Средняя предлагаемая зарплата директора по информационной безопасности в Москве - 500 000 рублей в месяц по данным HeadHunter на конец 2024 года. В крупном финтехе и госкорпорациях вилка доходит до 1,5 млн рублей плюс бонус 30–50% от годового дохода (оценка агентства Open Group). Рекрутеры из Selecty подтверждают: рынок испытывает острый дефицит кандидатов, которые одновременно разбираются в технике, управлении и регуляторике - поиск подходящего CISO затягивается на четыре-шесть месяцев.
Разрыв между специалистом по ИБ (230 000 руб.) и Chief Information Security Officer уровня топ-менеджмента (1,3–2 млн руб.) - шестикратный. И это не вопрос стажа. Это вопрос смены роли и мышления. Инженер с десятилетним опытом может провалить собеседование на CISO, потому что не умеет разговаривать с CFO на языке бизнес-потерь. А руководитель отдела с пятилетним стажем - получить оффер, потому что приносит на интервью расчёт ROI от внедрённой SIEM с конкретными цифрами.
Ниже - конкретный roadmap, актуальные вилки и навыки, которые двигают CISO карьеру.
Зарплата CISO в России: реальные вилки 2025 года
Прежде чем строить roadmap кибербезопасность карьера - стоит знать, какие цифры на финише. Все данные из публичных источников за 2024–2025 год, собранных TAdviser в августе 2025. Подробнее - в нашем обзоре карьера в кибербезопасности.| Источник | Позиция | Вилка, руб./мес. | Примечание |
|---|---|---|---|
| HeadHunter, 2024 | CISO, среднее по РФ | около 200 000 | Предлагаемая зарплата |
| HeadHunter, 2024 | CISO, Москва | около 500 000 | Предлагаемая зарплата |
| HeadHunter, 2024 | CISO, Санкт-Петербург | около 400 000 | Предлагаемая зарплата |
| SuperJob, март 2025 | CISO, среднее по РФ | около 500 000 (до 1 000 000) | +11% к марту 2024 |
| SuperJob, март 2025 | Начальник отдела ИБ | около 300 000 | +6% год к году |
| SuperJob, март 2025 | Специалист по ИБ | около 230 000 | +10% год к году |
| Open Group | CISO, средний бизнес | 300 000–600 000 | Без бонусов |
| Open Group | CISO, крупный бизнес | 600 000–1 500 000 | + бонус 30–50% годового дохода |
| Selecty | CISO, топ-менеджмент | 1 300 000–2 000 000 | С учётом бонусов и KPI |
Для сравнения: рынок США, по данным Glassdoor за 2026 год, оценивает медианную годовую зарплату CISO в $321 000, а Salary.com - в $385 000. В крупнейших компаниях, согласно Cybersecurity Ventures, доходы приближаются к $500 000, а отдельные компенсационные пакеты с equity уходят в семизначные суммы.
Рост зарплат CISO в России за 2025 год - 14% для топовых позиций (HeadHunter по запросу TAdviser). Бонусы всё чаще привязывают к конкретным KPI: время обнаружения атак, прохождение аудитов без критичных несоответствий, снижение числа инцидентов высокого приоритета, экономия на страховании киберрисков. Не абстрактное «обеспечил безопасность», а цифры, которые можно показать совету директоров.
Roadmap: как стать CISO за три этапа
Путь до позиции директора по информационной безопасности в российских реалиях занимает 7–12 лет при целенаправленном движении. Западные источники (UniHackers, ECCU) называют 15–20 лет, но там другая корпоративная иерархия и более длинный путь до C-level. В российском бизнесе, особенно в растущем финтехе и e-commerce, переход быстрее - при условии, что кандидат не застрял на уровне «вечного инженера».Этап 1 - специалист по ИБ (0–3 года)
Цель: собрать техническую базу, которую потом не придётся наверстывать.На этом этапе вы работаете руками: настраиваете SIEM (MaxPatrol SIEM, Splunk, QRadar), разбираете алерты в SOC, участвуете во внедрении DLP и средств защиты. Принципиально - не просто закрывать тикеты, а копать глубже: почему инцидент произошёл и какой бизнес-процесс допустил уязвимость. Эта привычка - думать «почему», а не «что» - потом отличает будущего CISO от вечного L2-аналитика.
Что набирать в портфолио:
- опыт работы с конкретным SIEM и написания правил корреляции (не «знаком с SIEM», а «написал 40 правил для MaxPatrol, из которых 12 перешли в продакшн»)
- участие в расследовании хотя бы одного реального инцидента от начала до закрытия
- понимание регуляторики на уровне исполнителя: 152-ФЗ, приказы ФСТЭК, требования ЦБ для финансового сектора
Этап 2 - руководитель отдела или направления (3–7 лет)
Цель: научиться управлять людьми и бюджетом, а не только инфраструктурой.Здесь происходит перелом. Вы перестаёте быть тем, кто настраивает SIEM, и становитесь тем, кто решает, какие логи вообще собирать и сколько это будет стоить компании. Переход болезненный - мозг сопротивляется, руки тянутся к консоли. Но если в этот момент не отпустить - так и останетесь тимлидом с завышенным титулом.
Критические проекты для резюме, по данным рекрутеров из TrustTech и Open Group:
- КИИ: участие в категорировании, разработке моделей угроз, построении системы защиты под требования ФСТЭК или ФСБ
- Финансовый сектор: соответствие 683-П или 719-П - показатель, что вы способны работать в строго регламентированной среде
- Персональные данные: успешное прохождение проверок Роскомнадзора или внедрение защиты уровня 1 в ритейле или медицине
- Лицензирование: получение лицензии ФСТЭК/ФСБ или сертификация продукта
Вилка: 300 000–500 000 руб./мес. Начальник отдела ИБ - в среднем 300 000 по SuperJob за 2025 год.
Этап 3 - CISO (7+ лет)
Цель: стать бизнес-партнёром, а не «главным по файрволам».На уровне директора по информационной безопасности вас оценивают не по количеству закрытых уязвимостей. Совет директоров не интересуют IDS и CVSS - их интересует, сколько денег компания потеряет, если производство встанет на сутки. Если вы не можете перевести CVSS 9.8 в рубли потенциального ущерба - вы ещё не CISO.
CISO обязанности в российских компаниях, по результатам опроса TAdviser за 2025 год:
- стратегическое планирование и реализация стратегии информационной безопасности
- управление бюджетом и ресурсами (и умение защитить этот бюджет перед CFO)
- выстраивание взаимодействия с бизнес-подразделениями и советом директоров
- соответствие регуляторным требованиям
- развитие систем защиты и управление инцидентами
Навыки директора по ИБ: что реально проверяют на собеседованиях
В зависимости от того, откуда вы приходите на позицию CISO, набор пробелов будет разным. Таблица ниже помогает определить, что прокачивать в первую очередь.| Навык | Инженер ИБ | GRC-менеджер | IT-директор |
|---|---|---|---|
| Техническая экспертиза (SIEM, IR, pentest) | Есть | Надо добирать | Частично |
| Риск-менеджмент кибербезопасность (ISO 27001, risk register) | Надо добирать | Есть | Частично |
| Бюджетирование и ROI | Надо добирать | Частично | Есть |
| Работа с регуляторами (ФСТЭК, ФСБ, ЦБ) | Частично | Есть | Надо добирать |
| Презентации для C-level | Надо добирать | Частично | Есть |
| Управление командой (5+ человек) | Надо добирать | Частично | Есть |
Самая частая ошибка при переходе из технического специалиста в менеджмент ИБ - приходить к CFO с аргументом «так надо для безопасности». Финансовому директору нужно услышать другое: «Утечка клиентской базы обойдётся примерно в 30 млн рублей - штрафы, компенсации, падение продаж. DLP снижает этот риск в три раза. Цена вопроса - 2 млн в год». Это язык бизнеса. И пока вы на нём не заговорите - CISO вам не светит.
Три управленческих навыка, которые чаще всего тормозят карьеру инженеров (по данным рекрутеров TrustTech и Open Group):
- Финансовое мышление - умение считать стоимость простоя, а не только CVSS-скор. На практике это выглядит так: вы приходите не с «критическая уязвимость в Apache», а с «час простоя e-commerce стоит 800 000 руб., патч ставится за 20 минут, окно обслуживания - ночь среды».
- Делегирование - если по-прежнему сами лезете в конфигурацию SIEM, вы тимлид, не CISO. Я видел руководителей, которые в три часа ночи правили правила корреляции вместо того, чтобы нанять нормального аналитика. Это не героизм - это бутылочное горлышко.
- Навык переговоров - с регуляторами, с бизнесом, с IT-директором, который считает, что безопасность мешает релизам. Последний пункт - вечная классика. CTO хочет деплоить в пятницу вечером, вы хотите сначала прогнать SAST. Кто победит - зависит не от правоты, а от умения договариваться.
