансию).

• Архитектура сетей, приложений и инфраструктуры.
• Основные классы средств защиты информации.
• Криптография и защита каналов связи.
• Управление доступом и идентификацией пользователей.
• Защита данных и предотвращение утечек.
• Безопасная разработка, облачные среды и виртуализация.

Глубоко погружаться в каждую тему не требуется, нужен уверенный базовый уровень по всем направлениям.

В России требования к квалификации формализуют профессиональные стандарты в области защиты информации, которые утверждает Минтруд России. Отдельного стандарта именно для директора по ИБ пока нет, управленческий уровень описан через обобщённые трудовые функции высшей квалификации внутри стандартов для специалистов, например в профстандарте «Специалист по защите информации в автоматизированных системах». Для финансового сектора Банк России разработал профстандарт для специалистов по информационной безопасности, верхний уровень которого описывает руководящую роль, то есть организацию процессов защиты информации в компании. Поверх формальных требований работает то, что стандартом не описать, — устойчивость к стрессу и коммуникативные навыки. Директор по ИБ живёт в режиме постоянной готовности к инциденту и несёт личную ответственность за результат, поэтому роль считается одной из самых напряжённых в отрасли, а выгорание здесь частая проблема.

Как измеряют работу CISO: бизнес-метрики

Работу директора по ИБ всё чаще оценивают по конкретным показателям, а не по общим словам про защищённость. Здесь важно различать два уровня метрик. Операционные показатели нужны команде, чтобы видеть состояние защиты в моменте. Управленческие, или бизнес-метрики, нужны самому CISO и совету директоров, чтобы понимать, окупаются ли вложения в ИБ и держится ли риск в допустимых пределах. Зрелый директор по ИБ не выкладывает руководству технические цифры, а объясняет их в терминах денег и рисков.

Бизнес-метрики

На бизнес-уровне ключевой ориентир — это остаточный риск в сравнении с риск-аппетитом, то есть с тем уровнем риска, который компания заранее согласилась принять. Если остаточный риск остаётся в этих рамках, программа защиты работает. Сюда же относятся оценка возможного ущерба в деньгах, отдача от вложений в защиту, снижение вероятности крупных штрафов и потерь, влияние мер ИБ на непрерывность работы, рост зрелости программы защиты и доля выполненных требований регуляторов. Такие показатели понятны финансовому директору и совету директоров, потому что говорят на их языке.

Операционные метрики

Операционные метрики при этом никуда не исчезают, просто остаются внутри службы ИБ. К ним относят несколько ключевых показателей.

• Среднее время обнаружения и реагирования на инцидент (в отрасли их обозначают MTTD и MTTR).
• Скорость устранения критичных уязвимостей (time to patch).
• Охват инфраструктуры мониторингом и средствами защиты.
• Доля сотрудников, попадающихся на учебный фишинг.
• Результаты учений, пентестов и независимых проверок.

Директор по ИБ собирает эти и другие данные и показывает руководству не технические показатели, а их влияние на риск и деньги.

Отсутствие инцидентов само по себе ещё не повод для гордости. Иногда это означает не сильную защиту, а слабый мониторинг, который просто не видит атак. Поэтому продуманный набор показателей решает сразу две задачи. Он честно показывает руководству состояние защиты и помогает самому CISO находить слабые места раньше, чем ими воспользуется злоумышленник. Плохой набор превращается в отчётность ради отчётности, когда красивые цифры на слайде расходятся с реальной защищённостью.

За что CISO отвечает по закону: нормативная рамка

Российский директор по ИБ работает в плотном нормативном поле, и это заметно отличает его положение от коллег во многих странах. Отдельного закона «о CISO» нет, но требований, за выполнение которых он де-факто отвечает, много, и они разбросаны по разным документам. Для госорганов, госкомпаний и субъектов КИИ обязательность самой должности задают Указ Президента РФ от 01.05.2022 № 250 и постановление Правительства РФ от 15.07.2022 № 1272. Перечислять остальные документы все смысла нет, важнее понять логику и ключевые опоры.

