2SDnjd76ePt
Должностная инструкция CISO в 2026 году: что делает директор по ИБ и его KPI
Роль директора по информационной безопасности, он же CISO, за последние годы претерпела кардинальные изменения. Если раньше это был сугубо технический специалист, отвечающий за настройку антивирусов, парольные политики и межсетевые экраны, то сегодня CISO — это полноценный бизнес-партнер и член высшего руководства. Кибер Медиа вместе с экспертами разбирает, как правильно составить должностную инструкцию CISO в 2026 году, какие зоны ответственности в нее необходимо включить и как объективно измерять эффективность работы главного безопасника компании.
Содержание
- Кто такой CISO: роль в современной компании
- Основные обязанности и зоны ответственности
- KPI и метрики эффективности: как измерить работу CISO
- Требования к кандидату: компетенции и софт-скиллы
- Вместо заключения
Кто такой CISO: роль в современной компании
Технологический ландшафт давно вышел за пределы классического корпоративного периметра. Облачные сервисы, удаленная работа, сложные интеграции с подрядчиками по API и повсеместное использование ИИ сделали проникновение злоумышленников в инфраструктуру практически неизбежным событием. В этих условиях главная парадигма ИБ изменилась: фокус сместился с попыток построить «непробиваемую стену» на обеспечение непрерывности и киберустойчивости бизнеса.
Современный CISO больше не является главным системным администратором с уклоном в безопасность. Это управленец, который говорит с бизнесом на языке рисков и денег.
Анна Толмачева
Консультант по информационной безопасности, «КИТ»
Должностная инструкция CISO должна фиксировать владение функцией управления цифровым операционным риском, а не эксплуатацию средств защиты. Если в документе перечислены системы безопасности − это инструкция руководителя ИБ-эксплуатации, но не CISO. Корректная структура строится вокруг управленческой ответственности за последствия киберинцидентов для бизнеса. В этой логике CISO отвечает за то, чтобы компания понимала: какие цифровые события могут остановить деятельность, сколько это будет стоить и какие решения менеджмент принимает относительно этих рисков. Таким образом, CISO — владелец управляемости риска, а не руководитель технической защиты.
Основные обязанности и зоны ответственности
Обязанности современного CISO выходят далеко за рамки ИТ-отдела и пронизывают всю структуру организации. Их можно разделить на три ключевых уровня: стратегический, операционный и тактический.
- На стратегическом уровне директор по ИБ формирует долгосрочную политику, защищает бюджет (CAPEX + OPEX) перед советом директоров и выстраивает взаимодействие с регуляторами.
- На операционном — курирует инцидент-менеджмент, безопасность разработки (DevSecOps) и защиту инфраструктуры.
- На тактическом — отвечает за повышение осведомленности сотрудников (Security Awareness) и управление ИТ-активами.
Отдельный пласт работы — это Compliance (нормативное соответствие). В России это обеспечение соблюдения ФЗ-152 «О персональных данных», ФЗ-187 «О безопасности КИИ», требований ФСТЭК, Роскомнадзора и отраслевых стандартов (например, ГОСТ 57580 для финансового сектора).
Сергей Волков
Директор центра киберзащиты Cloud.ru
Хорошо, если CISO сформирует трехуровневую модель: бизнес-цели организации → оценка рисков → технологические меры. Стратегия делится на планирование, бюджетирование, внедрение и измерение результатов. В части регуляторики CISO выступает координатором compliance: он является единой точкой ответственности за планирование и контроль нормативных требований. Например, он разрабатывает «Compliance-by-Design»-стратегию, встраивая требования в бизнес-процессы до начала обработки данных или работы с КИИ, а не внедряет их "вживую".
Ключевые обязанности для включения в должностную инструкцию:
- Разработка и реализация ИБ-стратегии: согласование векторов развития безопасности с глобальными бизнес-целями компании.
- Управление киберрисками: идентификация, оценка (CVSS, FAIR) и приоритизация рисков, а также формирование рекомендаций по их обработке (принятие, устранение, передача).
- Обеспечение нормативного соответствия: контроль за выполнением требований ФЗ-152, ФЗ-187, подготовка к аттестации и внешним аудитам.
- Организация мониторинга и реагирования: создание и поддержка SOC / IR-центра, руководство расследованиями инцидентов.
- Контроль безопасности в цепочке поставок: аудит вендоров, оценка ИБ-рисков в контрактах и SLA с третьими сторонами.
- Развитие культуры безопасности: планирование и проведение регулярных security-awareness-тренингов.
KPI и метрики эффективности: как измерить работу CISO
Оценивать работу CISO по принципу «нет инцидентов — значит, работает хорошо» в корне неверно. Отсутствие выявленных инцидентов чаще говорит о плохом мониторинге, чем об идеальной защите. Эффективность измеряется способностью компании продолжать деятельность в условиях компрометации, скоростью реакции и минимизацией операционного ущерба.
Метрики должны быть объективными, измеримыми и отражать реальную картину защищенности. К ним относятся SLA-показатели реагирования, результаты регулярных аудитов, а также метрики культуры безопасности.
Николай Клендар
Директор по информационной безопасности «Бастион»
Построение эффективной системы защиты требует вовлечения различных подразделений, прежде всего участия ИТ-специалистов. В такой ситуации KPI CISO могут зависеть не только от выполнения его прямых обязанностей, но и от качественно налаженной работы с другими отделами. К базовым показателям, на мой взгляд, относятся полнота покрытия средствами защиты от вредоносного ПО, широта охвата мониторингом событий безопасности, наличие критических уязвимостей с известными эксплойтами как на периметре, так и внутри компании.
