АНО ДПО "Международная академия современного образования"

От «бумажных» моделей угроз — к живым цифровым двойникам Большинство моделей угроз до сих пор выглядят так: сделали документ, согласовали, положили на полку… и забыли до следующего года. Проблема? Инфраструктура меняется каждый день. Атаки — ещё быстрее. Что приходит на смену: динамическое моделирование угроз Это живой процесс, который постоянно отвечает на вопрос: 👉 «Что можно взломать прямо сейчас в нашей текущей конфигурации?» Три ключевых элемента нового подхода 1. Динамическая модель Автоматически учитывает: — изменения в инфраструктуре — новые TTP и индикаторы угроз — результаты тестов и инцидентов Модель не устаревает — она обновляется вместе с системой. 2. Проверка через атаки (BAS + Pentest) Модель должна подтверждаться практикой: BAS — непрерывно «стреляет» по защите и проверяет гигиену Pentest — находит сложные, нетривиальные цепочки Результаты → обратно в модель → корректировка рисков 3. Цифровой двойник (Cyber Range) Ключевой элемент всей системы. Это полная копия вашей инфраструктуры, где можно: — безопасно запускать ransomware и wiper-сценарии — видеть реальный ущерб (а не предположения) — прогонять тысячи атак в день — тренировать SOC и команды Почему это лучше классики? Статика: ❌ обновляется раз в год ❌ проверяет гипотезы «на бумаге» ❌ плохо учитывает изменения Динамика: ✅ обновляется постоянно ✅ валидируется реальными атаками ✅ напрямую тестирует защиту (SIEM / EDR / FW) ✅ быстро адаптируется к новым угрозам Как это работает на практике Открылся новый порт 8080 на сервере. Дальше всё автоматически: двойник воспроизводит изменения запускает релевантные сценарии атак находит успешную цепочку (например, выход из контейнера) считает ущерб отправляет алерт с шагами воспроизведения После фикса — система сама перепроверяет результат. Итог Это не замена Pentest или BAS. Это объединяющий слой, который превращает безопасность в цикл: моделирование → атака → проверка → улучшение → повтор Вместо вопроса «насколько мы защищены?» появляется другой: 👉 «мы это уже проверили или ещё нет?» #кибербезопасность #pentest #bas #soc #riskmanagement #mitreattack

Разбор вакансии: методолог по информационной безопасности На рынке ИБ всё чаще встречаются вакансии «методолог», но под этим названием работодатели нередко прячут сразу несколько ролей. Разбираю типичный пример и на что стоит обращать внимание 👇 Что обычно пишут в вакансии: — разработка политик и регламентов — участие в аудитах и взаимодействие с регуляторами — анализ требований законодательства — оценка рисков — участие в проектах ИБ 👉 Это — нормальная, «чистая» методология. Где начинаются тревожные сигналы: ❌ «Настройка средств защиты (FW, WAF, SIEM)» ❌ «Реагирование на инциденты ИБ» ❌ «Администрирование систем безопасности» ❌ «Проведение пентестов» Если это есть в вакансии — перед вами не методолог, а «универсальный солдат». Как должна выглядеть здоровая роль методолога: пишет и актуализирует документы описывает процессы (инциденты, доступы, риски) готовит компанию к проверкам переводит требования регуляторов в понятные задачи участвует в аудитах (но не «закрывает всё руками») 💰 По зарплате (2026): — до 150k → чаще junior или перегруженная роль — 180–250k → адекватный middle — 300k+ → senior / эксперт / финсектор Главный критерий: где проходит граница ответственности Хорошая вакансия: 👉 «Вы разрабатываете правила — другие их исполняют» Плохая вакансия: 👉 «Вы и пишете, и внедряете, и администрируете, и тушите пожары» Как задавать правильные вопросы на собеседовании: — Кто владелец процессов ИБ? — Кто отвечает за выполнение регламентов? — Есть ли отдельные команды (SOC / инженеры)? — Как проходят аудиты сейчас? Если на всё ответ: «ну это тоже вы» — стоит подумать Вывод Методолог — это про систему и управление рисками, а не про «делать всё подряд». Чем чётче границы роли — тем выше: — зарплата — влияние — и адекватность работы Если вам интересна роль методолога в ИБ — присылайте ссылки на вакансии (hh и др.). Разберу: — где адекватные требования — где роль «размыта» — и где скрываются красные флаги Покажу, на что действительно стоит идти, а какие предложения лучше обходить стороной.

