Пришедший с Запада термин CISO (Chief Information Security Officer) сам по себе неплохо иллюстрирует разнообразие видов и уровней зрелости функций информационной безопасности в организациях. Каноничный перевод «руководитель службы информационной безопасности» плохо отражает реальность — CISO CISO рознь, причем рознь иногда в 10 и более раз по компенсации, размеру подразделения и бюджету. Такое разнообразие запутывает планирующих свое развитие и карьеру специалистов, поэтому для них и подготовлена следующая классификация из пяти основных типов CISO, что встречаются в России.
Микро-CISO
Должность: инженер, аналитик или специалист по кибербезопасности, защите информации, ПДиТР или ИБ.
Штат, бюджет: отсутствуют.
Подчинение: начальнику ИТ-инфраструктуры или начальнику отдела экономической безопасности.
Полномочия: в основном в рамках функции ИТ/экономической безопасности в рамках подразделения подчинения (например, штаб-квартира).
Компенсация: обычно до 100 (здесь и далее тысяч рублей в месяц)
Мини-CISO
Должность: менеджер по ИБ.
Штат, бюджет: есть что-то одно: свои специалисты или свой бюджет.
Подчинение: ИТ-директору, директору по безопасности или руководителю службы внутреннего контроля.
Полномочия: в основном в рамках функции подчинения и смежных подразделений поддержки (безопасность, юридическая служба, HR) в рамках подразделения подчинения.
Компенсация: до 200.
CISO
Должность: руководитель подразделения (отдела, сектора или группы).
Штат, бюджет: есть и то, и другое.
Подчинение: ИТ-директору, директору по безопасности или руководителю службы внутреннего контроля.
Полномочия: полностью подразделения подчинения (обычно штаб-квартира), регионы сильно самостоятельны. Иногда включает одну из смежных функций: инженерно-техническую защиту, антифрод (банки/ритейл/телеком), организацию охранной деятельности, управление непрерывностью деятельности.
Компенсация: до 300.
Макро-CISO
Должность: руководитель дирекции, управления, департамента (стоит на уровне ИТ-директора).
Штат, бюджет: есть и то, и другое.
Подчинение: ИТ-директору, директору по безопасности, руководителю службы внутреннего контроля, директору по рискам или операционному директору.
Полномочия: штаб-квартира и регионы. Обычно включает минимум одну из смежных функций: инженерно-техническую защиту, антифрод (банки/ритейл/телеком), организацию охранной деятельности, управление непрерывностью деятельности.
Компенсация: до 800.
Мега-CISO
Должность: управляющий/исполнительный директор по ИБ, руководитель службы, вице-президент (стоит на уровне CIO или выше).
Штат, бюджет: есть и то, и другое.
Подчинение: первое лицо/акционер, минимум операционный директор или влиятельный заместитель председателя правления (например, курирующий корпоративный бизнес в универсальном банке с уклоном в обслуживание корпоративных клиентов).
Полномочия: вся группа компаний, включая регионы и международные активы. Обычно включает минимум две из смежных функций: инженерно-техническую защиту, антифрод (банки/ритейл/телеком), организацию охранной деятельности, управление непрерывностью деятельности. Иногда имеет право подписи от имени организации (доверенность).
Компенсация: до миллиона.
Каждая следующая ступень в норме строится на предыдущей, а значит для появления позиций класса мега-CISO организация должна создать все предыдущие — и понять, что их полномочия недостаточны. Однако при наличии прозрачной бизнес-необходимости и желания акционеров и менеджмента возможно и «пересаживание» позиции в организацию (как цветок пересаживают в горшок). При этом такой вариант потребует дополнительных усилий по налаживанию совместной работы от организации и специалиста.