Основные KPI для оценки работы CISO:
- MTTD (Mean Time to Detect) и MTTR (Mean Time to Respond): среднее время обнаружения инцидента и среднее время его локализации/восстановления систем. Это важнейшие показатели эффективности SOC.
- Phishing simulation click rate: процент сотрудников, перешедших по ссылке в учебной фишинговой рассылке и введших свои учетные данные. Показывает реальный уровень осведомленности персонала.
- Результаты внешних и внутренних аудитов: количество критических несоответствий требованиям регуляторов (ФСТЭК, РКН) и успешность прохождения пентестов (тестирований на проникновение).
- Time to Patch (Время закрытия уязвимостей): скорость установки критических обновлений безопасности на ключевые узлы инфраструктуры.
- Уровень покрытия инфраструктуры: процент активов, охваченных системами мониторинга (SIEM), антивирусной защитой (EDR) и процессами управления уязвимостями (VM).
Требования к кандидату: компетенции и софт-скиллы
CISO — это уникальный менеджер на стыке информационных технологий, корпоративного управления, риск-менеджмента и юриспруденции. Технический бэкграунд для него обязателен: крайне сложно выстроить эффективную систему защиты, не понимая, как действуют атакующие, какие техники они используют для обхода средств защиты и как работают современные ИТ-архитектуры. Однако на первый план сегодня выходят именно управленческие навыки и софт-скиллы.
Кандидат на позицию CISO должен одинаково хорошо понимать архитектуру Kubernetes, финансовые последствия остановки биллинга, юридические последствия утечки базы данных клиентов и психологию поведения людей в кризисной ситуации.
Чек-лист компетенций идеального CISO:
- Бизнес-мышление: способность объяснять ИБ-риски на языке денег, ROI (окупаемости инвестиций) и непрерывности бизнес-процессов. CISO должен уметь обосновать бюджет перед CEO и CFO.
- Управление в кризис: умение брать на себя ответственность и принимать взвешенные решения при неполной информации во время активных кибератак.
- Софт-скиллы: свободная коммуникация со смежными подразделениями (ИТ, юристы, HR), способность вести сложные переговоры на уровне топ-менеджмента и отстаивать непопулярные, но необходимые для безопасности решения.
- Профессиональные сертификации: наличие международных и российских сертификаций (CISSP, CISM, Cloud-Security). Они ценны не сами по себе, а тем, что подтверждают наличие системного мышления — понимания безопасности как непрерывного процесса управления, а не простого набора внедренных технологий.
Вместо заключения
Должностная инструкция современного CISO не должна сводиться к списку настраиваемых межсетевых экранов, антивирусов и систем предотвращения утечек. Это комплексный управленческий документ, описывающий полномочия и ответственность топ-менеджера, который отвечает за устойчивость всего бизнеса перед лицом постоянно эволюционирующих цифровых угроз.
Грамотно выстроенные зоны ответственности, закрепленные в должностной инструкции, адекватные и измеримые KPI, а также смещение фокуса с «запретительных» мер на поддержку бизнес-целей позволяют превратить подразделение ИБ из пресловутого «отдела торможения» в надежного партнера. Именно такой подход обеспечит компании безопасный рост, доверие клиентов и уверенное прохождение любых проверок со стороны регуляторов в условиях сложного ИТ-ландшафта.
Теги:
похожие материалы
Тренды контейнерной разработки и вызовы информационной безопасности, которые они создают
Технологии всё сильнее меняют процессы разработки, компании оптимизируют процессы, внедряют ИИ-агентов, и всё больше задач переходит в автоматизированный режим.
Безопасность без иллюзий: как банкам выстроить реальную, а не «бумажную» ИБ
Финансовый сектор остается одной из главных целей кибератак, но парадокс в том, что даже при росте инвестиций в безопасность риски не снижаются пропорционально.
Теневые ИТ 2026: от облачных сервисов до серых зон в мессенджерах
Теневые ИТ давно перестали быть нарушением — сегодня это индикатор того, что официальный ИТ-контур не успевает за бизнесом.
Прослушка без сигнала и лишний кабель в стене — как работает новая норма угроз
Сегодня переговорные комнаты, инженерные центры и даже автомобили топ-менеджеров становятся объектами повышенного интереса со стороны коммерческой разведки.
Эффект выжженной земли: как распознать атаку вайпера и спасти инфраструктуру
В мире киберугроз мы привыкли к «бизнесу» на данных: хакеры шифруют файлы и требуют выкуп, оставляя призрачный шанс на восстановление.
Почему взламывают даже обновленные ИТ-инфраструктуры: что ИБ упускает в конфигурациях
В практике ИБ часто встречается эта ситуация: инфраструктура обновлена, критичные вендорские уязвимости закрыты, средства защиты развёрнуты, а атака всё равно развивается.
Дипфейки в кибератаках 2026: как мошенники используют ИИ и как защититься
Простые в использовании инструменты генерации аудио и видео на базе искусственного интеллекта окончательно вышли из закрытых лабораторий и стали массовым оружием злоумышленников.
Обезличивание персональных данных: где проходит граница между законом и аналитикой
Эпоха «просто удали ФИО» закончилась.
Как внедрить процесс обезличивания в пайплайн CI/CD: разбираемся на практике
Чтобы реальные данные всё-таки не попали в руки сторонних подрядчиков и вообще за контур организации, обезличивание нужно сделать обязательным и повторяемым процессом.
