Сколько в 2022 году стоит специалист по информационной безопасности?

2022 год ознаменовался бурным ростом спроса на ИТ- и ИБ-специалистов. В связи с этим мы с выпускающим редактором Амиром Хафизовым решили актуализировать ранее рассматривавшийся на страницах данного журнала вопрос стоимости специалиста по информационной безопасности и попробовать понять, что изменилось, с учетом современных реалий.

Автор: Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности

Основные тренды и изменения на рынке труда ИБ-специалистов

Стоит выделить пять основных трендов на рынке труда ИБ-специалистов (см. табл. 1). Между тем, по данным исследовательского центра SuperJob [1], вакансий в сфере информационной безопасности и защиты информации с февраля по июль 2022 г. в целом по России стало больше на 96%. Причем в аналогичные периоды 2019 и 2021 гг. число вакансий увеличивалось не столь значительно, всего лишь на 10–12%. С другой стороны, количество резюме с февраля по июль 2022 г. снизилось на 5%. Очевидно, что рынок труда сейчас принадлежит соискателям.

Таблица 1. Основные тренды на рынке труда ИБ-специалистов

Каковы требования к квалификации соискателя?

Для ответа на этот вопрос автором был проанализирован внушительный список вакансий на одном из ведущих сайтов по трудоустройству.

1. Практически все работодатели одним из первых требований выдвигают знание нормативно-правовых актов по информационной безопасности, притом что специальности информационной безопасности, за исключением одного направления подготовки, относятся к техническим, а не юридическим наукам.
2. Следующим часто встречающимся требованием является опыт администрирования операционных систем и средств защиты информации, а также понимание принципов работы сетей, средств межсетевого экранирования и иных средств сетевой безопасности, практический опыт их настройки.
3. Подавляющее число работодателей нуждается в специалистах, имеющих навыки и опыт разработки нормативной, организационно-распорядительной и технической документации.
4. В ряде случаев указывается знание основ электронного документооборота, основ делопроизводства, знание и навыки тестирования на проникновение, анализа уязвимостей, опыт программирования.
5. Наличие международных сертификатов CISCO CCNA/CCNP, CISSP, CISA, CISM, CRISC, ISO/IEC 27001, CEH, OSCP и т.п. в последнее время является лишь дополнительным условием даже у компаний, специализирующихся на выполнении работ или оказании услуг по информационной безопасности, – системных интеграторов.
6. Требование к опыту обычно предъявляется в диапазоне 2–6 лет, за исключением системных интеграторов, которых готовы брать на начальные позиции соискателей без опыта.

Работодатели пока не сильно акцентируют внимание на наличии образования. Да, в описании вакансии указывается требование высшего образования в сфере ИБ или ИТ либо любого высшего с профессиональной переподготовкой. Но при наличии фактической квалификации для соответствия вакансии подавляющее большинство работодателей готовы компенсировать расходы на получение диплома при условии, что работник будет обучаться без отрыва от производства.

Что работодатель готов предложить соискателю?

Результаты анализа описания вакансий на одном из ведущих сайтов по трудоустройству представлены в табл. 2.

Таблица 2. Анализ описания вакансий на одном из ведущих сайтов по трудоустройству

По данным исследования "Исходный код идеальной работы для ИТ-специалиста" консалтинговой компании "Текарт" и рекрутинговой ГК Selecty [3], ключевым фактором, как и ранее, является конкурентная заработная плата: 84% респондентов назвали этот фактор решающим при смене работодателя. Вторым по значимости остается возможность выбора формата работы, то есть ИТ-специалист предпочитает самостоятельно решать, ходить ему в офис или нет. На третьем месте по значимости стоит возможность обучения и профессиональное развитие. Наиболее значима такая возможность для начинающих специалистов, которые хотят как можно быстрее двигаться по карьерной лестнице. Важным фактором является работа в команде с опытными коллегами. При этом наименее значимым ИТ-специалисты посчитали наличие крутого офиса и насыщенную корпоративную жизнь.

Таким образом, можно сделать вывод, что вопрос оплаты труда (стоимости на рынке) является ключевым для соискателей.

Уровень заработной платы и стоимость обучения

Попробуем посмотреть на проблематику в динамике, приняв во внимание анализ одноименной статьи, несколько лет назад опубликованной на страницах журнала [4].

Ни для кого не секрет, что заработная плата существенно варьируется в зависимости от региона, компании, отрасли, позиции. Основная доля активных специалистов по ИБ попрежнему сконцентрирована в Москве. Однако уровень заработной платы за несколько лет существенно вырос.