Базовым документом служит Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Он задаёт само понятие защиты информации и обязанность принимать меры по её обеспечению. На него опираются более частные режимы, и с него удобно начинать отсчёт нормативной рамки, в которой работает директор по ИБ.

Персональные данные

Первый крупный блок связан с персональными данными. Федеральный закон от 27.07.2006 № 152-ФЗ обязывает оператора назначить ответственного за организацию обработки персональных данных и принять правовые, организационные и технические меры по их защите. Закон не предписывает, кто именно становится ответственным за обработку, а техническую защиту данных обеспечивает служба под руководством директора по ИБ. Надзор за обработкой персональных данных ведёт Роскомнадзор, ему же оператор сообщает об утечке в сжатые сроки, установленные законом. Нарушения в этой сфере бьют по компании и её должностным лицам напрямую.

Критическая информационная инфраструктура

Второй крупный блок охватывает критическую информационную инфраструктуру. Федеральный закон от 26.07.2017 № 187-ФЗ обязывает субъекты КИИ категорировать свои объекты, создать систему безопасности значимых объектов и подключиться к ГосСОПКА [Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак] через взаимодействие с НКЦКИ. Здесь работают приказы ФСТЭК России, то есть Федеральной службы по техническому и экспортному контролю, и ФСБ России, и за их выполнение в организации отвечает служба ИБ. Что входит в эти требования, мы разбирали в материалах «Критическая информационная инфраструктура (КИИ) и 187-ФЗ» и «ГосСОПКА: что это и как подключиться».

Отраслевые и смежные требования

Дальше идут отраслевые и смежные требования. Для финансового сектора действуют нормативные акты Банка России и национальный стандарт ГОСТ Р 57580 по защите информации финансовых организаций, для работы с шифрованием — требования ФСБ России к средствам криптографической защиты. Сюда же примыкают защита коммерческой тайны по Федеральному закону от 29.07.2004 № 98-ФЗ и применение электронной подписи по Федеральному закону от 06.04.2011 № 63-ФЗ, а также международные стандарты, которые в России применяют там, где этого требуют контракты или платёжные системы, ISO 27001 по системам управления ИБ и PCI DSS по защите данных платёжных карт. Отдельная линия требований идёт от Минцифры России, которое ведёт реестр российского программного обеспечения и отвечает за импортозамещение средств защиты, важное для субъектов КИИ. В большинстве отраслей своя специфика приходит не через отдельные приказы, а через тот же режим КИИ, и лишь местами появляются отраслевые нормы, например требования Минэнерго России к объектам электроэнергетики. Если добавить к этому лицензирование отдельных видов деятельности, аттестацию объектов информатизации и обязательную сертификацию средств защиты, круг ответственности директора по ИБ станет понятнее. Он не исполняет каждую норму лично, но отвечает за то, чтобы организация ей соответствовала.

Личная ответственность CISO и судебная практика

Несколько лет назад за нарушения в сфере защиты информации отвечала в основном компания, ограничиваясь штрафом в несколько десятков тысяч рублей. За последние годы положение изменилось кардинально. Законодатель последовательно усиливает санкции и постепенно смещает ответственность на конкретных людей, включая руководителей. Для директора по ИБ это означает, что плата за ошибку выросла. Но между ужесточением закона и реальной практикой привлечения CISO есть важный зазор, и о нём стоит сказать прямо.

