что это за роль, зачем она появилась и кому она вообще подходит

В последние несколько лет в финтех-компаниях всё чаще появляется новая роль — BISO (Business Information Security Officer).

Когда я с этим столкнулся, я подумал только об одном: «Это просто новое модное название безопасника или всё-таки отдельная профессия?»

Чем больше я наблюдал за тем, как эта роль появляется в компаниях, тем больше становилось понятно, что это действительно новая организационная модель безопасности, а не просто переименование должности.

Причём особенно активно она появляется именно в финтехе.

Чтобы понять почему, нужно сначала посмотреть на то, как вообще устроена безопасность в технологических компаниях.

Почему классическая модель безопасности перестла работать

Исторически информационная безопасность в компаниях строилась довольно централизованно.

Обычно структура выглядела примерно так:

  • разработка

  • инфраструктура

  • бизнес-подразделения

  • служба информационной безопасности

Служба ИБ выполняла набор стандартных задач:

  • разработка политик безопасности

  • проведение аудитов

  • анализ архитектуры

  • управление рисками

  • реагирование на инциденты

  • взаимодействие с регуляторами

Пока компания относительно небольшая, эта модель работает вполне нормально.

Но всё начинает меняться, когда компания начинает расти и превращется в полноценный финтех-продукт.

Когда финтех начинает масштабироваться

Современный финтех — это довольно сложная технологическая экосистема.

Даже в средних компаниях сейчас можно увидеть:

  • десятки микросервисов

  • мобильные прилжения

  • веб-платформы

  • API для партнёров

  • платёжные шлюзы

  • антифрод-системы

  • системы хранения персональных данных\

По данным исследования Центра стратегических разработок, доля финтех-решений в банковском секторе России выросла более чем в 2,5 раза за последние 10 лет.

Это означает, что финансовые компании стали значительно более технологическми.

И вместе с ростом технологий выросла и поверхность атаки

По данным Positive Technologies, около 70% атак на российские компании связаны с финансовой мотивацией, а финтех и банки остаются одной из основных целей злоумышленников.

Это автоматически увеличивает требования к безопасности.

Когда безопасность становится узким горлышком

Когда компания начинает быстро расти, появляется довольно типичная проблема.

Представим компанию, где работает:

  • 15–20 продуктовых команд

  • десятки сервисов

  • несколько мобильных приложений

  • множество внешних интеграций

Каждый новый сервис требует:

  • архитектурного ревью

  • оценки рисков

  • проверки безопасности

  • согласования с ИБ

Если всё это проходит через одну центральную команду безопасности, появляется узкое горлышко.

По данным исследования HH.ru по рынку ИБ-специалистов, более 60% разработчиков в технологических компаниях сталкиваются с задержками релизов из-за согласований по безопасности.

И это действительно так.

Проблема не в безопасности как таковой.

Проблема в масштабировании процессов безопасности.

Откуда появилась роль BISO

Чтобы решить эту проблему, многие технологические компании начали менять организационную модель безопасности.

Вместо того чтобы держать всю безопасность в одном подразделении, компании начали распределять специаистов по безопасности ближе к бизнесу и продуктовым командам.

Так появилась роль BISO.

BISO — это специалист по информационной безопасности, который работает внутри бизнес-направления или продуктовой команды.

Он не просто проверяет архитектуру со стороны.

Он участвует в разработке продукта практически с самого начала.

Именно поэтому эту роль часто называют бизнес-партнёром по безопасности.

По сути это безопасник, который понимает продукт так же хорошо, как и команда разработки.

И это довольно точно описывает суть BISO.

Где чаще всего появляются BISO

На российском рынке роль BISO чаще всего встречается в компаниях с высокой технологической сложностью:

  • банки

  • финтех-стартапы

  • платёжные системы

  • крупные IT-компании

  • маркетплейсы с финансовыми сервисами

По данным обзора рынка кибербезопасности TAdviser, в крупных финтех-компаниях количество специалистов по безопасности за последние пять лет выросло более чем на 40%.

При этом часть этих специалистов работает уже не в классических отделах ИБ, а внутри продуктовых направлений.

Фактически это и есть та самая модель BISO.

Экономика роли: зарплаты на российском рынке

Поскольку роль BISO пока не стандартизирована на рынке, вакансии часто называются по-разному.

