«Это не о планировании чужой карьеры. Это о том, как превратить разрозненный коллектив специалистов в систему, которая сама генерирует движение вверх. Карьерная карта команды — твой инструмент декомпозиции собственной роли, когда ты перестаёшь быть только технарём или менеджером и становишься архитектором роста.»
Зачем нужно планировать карьеру команды, если у каждого своя дорога
В российском ИТ-сообществе преобладает индивидуалистический подход к карьере. Считается, что каждый сам строит свою траекторию, проходя собеседования, изучая новые технологии, иногда уходя из компании. Руководитель в этой парадигме выступает ролевой моделью или фигурой, решающей операционные задачи: согласовывает отпуска, распределяет работу, проводиит переоценки грейдов раз в полгода-год. Всё это реактивное управление.
Создание карьерной карты на три года вперёд, это переход к проактивному проектированию. Цель не в том, чтобы прописать судьбу каждого сотрудника до 2027 года. Цель — построить прозрачную, предсказуемую и справедливую систему, в которой любой участник команды видит, куда можно расти, какие навыки для этого нужны и как их получить внутри системы, не уходя за её пределы. В контексте регуляторных проектов, где экспертиза по 152-ФЗ и ФСТЭК ценится и копится годами, такая система становится конкурентным преимуществом: она удерживает редких специалистов, которые знают историю проекта, все нюансы аттестации конкретного объекта и особенности взаимодействия с регулятором.
План на три года — разумный горизонт. Он достаточно далёк, чтобы видеть цели, а не текущие задачи, и достаточно близок, чтобы не превратиться в абстрактную фантазию. За это время в условиях быстрой смены технологий и требований регуляторов система должна доказать свою гибкость.
Этап 1: Аудит текущего состояния команды
Никакое планирование невозможно без честной инвентаризации. Составьте таблицу по каждому члену команды, выходящую за рамки формальных грейдов и должностей.
| Область оценки | Вопросы для анализа | Что даёт |
|---|---|---|
| Техническая экспертиза | Какие технологии регуляторики (СЗИ, СОВ, АС, ГОСТы) человек знает на уровне внедрения? На уровне архитектуры? Есть ли узкоспециализированные знания (криптография, аттестация облаков)? | Понимание сильных сторон и «узких мест» в экспертизе команды. |
| Навыки процесса | Как человек ведёт документацию по 152-ФЗ? Работает ли с системами управления требованиями? Умеет ли вести переговоры с заказчиком или регулятором на техническом уровне? | Выявление ролей, которые существуют неформально (например, «ведущий переговоры с ФСТЭК», «архитектор ИСПДн»). |
| Карьерные амбиции | Что сам сотрудник хочет развивать: глубже погрузиться в аудит кода на уязвимости или стать team lead, который координирует несколько проектов? Часто эти желания формально нигде не зафиксированы. | Совмещение потребностей бизнеса с личными целями членов команды. |
| Ролевая нагрузка | Какую часть времени человек тратит на рутинную работу (составление отчётности), а какую — на решение сложных, учебных задач? Каково соотношение? | Понимание, кто «заблокирован» на операционке и не имеет ресурса для роста. |
Итогом этого этапа должна стать наглядная схема, карта навыков команды, где видны зоны перекрытия экспертизы, уникальные компетенции и явные пробелы. Это отправная точка.
Этап 2: Прогноз потребностей бизнеса и регуляторов
Карта роста не рисуется в вакууме. Нужно спроецировать на неё внешние тренды. В российском ИТ для регуляторики они очевидны.
- Концентрация на импортонезависимости. Требования к отечественному ПО и оборудованию будут ужесточаться и детализироваться. Экспертиза по миграции с зарубежных СЗИ на российские и по оценке их соответствия станет критически важной.
- Усложнение требований к облакам (ГИС, КИИ). Ожидаются более жёсткие рамки для аттестации облачных решений, особенно в госсекторе. Нужны специалисты, понимающие не только формальные требования, но и архитектурные особенности развёртывания.
- Автоматизация процессов контроля. Рутинный аудит и сбор артефактов будет всё больше перекладываться на средства автоматического контроля (СКЗИ с функциями аудита, SIEM). Востребованными станут люди на стыке: понимающие регуляторику и умеющие настраивать такие системы, писать для них скрипты.
Исходя из этого, в карте появятся целевые «узлы» — новые роли или компетенции, которые будут нужны команде через 1, 2 и 3 года. Например, «Специалист по автоматизированному сбору доказательной базы для ФСТЭК» или «Эксперт по аттестации отечественных гипервизоров».
Этап 3: Определение карьерных треков и переходов
В классической модели есть только вертикальный рост: junior -> middle -> senior -> lead. Для команды специалистов по безопасности и регуляторике этого недостаточно. Нужно ввести понятие «треков» роста.