Административная ответственность

Самые громкие изменения произошли с персональными данными. Федеральный закон от 30.11.2024 № 420-ФЗ ввёл оборотные штрафы за утечки, и новые составы заработали с 30 мая 2025 года. За утечку данных более ста тысяч субъектов организация по части 14 статьи 13.11 КоАП РФ заплатит от десяти до пятнадцати миллионов рублей, а должностное лицо — от четырёхсот до шестисот тысяч рублей. При повторном крупном нарушении по части 15 той же статьи штраф для юридического лица считается уже от оборота, от одного до трёх процентов годовой выручки, но не менее двадцати и не более пятисот миллионов рублей, а для должностного лица доходит до одного миллиона двухсот тысяч рублей. Все суммы приведены на дату публикации, перед применением их стоит сверить с актуальной редакцией кодекса.

Одними утечками персональных данных ответственность не ограничивается. Как должностное лицо директор по ИБ рискует штрафом за нарушение требований по защите информации по статье 13.12 КоАП РФ, за нарушения в области безопасности значимых объектов КИИ по статье 13.12.1 КоАП РФ, а также за неисполнение законного предписания регулятора по итогам проверки по статье 19.5 КоАП РФ. На практике именно невыполнение предписаний ФСТЭК России или Роскомнадзора чаще всего и доводит дело до персонального штрафа должностного лица.

Уголовная ответственность

Параллельно появилась уголовная ответственность за оборот персональных данных. Тот же пакет законов дополнил Уголовный кодекс статьёй 272.1, введённой Федеральным законом от 30.11.2024 № 421-ФЗ. Она карает за незаконные сбор, хранение, использование и передачу компьютерной информации с персональными данными, полученной неправомерным путём. Для руководителей здесь есть принципиально важная деталь. Среди квалифицирующих признаков закон прямо называет использование служебного положения, и в этом случае наказание по части 3 доходит до шести лет лишения свободы. При трансграничной передаче таких данных по части 4 санкция достигает восьми лет, а при тяжких последствиях — десяти.

Для субъектов КИИ действует статья 274.1 Уголовного кодекса о неправомерном воздействии на критическую информационную инфраструктуру. Наказание здесь зависит от тяжести содеянного. Неправомерный доступ, повлёкший вред для информации в КИИ, наказывается по части 2 лишением свободы на срок от двух до шести лет. Деяние, совершённое с использованием служебного положения или группой по предварительному сговору, по части 4 карается сроком от трёх до восьми лет, а при тяжких последствиях по части 5 наказание составляет от пяти до десяти лет лишения свободы.

Вид ответственности	Норма	За что	Санкция
Административная	КоАП РФ, ст. 13.11	Утечка персональных данных и нарушения при их обработке	За утечку свыше 100 тыс. субъектов: юрлицо 10–15 млн ₽, должностное лицо 400–600 тыс ₽; при повторе оборотный штраф 1–3% выручки (20–500 млн ₽), должностное лицо до 1,2 млн ₽
Административная	КоАП РФ, ст. 13.12	Нарушение требований по защите информации	Штрафы на должностных и юридических лиц
Административная	КоАП РФ, ст. 13.12.1	Нарушение требований по безопасности значимых объектов КИИ	Штрафы на должностных и юридических лиц
Административная	КоАП РФ, ст. 19.5	Невыполнение законного предписания регулятора	Штраф, для должностных лиц возможна дисквалификация
Уголовная	УК РФ, ст. 272.1	Незаконный оборот персональных данных, в том числе с использованием служебного положения	Лишение свободы до 6 лет, при трансграничной передаче до 8, при тяжких последствиях до 10
Уголовная	УК РФ, ст. 274.1	Неправомерное воздействие на КИИ	Лишение свободы от 2 до 6 лет, при служебном положении или группе от 3 до 8, при тяжких последствиях от 5 до 10

Что показывает судебная практика

Реальная практика пока отстаёт от строгости закона. Обвинительные приговоры по статье 274.1 есть, но судят по ней не руководителей, а внутренних нарушителей с легитимным доступом. В обзорах судебной практики фигурируют сотрудница отдела продаж оператора связи, скопировавшая перед увольнением базу абонентов, программист больницы, продавцы салонов связи. Все они в итоге получали условные сроки. По статье 272.1 об обороте персональных данных, которая заработала только в декабре 2024 года, публичных приговоров с реквизитами пока нет. По административной статье 13.11 КоАП РФ из более чем двух сотен дел за 2022–2025 годы около 85 процентов пришлось на юридические лица, а должностные лица среди наказанных единичны, и это были назначенные ответственные за обработку данных, а не директора по ИБ.

