Блог Work&Wolf · IT и менеджмент

Руководитель ИБ или IT-директор: кто отвечает за безопасность

Руководитель информационной безопасности и директор по IT — не одно и то же. Разбираем, кто за что отвечает, кому подчиняется CISO и когда бизнесу пора выделять безопасность в отдельную функцию.

Обновлено: 11 июня 2026 11 минут чтения Тема: кто в компании отвечает за информационную безопасность
Обсудить, кто нужен под вашу задачу Подбор руководителя ИБ
Короткий ответ

Чем руководитель ИБ и директор по IT отличаются друг от друга

Две роли часто смешивают, потому что обе про технологии — но отвечают они за разное. Директор по IT — это вся технологическая функция: инфраструктура, разработка, поддержка, развитие систем, доступность сервисов. Безопасность входит в его зону как одна из множества задач. Руководитель информационной безопасности (CISO) — это выделенная функция, которая отвечает только за защиту: стратегию ИБ, управление рисками, реагирование на инциденты, защиту данных, соответствие требованиям регуляторов. Ключевое отличие — не «уровень», а фокус и конфликт интересов: IT-директор хочет, чтобы всё работало быстро и дёшево, а CISO — чтобы всё было защищено, и эти цели регулярно расходятся.

Путаница в ролях обходится бизнесу дорого: одни возлагают всю безопасность на директора по IT и удивляются, когда происходит утечка, потому что у того просто не было ни фокуса, ни независимости; другие нанимают CISO, но подчиняют его IT-директору — и независимый контроль превращается в формальность. Чтобы безопасность реально работала, важно понимать не вывеску, а тип задачи: техническая гигиена IT или отдельная стратегическая функция защиты с собственными рисками и бюджетом.

Главный вывод: директор по IT отвечает за всю технологическую функцию, где безопасность — часть; CISO — это выделенная и желательно независимая функция защиты данных и рисков. Отдельного CISO выделяют, когда безопасность становится бизнес-риском, а не технической мелочью.
Почему это путают

В каких ситуациях разница между ролями встаёт особенно остро

На бытовом уровне обе роли называют «айтишниками» и считают, что за безопасность отвечает «тот, кто за компьютеры». Из-за этого ответственность за защиту данных размывается, а решается это только тогда, когда уже что-то случилось. Ниже три ситуации, в которых нечёткое понимание ролей бьёт по бизнесу особенно заметно.

«За безопасность отвечает IT-директор»

Всю защиту данных вешают на директора по IT, у которого и так на руках инфраструктура, разработка и поддержка. Безопасность ведётся по остаточному принципу, пока не происходит инцидент или проверка регулятора.

CISO подчинён тому, кого проверяет

Компания нанимает руководителя ИБ, но подчиняет его директору по IT. В итоге CISO не может честно докладывать о рисках в IT-функции — неудобные выводы тонут внутри той самой вертикали, которую он должен контролировать.

Безопасность держится на названии

В вакансии написано «специалист по безопасности», но непонятно, что человек должен делать: настраивать антивирусы, строить стратегию ИБ или работать с регуляторами. Берут «кого-то по защите», а задачи не закрываются.

Разбор по ролям

Руководитель ИБ и директор по IT: кто за что отвечает

Самый практичный способ развести эти роли — посмотреть, что стоит за каждой: широкая технологическая функция или выделенная функция защиты с собственными рисками и независимым подчинением. От этого зависит, кто отвечает за данные и когда выделять отдельного CISO.

01

Директор по IT — вся технологическая функция

Отвечает за инфраструктуру, разработку, поддержку, развитие и доступность систем. Безопасность входит в его зону как одна из задач — рядом с бесперебойностью, скоростью и стоимостью. Его цель — чтобы технологии работали и развивались.

02

CISO — выделенная функция безопасности

Руководитель информационной безопасности отвечает только за защиту: стратегию ИБ, управление рисками, инциденты, защиту данных, политики и соответствие требованиям. Его фокус не размывается между десятком других задач IT-функции.

