Лидерские навыки для безопасников: soft skills CISO #опытэкспертов

Делимся мнением Дмитрия Беляева, CISO IT-компании и автора Telegram-канала BELYAEV_SECURITY

Почему soft skills важны для CISO

Техническая экспертиза — фундамент, но вершину определяет именно умение вести за собой.

Современный CISO работает на стыке технологий и бизнеса, поэтому soft skills становятся его ключевым оружием: они помогают говорить на одном языке с акционерами, защищать бюджеты и создавать команду, а не просто службу «киберполицейских».

👨‍💼 Коммуникация и умение объяснять сложное простыми словами

Хороший CISO умеет превращать технический язык в ясные бизнес-аргументы. Не «DDoS-атака может перегрузить сервер», а «15 минут простоя обойдутся компании в условные 2 млн рублей».

Чем яснее коммуникация — тем быстрее топ-менеджмент воспринимает решения о безопасности как инвестиции, а не как издержки.

💼 Переговоры и дипломатия внутри компании

CISO ежедневно балансирует между разными интересами: IT-департаментом, бизнес-подразделениями, комплаенсом, юристами.

Чем выше навык дипломатии, тем легче договариваться о мерах, которые не тормозят бизнес, но сохраняют безопасность.

Настоящий лидер умеет находить win-win, а не просто ставить ультиматумы.

😎 Управление командой и наставничество

CISO не может делать все сам. Его сила — в людях.

Умение делегировать, вдохновлять и развивать сотрудников превращает разрозненных специалистов в настоящую кибер-команду.

Важно помогать подчиненным расти, выстраивать систему наставничества и формировать преемников — ведь кибербезопасность держится на устойчивости процессов, а не на одном человеке.

🧘 Стресс-менеджмент и эмоциональный интеллект

Инциденты случаются всегда неожиданно и часто ночью. Реакция CISO на кризис определяет реакцию всей команды. Если лидер паникует — сотрудники теряют концентрацию.

Если сохраняет холодный ум, умеет управлять эмоциями и поддерживать коллег — кризисы превращаются не в катастрофы, а в точки роста.

Эмоциональный интеллект — это навык управлять не только своими чувствами, но и чувствами всей команды.

🧠 Стратегическое мышление и видение будущего

CISO обязан смотреть шире, чем технологии сегодняшнего дня. Ему нужно видеть, как изменения в регуляторике, внедрение ИИ или новые геополитические вызовы влияют на безопасность компании.

Стратегическое мышление превращает безопасника из «технического директора» в бизнес-архитектора устойчивости.

RuDesktop для ИБ-специалистов: контроль доступа и безопасная разработка

🗓 12 ноября в 12:00 (мск)
➡️ Регистрация

Приглашаем вас на вебинар, посвященный использованию отечественного решения RuDesktop для построения эффективной и безопасной системы управления ИТ-инфраструктурой.

В условиях ужесточения регуляторных требований и роста киберугроз критически важным становится контроль доступа к критической инфраструктуре. Как RuDesktop может помочь решить эту задачу?

На вебинаре разберем:

🟡 Функционал ИБ-контроля в RuDesktop: Глубокий анализ встроенных инструментов для мониторинга, сессионного контроля и аудита действий пользователей.

🟡 Внедрение PAM-практик: Как с помощью RuDesktop реализовать принципы управления привилегированными доступами (PAM) для снижения рисков инсайдерских атак и утечек данных.

🟡 Соответствие требованиям служб ИБ: Демонстрация того, как решение помогает выполнять внутренние политики безопасности и стандарты компаний.

🟡 Лицензия ФСТЭК и безопасная разработка: Почему наличие лицензии ФСТЭК у RuDesktop — это не просто формальность, а ключевой фактор для создания защищенного ПО и прохождения проверок.

🟡 Реальные кейсы из практики: Рассмотрим примеры успешного внедрения RuDesktop в российских компаниях для решения конкретных задач ИБ.