Например:

  • product security

  • security business partner

  • security architect (product)

Тем не менее по уровню компенсации эти позиции можно достаточно точно оценить.

По данным HH.ru на 2024–2025 год:

  • senior-специалисты по информационной безопасности в крупных IT-компаниях получают от 250 000 до 550 000 рублей в месяц

  • ведущие специалисты и архитекторы безопасности — от 300 000 до 600 000 рублей

По данным зарплатного исследования Habr каьеры, медианная зарплата senior-специалистов по безопасности в России составляет около 320 000 рублей в месяц.

При этом позиции, близкие по функциям к BISO (product security lead, security architect), в крупных финтех-компаниях могут достигать 500 000–650 000 рублей в месяц.

Почему эта роль особенно важна именно в финтехе

Финтех отличается от большинства других отраслей тем, что здесь сходятся сразу несколько факторов риска.

Во-первых — деньги.

Во-вторых — персональные данные.

В-третьих — огромный объём интеграций с внешними системами.

По данным аналитики Group-IB, финансовые организации остаются одной из основных целей кибератак в России.

При этом значительная часть инцидентов связана не с классическими уязвимостями, а с ошибками в архитектуре и бизнес-логике сервисов.

Именно поэтому безопасность должна участвовать в разработке продукта как можно раньше.

В классической модели безопасность часто появляется слишком поздно.

Например, когда:

  • сервис уже разработан

  • архитектура уже выбрана

  • интеграции уже реализованы

И безопасники приходят с вопросами только на этапе аудита.

BISO работает совсем иначе.

Он участвует в обсуждениях ещё до того, как система начинает разрабатываться.

Это может выглядеть примерно так:

команда обсуждает новую фичу
→ BISO участвует во встрече
→ задаёт вопросы по рискам
→ предлагает архитектурные решения

Архитектурные ревью

Одна из самых частых задач BISO — участие в архитектурных обсуждениях.

Практически любой новый сервис в финтехе связан с несколькими вопросами:

  • как происходит аутентификация

  • как защищаются API

  • где хранятся ключи

  • как обрабатываются персональные данные

  • какие системы получают доступ к данным

Поэтому участие безопасности на уровне архитектуры становится критически важным.

BISO в таких случаях не обязательно запрещает решения.

Чаще его задача — задать правильные вопросы.

Например:

  • что произойдёт, если этот сервис будет скомпрометирован

  • какие данные могут утечь

  • можно ли разделить доступ

  • можно ли уменьшить поверхность атаки

Иногда один такой разговор может изменить всю архитектуру сервиса.

Моделирование угроз

Ещё одна типичная задача BISO — проведение моделирования угроз.

Если говорить просто, это процесс, при котором команда пытается посмотреть на систему глазами атакующего.

В финтехе это особенно важно.

Например:

  • неправильная логика авторизации

  • ошибки в обработке платежей

  • обход ограничений транзакций

  • проблемы с проверкой операций

Во время моделирования угроз команда обычно разбирает несколько вещей:

  • какие есть активы

  • какие данные наиболее критичны

  • какие возможны сценарии атаки

  • какие последствия может иметь компрометация системы

Работа с разработчиками

Большая часть работы BISO проходит именно в общении с разработкой.

Это может включать:

  • обсуждение архитектуры

  • помощь в выборе библиотек безопасности

  • рекомендации по защите API

  • участие в код-ревью

BISO как раз помогает внедрить такой подход.

Но здесь есть важный момент.

Если безопасник приходит к разработчикам только с запретами, его очень быстро перестают слушать.

Поэтому хороший BISO старается приходить не с формулировкой:

— так делать нельзя

а с формулировкой:

— лучше сделать вот так, потому что риск будет меньше.

Когда я наблюдал за работой опытных специалистов на этой роли, мне запомнилась одна довольно простая мысль:

«BISO должен помогать разработчикам, а не проверять их».

Работа с бизнесом

Ещё одна важная часть роли — взаимодействие с бизнес-подразделениями.

Бизнес обычно мыслит другими категориями:

  • сроки запуска продукта

  • рост пользователей

  • новые функции

  • прибыль

Безопасность же говорит о рисках, уязвимостях и атаках.

И BISO фактически становится переводчиком между этими двумя мирами.