Из этой картины следует практический вывод. Прямых приговоров против директоров по ИБ за плохо выстроенную защиту в открытых источниках нет, а реальный риск для CISO сегодня — увольнение и дисциплинарная ответственность после крупного инцидента. Уголовные статьи 272.1 и 274.1 наступают не за сам факт инцидента, а за умышленные действия вроде сокрытия утечки или участия в незаконном обороте данных. Поэтому грамотный директор по ИБ заранее фиксирует свои решения, согласования и оценки рисков, чтобы в спорной ситуации подтвердить добросовестность.

CISO в России и за рубежом: в чём разница

Сама роль директора по ИБ пришла с западного рынка, поэтому в своей основе профессия везде похожа и сводится к управлению рисками, защите данных и отчётности перед руководством. Но в деталях российский CISO и его зарубежный коллега работают в разных условиях. Разница заметна сразу по нескольким направлениям, среди которых зрелость роли, характер регулирования, технологическая база и подход к личной ответственности.

На развитых западных рынках должность существует дольше, поэтому директор по ИБ там чаще встроен в высшее руководство и нередко напрямую общается с советом директоров. Регулирование строится вокруг отраслевых и наднациональных норм вроде требований Комиссии по ценным бумагам и биржам США (SEC) к раскрытию киберинцидентов публичными компаниями и европейского регламента по защите данных GDPR [General Data Protection Regulation, общий регламент ЕС о защите данных]. В России роль моложе, зато нормативное давление со стороны государства выше и конкретнее. Требования ФСТЭК России и ФСБ России предписывают не общие принципы, а конкретные меры, средства и сроки.

Отдельное и непростое направление — технологии. После 2022 года российский директор по ИБ оказался в ситуации, которой у западных коллег нет. Уход зарубежных вендоров, санкционные ограничения и обязательное импортозамещение средств защиты заставили перестраивать инфраструктуру на отечественные решения в сжатые сроки. Это уникальная задача, с которой CISO в США или Европе не сталкивались. Где искать российские аналоги, удобно смотреть в каталоге продуктов CISOCLUB.

Тренд на личную ответственность общий, но проявляется по-разному. На западных рынках показательны два известных сюжета. Бывшего директора по безопасности компании Uber в 2022 году признали виновным в сокрытии утечки данных от регулятора, наказанием стал испытательный срок с общественными работами и штрафом. Директора по информационной безопасности компании SolarWinds в 2023 году обвинила Комиссия по ценным бумагам и биржам США, в 2024 году суд отклонил большую часть иска, а в конце 2025 года ведомство отказалось и от оставшихся претензий. В России вектор тот же, а инструменты свои, оборотные штрафы и новые статьи Уголовного кодекса. Сводка различий сведена в таблицу ниже.

Параметр	Россия	Зарубежные рынки (США, ЕС)
Зрелость роли	Сравнительно молодая, активно растёт	Сложилась раньше, чаще в составе высшего руководства
Регулирование	Конкретные меры, средства и сроки от ФСТЭК России и ФСБ России	Рамочные требования, раскрытие инцидентов, режим защиты данных
Технологии	Импортозамещение, отечественные средства защиты, санкционные ограничения	Широкий выбор глобальных вендоров
Личная ответственность	Оборотные штрафы, новые уголовные статьи 272.1 и 274.1, прямой практики против CISO пока нет	Иски регуляторов, обвинения в сокрытии инцидентов, репутационные риски
Сертификации	Профстандарты и требования регуляторов; вес зарубежных сертификатов снизился	CISSP, CISM и другие международные сертификаты

