На Habr Career для ИБ-архитекторов указан диапазон 297 000 - 465 000 рублей в месяц, на hh.ru открыто более 230 профильных вакансий только по Москве. Три-четыре года назад выделенных позиций "архитектор кибербезопасности" на российском рынке не существовало вообще. Сам прошёл путь от security engineer до архитектурной роли в финтехе и вижу: разрыв между тем, что написано в JD, и тем, что реально спрашивают на техническом интервью - это пропасть. Здесь - честный roadmap для инженеров, которые хотят перейти на архитектурную позицию: конкретные этапы, навыки, зарплатные вилки и сертификации с ценами.
Статья записана со слов моего коллеги
Чем архитектор безопасности отличается от инженера
Русскоязычные вакансии постоянно размывают границу. По наблюдению Дмитрия Овчинникова, архитектора ИБ UserGate, задачи архитектора нередко прячутся в позициях "ведущий специалист ИБ", "администратор ИБ" или "руководитель направления ИБ". Из-за этого оценить реальный объём рынка сложно, а кандидаты не понимают, на какую роль откликаются. Подробнее - в нашем подробном разборе карьера в кибербезопасности.Ключевое различие - масштаб ответственности и тип мышления.
Security Engineer проектирует и эксплуатирует конкретные подсистемы: пишет detection-правила в MaxPatrol SIEM или KUMA, разворачивает EDR (Kaspersky EDR Expert, PT EDR), сегментирует сеть. Горизонт - один домен или продукт.
Security Architect проектирует всю КСОИБ (комплексную систему обеспечения ИБ), определяет концепцию и техническую архитектуру, выбирает стек средств защиты и защищает бюджетные решения перед CTO и советом директоров. Горизонт - организация целиком: филиалы, облачные среды, OT-сегменты.
На практике: инженер настраивает NGFW, архитектор решает, какой NGFW закупать (UserGate, Check Point, Palo Alto) и как он вписывается в Zero Trust-модель с учётом требований ФЗ-187 (КИИ) и текущей программы импортозамещения. По данным "Солар", один специалист не способен единолично разработать полную программу КСОИБ для крупного холдинга - за архитектором стоит проектный офис. Но именно архитектор определяет вектор и принимает решения, за которые потом отвечает.
Security architect roadmap 2026: этапы карьеры
По данным ISC2 Workforce Study 2025 и NICE Cyber Career Pathways Tool от CISA, карьерная лестница до архитектора имеет четыре выраженных этапа. Сроки ориентировочные: на российском рынке они могут сжиматься за счёт работы в интеграторах с проектным режимом.
Этап 1: Junior/Middle ИБ-инженер (0-3 года)
Точка входа - SOC-аналитик Tier 1, junior security engineer, специалист по vulnerability management. На этом этапе формируется база: работа с alert'ами, разбор инцидентов, освоение SIEM, EDR, сканеров уязвимостей. По данным ISC2, 90% менеджеров по найму рассматривают кандидатов на основе продемонстрированных навыков, а не формальных дипломов. Начинать можно через help desk, системное администрирование или сетевую инженерию.Сигнал готовности к следующему шагу: вы пишете detection-правила, снижаете false positive rate и понимаете логику за каждым алертом, а не просто закрываете тикеты.
Этап 2: Senior Security Engineer / Team Lead (3-7 лет)
Вы владеете скриптингом (Python, PowerShell, Bash), разбираетесь в облачных платформах (AWS, Яндекс.Облако, VK Cloud), проектируете IAM-архитектуру и Zero Trust-сегментацию. Ваша работа - строить подсистемы, а не только реагировать на инциденты.Сигнал готовности: вы проектируете подсистемы ИБ целиком - от ТЗ до внедрения. Менторите junior-инженеров. Участвуете в выборе вендоров и защищаете бюджеты перед руководством. MITRE ATT&CK для вас - не абстрактный справочник, а рабочий язык для threat modeling.