03

Конфликт интересов — ключевая причина разделения

IT-директор заинтересован, чтобы всё работало быстро и дёшево; CISO — чтобы всё было защищено. Эти цели регулярно расходятся, поэтому безопасность выделяют в отдельную функцию, способную тормозить небезопасные решения.

04

Разница — в фокусе, а не в «уровне крутости»

Это не лестница «IT-директор → CISO». Обе роли могут быть сильными и равными по весу. Различаются они фокусом и зоной ответственности: широкая технологическая функция против выделенной функции защиты данных и рисков.

05

Названия в вакансиях плавают

Где-то «руководитель ИБ» настраивает антивирусы, где-то строит стратегию и работает с советом директоров; где-то безопасность целиком на IT-директоре. Ориентироваться нужно на зону ответственности и подчинение, а не на заголовок.

Не уверены, кто именно вам нужен?

Тогда следующий шаг — не искать «кого-то по безопасности», а определить уровень рисков: достаточно ли базовой защиты в рамках IT-функции или безопасность стала отдельной стратегической задачей. От этого зависит, выделять ли отдельного CISO.

Помочь определить нужную роль Посмотреть подбор руководителя ИБ
Сравнительная таблица

CISO и директор по IT — зона безопасности, подчинение и когда нужен отдельный CISO

Чтобы быстро сориентироваться, сведём две роли в одну таблицу: за что отвечает каждая в части безопасности, кому подчиняется, как закрывает риски и в какой ситуации нужна именно она. Это удобная отправная точка перед выбором модели под уровень ваших рисков.

Критерий Директор по IT Руководитель ИБ (CISO)
Зона ответственности по безопасности Безопасность — часть IT: доступы, бэкапы, обновления, базовые политики Только защита: стратегия ИБ, риски, инциденты, защита данных, соответствие
Главный фокус Чтобы технологии работали, развивались и были доступны Чтобы данные и системы были защищены, а риски — под контролем
Подчинение Гендиректору или операционному директору, ведёт всю IT-вертикаль В идеале независимо: гендиректору, совету директоров или директору по рискам
Конфликт интересов Заинтересован в скорости и стоимости, безопасность может проседать Вправе тормозить небезопасные решения, даже удобные для IT
Работа с регуляторами Точечно, в рамках общей IT-функции Системно: 152-ФЗ, отраслевые стандарты, аудиты, требования партнёров
Когда нужен отдельный CISO Пока ИБ — это гигиена, хватает директора по IT Когда данные и риски критичны, есть регуляторы и угроза целевых атак
Корень различий

Почему всё упирается в подчинение и конфликт интересов

Понять разницу проще всего через два вопроса: кто за что отвечает и кому докладывает о рисках. Если безопасность встроена в IT-функцию без независимости, она почти всегда уступает скорости и стоимости. Роли различаются ровно тем, какой тип задачи они закрывают и насколько свободно могут говорить о рисках.

Базовая защита — зона IT-директора

Доступы, бэкапы, обновления, антивирус, базовые политики. Это техническая гигиена, которую закрывает IT-функция изнутри. Для небольших компаний с некритичными данными такого уровня безопасности часто достаточно.

Стратегия и риски — зона CISO

Оценка рисков, выбор модели угроз, политики, реагирование на инциденты, защита данных, обучение сотрудников. Это отдельная функция, которая смотрит на безопасность как на стратегическую задачу, а не как на настройку.

Независимый доклад о рисках — только CISO

Если CISO подчинён IT-директору, неудобные выводы легко «замять». Поэтому в зрелых компаниях руководителя ИБ выводят из IT и подчиняют гендиректору, совету или директору по рискам — чтобы он мог честно докладывать.

Соответствие регуляторам — системно у CISO

152-ФЗ, отраслевые стандарты, требования банков и партнёров, аудиты — это постоянная работа, которую отдельная функция ИБ ведёт системно, а не по остаточному принципу между задачами развития IT.

