1 added
1 removed
Original
2026-01-01
Modified
2026-03-10
1
<h4>Инсайды и боль CISO глазами практика Максима Чащина, директора по информационной безопасности (ГК "Девелоника" и преподавателя<a>курсов по ИБ в OTUS</a></h4>
1
<h4>Инсайды и боль CISO глазами практика Максима Чащина, директора по информационной безопасности (ГК "Девелоника" и преподавателя<a>курсов по ИБ в OTUS</a></h4>
2
<p><strong>Максим, чем на практике занимается CISO каждый день? Назовите 5 зон ответственности, без "воды", с примерами из вашей практики.</strong></p>
2
<p><strong>Максим, чем на практике занимается CISO каждый день? Назовите 5 зон ответственности, без "воды", с примерами из вашей практики.</strong></p>
3
<p>Классически: люди, процессы, технологии. При этом каждую категорию можно поделить на несколько подкатегорий - зон ответственности набирается больше пяти.</p>
3
<p>Классически: люди, процессы, технологии. При этом каждую категорию можно поделить на несколько подкатегорий - зон ответственности набирается больше пяти.</p>
4
<p>Поскольку CISO - это позиция, предполагающая наличие команды, то самая значимая из всех зон ответственности - это твоя команда.<strong>Я следую классике - внимание сотрудникам в приоритете.</strong>При этом важно не скатиться в микроменеджмент, уделение внимания вопросам сотрудников должно быть дозировано согласно их опыту (чем опытнее - тем внимания меньше). Причина проста - даже если ты сам чертовски умён и технически грамотен, ты никогда в одного себя не сделаешь столько, сколько сделает твоя команда.</p>
4
<p>Поскольку CISO - это позиция, предполагающая наличие команды, то самая значимая из всех зон ответственности - это твоя команда.<strong>Я следую классике - внимание сотрудникам в приоритете.</strong>При этом важно не скатиться в микроменеджмент, уделение внимания вопросам сотрудников должно быть дозировано согласно их опыту (чем опытнее - тем внимания меньше). Причина проста - даже если ты сам чертовски умён и технически грамотен, ты никогда в одного себя не сделаешь столько, сколько сделает твоя команда.</p>
5
<blockquote><p>Если хочешь быть успешным руководителем - командой надо заниматься.</p>
5
<blockquote><p>Если хочешь быть успешным руководителем - командой надо заниматься.</p>
6
</blockquote><p>Практические навыки и приёмы можно почерпнуть из науки под названием "Теория организации" или "Организационное поведение".</p>
6
</blockquote><p>Практические навыки и приёмы можно почерпнуть из науки под названием "Теория организации" или "Организационное поведение".</p>
7
<p>Вторая большая зона ответственности, которой необходимо уделять достаточно внимания - это основной бизнес предприятия и актуальные риски для него. Собственно,<strong>основная работа CISO - это вовремя идентифицировать риски и предлагать к ним меры митигации</strong>. Какие-то из мер - это меры ИБ, какие-то должны выполняться смежными подразделениями, такими как IT. Ключевое слово тут "вовремя" - если в бизнесе какой-то из рисков срабатывает, то для бизнеса он может оказаться последним. Аналитика и прогнозы, аудиты и отчёты, проактивдые и превентивные действия по предотвращению - это всё меры, обеспечивающие выживание бизнеса в условиях множества угроз. Собственно, вот эти меры и можно разделить на их периодичность - постоянные, ежедневные, еженедельные, ежемесячные или ежеквартальные, и, наконец, ежегодные. Однократные, с большим периодом, выносим за скобки.</p>
7
<p>Вторая большая зона ответственности, которой необходимо уделять достаточно внимания - это основной бизнес предприятия и актуальные риски для него. Собственно,<strong>основная работа CISO - это вовремя идентифицировать риски и предлагать к ним меры митигации</strong>. Какие-то из мер - это меры ИБ, какие-то должны выполняться смежными подразделениями, такими как IT. Ключевое слово тут "вовремя" - если в бизнесе какой-то из рисков срабатывает, то для бизнеса он может оказаться последним. Аналитика и прогнозы, аудиты и отчёты, проактивдые и превентивные действия по предотвращению - это всё меры, обеспечивающие выживание бизнеса в условиях множества угроз. Собственно, вот эти меры и можно разделить на их периодичность - постоянные, ежедневные, еженедельные, ежемесячные или ежеквартальные, и, наконец, ежегодные. Однократные, с большим периодом, выносим за скобки.</p>