Кому будет полезен вебинар:

• Специалистам по информационной безопасности
• Руководителям направлений ИБ
• Аудиторам и специалистам по соответствию требованиям
• Системным администраторам и DevOps-инженерам, отвечающим за безопасность

🤩 Secure-T на передовой цифрового фронта: Итоги Международной конференции по кибербезопасности в Ташкенте

Вчера, 6 ноября, столица Узбекистана стала эпицентром дискуссий о будущем цифровой безопасности. В Ташкенте с успехом прошла Международная конференция по кибербезопасности, облачным технологиям и автоматизации бизнеса — одно из ключевых отраслевых событий года. Наша компания Secure-T приняла активное участие в форуме, где были представлены лучшие практики и передовые решения индустрии.

Организаторами масштабного события выступили UZTELECOM и компания «Код ИБ» при поддержке ГУП «Центр кибербезопасности».

Конференция подтвердила свой статус главной площадки для профессионалов, собрав более 200 специалистов из Узбекистана, России, Казахстана, Беларуси и Италии. Среди участников — ведущие эксперты государственных структур, банковского сектора, телекоммуникационных компаний и IT-интеграторов.

🔈 Ключевые темы, которые определили будущее отрасли

Программа мероприятия была построена вокруг четырех актуальных треков, каждый из которых стал точкой притяжения для глубоких дискуссий:

• «Кибербезопасность»: Обсудили тренды ИБ, практические кейсы и инструменты защиты данных. Особый акцент был сделан на растущие угрозы с применением ИИ и необходимость внедрения продвинутых систем защиты.

• «Облачные технологии»: Участники делились успешным опытом миграции в cloud и стратегиями обеспечения непрерывности бизнеса.

• «Управление предприятием»: Эксперты представили цифровые инструменты для оптимизации процессов, повышения эффективности управления и аналитики.

• «Бухгалтерский учёт и аудит»: Рассмотрели методы автоматизации рутинных процессов и практики, снижающие риски в финансовом управлении.

Ольга Поздняк, продюсер проекта «Код ИБ», отметила: «Мы видим, как стремительно развиваются цифровые технологии в Узбекистане. Государство и бизнес активно цифровизируются, и интерес к вопросам кибербезопасности растёт с каждым годом».

🔍 Как это было: смотрите репортаж из новостей

Чтобы вы могли прочувствовать атмосферу этого значимого события, предлагаем посмотреть репортаж, который вышел в новостях. В нем — самые яркие моменты конференции и мнения участников.

Участие в такой конференции для Secure-T — это не только возможность быть в курсе глобальных трендов, но и заявить о себе как о неотъемлемой части сообщества, которое строит безопасное цифровое будущее. Мы благодарим организаторов и всех участников за продуктивный диалог и ждем новых встреч! 👍


#Кибербезопасность #SecureT #UZTELECOM #КОДИБ #Безопасность #IT

Технический спринт | Порядок категорирования и оценки угроз безопасности информации значимого объекта КИИ промышленного предприятия

🗓 11 ноября в 12:00 (мск)

Спринт посвящен актуальной теме категорирования и оценки угроз безопасности информации значимого объекта КИИ на примере промышленного предприятия.

В ходе обучения мы подробно рассмотрим ИТ-инфраструктуру объекта КИИ, разберем правила и особенности категорирования, а также определим критические процессы и установим категорию значимого объекта КИИ. На примере Андрей покажет, как проходит процесс оценки угроз безопасности информации и продемонстрирует перечень актуальных угроз ИБ.

Практическое обучение проходит в формате двухдневного спринта:

11 ноября состоится вебинар, а также будет выдано домашнее задание для самостоятельной проработки.

18 ноября пройдет вторая встреча, на которой мы разберем продолжение темы, проведем проверку домашнего задания и покажем пример правильного выполнения.

Для практических заданий потребуется офисный пакет (например, MS Excel) и доступ в интернет.

Эксперт:
Миняев Андрей, руководитель Центра информационной безопасности компании «Диджитал Дизайн», к.т.н., доцент кафедры защищённых систем связи СПбГУТ им. проф. М.А. Бонч-Бруевича.

Встреча проводится только для членов Клуба ЗУБРЫ Кибербеза и пользователей платформы Код ИБ АКАДЕМИЯ.

