CISO под прицелом: за что могут посадить или уволить директора по ИБ

По данным F6, за первое полугодие 2025 года общее количество утечек баз данных российских компаний достигло 154, что на четыре случая больше, чем за аналогичный период годом ранее. 

В открытом доступе оказалось почти 198,6 млн записей. Среди них — ФИО, домашние адреса, пароли, даты рождения, паспортные сведения, телефоны и e-mail. Наибольшая доля утечек (37%) пришлась на ритейл, главным образом интернет-магазины и онлайн-площадки. На сферу услуг пришлось 7,7%.

Помимо этого, в 2025 году мишенью киберпреступников становились и российские ИТ-компании, интернет-сервисы, образовательные порталы, государственные структуры, а также организации, работающие в финансовом, телекоммуникационном, медицинском, промышленном и девелоперском секторах.

Самый крупный скандал, связанный с утечками, произошел 28 июля, когда хакерские группировки Silent Crow и «Киберпартизаны BY» взломали ИТ-системы «Аэрофлота». В результате было отменено 100 рейсов, а киберпреступники похитили 20 ТБ данных, которые позднее выложили в свободный доступ. 

Как заявили сами хакеры, в компании не соблюдались элементарные правила цифровой безопасности: например, во внутренней сети использовался устаревший Windows XP 2003 года, а генеральный директор «Аэрофлота» Сергей Александровский не менял пароль с 2022 года.

По мере роста числа атак становится очевидно: уязвимость компании часто связана не только с масштабом хакерской операции, но и с внутренними сбоями в управлении безопасностью. Случай с «Аэрофлотом» — показательный пример: устаревшие системы, отсутствие базовых процедур и даже элементарная халатность топ-менеджмента становятся питательной средой для атак. В итоге ответственность за такие провалы ложится прежде всего на директоров по кибербезопасности (CISO).

До 4 лет лишения свободы грозит CISO за провал

Сейчас директора по кибербезопасности могут нести все три вида ответственности — уголовную, административную и дисциплинарную, объясняет Сергей Сайганов, партнер и сооснователь компании Comply, специализирующейся на юридическом комплаенсе в сфере технологий и корпоративной безопасности.

CISO может грозить уголовная ответственность по нескольким статьям. Это новая ст. 272.1 — за нарушения при работе с персональными данными, ст. 274 — за ошибки в эксплуатации ИТ-инфраструктуры, а также ст. 293 — за халатность при исполнении обязанностей. 

Административная ответственность для CISO в основном связана со ст. 13.11 КоАП. Она применяется за нарушения при обработке персональных данных и отдельно предусматривает ответственность должностных лиц за утечки.

«Наиболее критичными для CISO являются именно уголовные составы: они предусматривают наказания вплоть до лишения свободы (например, по ч. 1 ст. 272.1 — до 4 лет) и серьезные штрафы (по той же статье — в размере годового дохода). Однако на практике их применение к корпоративным CISO пока редкость, а сама ст. 272.1 еще не имеет достаточной судебной практики», — пояснил Сайганов.

Особенно уязвимы директора по информационной безопасности в госсекторе, считает юрист. Здесь уголовные риски выше, поскольку они работают с государственными бюджетами, что привлекает внимание правоохранительных органов. Таким менеджерам стоит особенно опасаться антикоррупционных составов, ведь их применение на практике пока более вероятно, чем сложных ИТ-статей, требующих долгих расследований и доказательств.

«Для корпоративного же сектора значительно существеннее вероятность административной ответственности — она проще и чаще реализуется на практике, а в свете последних изменений несет также и существенный материальный аспект: так, за крупную утечку чувствительных данных CISO могут оштрафовать на более чем 1 млн руб. А помимо штрафа, его могут еще и дисквалифицировать — то есть, запретить занимать должность на обычно продолжительный срок», — добавил Сергей Сайганов.

Он обращает внимание, что отдельные документы могут быть применимы в различных отраслях бизнеса — например, для финансовой индустрии также обязательны указания и стандарты Банка России в области ИБ.

Дисциплинарная и персональная ответственности CISO

Персональная ответственность пока встречается редко, продолжил юрист. Для этого должны совпасть сразу несколько факторов: значительный ущерб, доказанная вина CISO и, что немаловажно, желание работодателя привлечь именно его. Чаще всего ответственность несут юридические лица, а персонально — в основном генеральный директор, а не рядовой менеджмент.

Не стоит забывать и о дисциплинарной ответственности: даже если государственные санкции обходят директора стороной, работодатель может наказать его сам. При этом репутации менеджера на рынке это явно не прибавляет.

Адвокат, руководитель практики трудового права адвокатского бюро «Качкин и Партнеры» Ольга Дученко обращает внимание, что согласно ТК, компания может уволить CISO за неудовлетворительную работу по защите информации, даже если не было прямых нарушений закона. Однако такие детали должны быть прописаны в его трудовом договоре и должностной инструкции еще на этапе оформления. В таком случае можно запустить процедуру дисциплинарной ответственности согласно ст. 193 ТК РФ. 

