Зарплаты топовых CISO достигли 1,3 млн рублей в месяц. Медиана по рынку 520 тыс. Но главное не цифры. Главное - это цена тревоги, которая вшита в эту профессию.
Эта заметка родилась во время того как я слушал ответы многих мною уважаемых коллег на CISO форуме.
Профессия ИБ-директора — одна из самых уважаемых сегодня. Генеральный директор делегирует CISO ответственность за самые неприятные операционные риски компании. Кассовый разрыв понятно как закрыть. Нехватку ИТ-ресурсов тоже. А вот множество угроз, способных остановить весь бизнес целиком, сегодня лежат именно в руках у директора по информационной безопасности.
На основной секции CISO Forum 2026 Георгий Руденко задал простой вопрос нескольким директорам по информационной безопасности: «Кто CISO вообще такой?» Ответы были честными, иногда горькими и совсем не похожими на то, что написано в должностных инструкциях.
Дмитрий Гадарь сказал: «Это человек, который берёт на себя ответственность». Коротко. И именно в этом вся суть роли.
Плохой CISO приносит проблемы наверх, чтобы переложить их на CEO, а хороший CISO должен приходить уже с планом действий. Не «у нас утечка», а «у нас утечка, мы вот это уже сделали, вот риски которые остались». Это другой уровень нагрузки на психику. И платят за него соответственно.
Миллион рублей — это реально, но не для всех
В мае 2026 года CNews опубликовал данные исследования SuperJob, The Edgers и Positive Education: зарплата CISO в московских IT-компаниях достигает 1,3 млн рублей в месяц. В Петербурге 1,2 млн. Медианная зарплата специалиста по кибербезопасности в Москве 520 000 рублей. Число вакансий за год выросло на 24% на фоне падения спроса на IT-специалистов в целом на 18%.
Разумеется, речь о C-level в крупном бизнесе. В среднем по рынку директор по ИБ получает 550–700 тыс. рублей, но даже это заметно выше большинства IT-руководителей сопоставимого уровня.
Для сравнения: это сопоставимо с зарплатой CFO в компании среднего размера. Разница в том, что CFO отвечает за деньги, которые уже есть. CISO отвечает за деньги, которые не должны быть потеряны. Это тяжелее измерить и тяжелее объяснить совету директоров.
Антон Карпов даже сказал на круглом столе, что «CISO - это неудачник, которому не хватило мозгов стать CTO». За этим стоит правда: в эту роль идут люди, которые умеют и в технику, и в управление, и в переговоры, и в риск-менеджмент одновременно. Таких мало по определению. Это сложно.
Тревога — это не эмоция. Это управленческий инструмент со своей ценой
Когда говорят о тревожности CISO, обычно имеют в виду психологическое состояние. Для CEO это неинтересно. Интересно другое: тревога CISO имеет прямую цену в рублях.
«Недотревоженный» CISO — это инциденты. Например, в 2025 году одна из российских компаний пережила непрерывную DDoS-атаку длительностью 36 дней: сервисы встали, потери исчислялись сотнями миллионов. Это не аномалия — это иллюстрация того, что происходит, когда угрозы недооценили. Один серьёзный инцидент легко перекрывает несколько годовых зарплат CISO.
«Перетревоженный» CISO — это оверкомплаенс. Лишние контроли, согласования, запреты. Продукт выходит на рынок на три месяца позже. Продажи теряют сделку, потому что клиент не прошёл избыточную верификацию. Time-to-market падает — и это тоже деньги. Сергей Демидов сформулировал точно: CISO отвечает за P&L. Не за файрволы и сертификаты ФСТЭК. За деньги, которые компания теряет или не теряет из-за решений в области безопасности.
Ошибка CISO редко выглядит как ошибка. Она выглядит как «мы решили не делать». И потом это превращается в простой, утечку или срыв сделки. К тому моменту уже никто не помнит, какое именно решение и когда было принято. Именно поэтому Дмитрий Гадарь предложил вести дневник решений, где фиксировать контекст, данные, выводы. Это защищает и психологически, и юридически: в случае инцидента ФСТЭК или прокуратура смотрит не только на факт утечки, но и на то, как CISO принимал решения. Зафиксированный риск - это доказательство, что вы действовали осознанно, а не халатно. По статье 274.1 УК это разница между предупреждением и уголовным делом.