Технические и управленческие спринты с экспертами каждую неделю ➡️ вступить в Клуб ЗУБРЫ Кибербеза.

RuDesktop для ИБ-специалистов: контроль доступа и безопасная разработка

🗓 Завтра в 12:00 (мск)
➡️ Регистрация

Приглашаем вас на вебинар, посвященный использованию отечественного решения RuDesktop для построения эффективной и безопасной системы управления ИТ-инфраструктурой.

В условиях ужесточения регуляторных требований и роста киберугроз критически важным становится контроль доступа к критической инфраструктуре. Как RuDesktop может помочь решить эту задачу?

На вебинаре разберем:

🟡 Функционал ИБ-контроля в RuDesktop: Глубокий анализ встроенных инструментов для мониторинга, сессионного контроля и аудита действий пользователей.

🟡 Внедрение PAM-практик: Как с помощью RuDesktop реализовать принципы управления привилегированными доступами (PAM) для снижения рисков инсайдерских атак и утечек данных.

🟡 Соответствие требованиям служб ИБ: Демонстрация того, как решение помогает выполнять внутренние политики безопасности и стандарты компаний.

🟡 Лицензия ФСТЭК и безопасная разработка: Почему наличие лицензии ФСТЭК у RuDesktop — это не просто формальность, а ключевой фактор для создания защищенного ПО и прохождения проверок.

🟡 Реальные кейсы из практики: Рассмотрим примеры успешного внедрения RuDesktop в российских компаниях для решения конкретных задач ИБ.

Кому будет полезен вебинар:

• Специалистам по информационной безопасности
• Руководителям направлений ИБ
• Аудиторам и специалистам по соответствию требованиям
• Системным администраторам и DevOps-инженерам, отвечающим за безопасность

Код ИБ ИТОГИ 2025 в Москве

Под конец года команда Код ИБ традиционно собирает друзей, коллег и экспертов на главной аналитической конференции по кибербезопасности Код ИБ ИТОГИ 2025 в Москве!

🗓 4 декабря | Начало в 9:30
📍 Palmira Business Club
➡️ Зарегистрироваться

В программе:

📌 3 дискуссии
— CISO говорят
— БОССЫ кибербеза говорят
— Стартапы говорят

📌 6 тематических сессий
— Защита инфраструктуры
— Культура кибербезопасности
— Анализ защищенности
— Защита данных
— Безопасная разработка
— Процессы

А также:
— Зона со стендами ИБ-компаний
— Новогодние угощения
— Розыгрыши подарков
— Дружественная атмосфера

Опытом поделятся практики из ведущих компаний: Яндекс, СберТех, Билайн, Райффайзенбанк, СОГАЗ, ГК Элемент и др.

Конец года — лучшее время, чтобы изучить аналитику, узнать последние тренды ИБ и прогнозы на будущее в кругу профессионалов. Не пропустите долгожданную встречу ИБ-комьюнити — регистрируйтесь на конференцию уже сейчас!

Ток-шоу "Безопасная среда"
Системы оценки защищенности в безопасности: существует ли единая "линейка"?

🗓 26 ноября в 12:00 (МСК)
➡️ Регистрация

Без экспертной оценки трудно объективно определить, насколько защищена компания. На рынке десятки подходов и сотни метрик: от скорости реакции на инциденты до глубины управления уязвимостями и зрелости процессов.

Даже у компаний одной отрасли показатели могут радикально различаться. Метрики зачастую понятны CISO и ИБ-специалистам, но при этом оказываются недостаточно прозрачными для топ-менеджмента, инвесторов и иных стейкхолдеров, принимающих стратегические решения.

В эфире ток-шоу разберем:
🟡 Почему индустрия так и не пришла к единому стандарту оценки
🟡 Что на практике используют крупные компании и на что смотрят внешние аудиторы
🟡 Какие метрики действительно помогают управлять рисками, а какие создают иллюзию контроля
🟡 Как выстроить систему показателей, которая будет понятна и руководству, и ИБ-команде
🟡 Можно ли приблизиться к "единой линейке" и что для этого нужно рынку

Будет полезно руководителям ИБ, владельцам рисков, консультантам и всем, кто строит или пересматривает свою систему оценки защищенности.