8
<p>Попробуем, соответственно, ответить на вопрос, что же относится к постоянным и ежедневным делам CISO?</p>
8
<p>Попробуем, соответственно, ответить на вопрос, что же относится к постоянным и ежедневным делам CISO?</p>
9
<ul><li>1. Ежедневные доклады от команды об инцидентах, происшествиях и просто странных отклонениях</li>
9
<ul><li>1. Ежедневные доклады от команды об инцидентах, происшествиях и просто странных отклонениях</li>
10
<li>2. Постановка задач команде по исполнению и развитию мер безопасности, контроль выполнения с учётом п.1</li>
10
<li>2. Постановка задач команде по исполнению и развитию мер безопасности, контроль выполнения с учётом п.1</li>
11
<li>3. Подготовка материалов для регулярного общения с бизнесом и руководством (что показать, как показать) - т.е. подготовка к мероприятиям с более крупным периодом от недели и выше</li>
11
<li>3. Подготовка материалов для регулярного общения с бизнесом и руководством (что показать, как показать) - т.е. подготовка к мероприятиям с более крупным периодом от недели и выше</li>
12
<li>4. Выделение времени на обзор происходящего вне организации - какие где новости, тренды, обновления нормативки и тому подобное</li>
12
<li>4. Выделение времени на обзор происходящего вне организации - какие где новости, тренды, обновления нормативки и тому подобное</li>
13
<li>5. Кадровые вопросы - и для своей, и для смежных команд (собеседования, отзывы, зарплатные комитеты и т.п.)</li>
13
<li>5. Кадровые вопросы - и для своей, и для смежных команд (собеседования, отзывы, зарплатные комитеты и т.п.)</li>
14
</ul><p>Вот примерно так.</p>
14
</ul><p>Вот примерно так.</p>
15
<p><strong>С чего начинается построение системы ИБ в компании: политика, стандарты, типы мер? Расскажите по шагам, что вы делаете первым делом.</strong></p>
15
<p><strong>С чего начинается построение системы ИБ в компании: политика, стандарты, типы мер? Расскажите по шагам, что вы делаете первым делом.</strong></p>
16
<p>Построение ИБ всегда начинается с определения объекта для защиты - и с самых общих вопросов, которые CISO должен спросить ещё на собеседования - а что за организация перед нами? Чем занимается? В чём заключается основной бизнес? Под контроль каких регуляторов попадает? И так далее. С этого всё и начинается.</p>
16
<p>Построение ИБ всегда начинается с определения объекта для защиты - и с самых общих вопросов, которые CISO должен спросить ещё на собеседования - а что за организация перед нами? Чем занимается? В чём заключается основной бизнес? Под контроль каких регуляторов попадает? И так далее. С этого всё и начинается.</p>
17
-
<p>Дальше требуется понимание модели угроз и определение основных нарушителей. Исходя из модели - разработка системы мер противодействия и стратегии информационной безопасности для организации.</p>
17
+
<p>Дальше требуется понимание модели угроз и определение основных нарушителей. Исходя ��з модели - разработка системы мер противодействия и стратегии информационной безопасности для организации.</p>
18
<p>Дальше - защита бюджета на всё это, определение приоритетов, определение доступных ресурсов.</p>
18
<p>Дальше - защита бюджета на всё это, определение приоритетов, определение доступных ресурсов.</p>
19
<p>В соответствие с упомянутой стратегией готовится Политика ИБ, формулируются "правила игры". К ней привязывается набор ВНД (они же ЛНА), которые детализируют конкретную реализацию тех или иных мер, цели, задачи, процессы, зоны ответственности и всё такое. Типов мер не так много.<strong>Основных два - технические меры и организационные меры.</strong></p>
19
<p>В соответствие с упомянутой стратегией готовится Политика ИБ, формулируются "правила игры". К ней привязывается набор ВНД (они же ЛНА), которые детализируют конкретную реализацию тех или иных мер, цели, задачи, процессы, зоны ответственности и всё такое. Типов мер не так много.<strong>Основных два - технические меры и организационные меры.</strong></p>
20
<p>Соответственно, первые про то, как противодействовать угрозам с помощью средств защиты информации, вторые - прежде всего про то, как безопасно сформировать бизнес-процессы, сведя ошибки человеческого фактора к минимуму.</p>
20