Кот в мешке: почему курс по ИБ без согласование ФСТЭК — это риск, а не старт карьеры Вы уверены, что купили курс по информационной безопасности? Высока вероятность, что вы купили не профессию, а её имитацию. Сегодня рынок переполнен онлайн-школами, которые обещают «войти в ИБ за месяц», «научить хакингу» и быстро вывести на высокий доход. Но реальность жёстче: выпускники таких курсов часто не проходят даже первичный отбор у серьёзных работодателей. Причина проста — их знания не подтверждены и не соответствуют требованиям регуляторов. Где на самом деле проблема Информационная безопасность — это не набор инструментов и «лайфхаков». Это работа в рамках строгих требований: нормативка, модели угроз, аудит, контроль защищённости. Если обучение не опирается на эти вещи — оно не готовит специалиста. Риск №1. Сертификат без ценности Большинство популярных курсов не согласованы с регулятором. Это значит, что вы не изучаете: реальные требования и приказы; модели угроз для КИИ и персональных данных; порядок аттестации и проверки систем. Работодатель это понимает сразу. И такой сертификат не усиливает резюме — он его обнуляет. Риск №2. Иллюзия компетенции Главная проблема — не в отсутствии знаний, а в их поверхностности. Специалист после «быстрых курсов» часто не умеет: корректно классифицировать системы; выбирать меры защиты; оформлять документацию; проходить проверки. Внутри компании это выглядит как «всё под контролем», пока не происходит реальный инцидент. Риск №3. Закрытые двери на рынке Без профильного образования вы не сможете полноценно работать там, где есть деньги и ответственность: в проектах, связанных с критической инфраструктурой; в организациях с жёсткими требованиями к безопасности; в лицензируемых направлениях. Фактически вы ограничены низкоуровневыми задачами без роста. ✅ Что даёт образование, согласованное с ФСТЭК Это не формальность и не «галочка». Это базовый стандарт профессии. Такое обучение означает: 1. Вы работаете с реальностью, а не теорией Изучаете действующие требования, подходы к оценке рисков и построению защиты. 2. Вашу квалификацию можно проверить Документы официальны и признаются работодателями. 3. Вы умеете делать, а не просто говорить Проводить аудит, готовить документацию, строить системы защиты — в рамках требований. 🛡 Что важно работодателям И в госсекторе, и в крупной коммерции ищут не «хакеров», а специалистов, которые: понимают регуляторные требования; умеют работать с рисками; могут внедрять и подтверждать меры защиты. Даже коммерческие компании сегодня живут в поле строгих требований к безопасности. И кандидатов оценивают именно через эту призму. 🎓 Как выглядит нормальное обучение Сильная программа — это всегда: системная база (нормативка + практика); реальные кейсы; контроль знаний; итоговая аттестация. Формат может быть дистанционным — требования нет. Итог Рынок информационной безопасности уже не про «быстрый вход». Он про ответственность, проверяемые знания и соответствие требованиям. Популярные курсы могут дать интерес к теме. Но профессию они, как правило, не дают. Если вы хотите: работать на серьёзных проектах, получать достойную оплату, расти в профессии, вам нужно образование, которое признаётся индустрией, а не просто выглядит убедительно.