Модератор:
— Артём Куличкин, и. о. директора по информационной безопасности дочерних компаний страховой группы, СОГАЗ

Эксперты:
— Сергей Павлов, CISO, Т-Страхование
— Егор Зайцев, head of reseach, АО Кибериспытание
— Илья Засецкий, старший аналитик Индекса кибербезопасности, F6
— Анастасия Меркулова, директор по маркетингу, F6

Главная аналитическая конференция Код ИБ ИТОГИ стартует уже через две недели!

🗓 4 декабря | Начало в 9:30
📍 Palmira Business Club

📌 В программе — три дискуссии:

CISO говорят
Откровенный разбор проектов, инцидентов и управленческих решений от руководителей по ИБ

Боссы кибербеза говорят
Узнайте, куда двигаются вендоры и какие продукты выстрелили в 2025 году

Стартапы говорят
Новые игроки представят инновационные подходы и обсудят стратегии роста в условиях быстро меняющегося рынка

📌 Параллельно — ряд тематических секций:

• Защита инфраструктуры
• Культура кибербезопасности
• Анализ защищенности
• Защита данных
• Безопасная разработка
• Процессы

Опытом поделятся практики из ведущих компаний: VK, Яндекс, СберТех, Билайн, Райффайзенбанк, СОГАЗ, ГК Элемент и др.

Успейте забронировать место — участие бесплатное по предварительной регистрации.

➡️ Стать участником

Первичный анализ ожиданий руководства #опытэкспертов

Делимся опытом Георгия Руденко, CISO крупного банка и автора Telegram-канала "Кибербез & Бизнес".

Многие руководители ИБ, приходя на новую позицию, сразу начинают внедрять привычные им подходы и практики: проводить аудиты, писать политики, реализовывать технические меры.

Но через 3–6 месяцев оказывается, что руководство недовольно работой CISO. Почему?

Основная ошибка: CISO действует исключительно исходя из своего прошлого опыта, без учета ожиданий от его работы со стороны руководства новой компании.

Cписок самых популярных вариантов этих ожиданий:

*️⃣ Обеспечение соответствия требованиям законодательства
*️⃣ Повышение практической защищенности от кибератак
*️⃣ Увеличение прозрачности работы подразделения ИБ
*️⃣ Изменение подходов и культуры внутри команды
*️⃣ Повышение эффективности в реализации бизнес-инициатив
*️⃣ Упрощение процессов, увеличение скорости работы
*️⃣ Повышение доверия к компании со стороны клиентов
*️⃣ Оптимизация расходов на информационную безопасность

Важно: варианты в списке не исключают друг друга, но у каждого есть свой уровень важности (приоритет).

🔜 Action point:

Необходимо как можно раньше составить список ожиданий руководства и расставить в этом списке приоритеты. Это нужно, чтобы на старте выбрать правильное позиционирование, т.к. до проведения полной диагностики и создания полноценной стратегии ИБ пройдет значительное время.

Чек-лист начала работы эксперта по кибербезопасности в новой компании #опытэкспертов

1️⃣ Получение поддержки и понимания от руководства

— Уточнить полномочия и обязанности в ДИ
— Проверить наличие и актуальность политики информационной безопасности
— Выявить ключевых заинтересованных лиц (руководство, ИТ, юристы, Риски, PM)

2️⃣ Оценка текущей ситуации и документации

— Провести обзор существующих политик, стандартов, процедур, регламентов
— Проверить наличие и качество реестра рисков, включая уровень их оценки и владельцев
— Оценить архитектуру ИТ и безопасность инфраструктуры (устройства, сети, облака)
— Инвентаризация всех, в т.ч. критичных активов и данных, которые требуют защиты

3️⃣ Анализ рисков и угроз

— Провести актуальную оценку информационных рисков, включая вероятности и влияние
— Определить gaps и пробелы в существующих мерах защиты
— Оценить соответствие требованиям нормативных актов (например, 152-ФЗ, ГОСТ, ФСТЭК)
— Идентифицировать приоритетные угрозы (по МУ)