<p>Соответственно, первые про то, как противодействовать угрозам с помощью средств защиты информации, вторые - прежде всего про то, как безопасно сформировать бизнес-процессы, сведя ошибки человеческого фактора к минимуму.</p>
21
<p><strong>Риск-менеджмент: как вы устанавливаете "границы риска" и согласуете их с целями бизнеса? Приведите мини-пример.</strong></p>
21
<p><strong>Риск-менеджмент: как вы устанавливаете "границы риска" и согласуете их с целями бизнеса? Приведите мини-пример.</strong></p>
22
<p>Есть такой термин - "аппетит к риску". Если простыми словами, он означает то, чем бизнес готов рискнуть для достижения какого-то уровня прибыли. Поэтому для ИБ важно проводить правильную декомпозицию риска, оценку последствий при реализации, определение возможных компенсирующих мер по снижению, затрат на эти меры. А уже на основании всей этой информации бизнес должен принимать решение - какой путь обработки риска принять, в какой объём компенсирующих мер вкладываться. Тут важна прозрачность картины и её детализация.</p>
22
<p>Есть такой термин - "аппетит к риску". Если простыми словами, он означает то, чем бизнес готов рискнуть для достижения какого-то уровня прибыли. Поэтому для ИБ важно проводить правильную декомпозицию риска, оценку последствий при реализации, определение возможных компенсирующих мер по снижению, затрат на эти меры. А уже на основании всей этой информации бизнес должен принимать решение - какой путь обработки риска принять, в какой объём компенсирующих мер вкладываться. Тут важна прозрачность картины и её детализация.</p>
23
<p>К примеру, что произойдёт, если какой-либо сотрудник окажется внутренним нарушителем и начнёт слив ПДн или КТ? Насколько это критично, какие будут финансовые и репутационные потери? Какие будут штрафы? И т.д.</p>
23
<p>К примеру, что произойдёт, если какой-либо сотрудник окажется внутренним нарушителем и начнёт слив ПДн или КТ? Насколько это критично, какие будут финансовые и репутационные потери? Какие будут штрафы? И т.д.</p>
24
<p>С другой стороны - во сколько обойдётся внедрение системы класса DLP для своевременного выявления такого нарушителя? Не потеряем ли мы на этом что-то, что сделает сценарии равновесными по потерям? И бизнес такие вопросы задаёт, и готовить ответы на них нужно заранее.</p>
24
<p>С другой стороны - во сколько обойдётся внедрение системы класса DLP для своевременного выявления такого нарушителя? Не потеряем ли мы на этом что-то, что сделает сценарии равновесными по потерям? И бизнес такие вопросы задаёт, и готовить ответы на них нужно заранее.</p>
25
<p><strong>Топ-3 метрики CISO для отчёта первым лицам. Что показываете совету директоров ежемесячно - и почему именно это?</strong></p>
25
<p><strong>Топ-3 метрики CISO для отчёта первым лицам. Что показываете совету директоров ежемесячно - и почему именно это?</strong></p>
26
<p>Прежде всего, это<strong>информация по инцидентам.</strong>Тут не одна метрика - их целый набор.</p>
26
<p>Прежде всего, это<strong>информация по инцидентам.</strong>Тут не одна метрика - их целый набор.</p>
27
<p>Основное - это получение картины, сколько было инцидентов всего, по скольки из них последствия удалось предотвратить, по скольки - не удалось. Время реагирования, уровень потерь, скорость и полнота восстановления, lessons learning (где ошиблись и какие выводы сделали). Самое главное - метрики должны способствовать управлению ситуацией. Руководство не должно терять его. Потеря управления - самый тяжкий грех для кризисных ситуаций.</p>
27
<p>Основное - это получение картины, сколько было инцидентов всего, по скольки из них последствия удалось предотвратить, по скольки - не удалось. Время реагирования, уровень потерь, скорость и полнота восстановления, lessons learning (где ошиблись и какие выводы сделали). Самое главное - метрики должны способствовать управлению ситуацией. Руководство не должно терять его. Потеря управления - самый тяжкий грех для кризисных ситуаций.</p>
28
<p>Второй по важности набор метрик - это<strong>проекты по улучшению и совершенствованию системы СУИБ</strong>. Включая и технические, и организационные меры. Что ИБ развивает, какой статус по изменениям, какие есть риски и проблемы - всё это нужно своевременно отображать.</p>
