Документ описывает первые шаги нового Chief Information Security Officer (CISO) Всеволода Шабада, его опыт и основные задачи на этой должности. Он акцентирует внимание на важности понимания своей роли в компании, взаимодействия со стейкхолдерами и разработки стратегии информационной безопасности (ИБ). Также рассматриваются вопросы управления ценностью, инвентаризации активов и развития команды в контексте достижения долгосрочных целей.

1. Первые шаги нового CISO
Всеволод Шабад, CISSP

2. 37+ лет карьеры в ИТ-индустрии
• Программист-разработчик (1985-1996)
• Сетевой инженер (1993-1999)
• Генеральный директор российского системного
интегратора (2000-2018)
• CISO, CIO, vCISO (2018-…)
🇷🇺
🇰🇿
🇷🇸
🇧🇬
🇹🇷
🇸🇬

3. Основные задачи CISO
Понять свои роль и место в компании
Наладить взаимодействие со стейкхолдерами
Разработать/актуализировать стратегию ИБ
Реализовать стратегию ИБ
Строить и развивать команду
Принимать решения
Учиться, учиться и еще раз учиться! И учить других!
Демонстрировать Due Care!

4. Роль CISO в компании
?
Первый CISO
в компании
Замена
прежнего CISO
Успешного
Неуспешного

5. Место CISO в оргструктуре
•Член Правления
•Подчинен Исполнительному директору
•Подчинен CIO или CTO
•Подчинен Директору по безопасности
•…

6. Оргструктура блока CISO (личный опыт)
CSO, SVP
CISO
Head of
Cybersecurity
Department
SOC Red Team
Cyber
Architects
Fraud
Prevention
Team
Compliance
& Methodology
Team
CIO, SVP
IT Infrastructure
Department
Cyber Security
Tools support
team
App
Sec

7. Взаимодействие со стейкхолдерами
CEO
Руководители бизнес-блоков
CIO, CTO, …
Руководители подразделений безопасности
Руководители подразделений управления рисками и комплайнс
Регулирующие и контролирующие органы
...

8. Вопросы к каждому стейкхолдеру
• Какую ценность для него создает (должна создавать) ИБ?
• Что сейчас не так? Что нужно улучшить?
• Почему до сих пор не удалось улучшить? Что мешало?
• Если расставлять приоритеты желаемых улучшений, то как?
• Чем стейкхолдер может помочь улучшениям? Информация?
Ресурсы? Советы? Еще что-то?
• Каковы желаемый порядок и регулярность коммуникаций?

9. Управление ценностью
Фрод-офицер
SOC
• 20-
страничный
отчет по
каждому
фрод-
инциденту
Сотрудник ЭБ
• Клиент –
жертва или
пособник?
• Есть ли новая
схема?
• Материал для
возбуждения
уголовного
дела
Клиент Сотрудник
Центра «К»
• Заявления о
возбуждении
уголовного
дела
• Уголовные
дела
Суд
Несколько недель

10. Что не так со стратегией ИБ? (пример)

11. Что должно быть в (здравой) стратегии ИБ?
Увязка со стратегией компании в целом
Увязка с ожиданиями стейкхолдеров
Увязка со стратегией управления рисками
Полномочия, ресурсы, сферы компетенции
Принятые ограничения и компромиссы
Нормативные правила
Портфель инициатив в области ИБ

12. Пример принятого компромисса
• При первом сканировании на уязвимости обнаружены десятки
критических (CVSS ≥ 9), закрытие которых требует месяцев работы
• Если закрыть все критические уязвимости, сорвем сроки релиза
• Если не закрыть выявленные уязвимости, и злоумышленник нанесет
клиенту ущерб, то будет уголовное преследование руководителей
• Компромисс (согласованный с юристами):
• все выявленные незакрытые критические уязвимости публикуются
в документации к релизу
• CTO (ключевая публичная фигура компании) заявляет о своем личном
обязательстве закрыть оставшиеся уязвимости к следующему релизу
• все ключевые заказчики непублично информируются о выявленных незакрытых
уязвимостях за 2 недели до релиза