4️⃣ Внедрение базовых мер безопасности

— Обеспечить надежную систему управления учетными записями с многофакторной аутентификацией (MFA)
— Установить и регулярно обновлять антивирусы, патчи и защитное ПО на всех устройствах
— Организовать резервное копирование с регулярным тестированием восстановления
— Контроль доступа и сетевое сегментирование, в том числе безопасные VPN и NGFW

5️⃣ Обучение и вовлечение сотрудников

— Провести обучение и повышение осведомленности по ОИБ
— Объяснить важность политики безопасности, ролей и ответственности
— Внедрить процедуры отчетности о происшествиях для оперативного реагирования

6️⃣ Построение системы мониторинга и реагирования

— Проверить или внедрить систему мониторинга событий безопасности (SIEM, SOC)
— Разработать и протестировать планы реагирования на инциденты
— Определить метрики и KPIs для оценки эффективности защиты

7️⃣ Планирование и развитие

— Сформировать дорожную карту развития информационной безопасности
— Определить планы сертификации и соответствия, например ISO 27001
— Назначить ответственных за контроль выполнения мероприятий
— Обеспечить регулярный аудит и пересмотр безопасности

8️⃣ Проведение интервью и сбор информации от ключевых IT и бизнес-подразделений

— Понять бизнес-миссию и критичные бизнес-процессы
— Выявить точку зрения и ожидания сотрудников, включая ИТ, разработки, операции
— Оценить текущий уровень зрелости кибербезопасности и готовность к изменениям

9️⃣ Проверка и настройка систем управления доступом (IAM)

— Верификация практик разграничения прав и принципа наименьших привилегий
— Анализ использования учетных записей с повышенными привилегиями
— Проверка применения современных методов аутентификации, включая биометрию и безопасные токены

🔟 Оценка исходящей и входящей киберугрозы

— Настроить мониторинг Darknet, форумов, и источников OSINT для выявления угроз
— Проанализировать историю и логи инцидентов за последний период
— Оценить риск утечек данных и целевых атак на компанию

1️⃣1️⃣ Контроль поставщиков и внешних подрядчиков

— Проверить договоры и соблюдать требования безопасности при работе с поставщиками
— Оценить уровень кибербезопасности партнеров и подрядчиков
— Внедрить процесс оценки и мониторинга безопасности сторонних поставщиков

1️⃣2️⃣ Внутренняя коммуникация и управление изменениями

— Внедрить регулярные каналы коммуникации для информирования сотрудников
— Управлять изменениями в политике и процедурах с учетом обратной связи
— Поддерживать культуру безопасности на всех уровнях организации

Важно понимать, что это субъективный список и он может сильно отличаться от конкретного места работы и построенных в нем бизнес-процессов, но ряд важных пунктов из этого чек-листа можно смело использовать в работе.

✏️ Чек-лист подготовил Дмитрий Беляев, CISO IT-компании и автор Telegram-канала BELYAEV_SECURITY

Кибербезопасность в промышленном секторе: как оценить прикладную критичность систем, автоматизирующих производство

Евгений Баклушин, исполнительный директор КИТ и автор блога BESSEC, предлагает следующий план оценки:

Шаг первый — проанализировать производственные процессы, разделив их на группы:

🟡Основные — процессы превращения сырья и материалов в готовую основную продукцию, которое производит предприятие
🟡Вспомогательные — направлены на изготовление неосновной продукции или обеспечения нормального протекания производственных процессов (ремонтное, инструментальное хозяйство и пр.)
🟡Обслуживающие — обеспечивают создание нормальных условий для протекания основных и вспомогательных производственных процессов (транспортировка сырья и продукции, хранение)
🟡Контролирующие — процессы, задачей которых является постоянный или периодический контроль за безопасностью протекания прочих процессов
🟡Измерительные — задачей которых является учет ресурсов и готовой продукции

Шаг второй — определить степень критичности процессов по целевому назначению, разделив их на группы:

*️⃣Основные — высокая степень, т.к. оказывает прямое влияние на основной процесс и выпуск основной готовой продукции
*️⃣Вспомогательные — низкая, т.к. не оказывает прямого влияния на выпуск основной продукции
*️⃣Обслуживающие — равна степени критичности обслуживаемого процесса
*️⃣Контролирующие — равна степени влияния на основной процесс и условиям, при которых оказывается влияние
*️⃣Измерительные — средняя, т.к. может снижать общую эффективность процессов при искажении измеряемых данных

Шаг третий — определить итоговую критичность систем для бизнеса.