28
<p>Второй по важности набор метрик - это<strong>проекты по улучшению и совершенствованию системы СУИБ</strong>. Включая и технические, и организационные меры. Что ИБ развивает, какой статус по изменениям, какие есть риски и проблемы - всё это нужно своевременно отображать.</p>
29
<p>Третий набор - обычно какая-то<strong>специфика для основного бизнеса организации</strong>. Изменения в НПА, прогнозы, новые выявленные риски и т.д. То, на что нужно обращать внимание бизнесу.</p>
29
<p>Третий набор - обычно какая-то<strong>специфика для основного бизнеса организации</strong>. Изменения в НПА, прогнозы, новые выявленные риски и т.д. То, на что нужно обращать внимание бизнесу.</p>
30
<p><strong>Архитектура и стандарты: как на курсе разбираете ISO 27001/27002, COBIT/BAI и переводите их в понятные процессы?</strong></p>
30
<p><strong>Архитектура и стандарты: как на курсе разбираете ISO 27001/27002, COBIT/BAI и переводите их в понятные процессы?</strong></p>
31
<p>По каждому документу и фреймвоку обсуждаем его назначение, его возможности - что именно он позволяет закрыть, способы и особенности внедрения на конкретных примерах и т.д. Понимание достигается тем, что разбираются кейсы, к которым такие подходы применимы.</p>
31
<p>По каждому документу и фреймвоку обсуждаем его назначение, его возможности - что именно он позволяет закрыть, способы и особенности внедрения на конкретных примерах и т.д. Понимание достигается тем, что разбираются кейсы, к которым такие подходы применимы.</p>
32
<p><strong>Бюджет и экономика ИБ: как защищать бюджет и показывать ROI/эффект от инвестиций в безопасность? Пример "до/после".</strong></p>
32
<p><strong>Бюджет и экономика ИБ: как защищать бюджет и показывать ROI/эффект от инвестиций в безопасность? Пример "до/после".</strong></p>
33
<p>Основная проблема бюджетирования информационной безопасности заключается в том, что результат успешной деятельности не всегда очевиден. То есть бюджет нужен для предотвращения реализации того или иного недопустимого для бизнеса события - и как правило, бизнес имеет мнение, что "у нас же ничего годами не случается, зачем в это вкладываться?". И зачастую, сначала должно что-то случиться, чтобы бизнес осознал, что угрозы вполне реальны.</p>
33
<p>Основная проблема бюджетирования информационной безопасности заключается в том, что результат успешной деятельности не всегда очевиден. То есть бюджет нужен для предотвращения реализации того или иного недопустимого для бизнеса события - и как правило, бизнес имеет мнение, что "у нас же ничего годами не случается, зачем в это вкладываться?". И зачастую, сначала должно что-то случиться, чтобы бизнес осознал, что угрозы вполне реальны.</p>
34
<p>Поэтому единого рецепта тут нет: практически помогает разбор реальных инцидентов ИБ (как своих, так и из других организаций). Приведение примеров реальных потерь - против расходов на вложения. Также нужно понимание основного бизнеса организации - предложения по сокращению поверхности атаки, унификации и упрощению ИТ-инфраструктуры - т.е. меры улучшения состояния ИБ без дополнительных вложений. Ещё полезны внешние пен-тесты и внешние аудиты - когда мнение CISO подкрепляется независимой оценкой.</p>
34
<p>Поэтому единого рецепта тут нет: практически помогает разбор реальных инцидентов ИБ (как своих, так и из других организаций). Приведение примеров реальных потерь - против расходов на вложения. Также нужно понимание основного бизнеса организации - предложения по сокращению поверхности атаки, унификации и упрощению ИТ-инфраструктуры - т.е. меры улучшения состояния ИБ без дополнительных вложений. Ещё полезны внешние пен-тесты и внешние аудиты - когда мнение CISO подкрепляется независимой оценкой.</p>
35
<p><strong>Поставщики и подрядчики: критерии выбора, контроль выполнения и типичные "красные флаги".</strong></p>
35
<p><strong>Поставщики и подрядчики: критерии выбора, контроль выполнения и типичные "красные флаги".</strong></p>
36
<p>Если речь вести о поставщиках и подрядчиках товаров и услуг ИБ и если исключить нормативку типа 44-ФЗ, то основные критерии выбора - это афиллированность, отношение к тому же холдингу / группе компаний, репутация по уже завершённым проектам, их результаты. Это приоритетно.</p>