Так, по данным исследовательского центра SuperJob [5], в июле 2022 г. средняя (медианная) рыночная фиксированная заработная плата в месяц на руки, после уплаты налогов, у руководителя отдела информационной безопасности в Москве составляет 300 тыс. руб., а максимальная – 500 тыс. руб.

Средняя (медианная) зарплата специалиста по информационной безопасности в Москве в июле 2022 г. составляла 180 тыс. руб., а максимальная – 300 тыс. руб.

В Санкт-Петербурге, Казани, Уфе, Новосибирске и других городах-миллионниках, по оценкам автора, базирующимся на изучении вакансий, представленных на сайтах по трудоустройству, зарплата специалиста будет приблизительно в три раза меньше, 60–100 тыс. руб. соответственно. Города с населением меньше миллиона автором не рассматривались ввиду того, что в профессиональном сообществе в целом наблюдается снижение интереса к региональному рынку труда, зато растет стремление найти работу в столичных компаниях в удаленном формате, с возможной последующей релокацией.

Следует учитывать также и существующее в сфере информационной безопасности деление компаний на системных интеграторов и заказчиков, защищающих исключительно свои информационные активы. Дело в том, что характер работы в большинстве системных интеграторов предполагает ненормированный рабочий день, что приводит к снижению реальной стоимости труда работника по сравнению с номинальной.

Например, если компания динамично развивается, то в активной фазе находится много проектов и каждый работник занят не в одном, а в сразу в нескольких из них. Компания испытывает дефицит кадров, а на фоне закрытия части позиций специалистами, не имеющими опыта (студентами или вчерашними студентами), – еще и дефицит квалификации. При таком положении дел реальный рабочий день квалифицированного сотрудника будет превышать номинальный: много параллельных проектов, да еще и нужно обучать "студентов". Хотя стоит отметить, что на практике обучением часто вынужден заниматься заказчик. По опыту автора, фактический рабочий день такого работника будет длиться в диапазоне 12–14 часов. Чтобы понять реальную стоимость труда в подобной ситуации, необходимо рассматривать зарплату не в месячном, а в почасовом исчислении.

Если, например, заработная плата, которую специалист по ИБ получает "на руки" в компании-заказчике, составляет 180 тыс. руб., то стоимость часа его труда равняется приблизительно 1125 руб. [6]. При таком же уровне зарплаты в системном интеграторе стоимость часа будет составлять 750 руб. [7]. Следует отметить, что автор ни в коем случае не призывает избегать работы в системных интеграторах, но отмечает важный аспект для сравнения альтернатив в процессе найма.

Теперь давайте разберемся с вопросом окупаемости образования специалиста по ИБ. Средняя стоимость пятилетнего образования (оплата обучения) осталась такой же [8] – в районе 600 тыс. руб., если учитывать региональные вузы. Получение международного сертификата на текущий момент не кажется актуальным, более того, некоторые направления сертификации уже не доступны.

Как известно, чтобы посчитать окупаемость, нужно разделить инвестиции на среднегодовую прибыль. Прибыль, в свою очередь, – это разница между доходом и издержками. В данном случае под издержками подразумеваются расходы "на жизнь". Понятно, что в реальности траты у всех разные, но обычно считается, что любой человек может экономить 10–20% от дохода, не особо ограничивая себя. Таким образом, получаем, что при заработной плате 180 тыс. руб. (средняя по статистике) срок окупаемости образования в Москве составит от полутора до трех лет [9], в регионах – примерно в три раза больше. В целом данные сопоставимы с предыдущими, но следует учесть, что рассмотренный сценарий является оптимистическим.

Итак, если мы рассмотрим вхождение в профессию как личный бизнес-проект, то увидим, что сроки окупаемости попадают в среднесрочную и долгосрочную перспективы, что в целом снижает привлекательность профессии. Однако на волне последних тенденций и ажиотажа в медиапространстве вокруг тематики информационной безопасности автор прогнозирует, что подъем статуса профессии специалиста по ИБ нивелирует экономические минусы.