Когда мы уже знаем типы процессов и степень их критичности, остается понять, насколько каждый из них автоматизирован (ручной, механизировано-ручной, автоматизированный и автоматический). Чем выше степень автоматизации процесса, тем выше потери от нарушений функционирования промышленных систем.

После чего в соответствии с небольшой матрицей определяем итоговый уровень критичности систем по пересечениям.

Увидеть матрицу и узнать, что делать с высококритичными системами можно в полной версии статьи Евгения Баклушина.

#опытэкспертов

Ток-шоу "Безопасная среда"
Показатели без иллюзий: какие метрики действительно помогают оценить уровень защищенности

🗓 Завтра в 12:00 (МСК)
➡️ Регистрация

Без экспертной оценки трудно объективно определить, насколько защищена компания. На рынке десятки подходов и сотни метрик, но единой логики анализа до сих пор нет.

В эфире ток-шоу разберем:
🟡 Почему индустрия так и не пришла к единому стандарту оценки
🟡 Что на практике используют крупные компании и на что смотрят внешние аудиторы
🟡 Какие метрики действительно помогают управлять рисками, а какие создают иллюзию контроля
🟡 Как выстроить систему показателей, которая будет понятна и руководству, и ИБ-команде
🟡 Можно ли приблизиться к "единой линейке" и что для этого нужно рынку

Будет полезно руководителям ИБ, владельцам рисков, консультантам и всем, кто строит или пересматривает свою систему оценки защищенности.

Модератор:
— Артём Куличкин, и. о. директора по информационной безопасности дочерних компаний страховой группы, СОГАЗ

Эксперты:
— Сергей Павлов, CISO, Т-Страхование
— Егор Зайцев, head of reseach, АО Кибериспытание
— Илья Засецкий, старший аналитик Индекса кибербезопасности, F6
— Анастасия Меркулова, директор по маркетингу, F6

#РазговорыНЕпроИБ с генеральным директором компании "Эгида-Телеком" Линой Пупыниной

🗓 28 ноября в 15:00 (МСК) пройдет прямой эфир в группе Код ИБ во ВКонтакте

Встреча без рамок и формальностей: поближе познакомимся с Линой и поговорим на разные "неИБшные" темы. Ожидайте интересные истории, эксклюзивные факты и, конечно же, полезные инсайты!

Чтобы не пропустить эфир, вступайте в нашу группу во Вконтакте и включайте уведомления. Будем ждать вас 🔥

Главная аналитическая конференция Код ИБ ИТОГИ стартует уже через неделю!

🗓 4 декабря | Начало в 9:30
📍 Palmira Business Club
➡️ Регистрация

Мероприятие начнется с вводной дискуссии "CISO говорят", где лидеры отрасли обсудят ключевые вопросы:

*️⃣ Каким для отрасли выдался 2025 год?
*️⃣ С какими угрозами пришлось столкнуться?
*️⃣ Какие продукты и решения удалось внедрить/потестировать?
*️⃣ Какие впечатления от российского рынка ИБ, чего еще не хватает?
*️⃣ Какие ожидания от 2026 года?

Помимо насыщенных дискуссий, участников ждут шесть тематических треков, посвященных защите данных, инфраструктуре, анализу защищенности, безопасной разработке, процессам и культуре безопасности в целом.

Узнайте подробную программу на сайте и обязательно присоединяйтесь к итоговому мероприятию Код ИБ в 2025 году 🎉🎄

AppSec Pipeline: как построить централизованный безопасный процесс разработки и интегрировать проверки в РБПО

🗓 3 декабря в 12:00 (МСК)
➡️ Регистрация

Разрозненные инструменты, ручные проверки, позднее выявление уязвимостей и формальный подход к требованиям РБПО делают разработку менее предсказуемой: растут риски, доработки становятся дороже, а доверие к процессу со стороны ИБ и бизнеса снижается.