36
<p>Если речь вести о поставщиках и подрядчиках товаров и услуг ИБ и если исключить нормативку типа 44-ФЗ, то основные критерии выбора - это афиллированность, отношение к тому же холдингу / группе компаний, репутация по уже завершённым проектам, их результаты. Это приоритетно.</p>
37
<p>На втором месте - глобальная репутация поставщика, известность на рынке, реальные отзывы других клиентов (ИБ-среда - очень плотная, всегда есть знакомые, кто может рассказать о своём опыте с конкретным поставщиком). </p>
37
<p>На втором месте - глобальная репутация поставщика, известность на рынке, реальные отзывы других клиентов (ИБ-среда - очень плотная, всегда есть знакомые, кто может рассказать о своём опыте с конкретным поставщиком). </p>
38
<p><strong>Красный флаг</strong>- систематический срыв договорённостей (т.е. любой срыв более одного раза), отсутствие мер по исправлению. Признаки этого могут быть разные - долгие ответы в коммуникациях (или вообще отсутствие ответов, вопросы нужно перезадавать). Частая смена представителей - признаки текучести кадров у поставщика. Что-то из публичного поля - "интриги, скандалы, расследования" - имеет смысл и на это обращать внимание.</p>
38
<p><strong>Красный флаг</strong>- систематический срыв договорённостей (т.е. любой срыв более одного раза), отсутствие мер по исправлению. Признаки этого могут быть разные - долгие ответы в коммуникациях (или вообще отсутствие ответов, вопросы нужно перезадавать). Частая смена представителей - признаки текучести кадров у поставщика. Что-то из публичного поля - "интриги, скандалы, расследования" - имеет смысл и на это обращать внимание.</p>
39
<p><strong>Абсолютный красный флаг</strong>- попытки манипуляций и введения в заблуждение (либо умалчивание каких-то важных аспектов). С такими лучше не связываться вообще.</p>
39
<p><strong>Абсолютный красный флаг</strong>- попытки манипуляций и введения в заблуждение (либо умалчивание каких-то важных аспектов). С такими лучше не связываться вообще.</p>
40
<p><strong>Восстановление после сбоев: что обязательно должно быть в DRP и как вы тестируете готовность? Короткий чек-лист.</strong></p>
40
<p><strong>Восстановление после сбоев: что обязательно должно быть в DRP и как вы тестируете готовность? Короткий чек-лист.</strong></p>
41
<p>План восстановления после сбоев можно разделить на техническую часть и процессную.</p>
41
<p>План восстановления после сбоев можно разделить на техническую часть и процессную.</p>
42
<p>Если с технической всё более-менее ясно - повысить эффективность можно методами QA (заранее подготовленный тест-план и обученные сотрудники, как его проходить), то с процессной могут быть сложности, поскольку не каждый процесс можно проверить быстро.</p>
42
<p>Если с технической всё более-менее ясно - повысить эффективность можно методами QA (заранее подготовленный тест-план и обученные сотрудники, как его проходить), то с процессной могут быть сложности, поскольку не каждый процесс можно проверить быстро.</p>
43
<p>Тем не менее, наличие письменного тест-плана с версионированием (историей изменений) и фиксация результатов исполнения - это самый подходящий метод.</p>
43
<p>Тем не менее, наличие письменного тест-плана с версионированием (историей изменений) и фиксация результатов исполнения - это самый подходящий метод.</p>
44
<p>Если говорить о тест-планах с точки зрения QA, то уже тут могут быть различные подходы: быстрые проверки (smoke-testing) - когда в системе проверяются отдельные, наиболее критические или ранее пострадавшие функции и полные проверки (regression-testing), когда проводится комплексная проверка всей системы по всему функционалу. Можно комбинировать, можно применять автоматизацию тестирования (с учётом того, что есть особенности автоматизации тестирования Prod).</p>
44
<p>Если говорить о тест-планах с точки зрения QA, то уже тут могут быть различные подходы: быстрые проверки (smoke-testing) - когда в системе проверяются отдельные, наиболее критические или ранее пострадавшие функции и полные проверки (regression-testing), когда проводится комплексная проверка всей системы по всему функционалу. Можно комбинировать, можно применять автоматизацию тестирования (с учётом того, что есть особенности автоматизации тестирования Prod).</p>