«Если все сделать правильно, неквалифицированного CISO можно уволить по п. 5 ч. 1 ст. 81 ТК РФ (за неоднократное неисполнение трудовых обязанностей без уважительных причин) или по п. 6 ч. 1 ст. 81 ТК РФ за однократное грубое нарушение работником трудовых обязанностей», — пояснила Дученко. 

Основанием для увольнения CISO без его согласия могут стать нарушения в сфере информационной безопасности, квалифицируемые как дисциплинарные проступки. В российском законодательстве под ними понимается неисполнение или ненадлежащее исполнение сотрудником своих трудовых обязанностей по его вине (ст. 192 ТК РФ). За такие нарушения работодатель вправе применять дисциплинарные взыскания, включая расторжение трудового договора. В области ИБ к таким проступкам обычно относят разглашение охраняемой законом тайны — государственной, коммерческой, служебной или иной, включая сведения о системе защиты информации; несоблюдение требований законодательства о защите персональных данных (152-ФЗ) и коммерческой тайне (98-ФЗ); нарушение внутренних процедур работы с информацией и ненадлежащий контроль за обеспечением информационной безопасности. Чем детальнее и понятнее обязанности CISO зафиксированы в должностной инструкции и внутренних документах компании, тем проще работодателю защищать свои интересы.

Ошибки CISO — как избежать увольнения

Елена Скалозубова, ведущий архитектор по ИБ MONS (входит в ГК «КОРУС Консалтинг»), отмечает, что наибольшее влияние на работу CISO сейчас оказывают федеральные законы о персональных данных и критической информационной инфраструктуре вместе со стандартами Центробанка: «Но сложность заключается не в самих правилах, а в их грамотном внедрении в архитектуру. Например, требования по изоляции сегментов сети или разделению вычислительных контуров зачастую подразумевают глубокую переработку архитектуры, переход с устаревших технологических платформ, что часто упирается в бюджет или недостаточное понимание важности проекта со стороны бизнеса. Наша задача — делать так, чтобы законодательные требования соблюдались благодаря продуманной выстроенной архитектуре, а не посредством спешных исправлений ошибок постфактум».

Самая частая ошибка среди коллег, как считает эксперт, — попытки внедрить «самое современное» без оценки реального уровня зрелости процессов компании. CISO должен мыслить не только как технический специалист, но и как управленец, который учитывает и устаревшие системы, и квалификацию команды, и бюджетные ограничения. Еще одна типичная ошибка — недооценка важности взаимодействия с разработкой и ИТ. Безопасность должна быть встроена в процессы разработки и эксплуатации ИТ-решения, а не внедряться постфактум.

«Я бы назвал одной из частых ошибок CISO — отсутствие практического результата. Нередко звучат красивые рассуждения о том, что и как нужно делать, но при этом реальные меры на предприятии так и не реализуются», — считает в свою очередь директор департамента «Информационная безопасность» Рексофт Сергей Бабкин.

Также, по его мнению, чтобы снизить риск увольнения, CISO важно правильно расставить приоритеты. В первую очередь необходимо определить и реализовать ключевые меры защиты информации в организации. Далее — выстроить процессы управления системой безопасности, включая разработку организационно-распорядительных документов, которые закрепят правила и ответственность. Завершающим шагом должна стать разработка стратегии и концепции информационной безопасности, чтобы у компании было четкое понимание целей, задач и направлений развития в этой сфере.

Елена Скалозубова отмечает, что важно умение общаться с руководством и доносить до него свои идеи: «Во-первых, необходимо умение показать руководству не просто риски, а поэтапный план построения системы защиты, где каждый этап минимизирует эти риски и закрывает требования регуляторов. Важно демонстрировать, как отдельные решения складываются в единую систему. Во-вторых, не нужно слепо следовать «модным тенденциям». Безусловно, необходимо внедрять системы защиты от утечек данных, средства защиты рабочих станций, управления привилегированным доступом, но делать это нужно с учетом имеющихся ресурсов (речь идет как о людях, так и о действующей ИТ-архитектуре в каждой конкретной компании)».

Чаще всего ИБ-руководителя дискредитируют за игнорирование бизнес-рисков и требований регуляторов, отсутствие антикризисного плана, когда сервисы лежат сутками, или попытку скрыть инцидент, что приводит к репутационному удару, говорит в свою очередь Кирилл Тимофеев, руководитель департамента информационных технологий ОБИТ: «Важные показатели эффективности CISO — скорость реакции на инциденты, доля закрытых уязвимостей в срок, успешные проверки ФСТЭК/ФСБ, отсутствие штрафов и поддержание непрерывности ключевых бизнес-процессов. Важно заниматься корпоративной ИБ-культурой, превентивно отрабатывать сценарии атак, держать контакт с регуляторами, иметь план публичных коммуникаций и давать руководству прозрачную картину рисков и мер. На мой взгляд, CISO чаще всего увольняют не за сам факт взлома, а за некомпетентное реагирование и неспособность встроить безопасность в стратегию бизнеса».