Где ошибаются

Типичные ошибки при выборе роли

Чаще всего компания понимает, что «с безопасностью что-то не так», но называет проблему не тем словом и нанимает не ту роль или строит не ту подчинённость. Полезно назвать эти ошибки прямо — тогда видно, что почти каждая снимается точной диагностикой рисков и подчинения до старта поиска.

«Безопасность закроет IT-директор»

Всю защиту вешают на перегруженного директора по IT, и она ведётся по остаточному принципу. Снимается пониманием, что при критичных данных и рисках безопасность — это отдельная функция, а не строчка в обязанностях.

«Наняли CISO — и хватит»

Руководителя ИБ берут, но подчиняют IT-директору, и независимый контроль превращается в формальность. Снимается выводом CISO из IT-вертикали и прямым подчинением гендиректору или совету директоров.

«Возьмём кого-то по безопасности»

Без описания задач берут «специалиста по защите», а потом выясняется, что нужен был не настройщик антивирусов, а стратег по рискам. Снимается описанием роли через реальные задачи и уровень зрелости ИБ.

Когда нужен каждый

В каких ситуациях нужна каждая из ролей

Универсального ответа «всем нужен отдельный CISO» нет. Каждая модель решает свою задачу, и выбирать её стоит по тому, насколько критичны ваши данные и риски прямо сейчас. Ниже разбор по ситуациям, в которых оправдан тот или иной формат ответственности за безопасность.

Когда хватает директора по IT

Данные некритичны, объём персональных данных невелик, жёстких требований регуляторов нет, реальная угроза целевых атак низкая. Базовую защиту — доступы, бэкапы, обновления, политики — закрывает IT-функция, и отдельный CISO пока не нужен.

Когда нужен отдельный CISO

Компания обрабатывает большой объём персональных или платёжных данных, работает под требованиями регуляторов, уже сталкивалась с инцидентами или растёт до масштаба, где атака способна остановить бизнес. Безопасность стала отдельным риском.

Когда нужна внешняя экспертиза ИБ

Появилась конкретная задача — аудит, выстраивание защиты под регулятора, расследование инцидента, а вести её некому или не хватает компетенций. Внешнего специалиста или подрядчика по ИБ привлекают под проект, без расширения штата.

Когда работает гибридная модель

Базовую безопасность держит IT-функция, выделенный CISO задаёт стратегию и контроль, а под узкие задачи привлекают внешнюю экспертизу. Для растущих компаний это часто самая устойчивая и сбалансированная модель.

Зоны ответственности

Что входит в работу каждой роли

Чтобы наём и разграничение были точными, важно заранее понимать, какие задачи реально лягут на специалиста. Это и основа профиля кандидата, и будущая система оценки. Ниже — что обычно закрывает каждая из ролей, если описывать их по сути, а не по названию в вакансии.

Директор по IT

Инфраструктура и сети, разработка и сопровождение систем, поддержка пользователей, доступность сервисов, развитие технологий, бюджет IT, базовая безопасность — доступы, бэкапы, обновления — как часть общей технологической функции.

Руководитель ИБ (CISO)

Стратегия информационной безопасности, управление рисками и инцидентами, политики и регламенты ИБ, защита данных, взаимодействие с регуляторами и аудиторами, обучение сотрудников, контроль соответствия требованиям и стандартам.

Внешняя экспертиза по ИБ

Аудит защищённости под проект, тестирование на проникновение, выстраивание защиты под конкретного регулятора, расследование инцидента. Привлекается под задачу, а не на постоянной основе, и усиливает внутреннюю функцию.

Где роли пересекаются

Настройка доступов, обновлений и защитных средств касается и IT, и ИБ. Разница — в том, кто ставит требования по безопасности (CISO), а кто их технически реализует (IT), и важно разграничить это заранее.