45
<p>В некоторых случаях, требуется<a>цикл</a>повторного ввода в эксплуатацию системы (с проведением всего комплекса приёмочного тестирования). Зависит от важности системы и глубины произошедшего сбоя.</p>
45
<p>В некоторых случаях, требуется<a>цикл</a>повторного ввода в эксплуатацию системы (с проведением всего комплекса приёмочного тестирования). Зависит от важности системы и глубины произошедшего сбоя.</p>
46
<p><strong>AppSec и уязвимости: что должен знать CISO про SAST/DAST, безопасную разработку и как вы внедряли SSDLC у себя?</strong></p>
46
<p><strong>AppSec и уязвимости: что должен знать CISO про SAST/DAST, безопасную разработку и как вы внедряли SSDLC у себя?</strong></p>
47
<p>Даже если сама организация не разрабатывает своё ПО, CISO должен знать про принципы разработки безопасного ПО (РБПО), назначение каждого класса инструментов и что требовать от разработчиков ПО, работающих, например, по подряду. Также при эксплуатации сертифицированного в ФСТЭК России ПО, нужно знать те меры, ответственность за которые лежат на командах эксплуатации (это ГОСТ 56939-2024).</p>
47
<p>Даже если сама организация не разрабатывает своё ПО, CISO должен знать про принципы разработки безопасного ПО (РБПО), назначение каждого класса инструментов и что требовать от разработчиков ПО, работающих, например, по подряду. Также при эксплуатации сертифицированного в ФСТЭК России ПО, нужно знать те меры, ответственность за которые лежат на командах эксплуатации (это ГОСТ 56939-2024).</p>
48
<p>Аббревиатуру "SSDLC" ныне принято импортозамещать отечественной "РБПО" - а<strong>методика внедрения принципиально проста</strong>: </p>
48
<p>Аббревиатуру "SSDLC" ныне принято импортозамещать отечественной "РБПО" - а<strong>методика внедрения принципиально проста</strong>: </p>
49
<ul><li>Шаг 1 - Формирование модели угроз</li>
49
<ul><li>Шаг 1 - Формирование модели угроз</li>
50
<li>Шаг 2 - Описание политик безопасности</li>
50
<li>Шаг 2 - Описание политик безопасности</li>
51
<li>Шаг 3 - Сканирование кода</li>
51
<li>Шаг 3 - Сканирование кода</li>
52
<li>Шаг 4 - Исследование тестовой сборки</li>
52
<li>Шаг 4 - Исследование тестовой сборки</li>
53
<li>Шаг 5 - Устранение выявленных уязвимостей</li>
53
<li>Шаг 5 - Устранение выявленных уязвимостей</li>
54
</ul><p>Всё это и многое другое разбирается в рамках наших курсов по ИБ - приходите.</p>
54
</ul><p>Всё это и многое другое разбирается в рамках наших курсов по ИБ - приходите.</p>
55
<p>Расскажем и об этом, и о связанных "подводных камнях".</p>
55
<p>Расскажем и об этом, и о связанных "подводных камнях".</p>
56
<p><strong>Лидерство: как вы строили и развивали команду ИБ (структура, роли, рост)? Один урок из опыта управления большой командой.</strong></p>
56
<p><strong>Лидерство: как вы строили и развивали команду ИБ (структура, роли, рост)? Один урок из опыта управления большой командой.</strong></p>
57
<p>Важно, чтобы в команде была чёткая иерархия, выделенные зоны ответственности, чтоб каждый в полной мере осознавал свою роль и свой вклад. Особое внимание - лидерам команд. Я исхожу из того принципа, что я подбираю себе непосредственных подчинённых, ставлю им задачи - а уже эти прямые подчинённые формируют свои команды. Я тут только помогаю и верхнеуровнево контролирую. Решение принимают лидеры - тогда они будут именно лидерами.</p>
57
<p>Важно, чтобы в команде была чёткая иерархия, выделенные зоны ответственности, чтоб каждый в полной мере осознавал свою роль и свой вклад. Особое внимание - лидерам команд. Я исхожу из того принципа, что я подбираю себе непосредственных подчинённых, ставлю им задачи - а уже эти прямые подчинённые формируют свои команды. Я тут только помогаю и верхнеуровнево контролирую. Решение принимают лидеры - тогда они будут именно лидерами.</p>
58
<p>Структура зависит от задач и функций. Но основные принципы соответствуют тому, что на каждые 5-8 человек должно быть выделенное подразделение со своим командиром. Если подразделение становится больше - им в контексте ИБ гораздо сложнее управлять. Это связано с тем, что практически каждый сотрудник - это высокообразованный эксперт, работа с которым должна быть тщательной и времени на которую должно быть достаточно. Начиная с постановки задач такому эксперту и заканчивая контролем результатов.</p>