Этап 3: Security Architect (7-12 лет)
Архитектурная роль. Вы определяете концепцию КСОИБ, ведёте десятки интегрированных проектов. Работаете с SABSA, TOGAF (в приложении к security-домену), NIST CSF 2.0. Рисуете архитектурные схемы (Lucidchart, draw.io) так, чтобы их понял и исполнитель, и топ-менеджер.На этом уровне российская специфика выходит на первый план: ФЗ-152 (персональные данные), ФЗ-187 (КИИ), Приказ ФСТЭК №76 (требования к СрЗИ), классификация ИСПДн по уровням защищённости (УЗ1-4) и ОУД4 для сертификации средств защиты. Без этого зоопарка нормативки невозможно спроектировать систему, которая одновременно работает и проходит аттестацию. По документам - одно, на практике - приходится балансировать.
Этап 4: CISO / Security Director (12+ лет)
Управленческий трек. Из хороших архитекторов получаются сильные CISO - это не мнение, а закономерность: человек, который видел систему целиком, лучше управляет её защитой. Альтернатива - оставаться на техническом треке как chief/principal architect, углубляясь в специализацию: облачная безопасность, OT/ICS, AI Security.Зарплата архитектора кибербезопасности: вилки 2026
| Грейд | Россия (Москва), руб/мес | США, $/год | Источник |
|---|---|---|---|
| Senior Security Engineer | 200 000 - 350 000 | ~$159 000 | hh.ru (рыночные наблюдения), Glassdoor (дек. 2025) |
| Security Architect | 250 000 - 500 000 | $149 000 - $223 000 | comnews.ru + hh.ru, Habr Career, Payscale/Glassdoor |
| CISO / Director | 400 000 - 800 000+ | $189 000+ | hh.ru (единичные вакансии), Glassdoor (май 2026) |
По данным comnews.ru, средний диапазон для ИБ-архитектора в России - 250 000 - 400 000 рублей, но на hh.ru встречаются вакансии до 500 000. Habr Career (данные SERP) показывает для похожих специалистов 297 000 - 465 000 рублей. На западном рынке, по данным Glassdoor, медианная компенсация security architect - $223 000/год, включая бонусы и profit-sharing.
Оговорка, которую мало кто делает: в большинстве российских вакансий конкретная зарплата не указана. Реальная цифра зависит от масштаба проектов. Архитектор распределённой инфраструктуры с десятками интеграций и требованиями к отказоустойчивости - в верхней части диапазона. Роль ближе к "продвинутому администратору ИБ" - в нижней. Между этими крайностями - пропасть.
Навыки архитектора безопасности: что реально требуют
Hard skills
| Категория | Конкретные навыки | Применение |
|---|---|---|
| Сетевые технологии | TCP/IP, DNS, micro-segmentation, SD-WAN | Проектирование КСОИБ |
| Облачная безопасность | AWS/Azure/GCP или Яндекс.Облако, VK Cloud, IAM | Гибридные среды |
| Фреймворки ИБ | NIST CSF 2.0, ISO 27001, SABSA, TOGAF (security domain) | Обоснование решений бизнесу |
| Threat modeling | IriusRisk, Microsoft Threat Modeling Tool, STRIDE/PASTA | Проектирование архитектуры |
| Российская нормативка | ФЗ-152, ФЗ-187, приказы ФСТЭК №76/21/17, ОУД4, ПЗ для МЭ | Аттестация и комплаенс |
| Документация | Lucidchart, draw.io, Confluence | Ежедневная работа |
По данным ISC2 Workforce Study, AI-безопасность - навык номер один по востребованности (41% респондентов), облачная безопасность - на втором месте (36%). Архитектор, который проектирует защиту AI/ML-пайплайнов и cloud-native инфраструктур, стоит заметно дороже. И это не маркетинговый хайп - я вижу это по вакансиям и офферам.