Например, вместо формулировки:

«у нас есть риск компрометации API»

BISO может объяснить это бизнесу так:

«если этот сценарий реализуется, злоумышленник сможет выполнять операции от имени пользователей».

И это действительно ключевой навык этой роли.

Комплаенс и регуляторные требования

Финтех-компании работают в среде жёсткого регулирования.

Это может включать:

  • требования Банка России

  • требования по защите персональных данных

  • отраслевые стандарты безопасности

  • внутренние политики банков

BISO в таких случаях помогает продуктовым командам:

  • понять требования

  • встроить их в архитектуру

  • подготовиться к аудитам

Иногда это сильно упрощает жизнь разработчикам.

Потому что требования безопасности становятся частью архитектуры, а не неожиданным пунктом на финальном аудите.

Инциденты и разбор ошибок

Хотя основная задача BISO — предотвращать проблемы, иногда инциденты всё же происходят.

И тогда BISO часто участвует в их разборе.

Разбираются вопросы:

  • где именно возникла проблема

  • почему риск не был замечен раньше

  • какие процессы нужно изменить

И именно такие ситуации часто становятся точкой роста для роли BISO.

Типичный день BISO

Иногда спрашивают, как выглядит обычный рабочий день на этой позиции.

Если честно, он редко бывает одинаковым.

Но примерно это может выглядеть так:

утро:

  • встреча с продуктовой командой

  • обсуждение новой функции

день:

  • архитектурное ревью нового сервиса

  • обсуждение интеграции с партнёром

вечер:

  • моделирование угроз

  • обсуждение рисков с архитекторами

И довольно часто в течение дня появляются неожиданные задачи.

Например:

  • новый регуляторный запрос

  • срочный аудит

  • потенциальный инцидент

Кто обычно становится BISO

из каких профессий приходят специалисты в эту роль

Когда начинаешь обсуждать роль BISO с безопасниками, почти всегда возникает один и тот же вопрос:

Откуда вообще берутся такие специалисты?

Потому что если посмотреть на классические направления в информационной безопасности, то там всё более-менее понятно.

Есть:

  • пентестеры

  • специалисты по инфраструктурной безопасности

  • аналитики SOC

  • AppSec-инженеры

  • архитекторы безопасности

У BISO же довольно необычная позиция.

Он должен одновременно понимать:

  • архитектуру систем

  • процессы разработки

  • бизнес-процессы

  • регуляторные требования

Основные карьерные пути в BISO

На практике специалисты приходят в эту роль из нескольких направлений.

Архитекторы безопасности

Один из самых частых путей.

Архитекторы безопасности уже хорошо понимают:

  • архитектуру систем

  • распределённые сервисы

  • модели доступа

  • защиту инфраструктуры

Это делает переход к роли BISO довольно логичным.

И это как раз тот момент, когда появляется логичный переход.

AppSec специалисты

Второй распространённый путь — специалисты по безопасности приложений.

AppSec-инженеры уже работают очень близко к разработке.

Они занимаются:

  • безопасностью кода

  • анализом уязвимостей

  • безопасной разработкой

  • моделированием угроз

Это делает их хорошими кандидатами на роль BISO.

Потому что они уже привыкли работать внутри продуктовых команд.

DevSecOps специалисты

Ещё один путь — специалисты DevSecOps.

Эти специалисты обычно работают на пересечении:

  • разработки

  • инфраструктуры

  • безопасности

Они понимают:

  • CI/CD процессы

  • автоматизацию безопасности

  • облачные инфраструктуры

Руководители команд безопасности

Иногда BISO становится следующим этапом для руководителей AppSec или product security команд.

Это происходит особенно часто в крупных финтех-компаниях.

И в таких ситуациях роль BISO может появиться как отдельная позиция.

Какие навыки действительно нужны BISO

Понимание бизнеса

Это то, чего часто не хватает классическим безопасникам.

BISO должен понимать:

  • как компания зарабатывает деньги

  • какие функции продукта критичны

  • какие риски реально влияют на бизнес

Например, технический риск может выглядеть серьёзным, но иметь минимальные последствия для бизнеса.

И наоборот.

По данным исследования TAdviser, около 50% инцидентов в финансовых компаниях приводят не к техническим, а к операционным потерям.