58
<p>Структура зависит от задач и функций. Но основные принципы соответствуют тому, что на каждые 5-8 человек должно быть выделенное подразделение со своим командиром. Если подразделение становится больше - им в контексте ИБ гораздо сложнее управлять. Это связано с тем, что практически каждый сотрудник - это высокообразованный эксперт, работа с которым должна быть тщательной и времени на которую должно быть достаточно. Начиная с постановки задач такому эксперту и заканчивая контролем результатов.</p>
59
<p>Рост, как правило, связан с реструктуризацией подразделений. Иногда - с текучкой кадров (всегда должен быть план, кто в команде является "запасным", включая для вас самих). Хорошо сформированная и работающая команда не теряет свою эффективность даже при уходе лидеров. Это показатель правильной кадровой работы.</p>
59
<p>Рост, как правило, связан с реструктуризацией подразделений. Иногда - с текучкой кадров (всегда должен быть план, кто в команде является "запасным", включая для вас самих). Хорошо сформированная и работающая команда не теряет свою эффективность даже при уходе лидеров. Это показатель правильной кадровой работы.</p>
60
<p><strong>Для кого этот курс точно "выстрелит"? Входные требования и что студент сможет делать после выпуска - на уровне задач CISO.</strong></p>
60
<p><strong>Для кого этот курс точно "выстрелит"? Входные требования и что студент сможет делать после выпуска - на уровне задач CISO.</strong></p>
61
<p><a>Выстрелит курс</a>для тех, кому нужна систематизация их знаний - или получения углублённых для карьерного роста.</p>
61
<p><a>Выстрелит курс</a>для тех, кому нужна систематизация их знаний - или получения углублённых для карьерного роста.</p>
62
<p>Например, если архитектор ИБ / продвинутый инженер ИБ задумал занять позицию CISO как продолжение своего развития. Понять философию подхода и смежные области, которые требуют не только технических навыков. Техника безусловно важна, но без знания смежных дисциплин - это как "суп без соли", вроде объём тот же, но вкус совсем другой.</p>
62
<p>Например, если архитектор ИБ / продвинутый инженер ИБ задумал занять позицию CISO как продолжение своего развития. Понять философию подхода и смежные области, которые требуют не только технических навыков. Техника безусловно важна, но без знания смежных дисциплин - это как "суп без соли", вроде объём тот же, но вкус совсем другой.</p>
63
<p><strong>Чем курс отличается от длинных академических программ и MBA-треков: практические кейсы, формат, наставничество. В чём выигрыш по времени/цене/результату?</strong></p>
63
<p><strong>Чем курс отличается от длинных академических программ и MBA-треков: практические кейсы, формат, наставничество. В чём выигрыш по времени/цене/результату?</strong></p>
64
<p>Поскольку упор на практически полезные навыки и знания, и преподаватели на курсе - это практикующие эксперты, то фокус смещается на наиболее частые и наиболее востребованные вопросы. Можно сказать, что это подход по практической безопасности.</p>
64
<p>Поскольку упор на практически полезные навыки и знания, и преподаватели на курсе - это практикующие эксперты, то фокус смещается на наиболее частые и наиболее востребованные вопросы. Можно сказать, что это подход по практической безопасности.</p>
65
<p>Также обильно приводятся и практические примеры, от тех, кто по "пути самурая CISO" уже идёт, так и предложения по дополнительным материалам, где в зависимости от потребности знания можно углубить.</p>
65
<p>Также обильно приводятся и практические примеры, от тех, кто по "пути самурая CISO" уже идёт, так и предложения по дополнительным материалам, где в зависимости от потребности знания можно углубить.</p>
66
<p>Конкретно для меня, например, профильной является область безопасной разработки ПО, поскольку основная деятельность той компании, где я работаю CISO - это именно разработка ПО (ГК Девелоника, входит в ГК Софтлайн). И, соответственно, моя история преподавания началась с курса OTUS "Введение в DevSecOps". Так что тут много нюансов. При этом, знание экономики и некоторые подходы из MBA также нужны, но я лично предпочитаю изучать их самостоятельно. Слишком много времени они требуют при обучении на продолжительных курсах.</p>