Soft skills
Архитектор - переводчик между бизнесом и техникой. Умение объяснить CTO, почему Zero Trust-архитектура стоит 40 млн рублей и какой risk exposure она закрывает, ценнее навыка настройки конкретного NGFW. Конкретно: защита архитектурных решений перед C-level, риск-ориентированный подход к приоритизации, управление параллельными проектами, менторинг. По данным ECCU и TripleTen, автоматизация возьмёт на себя рутину, но стратегическое мышление и коммуникацию не заменит ничто.Сертификация CISSP SABSA: что влияет на оффер
| Сертификация | Стоимость экзамена (USD) | Ориентир (RUB) | Влияние на оффер в РФ |
|---|---|---|---|
| CISSP | ~$749 | ~65 000 - 75 000 | Высокое. Де-факто стандарт для enterprise architect |
| CCSP | ~$599 | ~52 000 - 60 000 | Среднее-высокое. Облачная специализация |
| CISM | ~$760 (ISACA) | ~66 000 - 75 000 | Высокое. Управленческий трек (CISO) |
| SC-100 (Microsoft) | ~$165 | ~14 000 - 16 000 | Среднее. Привязан к Microsoft-стеку |
| SABSA Chartered | ~$1 500 - $2 500 (курс + экзамен) | ~130 000 - 220 000 | Низкое в РФ. Ценится в международном консалтинге |
| TOGAF 10 Combined | ~$530 - $680 | ~46 000 - 60 000 | Низкое-среднее. Не ИБ-специфична |
Цены актуальны на середину 2025 года.
CISSP упоминается примерно в каждой третьей вакансии архитектора ИБ на hh.ru. Без него двери в международные компании и крупный enterprise закрыты. SABSA в российских вакансиях встречается единично - если вы не метите в международный консалтинг, деньги лучше вложить в CISSP. SC-100 - бюджетный вариант для тех, кто уже глубоко в Microsoft-стеке.
Корпоративная оплата сертификаций
Большинство крупных компаний компенсируют расходы. Типичные условия: полная оплата экзамена при успешной сдаче, обязательство отработать 1-2 года, годовой бюджет на обучение 100 000 - 300 000 рублей на сотрудника. Сбер, Яндекс, VK, T-Bank имеют программы профессионального развития с покрытием сертификаций. В интеграторах (Positive Technologies, Солар, Инфосистемы Джет) обучение часто входит в стандартный соцпакет.Рабочий аргумент при переговорах с руководителем: "CISSP повышает уровень экспертизы команды и укрепляет позиции компании на тендерах, где наличие сертифицированных специалистов - требование RFP". Проверено - работает.
Как стать архитектором ИБ: чеклист перехода
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Путь от инженера до архитектора занимает 5-8 лет. Ускорить можно через интеграторов: проектный режим даёт экспозицию к разным инфраструктурам и стекам быстрее, чем inhouse-позиция в продуктовой компании.
Главная ошибка, которую вижу у инженеров, целящихся в архитектурную роль, - накопление сертификатов вместо реальной проектной практики. CISSP плюс три года проектного опыта в интеграторе - это оффер архитектора. Пять сертификаций без единого спроектированного решения - это отказ на техническом интервью.
Рынок в 2026 году действительно перегрет: открытых вакансий больше, чем кандидатов с реальным архитектурным опытом. Но "перегрет" не значит "берут всех подряд". Берут тех, кто может открыть draw.io, нарисовать архитектуру КСОИБ для распределённого холдинга с OT-сегментом и объяснить каждый элемент - от выбора класса NGFW (тип А, Б, В по профилям защиты ФСТЭК) до стратегии миграции на отечественные решения.
Если через два года роль enterprise security architect не станет такой же массовой, как DevOps пять лет назад - буду удивлён. Компании уже создают проектные офисы вокруг архитектора ИБ, потому что без системного подхода к КСОИБ любой набор средств защиты - дорогой зоопарк, который рассыпается при первой целевой атаке.
Последнее редактирование модератором: