Высокую оценку от генеральных директоров при этом получают только 25% - данные совместного исследования SuperJob, The Edgers и Positive Education за 2026 год. Полуторакратный разрыв между самооценкой и восприятием бизнеса - не проблема самомнения. Это системный баг перехода: инженер, который закрывает уязвимости быстрее всех в отделе, проваливает первое совещание с CFO, потому что не умеет конвертировать CVSS 9.8 в рубли ущерба. Ниже - конкретный roadmap CISO, актуальные вилки и навыки, которые двигают карьеру в кибербезопасности.
Зарплатные вилки директора по информационной безопасности: 2025–2026
Прежде чем строить roadmap - стоит знать, какие цифры на финише. Данные из публичных источников за последний год. Подробнее - в нашем руководстве по карьера в кибербезопасности.| Позиция | Медиана / средняя | Верхняя граница | Источник, период |
|---|---|---|---|
| CISO, Москва | 520 000 руб./мес. | до 1 300 000 руб./мес. | SuperJob + The Edgers, май 2026 |
| CISO, Санкт-Петербург | 500 000 руб./мес. | до 1 200 000 руб./мес. | SuperJob + The Edgers, май 2026 |
| CISO, крупный финтех и госкорпорации | 600 000 – 1 500 000 руб./мес. | + бонус 30–50% годового дохода | Open Group, 2025 |
| CISO, топ-менеджмент | - | 1 300 000 – 2 000 000 руб./мес. с бонусами | Selecty, 2025 |
| Начальник отдела ИБ | 300 000 руб./мес. | - | SuperJob, 2025 |
| Специалист по ИБ | 230 000 руб./мес. | - | SuperJob, 2025 |
Разрыв между специалистом (230 000) и директором по информационной безопасности уровня топ-менеджмента (1,3–2 млн) - шестикратный. За 2025 год зарплаты CISO на топовых позициях ощутимо подросли. Число вакансий в кибербезопасности росло значительно быстрее, чем в ИТ в целом (там, наоборот, предложений стало меньше). Поиск подходящего CISO затягивается на 4–6 месяцев - рынку остро не хватает людей, которые одновременно разбираются в технике, умеют управлять и понимают регуляторику (оценка Open Group).
Бонусы привязаны к конкретным KPI: время обнаружения атак (MTTD), прохождение аудитов без критичных несоответствий, снижение числа инцидентов высокого приоритета. Не абстрактное «обеспечил безопасность» - цифры, которые можно показать совету директоров.
Для ориентира: рынок США оценивает годовой доход CISO в $250 000–$400 000 (Glassdoor, USCSI Institute, 2026), до $500 000 в крупнейших компаниях по данным Cybersecurity Ventures.
Не потому что директора по ИБ некомпетентны. Организации нанимают технического эксперта на позицию, требующую навыков C-suite руководителя - и это несовпадение убивает и CISO, и программу безопасности.
Десять лет назад большинство подчинялись CIO. Кибербезопасность признали бизнес-риском - и требования к роли CISO в компании сместились вместе с этим.
Ситуация, которую я видел неоднократно: новый CISO приходит, сразу перестраивает команду, меняет вендоров, редизайнит архитектуру. Через полгода - конфликт с бизнес-подразделениями, через год - уход. Те, кто задерживается дольше, делают иначе: сначала строят отношения, потом меняют процессы. Сначала понимают бизнес, потом перестраивают безопасность. Первый месяц - встречи один на один с CFO, COO, CTO, юридическим отделом. Второй - аудит текущего состояния. Третий - первый отчёт совету директоров с тремя индикаторами риска и одним конкретным запросом на решение. Не 40-страничная презентация со статистикой файрволов - одна страница с тремя метриками.
Каждый второй опрошенный специалист по ИБ в исследовании SuperJob и The Edgers за 2026 год признаёт: главная проблема - неспособность перевести киберриски на язык бизнеса. Система образования этому не учит. Вообще.
Roadmap CISO: три этапа от инженера к директору по ИБ
Путь к должности CISO в российских реалиях занимает 7–12 лет при целенаправленном движении. Западные источники (EC-Council University) называют 15–20 лет, но в российском финтехе и e-commerce переход быстрее - если кандидат не застрял на уровне «вечного инженера».Этап 1 - техническая база (0–3 года)
Работаете руками: настраиваете SIEM (MaxPatrol SIEM, Splunk, QRadar), разбираете алерты в SOC, участвуете во внедрении DLP. Принципиально - не просто закрывать тикеты, а копать глубже: почему инцидент произошёл и какой бизнес-процесс допустил уязвимость. Привычка думать «почему» вместо «что» потом отличает будущего директора по информационной безопасности от вечного L2-аналитика.Что набирать в портфолио:
- Опыт с конкретным SIEM и написание правил корреляции - не «знаком с SIEM», а «написал 40 правил, 12 перешли в продакшн»
- Расследование хотя бы одного инцидента от начала до закрытия
- Понимание регуляторики на уровне исполнителя: 152-ФЗ, приказы ФСТЭК, требования ЦБ
Этап 2 - руководитель направления (3–7 лет)
Перелом. Перестаёте настраивать SIEM и начинаете решать, какие логи вообще собирать и сколько это будет стоить компании. Мозг сопротивляется, руки тянутся к консоли. Если не отпустить - останетесь тимлидом с завышенным титулом.Критические проекты для резюме (по данным рекрутеров TrustTech и Open Group):
- КИИ: категорирование объектов по ФЗ-187, разработка моделей угроз, построение защиты под требования ФСТЭК или ФСБ
- Финансовый сектор: соответствие 683-П или 757-П - показывает способность работать в зарегулированной среде
- Персональные данные: прохождение проверок Роскомнадзора, внедрение защиты уровня 1 в ритейле или медицине
- Лицензирование: получение лицензии ФСТЭК/ФСБ или сертификация продукта
Вилка: 300 000–500 000 руб./мес. (SuperJob, 2025).
