Директор по информационной безопасности (CISO): кто это и зачем он бизнесу

Кибератаки становятся неизбежной частью работы любой компании, использующей цифровые технологии. Согласно статистике Positive Technologies, с середины 2024 года по сентябрь 2025 года на Россию приходилось 14–16% всех успешных кибератак в мире, а их число выросло на 20–45%. В этих условиях директор по информационной безопасности (CISO) перестает быть технической должностью и превращается в бизнес-роль, напрямую влияющую на устойчивость и прибыль компании.

В статье разберем, что именно делает CISO, какие задачи решает, чем отличается от других топ-менеджеров, а также как HR-специалисту и руководителю грамотно оценить кандидата на эту позицию.

Что такое CISO простыми словами

CISO (Chief Information Security Officer) – это директор по информационной безопасности, руководитель, отвечающий за создание и реализацию стратегии кибербезопасности, защиту данных и управление рисками в компании. 

В отличие от технического специалиста, начальник информационной безопасности определяет не отдельные настройки, а стратегию: какие риски компания готова принять, а какие – нет, сколько ресурсов выделять на защиту и как убедить в этом совет директоров.

Если говорить простыми словами, CISO – кто это? Это сотрудник C-level, который совмещает экспертизу в ИБ с управленческими навыками и умением говорить на языке бизнеса.

Когда компании нужен начальник информационной безопасности

Потребность в руководителе информационной безопасности возникает при появлении системных рисков. 

Компании нужен CISO, если она:

1. Работает с большими объемами персональных данных. Утечка такой информации влечет административную и уголовную ответственность руководства.
2. Разрабатывает или использует ПО. Ошибки в коде, некачественное тестирование или уязвимости в сборках становятся точкой входа для злоумышленников.
3. Использует внешние облачные сервисы и работает с подрядчиками. Каждый новый интеграционный шлюз – потенциальный вектор атаки.
4. Активно растет, штат превышает 50–100 человек. Управление доступом, адаптация и увольнение сотрудников, контроль привилегированных учетных записей требуют системного подхода.

Начальник отдела информационной безопасности нужен не только крупным корпорациям. Средний бизнес, который активно цифровизируется, также становится целью атак, при этом часто имея меньше ресурсов на защиту.

Какие задачи решает директор по информационной безопасности

Директор по информационной безопасности (CISO) – стратегическая позиция с набором конкретных функций.

• Управление киберрисками. 

CISO выявляет риски, оценивает их потенциальное влияние на бизнес и предлагает решения.

• Разработка и внедрение стратегии ИБ. 

Директор по ИБ создает комплексную программу защиты, адаптированную под цели и ресурсы компании, включая политики безопасности, планы реагирования на инциденты и программы непрерывности бизнеса.

• Управление бюджетом на ИБ.

CISO определяет, сколько компания тратит на безопасность, обосновывает эти расходы перед руководством и обеспечивает максимальную отдачу от каждого вложенного рубля. Здесь важен риск-ориентированный подход: недостаточные инвестиции на ранних этапах часто приводят к многократно большим потерям при инциденте.

• Обеспечение соответствия требованиям регуляторов. 

Это работа с 152-ФЗ («О персональных данных»), 187-ФЗ («О безопасности критической информационной инфраструктуры»), а также с международными стандартами вроде PCI DSS для компаний, работающих с пластиковыми картами. Руководитель отдела информационной безопасности следит, чтобы организация соблюдала все нормы и была готова к проверкам.

• Коммуникация с руководством и советом директоров. 

CISO регулярно отчитывается о состоянии защищенности, ключевых угрозах и эффективности мер безопасности, используя бизнес-метрики и понятные CEO данные.

• Адаптация к новым технологиям. 

В эту задачу входит обеспечение безопасного внедрения ИИ, контроль за использованием сотрудниками генеративных нейросетей, а также борьба с целевыми атаками с применением методов социальной инженерии и дипфейков.

Чем CISO отличается от CIO и CSO

Хотя иногда эти роли пересекаются, у них принципиально разные фокусы и задачи.

CIO (Chief Information Officer) отвечает за доступность и производительность информационных систем.

