"Кибербезопасность, это не про хакеров в капюшонах. Это про чтение документов, про поиск разрывов между бизнес-процессами и требованиями регуляторов. Именно это умеет делать бывший HR. Переход в ИБ, это не прыжок в неизвестность, а использование имеющихся навыков на новом поле. Там есть своя система и свои правила игры, которые можно изучить за год".
Отдел кадров как стартовая площадка
HR-специалисты редко ассоциируются с техническими деталями. Их сфера — люди, процессы найма, мотивации, адаптации. Но этот фон создаёт набор компетенций, неожиданно востребованных в защите информации. Работа с регламентами, внутренними положениями, умение разбираться в противоречивых требованиях — обычный день кадровика. Такой специалист знает, как устроен бизнес изнутри, какие отделы и как взаимодействуют, кто за что отвечает.
Внутри компании HR обрабатывает огромные массивы персональных данных: паспорта, ИНН, медицинские книжки, согласия на обработку. Неосознанно сотрудник отдела кадров становится оператором ПДн, подпадающим под действие 152-ФЗ. Он должен обеспечить конфиденциальность этих данных, но часто делает это интуитивно, без понимания правовых и технических требований. Этот пробел в знаниях — уже половина пути к осознанному переходу.
Точка пересечения: регуляторика и бизнес-процессы
Ключевой момент перехода — понимание, что кибербезопасность, особенно в её российской трактовке, не начинается с серверов и межсетевых экранов. Она начинается с документов. 152-ФЗ о персональных данных и приказы ФСТЭК России, это прежде всего набор требований к организации процессов.
Здесь HR-специалист чувствует себя на знакомой территории. Приказ ФСТЭК № 31, например, требует определить перечень информации, подлежащей защите, и утвердить его у руководителя. Что это, если не задача по разработке и согласованию локального нормативного акта? Знакомый процесс, только объект другой. Аттестация объекта информатизации по требованиям безопасности, это по сути большая кадровая проверка (аттестация) для информационной системы с привлечением сторонних экспертов.
Основные документы, с которыми немедленно сталкивается новичок в ИБ,, это модель угроз и политика безопасности. Первый документ описывает, что и от кого мы защищаем. Второй — как мы это делаем. Для их составления не требуется программировать. Требуется опросить руководителей отделов, понять потоки информации в компании, выявить точки, где данные могут "утечь". Это работа на стыке коммуникации и анализа.
Год на погружение: от документов к практике
Год — реалистичный срок для смены профиля, если действовать системно. Стартовая позиция в этой истории — специалист по информационной безопасности с фокусом на организационные меры защиты.
Первые три месяца уходят на изучение нормативной базы. 152-ФЗ, 187-ФЗ о КИИ, приказы ФСТЭК № 31, 21, 239. Важно не заучивать их наизусть, а понять логику: каждый документ решает конкрет тную задачу (защита ПДн, защита критической инфраструктуры, общие требования). Параллельно изучается структура компании с новой точки зрения: какие отделы обрабатывают персональные данные, где хранятся базы клиентов, как происходит обмен документами.
Следующий этап — практика под руководством. Участие в разработке реальных документов: регламента по резервному копированию, инструкции пользователя при работе с ПДн. Это даёт понимание, как абстрактные требования закона превращаются в конкретные действия сотрудника бухгалтерии или отдела продаж. Один из ключевых навыков, который формируется, — "перевод" с технического языка на язык бизнеса. Объяснить руководителю, почему нужно тратить бюджет на средства защиты информации, — задача нетривиальная. Последняя часть года — освоение базовых технических аспектов. Здесь не нужно становиться сисадмином. Достаточно понимать принципы работы средств защиты: как работает шифрование дисков, для чего нужен DLP, чем отличается межсетевой экран от IPS. Это позволяет грамотно ставить задачи техническим специалистам и контролировать их выполнение.
Экономика перехода: почему доход растет
Рост дохода в два раза — не магия, а отражение рыночного спроса. Специалист по кадрам с глубоким знанием бизнес-процессов, который за год освоил регуляторные требования ИБ, становится уникальным ресурсом.
| Фактор роста дохода | Пояснение |
|---|---|
| Дефицит кадров | Рынку нужны не только "хакеры", но и те, кто может выстроить систему защиты в соответствии с законом. Таких специалистов меньше. |
| Снижение рисков компании | Грамотно выстроенные организационные меры защиты предотвращают штрафы от Роскомнадзора (до 500 тыс. руб. по 152-ФЗ) и ФСТЭК. Работодатель готов платить за это. |
| Масштабируемость опыта | Знание типовых требований ФСТЭК применимо в любой отрасли: от ритейла до промышленности. Опыт становится универсальным. |
| Связующая роль | Такой специалист экономит время и технической команды, и руководства, выступая переводчиком между ними. |
Изначальная зарплата в HR часто ограничена восприятием отдела как вспомогательного. Кибербезопасность, это профильный, критически важный для бизнеса и непрерывно усложняющийся направление. Бюджеты на него растут, а значит, растут и зарплаты исполнителей.
Что нужно сделать в первую очередь
Если гипотетический переход кажется привлекательным, план действий может выглядеть так.
- Аудит текущих навыков. Выписать все процессы, с которыми приходилось работать: составление положений, согласование регламентов, работа с конфиденциальными документами, проведение внутренних расследований. Это — основа.
- Базовое обучение. Пройти специализированные курсы по основам ИБ с уклоном в регуляторику и управление. Важно, чтобы программа охватывала именно российские нормативные акты.
- Поиск точки входа. Искать вакансии не "специалист по кибербезопасности" вообще, а с формулировками: "специалист по организационной защите информации", "специалист по compliance в ИБ", "специалист по 152-ФЗ". Здесь требования к техническим навыкам минимальны.
- Наработка портфолио. Даже на текущем месте работы можно попробовать проанализировать процессы обработки ПДн с точки зрения 152-ФЗ и предложить план улучшений. Такой кейс станет лучшим аргументом на собеседовании.
Переход из HR в кибербезопасность, это не смена профессии, а её эволюция. Старые навыки структурирования, работы с людьми и документами накладываются на новое предметное поле. Результат — специалист, который говорит на языке и бизнеса, и регулятора, и техников. Спрос на таких людей будет только увеличиваться по мере ужесточения требований и роста цифровизации. История о двукратном росте дохода — просто рыночная оценка этой востребованности.