На практическом вебинаре разберем, как организовать AppSec Pipeline, встроить автоматизированные проверки в текущий цикл разработки и снизить риски, не замедляя DevOps.

Вы узнаете:
*️⃣Как построить AppSec Pipeline на базе GitLab CI в процессе, ориентированном на разработчиков
*️⃣Как работает Security Gate и как связать автоматические проверки в единую цепочку через систему Digital Design
*️⃣Как организовать Jobs: параллельные проверки, артефакты, условия запуска
*️⃣Как использовать шаблоны, контейнеры и кастомные GitLab CI templates для унификации
*️⃣Как уменьшить количество ложных срабатываний и сформировать качественные фидбэк-циклы

Вебинар будет полезен:
*️⃣Специалистам и исследователям в области кибербезопасности
*️⃣Руководителям и специалистам по AppSec/ DevSecOps
*️⃣Руководителям разработки/ разработчикам
*️⃣Директорам и экспертам по цифровой трансформации

Спикер:
— Иван Мыськив, начальник отдела Центра информационной безопасности компании «Диджитал Дизайн»

Комплексная диагностика текущего состояния ИБ #опытэкспертов

Делимся опытом Георгия Руденко, CISO крупного банка и автора Telegram-канала "Кибербез & Бизнес"

Один из ключевых этапов при построении стратегии информационной безопасности — понять, где вы находитесь сейчас (состояние AS IS).

Для этого нужно выполнить следующие шаги:

*️⃣Определить всех стейкхолдеров, понять их отношение к ИБ и собрать ожидания. В предыдущем посте уже обсуждался анализ ожиданий руководства (как часть этого шага).

*️⃣Провести интервью с сотрудниками своей команды. Выяснить, как развивались основные процессы, какие есть проблемы, как принимаются решения.

*️⃣Оценить текущий уровень зрелости процессов ИБ. Для этого удобно использовать известные стандарты (например, от NIST, ISO). Главное — не упустить важные направления/домены и выявить все крупные «серые зоны».

*️⃣Проанализировать ИТ-процессы: насколько хорошо ведётся учёт активов, как работает управление изменениями, насколько развиты другие инженерные практики.

*️⃣Изучить внутренние документы и требования законодательства, относящиеся к вашему бизнесу. Например, обработка персональных данных есть у всех, а вот объекты КИИ нет.

*️⃣Провести практический анализ защищённости. Лучше с привлечением внешних подрядчиков — это позволит получить свежий взгляд на слабые места (в дополнение к самоанализу).

*️⃣Проанализировать, какие инструменты ИБ сейчас используются — составить карту средств защиты и понять, насколько они покрывают ваши потребности.

*️⃣Изучить исторические инциденты, замечания аудитов и других проверок (если есть такая информация).

*️⃣Понять, как работает сам бизнес, как дела в операционной деятельности и какая общая стратегия развития.

*️⃣Оценить внешнюю среду: какие угрозы, тренды и риски актуальны для вашей отрасли и компании.

Обычно такая диагностика занимает 3–6 месяцев (в зависимости от размера организации).

⏩Action point:

Выдерживайте сроки проведения данного этапа и не закапывайтесь в технических деталях, на этом этапе намного важнее комплексность проводимого анализа.

Даже после проведения очень качественной диагностики и завершения формирования стратегии ИБ, через год потребуется делать очень много обновлений. Это связано с тем, что по мере реализации инициатив стратегии будут возникать новые нюансы, которые невозможно выявить до старта начала работы над задачами.

Когда на календаре 30 ноября, и мы отмечаем День матери, проведите пентест.
Цель - система "Мама".

Провели? Наверняка, вы уже наблюдаете аномальную активность:

CVE-MOM-2024-SLEEP: Уязвимость в модуле отдыха. Эксплойт: бессонница, поверхностный сон.
CVE-MOM-2024-STRESS: Утечка данных в подсистеме эмоций. Индикатор компрометации (IoC): постоянная тревога, раздражительность.
CVE-MOM-2024-BOUNDARIES: Bypass механизма личных границ. Результат: эмоциональное выгорание.