CISO отвечает за конфиденциальность, целостность и управление рисками. Его работа может замедлить процессы или потребовать дополнительных проверок – и это нормально с точки зрения безопасности, хотя и идет вразрез с задачами CIO. Поэтому во многих компаниях CISO отчитывается напрямую CEO или совету директоров, чтобы избежать конфликта эффективности и безопасности.

Роль CSO (Chief Security Officer) шире, он отвечает за корпоративную безопасность в целом. В том числе за физическую безопасность (пропускной режим, охрану офисов и складов, безопасность сотрудников), но в некоторых компаниях и за информационную безопасность тоже.

Для наглядности – таблица основных отличий.

Какие навыки и опыт нужны CISO

Успешный CISO сочетает три группы компетенций. При оценке кандидатов их вес зависит от стадии развития бизнеса и ключевых рисков.

Технические навыки

• Глубокое понимание современных киберугроз и методов защиты.

• Опыт внедрения и эксплуатации средств защиты информации.

• Знание стандартов ИБ и нормативно-правовой базы (ГОСТы, приказы ФСТЭК, требования Банка России, а также международные стандарты).

• Понимание архитектуры IT-систем и принципов безопасной разработки ПО.

Управленческие навыки

• Опыт управления бюджетом на ИБ. Важно смотреть, как кандидат распределял ресурсы на прошлых местах работы и чем это обосновывал.

• Навыки построения ИБ-процессов с нуля или их реорганизации.

• Умение управлять командой: подбор, мотивация, развитие специалистов.

• Опыт внедрения ключевых KPI отдела (например, время обнаружения и устранения инцидентов, процент закрытых уязвимостей).

Бизнес-компетенции («мягкие навыки»)

• Понимание бизнес-процессов и умение оценивать риски в финансовых категориях

• Коммуникативные способности: CISO должен переводить технические угрозы на язык, понятный CEO и совету директоров, и убеждать их выделять ресурсы

• Стратегическое мышление, навыки кризис-менеджмента, умение прогнозировать угрозы

Нередко CISO вырастают из технических руководителей в ИБ с 7–10 годами в профессии. 

Все чаще на эту роль приходят люди с опытом в консалтинге и управлении рисками. Хороший признак – работа в компаниях с сопоставимыми масштабами и индустрией и с успешно пройденными внешними проверками (например, со стороны ФСТЭК или Банка России), а не только сухая формальная сертификация.

Как оценить кандидата на позицию CISO

Ошибка при найме директора по информационной безопасности обходится дорого. Неподходящий кандидат может создать формальную систему ИБ без реальной защиты бизнеса.

При оценке важно смотреть не только на резюме и сертификаты.

Проверяйте:

• опыт управления командой;

• реальные кейсы инцидентов;

• понимание бизнес-рисков;

• способность выстраивать процессы;

• навыки коммуникации;

• репутацию кандидата;

• соответствие уровню доступа и ответственности.

Для позиций с высоким уровнем доверия компании все чаще используют комплексную проверку кандидатов. Например, через XPerson от SpectrumData можно автоматизировать проверку биографических данных, судебных факторов и других рисков еще до выхода сотрудника на работу.

Это особенно актуально для ролей, связанных с критической инфраструктурой и конфиденциальной информацией.

Чек-лист для HR и руководителя

Перед наймом руководителя информационной безопасности проверьте:

• есть ли опыт управления в сфере ИБ;

• работал ли кандидат с инцидентами;

• понимает ли требования регуляторов;

• умеет ли взаимодействовать с бизнесом;

• есть ли подтвержденные результаты;

• насколько реалистично кандидат оценивает риски;

• есть ли негативные юридические факторы;

• готов ли кандидат работать в условиях кризиса.

Дополнительно полезно:

• запросить рекомендации;

• провести стресс-интервью;

• дать кейсовое задание;

• проверить благонадежность через специализированные сервисы.

Риски при найме CISO и сотрудников ИБ

Наем руководителя отдела информационной безопасности – это принятие стратегического риска, который может обернуться катастрофой. Основные угрозы можно разделить на несколько категорий.

