Роль директора по информационной безопасности в России давно вышла за рамки «человека с чек-листом». Сегодня это управленец, который умеет разговаривать с бизнесом на языке рисков и денег, держит под контролем инциденты и регуляторику, а ещё — отвечает за технологическую устойчивость. Неудивительно, что спрос на сильных CISO остаётся высоким, а предложения по оплате — конкурентными. Ниже — аккуратная сводка по рынку с практическими выводами: сколько платят, что двигает вилку вверх, как считать «на руки» с учётом новых ставок НДФЛ и чем подкреплять запрос на верхнюю планку.
Что говорят цифры: медианы и верхние планки
Если смотреть на столицы, в 2025 году у директоров по ИБ складывается следующая картина. В Москве медианные предложения закрепились на уровне полумиллиона рублей в месяц, в Санкт-Петербурге — чуть ниже. Верхняя граница по рынку для крупных компаний и высокорисковых отраслей доходит до семизначных сумм. Для руководителей отделов ИБ вилки ниже, но динамика положительная, а «потолок» достойный для тех, кто закрывает широкий круг задач и берёт на себя ответственность за результат.
Полезно сверяться не только с агрегированными цифрами, но и с живыми вакансиями и дайджестами: так проще понять, как именно формулируют требования и какой уровень зрелости ИБ ожидают наниматели. В заметной части предложений прямым текстом указаны регуляторные контуры (КИИ, персональные данные, ГОСТ 57580), зрелость процессов (SOC, управление уязвимостями, AppSec), а также «вертикаль» отчётности и влияние на бюджет.
Что влияет на оффер: отрасль, масштаб, зона ответственности
Уровень компенсации CISO в России сильнее всего зависит от трёх факторов. Первый — отрасль и профиль рисков. Финансы, телеком, госсектор/критическая инфраструктура исторически платят выше: требования шире, цена простоя больше, а регуляторное давление плотнее. Второй — масштаб и зрелость компании. Чем больше пользователей, систем и филиалов, тем выше чек за управленческую и проектную нагрузку. Третий — реальная зона ответственности: от «процессы и соответствие» до «инциденты, инвестиции, архитектура и влияние на P&L».
На вилку также влияют компетенции, которые демонстрируют способность CISO «закрывать» риск-кейс целиком: от обоснования инвестиций до внедрения и измерения результата. Отдельным плюсом идут международные сертификаты (CISSP, CISM), если за ними стоит практика, а не коллекция бейджей. И конечно, опыт прохождения проверок по персональным данным и КИИ, умение работать с угрозами для финансовых организаций по требованиям ГОСТ 57580 и смежных актов.
Регуляторный контекст, который добавляет к зарплате
Да, регуляторика звучит не как «драйв мечты», но именно она во многом определяет сложность роли CISO в России — и, соответственно, оплату. Ключевые контуры хорошо известны. Для субъектов критической информационной инфраструктуры это требования закона о КИИ; для всех, кто обрабатывает персональные данные, — обязанности по 152-ФЗ; для финансовых организаций — набор стандартов 57580. Чем шире этот контур и чем строже надзор, тем выше ожидания к компетенции руководителя ИБ и тем ощутимее аргументы на переговорах о компенсации.
- КИИ: закон «О безопасности критической информационной инфраструктуры» (187-ФЗ) с регулярными обновлениями.
- Персональные данные: «О персональных данных» (152-ФЗ) и смежные акты Роскомнадзора.
- Финансовый сектор: семейство ГОСТ Р 57580 (базовый состав мер, управление риском, операционная надёжность).
Сколько получится «на руки»: считаем НДФЛ по-новому
С 2025 года в России действует прогрессивная шкала НДФЛ — пять ставок в зависимости от годового дохода. Для большинства CISO это означает, что часть дохода облагается по 15% и 18%, а у самых высоких офферов — и выше. Практический вывод простой: при обсуждении компенсации и KPI всегда говорите о «грязных» и «чистых» суммах отдельно и фиксируйте это в оффере или приложении к трудовому договору.
Два быстрых примера
- 500 тыс. ₽ в месяц (6 млн ₽ в год): 13% на первые 2,4 млн, 15% на следующие 2,6 млн, 18% на оставшийся 1 млн. «На руки» примерно 426,5 тыс. ₽ в месяц.
- 1 млн ₽ в месяц (12 млн ₽ в год): 13% на 2,4 млн, 15% на 2,6 млн, 18% на оставшиеся 7 млн. «На руки» примерно 836,5 тыс. ₽ в месяц.