ЧЕК-ЛИСТ ПО НОВЫМ ПРИКАЗАМ ФСБ (№539, 546, 547, 548, 553, 554) Для субъектов КИИ. Вступают в силу с 30 января 2026 г. 1. Организация и регламенты ✅ Назначить ответственных за связь с НКЦКИ (доступ в личный кабинет). ✅ Организовать круглосуточное дежурство (минимум 2 чел. в смену). ✅ Иметь УКЭП у ответственных. ✅ Согласовать с ФСБ Регламент взаимодействия (срок — 30 дней). ✅ Утвердить и согласовать с НКЦКИ План реагирования на инциденты (90 дней для ЗО КИИ). 2. Уведомления об атаках и инцидентах ✅ Фиксировать не только инциденты, но и сами атаки. ✅ Шаблоны уведомлений в формате ГосСОПКА (XML/JSON). ✅ Сроки: ‣ 3 часа — для значимых объектов КИИ; ‣ 24 часа — для госорганов, банков, операторов. ✅ Отчёт о ликвидации последствий — в течение 10 дней. ✅ Уведомления только через личный кабинет ГосСОПКА (при сбое — резерв, затем дубль в ЛК за 24 ч). 3. Средства защиты (техника и эксплуатация) ✅ Инвентаризация всех средств (обнаружение, предупреждение, ППКА). ✅ Соответствие приказу №554: ‣ российское происхождение и поддержка; ‣ сертификат ФСБ (для СОВ и ППКА); ‣ автопередача данных в НКЦКИ; ‣ хранение трафика с признаками атак ≥7 дней; ‣ поведенческий анализ, обновление сигнатур ≥1 раза/сутки. ✅ Для несоответствующих средств — план замены до 1 января 2027 г. ✅ Резервное питание, контроль доступа, соблюдение режимов. ✅ Уведомлять ФСБ о плановых работах/замене за 7 дней. 4. Каналы связи и личный кабинет ✅ Доступ к ЛК 24/7/365. ✅ Резервный канал (например, 4G с другим оператором). ✅ ИБП/генератор для сетевого оборудования. ✅ Провести учения по переходу на резерв. 5. Документы и обучение ✅ Обновить внутренние регламенты ИБ. ✅ Назначить ответственного за мониторинг cert.gov.ru. ✅ Обучить персонал (сроки, форматы, работа в ЛК, УКЭП). ✅ Завести журнал всех уведомлений и ответов НКЦКИ. 6. Обмен с другими (в т.ч. зарубежными) CERT ✅ Запрещены прямые контакты с зарубежными CERT — только через НКЦКИ. ✅ Обмен с другими субъектами КИИ — по форматам ГосСОПКА. Главное начать с: аудита средств защиты на соответствие №554; настройки непрерывного доступа к личному кабинету; обучения дежурных и обновления регламентов. Штрафы за нарушения — до 500 тыс. руб., возможны предписания и ограничения. #КИИ #ФСБ #ГосСОПКА #Приказы2026 #Инфобезопасность

10 ошибок при категорировании КИИ в оборонке, энергетике и связи Короткий чек-лист, чтобы не повторить чужие косяки. ❌ 1. Делить системы на «ИТ» и «АСУ ТП/связь» — они все КИИ ❌ 2. Игнорировать типовые отраслевые перечни (Минпромторг, Минэнерго, Минцифры) ❌ 3. Считать, что «железо» (роутеры, станки, релейные шкафы) — не требует категорирования ❌ 4. Забывать про физическую инфраструктуру (кондиционеры, ИБП, системы охлаждения) ❌ 5. Не учитывать географию — единственный объект в регионе автоматически повышает категорию ❌ 6. Занижать время восстановления (ручное управление ≠ штатное, даже при наличии персонала) ❌ 7. Оценивать только по экономике — в оборонке и связи критична жизнь людей и безопасность государства ❌ 8. Не привлекать смежные отделы (АСУ ТП, РЗА, режимный отдел, эксплуатацию) ❌ 9. Считать, что категорирование — разовая задача (его нужно пересматривать каждые 3 года или при изменениях) ❌ 10. Игнорировать внешний аудит — свой глаз не видит свои косяки Итог серии Категорирование КИИ в оборонке, энергетике и связи — не бюрократия. Ошибка стоит миллиардов, отключения городов и срыва госзаказа. Привлекайте технологических специалистов. И помните: роутер — тоже КИИ. #КИИ #категорирование #безопасность #оборонка #энергетика #связь