Этап 3 - CISO, бизнес-партнёр (7+ лет)
На уровне директора по информационной безопасности оценивают не по закрытым уязвимостям. Совету директоров не нужны IDS и CVSS - нужен ответ на вопрос, сколько денег потеряет компания, если производство встанет на сутки.Обязанности CISO в российских компаниях (по результатам опроса TAdviser за 2025):
- Стратегическое планирование и реализация стратегии ИБ
- Управление бюджетом - и умение защитить его перед CFO
- Взаимодействие с бизнес-подразделениями и советом директоров
- Соответствие регуляторным требованиям (ФСТЭК, ФСБ, ЦБ, РКН)
- Управление инцидентами и развитие систем защиты
Навыки директора по ИБ: что проверяют на собеседованиях
Самая частая ошибка при переходе в управление информационной безопасностью - приходить к CFO с аргументом «так надо для безопасности». Финансовому директору нужно другое: «Утечка клиентской базы обойдётся в 30 млн рублей - штрафы, компенсации, падение продаж. DLP снижает этот риск в три раза. Цена вопроса - 2 млн в год».| Навык | На практике | Как прокачать |
|---|---|---|
| Финансовое мышление | Считать стоимость простоя, а не CVSS. «Час простоя e-commerce стоит 800 000 руб., патч ставится за 20 минут» | Запросить у финансов данные о стоимости простоя ключевых систем. Включать их в каждый отчёт об уязвимостях |
| Делегирование | Если сами лезете в конфигурацию SIEM - вы тимлид, не CISO | Определить 3 задачи, которые выполняете сами, но можете передать. Передать. Не трогать две недели |
| Переговоры | С регуляторами, бизнесом, CTO, который хочет деплоить в пятницу | Практиковать framework: проблема → стоимость бездействия → решение → стоимость решения |
По данным WEF и Accenture (Global Cybersecurity Outlook 2026), среди организаций с недостаточной киберустойчивостью 85% назвали основной причиной нехватку навыков и людей. Окно для тех, кто вкладывается в правильный набор компетенций, открыто.
Сертификации и корпоративная оплата обучения
По данным (ISC)² Cybersecurity Workforce Study и Skillsoft IT Skills and Salary Report, CISSP добавляет к зарплате порядка 20–25%, Security+ - около 10–15%. Анализ вакансий на hh.ru подтверждает: CISSP упоминается в большинстве вакансий на позицию CISO в крупных компаниях (анализ hh.ru, 2025–2026), CISM - примерно вдвое реже.CEH для будущего CISO - деньги на ветер. Если есть реальный опыт в offensive security, OSCP скажет о вас больше. Путь через менеджмент - CISM на этапе руководителя отдела, CISSP перед прыжком на C-level. Две сертификации, а не пять.
Компании mid-enterprise и выше в России всё чаще компенсируют затраты на сертификацию. Типичные схемы:
| Схема | Условия | При увольнении |
|---|---|---|
| Полная компенсация | Отработка 1–2 года | Пропорциональный возврат |
| Частичная (50–70%) | Согласование программы | Без возврата |
| Фиксированный бюджет | 100 000–300 000 руб./год | Без возврата |
Не просите оплатить «сертификацию для себя». Придите с расчётом: «CISSP стоит X, после получения возьму на себя Y, что сэкономит компании Z ежемесячно». Это и есть навык CISO - перевод любого запроса на язык бизнеса.
Развитие карьеры в ИБ до уровня CISO - не про технические знания. Технические знания - входной билет. Дальше начинается другая игра: бюджеты, совет директоров, регуляторы, кадровые решения. Я видел десятки инженеров с блестящей технической экспертизой, которые застряли на позиции тимлида на пять-семь лет, потому что не могли перестать быть «самым умным по технике в комнате». Парадокс: именно глубокое техническое понимание даёт CISO авторитет перед командой - но только если вы перестали использовать его как основной рабочий инструмент. Директор по информационной безопасности, который в три часа ночи правит правила корреляции в SIEM вместо того, чтобы нанять нормального аналитика, - не герой, а бутылочное горлышко. Простой индикатор готовности к переходу: когда вы приходите на совещание и говорите не «у нас критическая уязвимость в Apache», а «час простоя продакшн-среды стоит компании 800 000 рублей, вот план снижения этого риска за 2 млн в год» - значит, вы уже мыслите как CISO. Если хотите не набирать этот опыт вслепую, а пройти базу системно - IB Basics на codeby.school выстраивает фундамент, от которого проще строить управленческий трек.