Практический маршрут

Как выбрать модель ответственности за безопасность

Качественное решение начинается не с публикации вакансии «ищем специалиста по безопасности», а с диагностики собственных рисков и зрелости IT-функции. Ниже последовательность, которая помогает перейти от смутного «надо усилить безопасность» к точному решению, нужен ли отдельный CISO и кому он подчиняется.

01

Оцените критичность ваших данных и систем

Сформулируйте конкретно: какой объём персональных и платёжных данных вы обрабатываете, что произойдёт при утечке или остановке систем. От критичности данных зависит, нужна ли отдельная функция ИБ.

На выходе — понятный уровень риска, а не общее «надо подумать о безопасности».
02

Проверьте требования регуляторов и партнёров

Уточните, попадаете ли вы под 152-ФЗ, отраслевые стандарты, требования банков и крупных контрагентов. Жёсткие внешние требования — один из главных сигналов выделять безопасность в отдельную функцию.

Становится видно, есть ли внешнее давление, которое нельзя закрыть базовой IT-гигиеной.
03

Решите, хватает ли базовой защиты в IT

Если безопасность — это про гигиену (доступы, бэкапы, обновления), её закрывает директор по IT. Если это уже стратегия, риски и инциденты — нужна выделенная функция. Не путайте настройку с управлением рисками.

Роль выбирается по уровню зрелости ИБ, а не по более «солидному» названию.
04

Продумайте подчинение будущего CISO

Если выделяете отдельного руководителя ИБ, заранее решите, кому он подчиняется. Чтобы избежать конфликта интересов, его лучше вывести из IT и подчинить гендиректору, совету директоров или директору по рискам.

Вы закладываете независимость ИБ, а не формальную должность внутри IT-вертикали.
05

Опишите роль через задачи, а не через слово

В профиле и вакансии перечислите реальные задачи и зону ответственности, а не только название. Так и кандидаты будут приходить правильные, и ожидания сторон по уровню безопасности совпадут.

Снимается главный риск — наём «не того» под привычным, но размытым названием.
06

Проверяйте кандидатов по реальному опыту в ИБ

На интервью важно понять, что человек делал на деле: строил стратегию ИБ, реагировал на инциденты, проходил аудиты, работал с регуляторами — или только настраивал средства защиты. Это разные уровни.

Так вы видите фактический опыт, а не название из прошлой должности.
07

Спланируйте, как CISO и IT будут работать вместе

Заранее определите стыки: кто ставит требования по безопасности, кто их реализует, как принимаются решения при конфликте «быстро против безопасно» и как не парализовать развитие и не оставить дыры в защите.

Безопасность работает как часть развития, а не как тормоз и не как формальность.
Оценка кандидата

Как отличить роли при найме самого специалиста

Приоритизировать критерии лучше так: сначала совпадение реального опыта кандидата с вашим уровнем рисков, затем доказанный результат именно в нужной плоскости, затем готовность работать в связке с IT-функцией. Ниже то, что помогает не перепутать роли при отборе.

Что человек реально делал

Не верьте названию должности: уточняйте, строил ли он стратегию ИБ, реагировал ли на инциденты, проходил ли аудиты и отвечал ли за результат по защите данных.

Результат в нужной плоскости

Для IT-директора это работоспособность и развитие систем, для CISO — снижение рисков, прохождение аудитов и отражённые или закрытые инциденты.

Опыт совпадает с вашими рисками

Базовая ИТ-безопасность, защита персональных данных, отраслевые стандарты, противодействие целевым атакам — разные навыки. Кандидат должен быть силён именно в вашем типе рисков.

Понимает важность независимости

Зрелый CISO сам поднимет вопрос подчинения и конфликта интересов и объяснит, почему ему важно иметь возможность независимо докладывать о рисках, а не «согласовывать» их с IT.

Понимает границы своей роли

Адекватный специалист не обещает «закрыть всю безопасность» в одиночку и честно говорит, что часть задач технически реализует IT, а часть лучше отдать внешней экспертизе.