Комментарии экспертов

Ксения Шудрова, эксперт по информационной безопасности

В 2022 г. мы наблюдаем рост спроса на специалистов по информационной безопасности, появляется все больше предложений об удаленной работе, в столицу и города-миллионники все так же прибывают специалисты из регионов и малых городов. Но я наблюдаю и новую тенденцию: уезжать из родных городов стали меньше, специалисты все чаще остаются в своих городах. Это связано как с бумом вакансий, который затронул и малые города, так и с возможностью работать удаленно, сохраняя при этом привычный образ жизни и круг общения. Рабочие места есть, но также есть проблема с оплатой труда.

Как показывает опрос читателей, который я провожу с прошлого года, 67% специалистов получают до 100 тыс. руб. в месяц на руки. С прошлого года ситуация не успела сильно поменяться, в регионах наблюдается некоторая инертность в этом вопросе. Но думаю, что в связи с развитием удаленки повышение зарплаты для офлайн-вакансий в регионах неизбежно.
Сильно изменился и портрет типичного соискателя. К сожалению, прийти в профессию спешат не так много молодых специалистов, как раньше. Дело в том, что первые выпускники профильных кафедр уже успели занять руководящие должности и другие теплые места. Они имеют преимущество при трудоустройстве и при этом еще достаточно молоды (35–40 лет), на пенсию не собираются. С другой стороны, энергично входят в профессию новые люди без профильного образования, так как отрасль активно развивается и притягивает более высоким уровнем заработной платы, чем во многих других профессиях, особенно вне ИТ.

Мария Рукавишникова, основатель компании Getmobit

С чем сейчас связан рост спроса на специалистов по ИБ?

Спрос на специалистов по информационной безопасности был всегда. Работает закон рынка: дефицит товара ведет к увеличению его стоимости. Сейчас, как и раньше, квалифицированных специалистов по ИБ существенно меньше, чем ИТ-специалистов в целом. И связано это не столько с уходом из России зарубежных компаний, сколько с тем фактом, что на рынке в связи с ужесточением требований регуляторов и контроля с их стороны ценится специалист, который обладает не только фундаментальными знаниями по ИБ, но и имеет соответствующий диплом, как правило о высшем образовании.

Какими навыками и компетенциями должен обладать специалист по ИБ сейчас?

ПО, используемое в ГИС, на объектах КИИ и в других защищенных информационных системах, должно разрабатываться по принципу Secure-by-Design. То есть ИТ-специалисты должны обладать знаниями по ИБ хотя бы среднего уровня, а ИБ-специалисты должны разбираться в современных ИТ-технологиях и уметь самостоятельно кодить. При этом любой специалист как в ИТ, так и в ИБ должен постоянно повышать свою квалификацию, а вузы – встраивать в свои программы обучения отраслевые кейсы обеспечения информационной безопасности.

В каких отраслях наблюдается наибольший кадровый голод на специалистов по ИБ?

Сложности в обеспечении ИБ наблюдаются во всех отраслях, но причины везде разные. В финансовой сфере это обусловлено возможностью хищения денег, в промышленности – атаками на промышленное оборудование, выход из строя которого может привести к техногенным катастрофам, и, конечно, в госуправлении и сегменте госуслуг. Создание собственных центров обнаружения и противодействия атакам обуславливает огромный спрос на специалистов в области защиты информации практически во всех отраслевых сегментах экономики РФ.

Сколько стоит специалист по информационной безопасности в 2022 году?

Джуниор в ИБ может рассчитывать, в зависимости от стажа и навыков, на зарплату до 100 тыс. руб. Хороший мидл-специалист с опытом 3–5 лет может получить 160–200 тыс. руб. Ведущему специалисту по ИБ могут дать 180–250 тыс. руб., а хороший эксперт в этой области может стоить 250 тыс. руб. и больше.

1. Источник: https://www.securitylab.ru/news/533044.php 
2. По результатам анализа описания вакансий на одном из ведущих сайтов по трудоустройству.
3. Источник: https://www.tadviser.ru/index.php/ Статья:Рынок_труда_в_России_(ИТ_и_телеком)
4. См. журнал “Information Security/Информационная безопасность”, 2012, No 6, стр. 12–13, http://itsec.ru/articles2/job/skolkostoit-spetsialist-po-informatsionnoy-bezopasnosti 
5. https://www.securitylab.ru/news/533044.php 
6. Берется в расчет 8-часовой рабочий день и 20 дней в месяц, то есть 160 часов в месяц.
7. Берется в расчет 12-часовой рабочий день, то есть 240 часов в месяц.
8. По состоянию на август 2022 г.
9. 600 тыс/36 тыс * 12 = 1,4; 600 тыс/18 тыс *12 = 2,7.