Поэтому безопасность должна оценивать риски не только технически, но и с точки зрения бизнеса.

Коммуникационные навыки

Часто недооценённая часть роли — коммуникация.

BISO постоянно взаимодействует с разными группами:

  • разработчиками

  • архитекторами

  • менеджерами продуктов

  • руководителями бизнеса

  • командами безопасности

Кому эта роль может не подойти

Несмотря на высокий интерес к этой позиции, она подходит далеко не всем специалистам безопасности.

Есть несколько ситуаций, когда эта роль может оказаться сложной.

Если нравится только техническая работа

BISO редко занимается чисто техническими задачами.

Большая часть работы — это:

  • обсуждения

  • архитектурные решения

  • взаимодействие с командами

Поэтому специалистам, которые предпочитают глубокую техническую работу, может быть комфортнее в направлениях:

  • пентест

  • исследование уязвимостей

  • инфраструктурная безопасность

Если не нравится работать с бизнесом

BISO постоянно общается с менеджерами продуктов и руководителями.

Это означает необходимость объяснять риски в терминах бизнеса.

И к этому нужно привыкнуть.

Если сложно работать в условиях неопределённости

Роль BISO редко имеет чётко прописанные границы.

Во многих компаниях её только формируют.

Поэтому часто приходится самостоятельно определять:

  • процессы

  • зоны ответственности

  • взаимодействие с командами

Это требует довольно высокой самостоятельности.

Как роль BISO появилась в России

и почему она стала актуальной именно в финтехе

Если посмотреть на рынок информационной безопасности в России 10–15 лет назад, то роль BISO практически не встречалась.

Безопасность была организована довольно классически.

В компаниях существовали:

  • департаменты информационной безопасности

  • подразделения по управлению рисками

  • команды инфраструктурной безопасности

  • SOC и реагирование на инциденты

Большая часть процессов безопасности была централизована.

И это вполне работало.

Проблема начала появляться примерно в середине 2010-х, когда российские компании начали активно развивать цифровые продукты.

Цифровая трансформация банков и финтеха

В банковском секторе России произошёл довольно резкий технологический скачок.

Банки начали превращаться из классических финансовых организаций в полноценные IT-компании.

Появились:

  • мобильные банки

  • онлайн-кредитование

  • маркетплейсы финансовых услуг

  • цифровые платёжные сервисы

  • экосистемы вокруг банковских продуктов

Это означало, что большинство финансовых операций стало происходить через цифровые сервисы.

И каждый такой сервис требовал:

  • сложной архитектуры

  • интеграций

  • работы с персональными данными

  • высокой доступности

Рост сложности IT-инфраструктуры

Одновременно с этим росла и сложность технологических платформ.

Если раньше банковские системы были довольно монолитными, то современные финтех-компании используют:

  • микросервисные архитектуры

  • облачные платформы

  • распределённые API

  • десятки интеграций с партнёрами

По данным аналитики TAdviser, количество IT-сервисов в крупных российских банках увеличилось более чем в три раза за последние десять лет.

Это автоматически увеличило и сложность обеспечения безопасности.

И именно это стало одной из причин появления новой организационной модели.

Почему централизованная безопасность перестала масштабироваться

В крупных финтех-компаниях сегодня может работать:

  • 30–50 продуктовых команд

  • сотни сервисов

  • десятки интеграций с внешними системами

Каждая новая функция требует участия безопасности.

Например:

  • новый API

  • новая платёжная интеграция

  • новая схема хранения данных

Если все эти решения проходят через один департамент безопасности, процессы начинают замедляться.

И в этот момент компании начинают искать новую модель работы.

Появление продуктовой безопасности

Одним из первых решений стало создание команд product security.

Такие команды начинают работать ближе к разработке.

Их задачи включают:

  • моделирование угроз

  • безопасность приложений

  • участие в архитектуре сервисов

Когда количество продуктов растёт, появляется потребность в специалисте, который будет отвечать за безопасность конкретного домена или направления.

И здесь появляется роль BISO.

Как компании внедряют BISO

На практике существует несколько моделей внедрения этой роли.

Модель 1: BISO внутри бизнес-направления

Самая распространённая модель.

В этой схеме BISO закрепляется за конкретным доменом.