Признаки точного выбора роли
  • Модель выбрана под реальный уровень рисков, а не по привычному названию.
  • Задачи и зона ответственности описаны словами, а не «специалист по безопасности».
  • Понятно, что закрывает IT, что — CISO и где нужна внешняя экспертиза.
  • Подчинение CISO продумано так, чтобы он мог независимо докладывать о рисках.
  • Стыки между ИБ и IT проговорены, решения при конфликте «быстро/безопасно» понятны.
Признаки ошибки в выборе
  • Роль выбрана по названию из чужой вакансии, без разбора рисков.
  • Всю безопасность вешают на перегруженного директора по IT.
  • CISO подчинён тому, кого он должен контролировать, и контроль формален.
  • Кандидата оценивают по прежней должности, а не по реальному опыту в ИБ.
  • ИБ и IT работают без понимания, кто ставит требования, а кто их реализует.
Подготовка к поиску

Что важно прояснить до запуска подбора

До старта поиска полезно собрать базовые вводные о рисках, требованиях и ожиданиях от роли. Если этот этап пройден слабо, наём почти всегда промахивается: компания берёт «кого-то по безопасности», но получает не тот уровень и не тот формат ответственности, которые ей реально нужны.

  • Уровень рисков: насколько критичны ваши данные, системы и последствия утечки.
  • Требования: попадаете ли под 152-ФЗ, отраслевые стандарты, условия партнёров.
  • Зрелость ИБ: хватает ли базовой защиты в IT или нужна отдельная функция.
  • Подчинение: кому будет докладывать CISO, чтобы избежать конфликта интересов.
  • Как новая роль состыкуется с IT-функцией и теми, кто уже отвечает за безопасность.
Экспертный вывод

Какую роль брать под вашу задачу по безопасности

Директор по IT и руководитель ИБ решают разные задачи: IT-директор отвечает за всю технологическую функцию, где безопасность — часть, а CISO — это выделенная и желательно независимая функция защиты данных и управления рисками. По опыту Work&Wolf, самый частый и дорогой промах — возлагать всю безопасность на перегруженного IT-директора или нанять CISO, но подчинить его той самой IT-вертикали, которую он должен контролировать: так компания либо ведёт защиту по остаточному принципу, либо превращает независимый контроль в формальность.

Если вы уже понимаете, что данные и риски стали критичными, следующий рациональный шаг — зафиксировать задачи, зону ответственности и подчинение роли и перейти к точечному поиску. Для компаний, где безопасность стала отдельной стратегической задачей, базовая роль — выделенный руководитель информационной безопасности; на странице услуги можно подробнее посмотреть, как мы подбираем его под уровень рисков и зрелость вашей IT-функции.

Оставить заявку на подбор Изучить подбор руководителя ИБ
FAQ

Частые вопросы по теме

Чем руководитель ИБ отличается от директора по IT?

Директор по IT отвечает за всю технологическую функцию: инфраструктуру, разработку, поддержку, развитие систем — безопасность входит в его зону как одна из задач наряду с десятками других. Руководитель информационной безопасности (CISO) — это выделенная функция, которая отвечает только за защиту данных и систем: стратегию ИБ, управление рисками, реагирование на инциденты, соответствие требованиям регуляторов. Главная разница не в «уровне крутости», а в фокусе и в конфликте интересов: IT-директор заинтересован, чтобы всё работало быстро и дёшево, а CISO — чтобы всё было защищено, и эти цели регулярно расходятся.

Может ли директор по IT отвечать за безопасность без отдельного CISO?

Да, в небольших и средних компаниях безопасность чаще всего ведёт именно директор по IT, и для базового уровня этого достаточно: настроены доступы, бэкапы, антивирус, обновления, базовые политики. Отдельный CISO нужен не всем — он оправдан там, где данные и риски становятся критичными: персональные данные клиентов в большом объёме, финансовые операции, требования регуляторов, реальная угроза целевых атак. Пока ИБ — это про гигиену, её закрывает IT-директор. Когда ИБ становится отдельной стратегической задачей с собственными рисками и бюджетом, её пора выделять в самостоятельную функцию.