Главный нерв профессии: CISO почти всегда мешает зарабатывать
Это то, о чём не принято говорить открыто. Но именно это болит каждый день.
Бизнес хочет быстро. Продажи давят: «сделай исключение, клиент крупный». Продукт говорит: «мы выкатим патч потом, сейчас некогда». Разработка обходит политики, потому что с ними деплой занимает вдвое дольше. CISO в этой ситуации — тот, кто говорит «нет» или «подождите». И это порождает постоянный фоновый конфликт, который не исчезает никогда. Я говорю про суть конфликта так: ИТ дает доступ, ИБ его закрывает.
Самые тяжёлые решения CISO — не про атаки. Они про то, когда бизнес просит сделать небезопасно и быстро. Потому что атака — это внешний враг. А вот когда давит свой же коллега из продаж — это уже политика. Навык удерживать позицию под внутренним давлением стоит не меньше, чем знание MITRE ATT&CK.
Но зрелый CISO не блокирует бизнес. Он говорит: «Да, но при условии что на этом канале включим MFA» или «Давайте сделаем, но усилим мониторинг на две недели, а потом посмотрим». Настоящий навык — превратить «нет» в управление риском с помощью условий. Это разница между полицейским и партнёром.
Один из участников форума описал обратную ловушку: стокгольмский синдром безопасности. CISO начинает решать проблемы бизнеса, забывая про задачи защиты. Становится удобным — и теряет роль. Баланс между этими двумя режимами и есть настоящая сложность работы.
Ответственность: выстраивать систему, но отвечать лично
Здесь важно не попасть в ловушку. Образ CISO как человека, который «несёт всё на себе» — это образ жертвы, а не управленца.
CISO не берёт всю ответственность на себя: он выстраивает систему, где каждый знает свою задачу. Разработчик отвечает за безопасность кода. Продуктовый менеджер за приоритеты заказчка. CFO за бюджет на защиту. Но если система дала сбой, конечная ответственность всё равно на CISO. При этом он не может быть во все процессы компании встроен.. не может за все все браться.. но и не может быть просто наблюдателем. Ему нужна власть, но CEO часто не передает ее.
Это объясняет, почему в 38% компаний нет регулярного взаимодействия между CEO и директором по ИБ. Человека нанимают нести конечную ответственность, но не включают в систему принятия решений. Это противоречие разрушает роль изнутри. Я лично сидел и думал про себя на круглом столе CISO: а сколько компаний из присутствующих составили полную матрицу рисков для бизнеса?
Как нанимают CISO и на что смотреть кандидату
Нового CISO нанимают после крупного инцидента. Маленький чаще оставляют разбирать старому и считают опытом. Решение о смене и наеме нового CISO принимает либо CIO, который видит что в подразделении что-то не так, либо новый CEO, который приходит с новой командой.
Если вы собеседуете CISO то на собеседовании Виктор Бобыльков советует проверять кандидата по четырём плоскостям знаний и опыта: People, Project, Product, Technical. Все четыре. Не три из четырёх.
Кандидату то есть будушему CISO тоже стоит в ответ собеседовать вас как компанию: стоит задать несколько вопросов до подписания оффера.
Как CEO воспринимает CISO — как полицейского или как партнёра?По каким критериям будут оценивать работу? Один из участников форума рассказал, что его руководитель использовал простой критерий: «Если к CISO приходят люди — значит, видят в тебе помощника».
И главное: попросите встретиться с ключевыми директорами — CFO, CTO, COO — до принятия оффера. Задайте один вопрос: «Насколько безопасность важна лично для вас?» Если слышите вежливое «ну, да, наверное» — бегите. Бывает, что CEO на рынке хочет нанять директора по ИБ, а весь слой CEO-1 просто ждёт пенсии. Вас будут терпеть, но не поддерживать. И даже мешать. Вам это не надо.
С чего начать, если хочешь стать CISO
Классический путь занимает 7–12 лет: инженер → руководитель направления (AppSec или SOC) → директор. Команда не будет уважать CISO без технических корней — это на форуме говорили все без исключения.
Но в 2026 году это уже не единственный маршрут.