Например:

  • платежи

  • кредитные сервисы

  • мобильный банк

  • партнёрские API

Он работает рядом с продуктовой командой и участвует в:

  • архитектурных обсуждениях

  • анализе рисков

  • планировании безопасности

При этом организационно он может подчиняться департаменту информационной безопасности.

Такой подход позволяет сохранить единые стандарты безопасности.

Модель 2: доменные команды безопасности

В более крупных организациях формируются целые команды безопасности для отдельных доменов.

Например:

  • команда безопасности платежей

  • команда безопасности мобильного банка

BISO в таких командах выполняет роль лидера или координатора.

Модель 3: security business partner

Иногда роль BISO называется иначе.

В некоторых компаниях используется название:

security business partner.

Функции при этом практически те же:

  • взаимодействие с бизнесом

  • управление рисками

  • участие в архитектуре

Основные сложности внедрения BISO

Несмотря на очевидные преимущества, внедрение этой роли не всегда проходит легко.

Есть несколько типичных проблем.

Непонимание роли

Одна из самых распространённых проблем — отсутствие чётких ожиданий.

Иногда BISO воспринимается как:

  • ещё один архитектор безопасности

  • риск-менеджер

  • представитель ИБ на встречах

Когда роль не определена, специалисту приходится самостоятельно формировать её границы.

Конфликт интересов

BISO находится между несколькими сторонами.

С одной стороны — безопасность.

С другой — продуктовые команды.

Иногда их интересы могут конфликтовать.

Например:

  • продукт хочет быстрее выпустить функцию

  • безопасность хочет изменить архитектуру

И BISO приходится искать баланс.

Недостаток специалистов

Роль BISO требует довольно редкого сочетания навыков:

  • технической экспертизы

  • понимания архитектуры

  • знания бизнес-процессов

  • коммуникационных навыков

Поэтому найти подходящего кандидата на роль BISO бывает довольно сложно.

Почему эта роль будет только расти

По мере развития финтеха роль BISO становится всё более востребованной.

Причина довольно проста.

Современные продукты становятся всё сложнее.

И всё больше компаний начинают понимать, что безопасность должна быть встроена в продукт, а не проверяться постфактум.

Сложности профессии BISO

с какими конфликтами и проблемами сталкиваются специалисты на этой позиции

Со стороны роль BISO может выглядеть довольно привлекательной.

Высокий уровень ответственности.
Работа на стыке технологий и бизнеса.
Влияние на архитектуру продуктов.

Но на практике у этой профессии есть довольно серьёзные сложности.

Когда я начал глубже погружаться в эту роль и общаться с людьми, которые работают BISO в финтехе, стало понятно, что это одна из самых непростых позиций в информационной безопасности.

Причина довольно простая.

BISO находится между несколькими мирами, у каждого из которых свои интересы и приоритеты.

Конфликт между скоростью и безопасностью

Самый частый конфликт, с которым сталкивается BISO — это противоречие между безопасностью и скоростью разработки.

Продуктовые команды обычно работают с конкретными метриками:

  • сроки релиза

  • рост пользователей

  • новые функции

  • бизнес-результаты

Безопасность же фокусируется на рисках.

Например:

  • возможные атаки

  • уязвимости

  • архитектурные проблемы

И BISO оказывается прямо между этими двумя сторонами.

Задача BISO в таких ситуациях — не запрещать решения, а искать компромисс.

Огромный контекст

Ещё одна особенность роли — необходимость держать в голове огромный объём информации.

BISO должен понимать:

  • архитектуру десятков сервисов

  • бизнес-процессы продукта

  • требования безопасности

  • регуляторные ограничения

  • планы развития продукта

Потому что он участвует сразу в нескольких продуктах или доменах.

И это довольно серьёзная когнитивная нагрузка.

Давление после инцидентов

Когда происходит серьёзный инцидент безопасности, внимание к безопасности резко возрастает.

И вопросы начинают задавать всем, кто участвовал в архитектуре системы.

Например:

  • почему риск не был замечен

  • почему выбрали именно такую архитектуру

  • какие меры были приняты

Итог

BISO — относительно новая роль для российского рынка.

Она появилась как ответ на рост технологической сложности финтех-компаний.

По мере развития цифровых финансовых сервисов роль BISO, скорее всего, будет становиться всё более востребованной.

Владислав Прокопович