«Технарь», неспособный к стратегии

Такой директор по ИБ может настроить фаерволы, но не сможет обосновать бюджет на ИБ перед генеральным директором, не выстроит процессы управления рисками и провалит взаимодействие с другими отделами.

Репутационные и финансовые потери

Неспособность предотвратить утечку данных или корректно на нее отреагировать влечет многомиллионные штрафы и потерю доверия. Директор по ИБ также может нести персональную уголовную ответственность за нарушения – вплоть до реальных сроков.

Конфликт интересов и внутреннее мошенничество

Колоссальный риск, который часто недооценивают. Человек на позиции начальника информационной безопасности имеет максимальный доступ к любой информации, включая финансовые потоки, персональные данные, коммерческую тайну и системы бухгалтерии. Без контроля со стороны руководства и системного аудита этот доступ становится инструментом для хищений. 

Отсутствие прямого диалога CEO–CISO

Эта проблема – одна из главных причин неудач в построении ИБ. Отсутствие прямого диалога порождает серые зоны, ошибки в оценке последствий и неадекватное финансирование безопасности.

Суть работы и задачи директора по ИБ (CISO): главное

• Директор по информационной безопасности (CISO) – это стратегическая бизнес-роль, а не технический специалист.

• CISO отвечает за оценку и управление киберрисками, разработку стратегии ИБ, управление бюджетом, соблюдение регуляторных требований и регулярную коммуникацию с руководством.

• Отдельная позиция CISO нужна, когда компания обрабатывает персональные данные, разрабатывает ПО, растет или подключает внешних подрядчиков.

• Ключевая компетенция CISO: сочетание технических знаний, управленческого опыта и умения общаться с руководством на языке бизнеса.

• Ошибки при найме CISO стоят катастрофически дорого: от заниженной защиты и штрафов до прямых хищений и уголовной ответственности самого руководителя.

• Проверять кандидата на CISO нужно не только собеседованием: необходимы кейсы, рекомендации и проверка благонадежности.

Автор: Наталия Салихова

Часто задаваемые вопросы

Кто такой директор по ИБ (CISO) простыми словами?

CISO – это руководитель, который отвечает за защиту компании от цифровых угроз. Его задача – выстроить систему информационной безопасности: защитить данные, корпоративные сервисы, учетные записи сотрудников и IT-инфраструктуру. Директор по информационной безопасности оценивает риски, предотвращает утечки и организует работу при киберинцидентах.

Чем занимается директор по информационной безопасности (CISO)?

Руководитель информационной безопасности разрабатывает стратегию защиты компании и контролирует ее выполнение. 

В его задачи входят: 

• управление рисками;

• внедрение политик ИБ;

• контроль доступов;

• расследование инцидентов;

• обучение сотрудников;

• взаимодействие с руководством. 

Chief information security officer также отвечает за соответствие требованиям законодательства и снижение угроз, связанных с утечками данных, мошенничеством и кибератаками.

Кто занимает более высокую должность, CIO или CISO?

Формально иерархия зависит от структуры компании. В большинстве организаций CIO (директор по IT) и CISO (директор по информационной безопасности) – равнозначные позиции уровня C-level, оба подчиняются генеральному директору. Но на практике высота позиции определяется тем, какой риск важнее для бизнеса. 

В финансовом секторе, телекоме и госструктурах CISO часто имеет больший вес и прямой доступ к совету директоров, так как утечка данных может уничтожить компанию быстрее, чем остановка IT-систем. В технологических стартапах CIO может быть главнее, пока не произойдет первый серьезный инцидент. Однозначного ответа «кто выше» нет – все зависит от индустрии и зрелости компании.

Нужен ли начальник информационной безопасности (CISO) в небольшой компании?

Да, если компания хранит персональные данные, работает с онлайн-сервисами, удаленными сотрудниками или финансовой информацией. В небольшом бизнесе CISO как отдельная должность встречается реже, но функции ИБ все равно должны быть закреплены за ответственным специалистом или внешним подрядчиком. Даже малые компании становятся целью атак, а последствия утечки данных могут привести к штрафам, финансовым потерям и репутационным рискам.