Многие становятся CISO не по плану, а через кризис — когда после инцидента кто-то должен взять ответственность, и этим кем-то оказывается человек с правильным сочетанием технического понимания и управленческой смелости. Другой реальный путь — через консалтинг: аудитор, который видел десятки компаний изнутри, нередко приходит в роль с более широкой картиной рисков, чем выращенный внутри специалист. Бывает и lateral entry — из CTO, из риск-менеджмента, из продукта, если человек понимает бизнес-логику и готов строить security с нуля. На конференциях даже как-то обсуждали, что лучшие CISO - это бывшие COO, поскольку знание процессов компании позволяет видеть их уязвимости и защищать.
И есть ещё один маршрут: не планируемый. Компания растёт, регулятор начинает требовать ИБ-функцию, и эту роль вешают на старого ИТ-директора или системного администратора. Такие CISO часто сильны в технике, но слабы в политике и управлении рисками. Их главная задача — быстро доучиться управленческой части.
Для тех, кто хочет систематизировать знания — конкретные ресурсы. В России работает Школа CISO от Ростелекома с фокусом на стратегию и связку с бизнесом. OTUS ведёт курс для технических специалистов с амбициями на управленческую роль. Softline / Академия АйТи — программа профессиональной переподготовки с государственным дипломом.
Из книг «CISO Desk Reference Guide» (Bonney, Hayslip, Stamper) считается библией CISO и даёт практическую базу. Книга включена в Зал славы Cybersecurity Canon и является обязательной к прочтению. Это тактическое руководство, написанное на основе реального опыта. Дает ответы на вопросы: как наладить процессы, выстроить управление и отчитываться перед руководством.
Прочтение учебника по CISSP закрывает разрыв между техникой и управлением: не просто экзамен, а 700 страниц того, как мыслит зрелый security-профессионал. Как человек сдавший экзамен и поддерживающий статус - подтверждаю.
Почему хороших CISO мало — структурный ответ
Дело не только в том, что роль сложная. Дефицит имеет четыре структурные причины.
- Первая: длинный цикл формирования. 7–12 лет — это не обучение, это накопление шрамов. Второй нет без первого.
- Вторая: высокий карьерный риск, когда один крупный инцидент способен закрыть рынок для конкретного человека, даже если он принял все правильные решения в условиях ограниченной информации.
- Третья: нет понятных метрик успеха. Если всё хорошо — это невидимо. Взломов нет, инцидентов нет. Заметить не за что, хвалить не за что - это выматывает годами.
- Четвёртая: конфликт ролей внутри одной должности. Защитник по природе и одновременно драйвер цифровой трансформации. Эти две роли тянут в разные стороны каждый день.
Три жёстких вывода
После многих лет в этой индустрии со стороны руководителя ИБ структуры заказчика, вендора, интегратора и консультанта у меня есть своя позиция.
Большинство компаний не готовы к тому CISO, которого нанимают. Они хотят человека, который решит проблемы безопасности, но не дают ни бюджета, ни доступа к стратегическим решениям, ни реальных полномочий. Это не найм CISO, это найм жертвы.
Большинство CISO перегружены не угрозами, а организационной дисфункцией. Технические проблемы решаемы. Политика, недоверие между подразделениями, борьба за бюджет: вот что реально отнимает время и энергию.
Рынок платит не за безопасность. Он платит за способность объяснять риски на языке денег. CISO, который умеет перевести уязвимость в рубли потенциального ущерба и донести это до совета директоров за пять минут, стоит вдвое дороже того, кто пишет отчёты на 80 страниц технического текста. Умение объяснять что происходит - дорого стоит. Поэтому я читаю курс про то как объяснять.
Я сам прошёл через операционную роль и в какой-то момент ушёл в консалтинг в IBM, HP и Palo Alto Networks, при этом не забывая практику. Не потому, что не справлялся. А потому, что понял: жить на постоянной грани «а не случится ли завтра инцидент» - это не героизм, это дорога в выгорание за полтора года. Поэтому я безмерно уважаю тех, кто остаётся в этой роли. И предупреждаю тех, кто хочет в неё прийти: миллион рублей - это не так много. Потому что это лишь небольшая компенсация за утраченное спокойствие и бессонные ночи. Если вы к этому готовы — добро пожаловать.
Подписывайтесь на канал Топ Кибербезопасности Батранкова в Telegram и Макс