Сертификации: какие влияют на оффер, а какие - строчка в резюме
| Сертификация | Влияние на оффер CISO | Стоимость экзамена (USD) | Когда сдавать |
|---|---|---|---|
| CISSP | Высокое - стандарт для C-level позиций | $749 | После 5+ лет опыта, перед переходом на CISO |
| CISM | Высокое для управленческих ролей | около $760 (для членов ISACA) | На этапе руководителя отдела |
| CEH | Среднее - для резюме больше, чем для оффера | около $1 199 | На старте, если нет практического опыта |
| OSCP | Высокое для технических ролей, среднее для CISO | около $1 749 (Learn One) | Для пути через offensive security |
По данным исследования UniHackers за 2026 год, CISSP добавляет к зарплате порядка 22%, Security+ - около 11%. На российском рынке точной статистики премии за конкретный сертификат нет, но анализ вакансий CISO на hh.ru рисует чёткую картину: CISSP упоминается в подавляющем большинстве вакансий на позицию директора по ИБ в крупных компаниях, CISM - примерно вдвое реже.
Моё мнение: CEH для будущего CISO - деньги на ветер. Если у вас есть реальный опыт в offensive security, OSCP скажет о вас больше. А если путь через менеджмент - CISM на этапе руководителя отдела, CISSP перед прыжком на C-level. Две сертификации, а не пять.
Как договориться с работодателем об оплате обучения
Компании уровня mid-enterprise и выше в России всё чаще компенсируют затраты на сертификацию ИБ-руководителей. Типичные схемы:- Полная компенсация с отработкой - обязательство остаться 1–2 года после получения сертификата. При увольнении раньше - возврат пропорциональной суммы
- Частичная компенсация (50–70%) - без привязки к отработке, но с согласованием программы
- Фиксированный бюджет на развитие - 100 000–300 000 руб. в год на любые программы по согласованию с руководителем
Три ошибки на пути от инженера к управлению информационной безопасностью
Ждать, пока повысят. CISO карьеру не дают - её строят. Три года на одной позиции без управленческих задач = три потерянных года. Повышают того, кто уже взял на себя ответственность за процесс, а не того, кто лучше всех разбирает алерты. Хотите управлять - начните управлять: возьмите под себя проект, предложите бюджет, выбейте ресурсы.Игнорировать нетворкинг. Ментор среди действующих CISO - самый быстрый способ понять, какие ошибки тормозят рост. PHDays, SOC Forum, CISO Club, закрытые чаты - не факультатив, а канал для карьерных возможностей и обмена практикой. Половина офферов на позиции CISO вообще не доходит до hh.ru - их закрывают по рекомендациям.
Пренебрегать регуляторикой. Опыт работы с ФСТЭК, ФСБ и ЦБ - must-have для позиции директора по информационной безопасности в России. Минимум - успешное прохождение плановых и внеплановых проверок. Бонус, который выделяет кандидата из потока - участие в проверке на стороне регулятора.
Карьера в кибербезопасности до уровня CISO - не про сертификаты на стене и не про выслугу лет. Инженеры с десятилетним стажем проваливают собеседование на директора по ИБ, потому что не могут объяснить CFO, зачем нужен бюджет на SOC в терминах бизнес-потерь. И наоборот - руководители отделов с пятилетним опытом получают оффер, потому что приносят на интервью расчёт ROI от внедрённой SIEM-системы с конкретными цифрами снижения инцидентов.
Главный барьер - нежелание менять мышление. Инженер думает: «Я закрою уязвимость - и будет безопасно». CISO думает: «Какой риск я готов принять, а какой нет, и сколько это стоит бизнесу?» Пока эта трансформация не произошла, никакой CISSP не сдвинет карьеру с мёртвой точки.
Неудобная правда: в ближайшие два года конкуренция за позиции CISO в России будет расти. Бизнес понял ценность роли, зарплаты выросли - и теперь в очереди стоят не только ИБ-специалисты, но и IT-директора, GRC-менеджеры и бывшие консультанты из Big Four. Побеждает тот, кто уже сейчас системно закрывает пробелы в управленческих навыках. Если начинать путь в ИБ с нуля и хочется структуры, а не бесконечных YouTube-роликов - IB Basics на codeby.school закрывает базу за пару месяцев без академического тона.