Сколько зарабатывает CISO в России

Директор по ИБ занимает одну из самых высокооплачиваемых позиций в информационной безопасности, но разброс зарплат большой. Он зависит от размера компании, отрасли, региона и зоны ответственности. По данным обзора зарплат CISOCLUB, построенного на анализе более шести тысяч вакансий нашего раздела «Вакансии» за период с ноября 2025 по март 2026 года, медианная зарплата директора по ИБ в России составляет около ста восьмидесяти тысяч рублей в месяц на руки. Типичный диапазон по этой позиции растянулся примерно от девяноста шести до трёхсот двадцати шести тысяч рублей.

Сильнее всего на доход влияют опыт и город. С опытом работы медиана уверенно растёт. У директоров по ИБ с опытом от одного до трёх лет она держится около девяноста семи тысяч рублей, на отрезке от трёх до шести лет поднимается примерно до двухсот десяти тысяч, а после шести лет достигает трёхсот тысяч рублей в месяц. Москва заметно отрывается от остальной страны. Медиана по позиции директора по ИБ в столице составляет около трёхсот сорока восьми тысяч рублей, а верхняя граница уходит за полмиллиона. Верхнюю планку всей выборки задаёт предложение для директора по безопасности в крупной московской компании на уровне миллиона двухсот тысяч рублей.

Сегмент	Медиана на руки
По России в целом	около 180 000 ₽/мес
Опыт 1–3 года	около 97 500 ₽/мес
Опыт 3–6 лет	около 210 000 ₽/мес
Опыт от 6 лет	около 300 000 ₽/мес
Москва	около 348 000 ₽/мес, верх свыше 500 000
Максимум выборки	1 200 000 ₽/мес

Актуальные вилки удобнее сверять не по обзорам полугодовой давности, а по живым предложениям работодателей в разделе вакансий CISOCLUB. Общую картину доходов в отрасли мы разбирали в материале «Сколько на самом деле зарабатывают специалисты по ИБ в России».

Образование и сертификация CISO в России

Одними курсами стать директором по ИБ нельзя, должность требует опыта. Но профильное образование и подготовка структурируют знания и служат сигналом для работодателя. Базовой ступенью обычно становится высшее образование по информационной безопасности. В России для этого есть отдельная укрупнённая группа специальностей и направлений «Информационная безопасность», по которой готовят профильные вузы. Для руководителя такого уровня профильное высшее образование или переподготовка по защите информации фактически обязательны, тем более что требования к образованию предъявляют и регуляторы. Для лицензируемой деятельности по технической защите информации при непрофильном высшем образовании ФСТЭК России требует профессиональной переподготовки по ИБ объёмом не менее 360 аудиторных часов. Отдельно приказ ФСТЭК России от 21.12.2017 № 235 обязывает руководителя подразделения по безопасности субъекта КИИ иметь профильное образование или переподготовку и стаж работы в области защиты информации не менее трёх лет.

Помимо технического образования директору по ИБ нужна управленческая подготовка, и под эту задачу в России появились отдельные программы. Например, в Школе IT-менеджмента РАНХиГС работает программа MBA «IT-ЛИДЕР CISO», ориентированная именно на руководителей по информационной безопасности. Такие программы дают то, чего не даёт техническое образование, навыки управления, экономику ИБ и язык общения с бизнесом.

Международные сертификаты в российских реалиях стоит оценивать трезво. Самыми известными для управленцев в ИБ остаются CISSP (Certified Information Systems Security Professional) и ориентированный на менеджмент CISM (Certified Information Security Manager), реже упоминают CISA (Certified Information Systems Auditor) по аудиту информационных систем. Они по-прежнему ценятся как строчка в резюме и как структурированная рамка знаний, но из-за санкций доступ к экзаменам и продлению усложнился, а работодатели всё чаще смотрят на практический опыт и знание отечественной нормативки. Поэтому российский директор по ИБ растёт на нескольких опорах, которые дополняют друг друга.

• Профильное высшее образование или переподготовка по информационной безопасности.
• Знание требований ФСТЭК России, ФСБ России, Банка России и отраслевых норм.
• Управленческая подготовка, например профильная программа MBA для руководителей по ИБ.
• Профессиональный кругозор и контакты через отраслевые конференции и сообщества.

Как стать CISO: карьерный путь и vCISO

Прямого пути в директора по ИБ не существует, должность достигается опытом, а не одним дипломом. Типичная траектория начинается с технических ролей, таких как администратор средств защиты, инженер по ИБ, аналитик центра мониторинга или специалист по защите информации. На этом этапе человек учится понимать угрозы и средства защиты на практике, и без такой базы двигаться дальше сложно. Это фундамент, на котором потом вырастает управленец.

Следующей ступенью становится руководство направлением или отделом. Здесь к технической экспертизе добавляются люди, бюджеты и процессы, и специалист начинает отвечать не только за свою работу, но и за команду. Тот, кто успешно проходит этот этап и при этом учится говорить с бизнесом, становится кандидатом на позицию директора по ИБ. На практике путь до неё занимает многие годы, а опыт от пяти-шести лет работодатели нередко указывают в вакансиях руководителей по информационной безопасности.

Одновременно стоит достраивать то, чего не даёт техника. Это профильное образование или переподготовка по ИБ, знание требований российских регуляторов, управленческая подготовка и профессиональный кругозор через отраслевые сообщества. Полезно изучать опыт коллег, которые уже прошли этот путь. Например, интервью Сергея Волкова, CISO Cloud.ru, о том, куда движется рынок.

Отдельной точкой входа и развития служит формат vCISO. Внешний директор по ИБ ведёт защиту сразу нескольких компаний, чаще из малого и среднего бизнеса, которым полная ставка не нужна. Для опытного специалиста это способ дорасти до стратегических задач, не дожидаясь, пока крупная компания возьмёт его сразу на позицию директора по ИБ. Бизнес же получает доступ к компетенциям нужного уровня без затрат на штатную единицу. По оценкам участников рынка, спрос на такой формат в России в последние годы растёт.

Тем, кто нанимает директора по ИБ, стоит оценивать не сертификаты, а опыт. Здесь важны прохождение настоящих инцидентов, умение говорить с бизнесом на языке рисков, а не только с инженерами, и понимание отраслевой нормативки. Тревожным сигналом становится сильный технический специалист без управленческого мышления, которому трудно даётся стратегия и работа с бюджетом. Не менее важен прямой диалог между первым лицом и директором по ИБ, без него роль быстро теряет вес и превращается в формальность. Стоит помнить и о том, что директор по ИБ получает один из самых широких доступов в компании — к финансовым потокам, персональным данным и коммерческой тайне. Поэтому его полномочия и решения имеет смысл регулярно контролировать, как у любого сотрудника с критичными правами.

Частые вопросы

Как расшифровывается CISO?

CISO расшифровывается как Chief Information Security Officer, по-русски директор по информационной безопасности. Это руководитель высшего звена, который отвечает за защиту информации в организации. В российских компаниях должность чаще называется начальником или руководителем отдела либо службы информационной безопасности.

Чем CISO отличается от CIO?

CIO, директор по информационным технологиям, отвечает за то, чтобы ИТ работали и приносили пользу бизнесу. CISO отвечает за то, чтобы эти ИТ были защищены. Их цели часто конфликтуют, поэтому в крупных компаниях директора по ИБ выводят из подчинения ИТ-директору и дают ему независимую линию подчинения.

Нужен ли CISO небольшой компании?

Полноценный директор по ИБ в штате нужен, когда компания работает с большими объёмами персональных данных, относится к субъектам КИИ или выходит на регулируемый рынок. До этого функцию обычно закрывают руководитель ИТ, выделенный специалист по защите информации или внешний vCISO на условиях аутсорсинга.

Кому подчиняется CISO?

Какой-то единой схемы подчинения не существует. Директор по ИБ может подчиняться генеральному директору, ИТ-директору, директору по безопасности или совету директоров. Оптимальной считается прямая линия на первое лицо или совет директоров, потому что она убирает конфликт интересов с ИТ. В госорганах, госкомпаниях и у субъектов КИИ ответственный за ИБ по Указу № 250 имеет уровень заместителя руководителя.

Что такое vCISO?

vCISO (virtual CISO) — это внешний директор по ИБ на условиях аутсорсинга. Он ведёт защиту сразу нескольких компаний на частичной занятости, за абонентскую плату ниже зарплаты штатного руководителя. Формат подходит малому и среднему бизнесу, которому полноценный CISO в штате пока не нужен или не по карману.

Сколько зарабатывает директор по информационной безопасности?

По обзору зарплат CISOCLUB на основе вакансий нашего раздела «Вакансии» медиана по России держится около ста восьмидесяти тысяч рублей в месяц на руки. С опытом от шести лет она доходит до трёхсот тысяч, в Москве, до трёхсот сорока восьми тысяч с верхней границей свыше полумиллиона. Актуальные вилки стоит сверять по живым вакансиям, потому что цифры обзоров быстро устаревают.

Может ли CISO попасть под уголовную ответственность?

Теоретически да, по статьям 272.1 и 274.1 Уголовного кодекса, но не за сам факт инцидента, а за конкретные противоправные действия, такие как умышленное сокрытие утечки или участие в незаконном обороте данных. На практике прямых приговоров против директоров по ИБ в открытых источниках нет, по этим статьям судят инсайдеров с доступом к данным. Для руководителя ИБ более вероятный риск — увольнение и дисциплинарная ответственность после крупного инцидента.

Как оценить кандидата на должность CISO?

Оценивайте опыт, а не только сертификаты. Важны прохождение настоящих инцидентов, умение объяснять риски бизнесу простым языком и знание российской нормативки. Тревожным признаком служит сильный технический специалист без управленческого мышления. Стоит помнить и о том, что директор по ИБ получает широкий доступ к системам компании, поэтому его полномочия требуют регулярного контроля.

Что важно понять о роли CISO

CISO давно перестал быть техническим специалистом, который отвечает за СЗИ и регламенты. Сегодня это руководитель, который управляет киберрисками, бюджетом и людьми, объясняет защиту в терминах денег и выстраивает программу ИБ под цели компании. Технические знания остаются обязательным фундаментом, но на этом уровне решает умение встроить защиту информации в управленческую логику бизнеса.

В России у роли своя специфика. Это плотное нормативное поле, конкретные требования ФСТЭК России и ФСБ России, обязательность должности по Указу № 250 для целого пласта организаций, импортозамещение средств защиты и растущая личная ответственность. При этом важно видеть картину трезво. Закон ужесточается быстрее, чем формируется практика привлечения CISO, и сегодня для директора по ИБ актуальнее риск увольнения после инцидента, чем уголовное дело. От его решений зависит, выстоит ли компания под атакой и не обернётся ли инцидент многомиллионным штрафом.

Тем, кто строит карьеру в этом направлении, стоит готовиться сразу по трём фронтам, соединяя техническую базу, управленческие навыки и понимание бизнеса. Спрос на сильных директоров по ИБ устойчиво растёт, зарплаты по нашим данным одни из самых высоких в отрасли, а формат vCISO открывает дорогу к стратегическим задачам даже без штатной позиции в крупной компании. Значение роли будет только расти, и тех, кто умеет превращать угрозы в управляемые риски, рынок ценит всё выше.