Полезные материалы

Короткий внедренческий чек-лист (КИИ / февраль 2026): что обновить в документах, процессах и СЗИ drive.google.com/...ing

Коллеги, подготовили чек-лист по категорированию объектов КИИ Он подходит и для внутренней работы, и для слушателей наших курсов: чекбоксы кликабельные, можно отмечать прямо в PDF и использовать как рабочую шпаргалку/контроль выполнения. drive.google.com/...ing

№117 — это не просто «перечень мер», а надстройка управления: задаёт роли и ответственность, требует планирование → выполнение → оценка → улучшения (чтобы защита жила как процесс, а не «к проверке»); вводит измеримость: показатели K_зи (защищённость) и P_зи (зрелость) — то есть появляется логика «как понять, что мы реально защищены»; учитывает современную инфраструктуру (виртуализация/облака, контейнеры и оркестрация, API, IoT и т.д.) — меры сразу ориентированы на актуальные технологии; привязывает требования к классам защищённости (1/2/3) и возможностям нарушителя (высокие/повышенные/базовые); требует регулярного контроля (не реже 1 раза в 3 года и/или после инцидентов) и контур отчётности с направлением результатов в ФСТЭК. docs.google.com/...rue

Коллеги, важное обновление по категорированию объектов (КИИ). В ноябре 2025 года принято Постановление Правительства РФ № 1762, которым скорректированы правила категорирования (ПП РФ № 127). Что поменялось по сути: Акцент смещается к отраслевой модели: при категорировании теперь важнее учитывать типовые отраслевые объекты КИИ и отраслевые особенности, а не только внутреннее представление организации о критичности процессов. Из процедуры убирается прежняя логика, завязанная на определение и привязку «критических процессов» (в старом привычном виде). Обновлены показатели критериев значимости и расширены требования к сведениям, направляемым регулятору (в том числе по сетевым адресам/доменным именам для взаимодействующих с сетями общего пользования объектов). Что сделать субъекту КИИ уже сейчас? Провести инвентаризацию объектов на соответствие типовым перечням Перепроверить результаты категорирования с учётом новых правил Актуализировать пакет сведений и внутренние документы комиссии drive.google.com/...ing

Чек-лист для коллег: “Эксперт за джун-ставку” — как распознать до созвона Если после прочтения вакансии у вас ощущение, что вы одновременно: CISO (Chief Information Security Officer — директор по ИБ), SOC (Security Operations Center — центр мониторинга), DevOps, юрист по 152-ФЗ, и ещё “немного SRE” (Site Reliability Engineering — инженер надёжности), …то, скорее всего, это не “интересный проект”, а квест на выживание. Признаки реального работодателя (зелёные флажки) Есть конкретика по задачам Не “обеспечить безопасность всего”, а: “внедрить MFA (Multi-Factor Authentication — многофакторная аутентификация) для VPN, пересобрать права в AD, настроить сбор логов в SIEM”. Понятна зона ответственности Что именно входит в роль, а что — “смежники/подрядчик/другая команда”. Есть контекст: что уже сделано и что болит Например: “есть WAF, нет процессов”, “EDR стоит, но не заведён в эксплуатацию”, “инциденты не разбираются”. Адекватная вилка и формат Ставка соответствует уровню задач. Если нужен “эксперт”, зарплата выглядит как “эксперт”, а не “за интерес”. Дают информацию до созвона Кто руководитель, какая команда, какие ожидания на 1–3 месяца, какие метрики успеха. Признаки фантазёров (красные флажки) ☐ “Нужно всё” + “вчера” “С нуля построить ИБ, SOC, документацию, аудит, 152-ФЗ, КИИ, ISO, PCI DSS, и ещё реагировать 24/7”. ☐ Вилка “по итогам собеседования” при списке задач на C-level Перевод: “мы тоже пока не знаем, кого хотим, но хотим максимум”. ☐ Роль = три должности “Инженер ИБ + системный администратор + разработчик + аналитик + менеджер проектов”. ☐ Нет ресурсов, но есть ожидания “Бюджета нет, но вы держитесь”. “Команды нет, но вы лидер”. “Инструментов нет, но сделайте красиво”. ☐ Ключевая мотивация — “интересно” Если основной бонус — “у нас драйв, динамика и амбиции”, а деньги “потом обсудим” — это не драйв, это экономия. ☐ Собеседование как экзамен на телепатию Никакой вводной, но “расскажите, как вы построите всё в идеале”. И желательно “в двух словах, у нас 15 минут”. Контрольные вопросы работодателю (задают всё о человеке, а не о компании) Сохраните как мини-скрипт: “Какая главная задача роли на первые 30/60/90 дней?” Если ответа нет → значит, нет управления, есть “поиск волшебника”. “Какие ресурсы под это выделены?” (люди/бюджет/инструменты/подрядчики) Если “никаких” → это не роль, это “спасение проекта”. “Где граница ответственности?” Кто отвечает за инфраструктуру, кто за разработку, кто за юристов, кто за комплаенс. “Как выглядит успех?” Что будет считаться результатом: внедрено, измерено, уменьшены риски, закрыты требования и т.д. Быстрый вывод (чтобы не тратить время) Если вакансия звучит как: “Нам нужен эксперт, но платить можем как за стажёра” — это обычно значит: “Мы хотим результат без инвестиций”. А вы не волшебник. Вы специалист. drive.google.com/...ing