Чтобы не возиться с формулами, используйте онлайн-калькуляторы, которые уже учитывают «ступени» и округления. Например, калькулятор НДФЛ от Consultant или калькулятор «прогрессивного НДФЛ» от Т-Банка. Для брутто/нетто по зарплате подойдёт и сервис Контур.
Что обычно входит в пакет CISO
Помимо оклада руководители ИБ в России обычно получают KPI-бонус (годовой или квартальный), расширенный ДМС для себя и семьи, оплату мобильной связи/интернета, компенсацию обучения и конференций, иногда — релокационные выплаты и жильё в период переезда. В редких случаях добавляются долгосрочные мотивационные программы (LTI) или опционы, чаще — в продуктовых и публичных компаниях. Нематериальная часть тоже имеет значение: полномочия, влияние на бюджет, доступ к совету директоров/комитету по рискам, готовность компании инвестировать в процессы и инфраструктуру.
Если вы идёте на роль в компанию с плотной сменой приоритетов и высокой инцидентностью, заранее обсудите компенсацию за «дежурства», порядок оплаты сверхурочной работы в период инцидентов, страхование ответственности и «право на ошибку» в рамках утверждённого риск-аппетита. Всё это — предмет переговоров и часть общей цены вопроса.
Как просить верхнюю планку: аргументы, которые работают
Сильный управленческий кейс — лучшая «валюта» на переговорах. То, что действительно убеждает нанимателя платить больше, можно уложить в несколько реальных результатов, подтверждённых метриками и ссылками на конкретные события. Формулируйте коротко: «снизил время обнаружения инцидента с X до Y», «запустил управление уязвимостями: доля критичных уязвимостей старше 30 дней упала с X% до Y%», «прошли проверку по персональным данным/КИИ без штрафов», «ввёл 57580-совместимый контур для финпродуктов в срок и без простоев».
- Язык рисков и денег. Покажите, как ваши решения уменьшают ожидаемый ущерб, сокращают частоту/тяжесть инцидентов или повышают доступность сервисов.
- Регуляторика без боли. Умение заранее закрывать требования по 152-ФЗ/187-ФЗ/57580 и проходить проверки без «пожаров» — прямая экономия.
- Командная мощность. Дефицит кадров в ИБ никуда не делся; способность нанять, обучить и удержать команду — редкий и дорогой навык.
- Кросс-функциональность. Там, где CISO влияет на архитектуру и ИТ-план, компенсации выше: больше ответственности — больше ценность.
Где и как смотреть рынок: ориентиры и источники
Чтобы не спорить «на ощущениях», сверяйтесь с несколькими типами данных. Во-первых, с агрегированными отчётами по зарплатам и числу вакансий. Во-вторых, с публичными публикациями, где цифры приведены по городам и ролям. В-третьих, с текущими вакансиями топ-уровня: даже когда вилка «по запросу», обязанности и ожидания по зрелости многое скажут о вероятной цене. Полезные точки входа: тематические обзоры и новостные ленты про рынок ИБ, выборки по ИТ-вакансиям на hh.ru и SuperJob, а также профильные сообщества CISO.
Мини-чек-лист для переговоров
Перед финальным раундом пройдитесь по этому списку. Он простой, но экономит много нервов и денег.
- Оклад фиксируется «грязными» и «чистыми» суммами, KPI и формула бонуса — письменно, примеры расчётов — в приложении.
- Определены полномочия: кто владеет бюджетом ИБ, кому вы подчиняетесь, кто принимает решения в кризис.
- Регламентированы реакции на инциденты: состав «war room», время реакции, оплата сверхурочной работы и «дежурств».
- Согласованы условия обучения и сертификаций: что оплачивает компания и в каких пределах.
- Прописаны рисковые зоны: КИИ, персональные данные, финансовые требования — кто отвечает и на каком уровне.
- Есть дорожная карта на 90 дней: аудит, приоритетные риски, быстрые победы, метрики.
Итог
В 2025 году роль CISO в России остаётся одной из самых дорогих управленческих позиций в ИТ-контуре. В столицах «рабочая» медиана для директора по ИБ держится в районе полумиллиона в месяц, лучшим кандидатам на высокорисковых направлениях платят до миллиона. Чтобы оказаться на верхней планке, нужно сочетание управленческих результатов, зрелости процессов и умения разговаривать с бизнесом на языке рисков. Плюс грамотный расчёт «на руки» по новой шкале НДФЛ — и никаких сюрпризов в первый день зарплаты.