Кому подчиняется руководитель информационной безопасности?

Здесь и кроется ключевая тонкость. Если CISO подчиняется директору по IT, возникает конфликт интересов: тот, кого проверяют на защищённость, и тот, кто проверяет, оказываются в одной вертикали, и неудобные выводы легко «замять». Поэтому в зрелых компаниях руководителя ИБ часто выводят из подчинения IT и подчиняют напрямую генеральному директору, совету директоров или директору по рискам. Это даёт CISO независимость — возможность честно докладывать о рисках и тормозить небезопасные решения, даже если они удобны IT-функции. Независимое подчинение — один из главных признаков того, что компания относится к безопасности всерьёз.

Когда бизнесу действительно нужен отдельный CISO?

Отдельного руководителя ИБ выделяют, когда безопасность перестаёт быть технической задачей и становится бизнес-риском. Сигналы: компания обрабатывает большой объём персональных или платёжных данных, работает под требованиями регуляторов (152-ФЗ, отраслевые стандарты, требования партнёров), уже сталкивалась с инцидентами или утечками, выходит на масштаб, где целевая атака способна остановить бизнес. Ещё один сигнал — когда IT-директор физически не успевает заниматься безопасностью всерьёз, потому что занят развитием и поддержкой. В этих случаях отдельный CISO не роскошь, а способ не потерять данные, деньги и репутацию.

Что входит в зону ответственности CISO, а что остаётся у IT-директора?

CISO отвечает за стратегию информационной безопасности, управление рисками и инцидентами, политики и регламенты ИБ, защиту данных, взаимодействие с регуляторами и аудиторами, обучение сотрудников и контроль соответствия требованиям. Директор по IT отвечает за работоспособность и развитие всей инфраструктуры и систем: серверы, сети, разработку, поддержку пользователей, доступность сервисов. На практике зоны пересекаются — например, в части настройки доступов и обновлений, поэтому важно заранее разграничить, кто ставит требования по безопасности (CISO), а кто их технически реализует (IT). Без такого разграничения безопасность либо проседает, либо парализует развитие.

Как руководитель ИБ и IT-директор работают вместе?

В выстроенной модели две роли не конкурируют, а уравновешивают друг друга. IT-директор отвечает за то, чтобы технологии работали и развивались; CISO — за то, чтобы это происходило без неприемлемых рисков для данных и бизнеса. CISO задаёт требования к безопасности, проводит аудит и оценку рисков, а IT реализует защитные меры в инфраструктуре и процессах. Чтобы связка работала, важно развести подчинение (чтобы CISO мог независимо докладывать о рисках), договориться о том, как принимаются решения при конфликте «быстро против безопасно», и закрепить зоны ответственности письменно. Тогда безопасность становится частью развития, а не тормозом и не формальностью.

Куда идти дальше

Что открыть после статьи, если роль уже понятна

Если после чтения стало ясно, какой уровень безопасности нужно выстроить, ниже три понятных варианта: открыть страницу нужной роли и посмотреть, как мы её закрываем под уровень ваших рисков и зрелость IT-функции.

Руководитель ИБ в штат

Страница роли: как мы подбираем выделенного руководителя информационной безопасности, который строит стратегию ИБ, управляет рисками и инцидентами и работает с регуляторами, и оцениваем его по реальному опыту, а не по сертификатам.

Перейти к подбору: руководитель ИБ в штат

IT-директор для бизнеса

Роль для тех, кому нужен руководитель всей технологической функции: подбор директора по IT под характер вашей инфраструктуры и развития систем — от поддержки до стратегии, с оценкой по фактическому опыту.

Перейти к подбору: IT-директор для бизнеса

Подбор IT-руководителей

Хаб направления: все услуги по подбору IT-руководителей и менеджмента — от директора по IT и CISO до руководителей разработки и проектов, когда нужно усилить технологическое управление в целом.

Перейти к подбору IT-руководителей