«Консультации по ИБ с доходом от 3 тыс. до 50 тыс. рублей — реальная практика при осознанном подходе. Смысл не в работе по 3 часа в день, а в управлении своим временем и компетенциями так, чтобы час работы приносил в 5–10 раз больше, чем штатная позиция в крупной компании. Это требует смены фокуса с технических задач на бизнес-язык рисков и обязательств.»
Не просто знания, а контекстуальная экспертиза
Высокий доход от консультаций связан не с глубоким погружением в одну узкую технологию, а со способностью транслировать сложные требования регуляторов и технологические риски на язык бизнес-процессов. Специалист по настройке DLP или анализу журналов часто не видит полной картины, в которой работает заказчик. Консультант же работает на стыке: он понимает, как техническое требование ФСТЭК по защите информации ложится на конкретную ERP-систему, почему в проекте по 152-ФЗ критичен этап классификации ИСПДн и как аргументировать необходимость дорогостоящих мер перед финансовым директором.
Экспертиза формируется через серию проектов в разных отраслях — от ритейла до промышленности. Везде свои нюансы: в банке акцент на ПКЗ и СОВ ФЗ-115, в интернет-магазине — на защите ПДн, на заводе — на АСУ ТП. Консультант накапливает не абстрактные знания, а паттерны решений, которые уже работали в похожих условиях.
Где искать заказы: от чатов до госзакупок
Путь начинается не с масштабных тендеров, а с микрозадач в профессиональных сообществах и знакомствах. Ключевые точки входа:
- Профессиональные чаты и форумы. Вопросы вроде «как правильно составить модель угроз под нашу СОВ» или «нужен шаблон регламента разграничения доступа» — первая заявка на экспертность. Откликаясь, вы не просто даёте ответ, а демонстрируете подход. Часто за разъяснением следует предложение оформить консультацию официально.
- Бывшие коллеги и работодатели. Специалист, ушедший из компании, часто становится для неё внешним экспертом — к нему обращаются по вопросам, на которые у штатных сотрудников нет времени или компетенции.
- Субподряд у интеграторов. Крупные интеграторы, выигрывающие тендеры на комплексные проекты по ФСТЭК, регулярно ищут узких специалистов для выполнения отдельных работ: аудита, разработки документации, обучения. Это стабильный поток задач с чётким ТЗ.
- Прямые заказчики через госзакупки (44-ФЗ, 223-ФЗ). Начинать стоит с поиска завершённых закупок на сайтах ЕИС или коммерческих агрегаторах. Анализ выигравших компаний и предметов контрактов показывает, какие услуги востребованы: «сопровождение СЗИ», «актуализация моделей угроз», «информационно-консультационные услуги по ФСТЭК». Первые шаги — участие в мелких закупках как самозанятый или ИП.
Ценообразование: почему час стоит от 3 до 50 тысяч рублей
Цена определяется не временем, а ценностью результата для заказчика и зоной ответственности консультанта.
Уровень 1: Техническая консультация (3–5 тыс. руб./час)
Ответы на конкретные вопросы: «Как настроить правило в СОВ?», «Какая версия ГОСТ подходит для шифрования?», «Какую лицензию СЗИ выбрать?». Клиент платит за скорость доступа к знаниям, которые сам может проверить. Риск минимален.
Уровень 2: Методологическая консультация (10–25 тыс. руб./час)
Работа с процессами и документами: помощь в составлении модели угроз, плана защиты информации, регламентов по ФСТЭК. Здесь консультант делится опытом построения процессов, а не просто даёт ответ. Его ошибка может привести к замечаниям от регулятора. Цена выше.
Уровень 3: Стратегическая и юридическая экспертиза (от 30 тыс. руб./час)
Консультации по стратегии соответствия, представительство перед регуляторами, анализ рисков при внедрении новых технологий. Клиент платит не за время, а за репутацию эксперта и разделение с ним ответственности. Такие заказы приходят по рекомендациям.
Частая ошибка — оценивать свою работу по ставке штатного специалиста. Если внутренний инженер получает условно 2,5 тыс. руб. в час, то внешний консультант, решающий проблему, на которую у штатного сотрудника ушла бы неделя, может обоснованно запросить 25 тыс. за сессию, которая предотвратит простои и штрафы.
Инструменты и оформление: работать легально и эффективно
Без правильного оформления деятельность рискованна. Основные варианты:
- Самозанятость. Подходит для разовых консультаций и услуг без предоставления гарантий. Лимит — 2,4 млн рублей в год. Нельзя нанимать сотрудников. Идеальный старт.
- Индивидуальный предприниматель (ИП) на упрощённой системе налогообложения (УСН). Нужен для договоров с юрлицами, участия в тендерах, найма помощников. Требует ведения КУДиР, но даёт больше возможностей.
- Общество с ограниченной ответственностью (ООО). Применяется для крупных контрактов, где требуется разделение ответственности и активов. Налогообложение сложнее, но необходимо при работе с государственными заказчиками на большие суммы.
Технически достаточно ноутбука, стабильного интернета, средств связи и пакета документов-заготовок: договор оказания услуг, акт, оферта, соглашение о конфиденциальности (NDA). Весь документооборот ведётся в электронном виде с усиленной квалифицированной электронной подписью (КЭП).
Три рабочих часа в день: миф или реальность
Фраза «работаю 3 часа в день» — не описание лёгкой жизни, а результат жёсткой фильтрации задач. Эти часы — чистое время высокой концентрации на консультациях, стратегическом планировании для клиентов или написании сложных документов. Вне этого временного окна идёт непрерывная, но менее интенсивная работа:
- Мониторинг изменений в 152-ФЗ, приказах ФСТЭК, отраслевых стандартах.
- Чтение профильных ресурсов, судебной практики по делам об утечках ПДн.
- Поддержание контактов в профессиональной среде.
- Административные задачи: выставление счетов, общение по почте, подготовка коммерческих предложений.
модель ближе к «3 часа deep work + 2–3 часа maintenance work», что в сумме даёт стандартный рабочий день, но с кардинально иным распределением интеллектуальной нагрузки и дохода. Ключевой навык — умение упаковать свою экспертизу в конкретный, измеримый результат за ограниченное время, а не «вести проект месяцами».
Риски, которые не афишируют
Свободный график и высокий доход имеют обратную сторону:
- Профессиональная изоляция. Отсутствие команды приводит к замедлению в освоении новых технологий, если не выстроен процесс самообучения.
- Ответственность без прикрытия. Ошибка в рекомендации по построению системы защиты, повлёкшая инцидент или штраф, может привести к судебному иску от клиента. В штате компании эту ответственность разделяет отдел юристов и руководство.
- Нестабильный поток. Доход носит волнообразный характер. Месяц с несколькими крупными контрактами может смениться периодом затишья. Требует финансовой подушки и навыков управления личными финансами.
- Выгорание от контекстных переключений. За день можно провести консультации для банка, медицинской клиники и IT-стартапа, что требует постоянной перестройки мышления и знания отраслевых тонкостей.
Это не работа «на досуге», а такая же профессиональная деятельность, требующая дисциплины, только контроль смещается с внешнего (начальник, график) на внутренний.