Угроза: Полномасштабный Advanced Persistent Stress (APS), ведущий к сбоям в критической инфраструктуре - ее здоровье.

Традиционные меры защиты (цветы, конфеты) - это как поставить фаервол с правилом ANY-ANY-ACCEPT. Проблему не решают.

Что делать?

Ольга Поздняк, продюсер проекта Код ИБ:

У меня есть для вас решение - мой новый сервис коротких медитаций на все случаи жизни Код СЧАСТЬЯ, который я создала со своим ментором.
Это WAF для мозга и система обнаружения вторжений в ментальное пространство 🔥

Техническое описание решения 👇

Не эзотерика, а апдейт прошивки:
Короткие аудиосессии - это сигнатуры для саморегулирующейся биологической системы. Они запускают парасимпатический отдел нервной системы (штатный incident response), подавляя процессы, связанные со стрессом (кортизол, адреналин).

Протокол взаимодействия:
listen-and-respond. Интерфейс "укажи и слушай". Zero configuration required. Мама справится.

Функционал:
Антиэксплойт: Сессии "Эмоциональный карантин" и "Сброс сессии сна" блокируют вышеописанные CVE.

Патч-менеджер:
Ежедневные 15-минутные апдейты повышают устойчивость системы к новым угрозам.

Threat Intelligence:
Практики учат мозг распознавать и блокировать внутренние DDoS-атаки (тревожные мысли) до их эскалации.

👉 Подарить спокойствие маме

P.S. Не забудьте и про маму ваших детей, которую тоже стоит поздравить в День матери и подарить ей подписку на сервис Код СЧАСТЬЯ. Этим вы:

- Повышаете безопасность периметра всей семейной сети.
- Устанавливаете NGFW следующего поколения против эмоционального заражения.
- Патчите уязвимости в системе воспитания, предотвращая передачу усталости и раздражительности по цепочке Admin -> User.

👉 Пропатчить критическое звено в цепи безопасности семейной экосистемы 😄

P.P.S. Актуально и для вашей системы.
Вам знакомо состояние SOC Fatigue или Alert Fatigue?
Медитация Обретение спокойствия - это ваш hard reset после 12-часовой смены на передовой.
Это не про расслабление. Это про повышение отказоустойчивости вашей собственной операционной системы 💪

👉 Не забыть повысить свою отказоустойчивость 👌

AppSec Pipeline: как построить централизованный безопасный процесс разработки и интегрировать проверки в РБПО

🗓 Завтра в 12:00 (МСК)
➡️ Регистрация

Разрозненные инструменты, ручные проверки, позднее выявление уязвимостей и формальный подход к требованиям РБПО делают разработку менее предсказуемой: растут риски, доработки становятся дороже, а доверие к процессу со стороны ИБ и бизнеса снижается.

На практическом вебинаре разберем, как организовать AppSec Pipeline, встроить автоматизированные проверки в текущий цикл разработки и снизить риски, не замедляя DevOps.

Вы узнаете:
*️⃣Как построить AppSec Pipeline на базе GitLab CI в процессе, ориентированном на разработчиков
*️⃣Как работает Security Gate и как связать автоматические проверки в единую цепочку через систему Digital Design
*️⃣Как организовать Jobs: параллельные проверки, артефакты, условия запуска
*️⃣Как использовать шаблоны, контейнеры и кастомные GitLab CI templates для унификации
*️⃣Как уменьшить количество ложных срабатываний и сформировать качественные фидбэк-циклы

Вебинар будет полезен:
*️⃣Специалистам и исследователям в области кибербезопасности
*️⃣Руководителям и специалистам по AppSec/ DevSecOps
*️⃣Руководителям разработки/ разработчикам
*️⃣Директорам и экспертам по цифровой трансформации

Спикер:
— Иван Мыськив, начальник отдела Центра информационной безопасности компании «Диджитал Дизайн»