- Экспертный трек (Individual Contributor). Углубление в узкую специализацию. Например, от специалиста по общим вопросам 152-ФЗ до ведущего эксперта по защите персональных данных в медицинских информационных системах со знанием всех отраслевых приказов.
- Архитектурный трек. От выполнения задач по ТЗ к проектированию системы защиты целиком, к умению выбирать и стыковать различные СЗИ и методы защиты под конкретный, в том числе уникальный, объект.
- Координационный трек (Team Lead). Рост в сторону управления людьми и проектами: делегирование, планирование, контроль сроков, развитие команды.
- Процессный трек. Оптимизация внутренних процедур команды: разработка шаблонов, чек-листов, методик, внедрение инструментов, которые ускоряют и стандартизируют работу (например, системы для управления требованиями регуляторов).
В карьерной карте нужно явно показать эти треки и возможные переходы между ними. Важный момент: переход на другой трек — не повышение, а смена фокуса. И он должен быть обоснован как желанием сотрудника, так и потребностями команды.
Этап 4: Создание карты компетенций и чётких критериев роста
Это ядро системы. Для каждой стадии на каждом треке должны быть описаны не абстрактные «ответственность» и «лидерство», а конкретные, измеримые индикаторы, понятные в контексте регуляторики.
Например, для перехода с уровня «Практик» на уровень «Специалист» на архитектурном треке критерии могут быть такими:
- Самостоятельно разработал и согласовал с заказчиком и регулятором Техническое задание на систему защиты информации для объекта 1-го или 2-го класса защищённости.
- Спроектировал и документально обосновал архитектуру применения трёх и более различных типов СЗИ (СКЗИ, СОВ, межсетевой экран) в едином проекте.
- Провёл не менее двух полноценных предаттестационных проверок разработанного решения с составлением отчёта о результатах.
Такие критерии снимают субъективность в оценках. Сотрудник видит конкретный план действий, а руководитель получает инструмент для обоснованного принятия решений о росте.
Этап 5: Интеграция с процессом развития и обучения
Карта — не просто описание целей, это маршрут. Для каждого ключевого навыка на пути к следующей ступени нужно определить способы его приобретения.
| Тип развития | Примеры для ИТ-регуляторики | Ответственность |
|---|---|---|
| Наставничество внутри команды | Пара «старший эксперт по ФСТЭК» + «специалист» берут совместный сложный проект аттестации. Передача опыта ведения переговоров с регулятором на месте. | Руководитель формирует пары, старший эксперт выделяет время. |
| Внутренние воркшопы | Разбор сложного кейса по отказу в аттестации, изучение нового приказа ФСТЭК или методики Минцифры с последующим составлением внутренней инструкции. | Команда/руководитель, эксперт по теме готовит материал. |
| Внешнее обучение и сертификация | Курсы по конкретным отечественным СЗИ, по криптографии, подготовка к получению статуса аттестованного специалиста ФСТЭК в определённой области. | Компания финансирует и даёт время, сотрудник применяет знания на проектах. |
| Пет-проекты и эксперименты | Выделение времени на исследование возможности автоматизации рутинной сборки доказательной базы с помощью скриптов на Python или через API SIEM. | Руководитель резервирует до 10% времени сотрудника на такие задачи. |
План развития должен быть индивидуальным, но составленным из стандартных, доступных «кирпичиков».
Этап 6: Коммуникация, пересмотр и гибкость
Готовую карту нельзя просто разослать в чат. Её нужно представить на общей встрече, объяснив логику, цели и пользу для каждого. Важно сделать акцент на том, что это живой документ, а не приказ.
Внедрите регулярные (раз в полгода) индивидуальные сессии по развитию, где вы с каждым членом команды сверяетесь с картой:
- Какие из запланированных компетенций удалось развить?
- Что помешало?
- Остались ли карьерные цели актуальными, или появились новые интересы?
- Нужно ли внести коррективы в карту из-за изменившихся внешних требований?
В мире, где новый приказ регулятора может изменить правила игры за месяц, жёсткий трёхлетний план обречён. Гибкость — его ключевое свойство. Карта, это не рельсы, а навигационная система, которая прокладывает маршрут с учётом новых обстоятельств.
Итоговая карьерная карта команды, это не отчёт для руководства. Это договор, инструмент управления ожиданиями и инвестициями в человеческий капитал. Она делает рост предсказуемым, а значит — управляемым. В условиях дефицита кадров в узких областях регуляторики такое управление превращается из административной функции в стратегическое преимущество, которое напрямую влияет на способность компании выполнять сложные проекты и удерживать ключевых специалистов.