66
<p>Конкретно для меня, например, профильной является область безопасной разработки ПО, поскольку основная деятельность той компании, где я работаю CISO - это именно разработка ПО (ГК Девелоника, входит в ГК Софтлайн). И, соответственно, моя история преподавания началась с курса OTUS "Введение в DevSecOps". Так что тут много нюансов. При этом, знание экономики и некоторые подходы из MBA также нужны, но я лично предпочитаю изучать их самостоятельно. Слишком много времени они требуют при обучении на продолжительных курсах.</p>
67
<p><strong>Финальный проект: какую реальную ценность он даёт студенту и работодателю? Примеры тем/артефактов (стратегия, реестр рисков, метрики и т.д.).</strong></p>
67
<p><strong>Финальный проект: какую реальную ценность он даёт студенту и работодателю? Примеры тем/артефактов (стратегия, реестр рисков, метрики и т.д.).</strong></p>
68
<p>Решение практических вопросов - это всегда понимание, во-первых, для себя - верно ли то, что я иду в эту область?</p>
68
<p>Решение практических вопросов - это всегда понимание, во-первых, для себя - верно ли то, что я иду в эту область?</p>
69
<p>Во-вторых - портфолио и знание терминологии позволяет получить "вход в профессию". Если на собеседовании вы сможете рассказать основные принципы вашей деятельности и обосновать их верность в контексте последствий от несоблюдения, и сделать это уверенно, "без запинок", то как минимум, составите о себе мнение как об эксперте. Проекты бывают разные, и "бумажные", и технические.</p>
69
<p>Во-вторых - портфолио и знание терминологии позволяет получить "вход в профессию". Если на собеседовании вы сможете рассказать основные принципы вашей деятельности и обосновать их верность в контексте последствий от несоблюдения, и сделать это уверенно, "без запинок", то как минимум, составите о себе мнение как об эксперте. Проекты бывают разные, и "бумажные", и технические.</p>
70
<p>Например, собрать CI/CD конвейер и внедрить в него сканеры. Либо настроить лабораторную сеть и развернуть в ней SIEM. На основе этих решение сделать какую-либо аналитику - что было, что стало после внедрения, как повлияло на параметры ИБ. Тут дело вкуса и доступного времени.</p>
70
<p>Например, собрать CI/CD конвейер и внедрить в него сканеры. Либо настроить лабораторную сеть и развернуть в ней SIEM. На основе этих решение сделать какую-либо аналитику - что было, что стало после внедрения, как повлияло на параметры ИБ. Тут дело вкуса и доступного времени.</p>
71
<p><strong>Киберучения и тренировки: что практикуем на курсе и как это повышает готовность компании к кризисам?</strong></p>
71
<p><strong>Киберучения и тренировки: что практикуем на курсе и как это повышает готовность компании к кризисам?</strong></p>
72
<p>Киберучения и тренировки начинаются со сценариев. Сценарии - с анализа рисков. А риски - с моделей угроз и нарушителя. Соответственно, на курсе проходим весь этот<a>цикл с</a>внесением глубокого понимания шагов на каждом этапе, оценкой необходимых мер и результатов. Основной результат - все участники учений будут в курсе того, куда смотреть и кому, в случае чего, звонить.</p>
72
<p>Киберучения и тренировки начинаются со сценариев. Сценарии - с анализа рисков. А риски - с моделей угроз и нарушителя. Соответственно, на курсе проходим весь этот<a>цикл с</a>внесением глубокого понимания шагов на каждом этапе, оценкой необходимых мер и результатов. Основной результат - все участники учений будут в курсе того, куда смотреть и кому, в случае чего, звонить.</p>
73
<p>В памяти должны остаться короткие понятные и простые действия. Не всегда есть время вычитывать и заучивать длинные инструкции, их нужно писать и читать заранее.</p>
73
<p>В памяти должны остаться короткие понятные и простые действия. Не всегда есть время вычитывать и заучивать длинные инструкции, их нужно писать и читать заранее.</p>
74
<p><strong>Научитесь управлять рисками и обеспечивать соблюдение стандартов и нормативов на курсе<a>"CISO / Директор по информационной безопасности"</a></strong></p>
74
<p><strong>Научитесь управлять рисками и обеспечивать соблюдение стандартов и нормативов на курсе<a>"CISO / Директор по информационной безопасности"</a></strong></p>
75
75