13. Фрейминг рисков ИБ
Из NIST SP 800-39

14. Пример неочевидного риска ИБ
• Статья 3 GDPR ”Territorial scope”:
• 2. This Regulation applies to the processing of personal data
of data subjects who are in the Union by a controller
or processor not established in the Union, where
the processing activities are related to:
a) the offering of goods or services, irrespective of whether
a payment of the data subject is required, to such data subjects
in the Union; or
b) the monitoring of their behaviour as far as their behaviour
takes place within the Union.
• Штрафы за нарушение требований GDPR (статья 83):
• до 20 млн. EUR или 4% годового оборота (в зависимости от того, что больше)
• Cookies?
• WAF?
• Anti-DDoS?
• …

15. Инвентаризация и приоритизация активов
• единственный актив, заслуживающий защиты – деловая репутация
• предотвращаем распространение malware в наших дистрибутивах
Пример 1
• наиболее критичны хосты в зоне PCI DSS (cardholder data environment)
• вторые по приоритету хосты в зоне SWIFT CSP (local infrastructure)
Пример 2
• production-инфраструктура приоритетнее, чем бэк-офисная
Пример 3

16. Приоритизация векторов атак

17. Моделирование угроз (подход STRIDE)
Threat Desired Property Preventive control Detective Control
Spoofing Authencity Docker Content Trust DOCKER_CONTENT_TRUST = 1
Tampering Integrity SHA256 Digest Tagging ‘docker pull’ return code
Repudiation Non-Repudiability Personalized Docker Hub accounts Docker Hub Audit Logs
Information Disclosure Confidentiality No No
Denial of Service Availability Docker Hub Download Rate Limit Docker pull timeout
Elevation of Privilege Authorisation Image vulnerability check Falco runtime monitoring
Asset (object) – distributive Docker images of the supplied software
Example of Trust Service Criteria:
CC7.1 To meet its objectives, the entity uses detection and monitoring procedures to identify (1) changes to configurations that
result in the introduction of new vulnerabilities, and (2) susceptibilities to newly discovered vulnerabilities.

18. Планирование контролей безопасности
ISO/IEC 27001:2022, 6.1.3 Information security risk treatment
The organization shall define and apply an information security risk
treatment process to:
a) select appropriate information security risk treatment options,
taking account of the risk assessment results;
b) determine all controls that are necessary to implement the
information security risk treatment option(s) chosen;
c) compare the controls determined in 6.1.3 b) above with those
in Annex A and verify that no necessary controls have been omitted;
d) produce a Statement of Applicability that contains:
— the necessary controls (see 6.1.3 b) and c));
— justification for their inclusion;
— whether the necessary controls are implemented or not; and
— the justification for excluding any of the Annex A controls.

19. Поддержка трансформации компании
• Situation:
• Willingness to be a “Remote-first” company
• Supply chain issues with delivering and collecting corporate-class notebooks
(with TPM) in the middle of nowhere
• Increasing risks of phishing attacks to steal user credentials
• Low ergonomics of current VPN solutions
• Task:
• Replacing VPNs and notebooks with TPMs by security tokens
for the phishing-resistant Zero-Trust access (FIDO2)
• Approaches:
• Implementing YubiKey for Zero-Trust access
• Using personal devices and Internet Café computers to access corporate systems
with YubiKeys
• The staged transition of current corporate systems to use Zero-Trust access
with YubiKeys
• Retirement of current VPN solutions
• Result:
• Ability to hire really smartest guys worldwide
• Increasing the ergonomics and efficiency of remote work without security compromise

20. Развитие команды
• Матрица потребностей компании
в компетенциях
• Матрица компетенций существующих
сотрудников
• Матрица желаемых сотрудниками
направлений развития

21. • Ключевой фактор любого успеха – доверие!
Обещайте и исполняйте обещание в срок
– только так и строится доверие!
• CISO неизбежно будет наступать на чьи-то ноги.
Чем чётче будут цели, тем легче будут решаться
конфликты на пути к этим целям
• Помните про испытательный срок!
Опасно и «ломать всё», и «катиться по накатанной»
Определите свои цели на 30, 90, 180 дней

22. CISO – ультрамарафонец, а не спринтер!
https://calendly.com/vshabad
vshabad@vshabad.com
+7 777 726 4790 (моб.)
Первая консультация всегда
бесплатна!