КИИ-2026: 4 изменения, которые уже нельзя игнорировать 2026 год окончательно убрал «серую зону» в безопасности КИИ. Теперь всё просто: либо соответствуешь требованиям, либо платишь. Что изменилось: 1. Типовые объекты (№ 360-р) Больше никаких споров — есть перечень из ~400 объектов. Совпало с вашим IT-ландшафтом → это КИИ → обязательная защита. 2. Отраслевая специфика Универсальных правил больше нет. Финансы, атомная отрасль, наука — у каждого сектора свои требования и методики. 3. Моделирование атак «Бумажные» модели угроз больше не работают. Нужно подтверждать реализуемость атак: pentest, BAS, киберполигоны. 4. Штрафы (№ 77-ФЗ) Ответственность — за сам факт нарушений. До 500 тыс. руб. для юрлиц — даже без инцидентов. Что делать уже сейчас: Сверить IT-ландшафт с перечнем типовых объектов Пересчитать категорирование Проверить модель угроз на практике (pentest / BAS) Навести порядок в эксплуатации и конфигурациях ИБ в 2026 — это уже не про документы. Это про доказуемую устойчивость. #КИИ #ИБ #Кибербезопасность #Pentest #BAS #Регуляторика #ФСТЭК

ФСТЭК обновила требования к ИБ: игра изменилась незаметно, но радикально. Главное: безопасность теперь закладывается в архитектуру системы на старте и остается ее частью всегда. Ключевые изменения: 📌 Модель угроз — постоянный процесс. Разовый документ больше не работает. 📌 Цепочки поставок — под контролем. Учитываются обновления, поставщики, даже гипотетические закладки. 📌 Сеть — строгая сегментация, доступ по принципу минимума. 📌 Обновления — напрямую из интернета запрещены. 📌 Удаленные протоколы — RDP, Telnet, FTP без VPN фактически недоступны. 📌 Внешний доступ — только с MFA или сертификатами. 📌 Новые технологии — ИИ, контейнеры, виртуализация получили отдельные требования. Серой зоны больше нет. Рынку пора перестраиваться: безопасность становится архитектурной дисциплиной, а не набором галочек.   #ФСТЭК #ИБ #кибербезопасность #модельугроз #MFA #RDP #VPN #ИИ #контейнеры #виртуализация #регуляторика

Как не ошибиться с выбором обучения в ИБ — коротко и по делу 👇 Информационная безопасность — сфера, где ошибки стоят дорого: от потери денег до репутационных рисков. Поэтому выбирать курсы «наугад» — плохая идея. Вот что важно учитывать: 🔹 Определите цель — Новая профессия → берите профпереподготовку (500+ часов) — Рост в карьере → подойдёт повышение квалификации (216 часов) — Старт с нуля → начните с базовых 108 часов 🔹 Проверьте согласование с ФСТЭК Это не формальность. Без него диплом могут не принять в госсекторе и серьёзных компаниях. 🔹 ФИС ФРДО — обязательно Ваш диплом должен проверяться через реестр Рособрнадзора. Иначе — риск «бумажки без веса». 🔹 Формат обучения Дистанционка — это удобно: старт в любой день + доступ к материалам до 2 лет. 🔹 Цена ошибки Некачественное обучение = — потеря месяцев — повторное обучение — ограничения в карьере 💰 При этом хорошие курсы могут стоить от 4 900 ₽ и окупаются уже в первый год. 📌 Итог: 108 ч — база 216 ч — углубление 500+ ч — серьёзная карьера и работа с КИИ Если сомневаетесь — лучше потратить время на выбор, чем деньги на переобучение. 👉 Подробнее о программах: maso-it.ru