Руководитель подразделения Кибербезопасности (CISO)( Р-Вижн )

Описание

Фролов Денис Викторович

Тел.: +7 (925) 7 725 725
ТГ: https ://t.me /BoyarDF
Почта: or1ovden@yandex.com

CIO
ЗАМЕСТИТЕЛЬ ГЕНЕРАЛЬНОГО ДИРЕКТОРА ПО ИБ
ДИРЕКТОР ПО ИБ

Кратко обо мне
Более 26 лет опыта работы в сфере информационных технологий (ИТ)
и информационной безопасности (ИБ), в т.ч. около 5 лет – на управленческих
позициях в крупнейших государственных и частных компаниях. Опыт работы
в различных секторах – от финансового и телекоммуникационного до нефтегазового
(ООО «МТС Диджитал», АО «ДОМ.Р Ф», ООО «Газпромнефть ИТО»).

Зона ответственности включает стратегическое управление, организацию и контроль
всех процессов, связанных с ИТ и ИБ, внедрение передовых технологий и решений,
а также построение эффективной ИT -инфраструктуры. Подтвержденный о пыт
развития цифровых сервисов, управления кибербезопасностью, интеграции
DevSecOps -практик, реализации проектов цифровой трансформации и повышения
операционной эффективности.

Мой опыт охватывает управление командами до 58 человек , а также ведение
крупных бюджетов на ИТ и ИБ ( OPEX 50 млн руб. / CAPEX 240 млн руб. ).
Успешный опыт взаимодействия с международными компаниями и партнерами
в рамках разработки и внедрения современных ИT - и ИБ -решений.

Обеспечиваю соответствие деятельности требованиям регуляторо в, внедряю процессы управления рисками и провожу
аудит безопасности. Обладаю глубокими знаниями в области современных технологий защиты данных, архитектуры
информационных систем и практик безопасной разработки.

Как руководитель, отличаюсь системным мышлением, умением выстраивать эффективные команды и организовывать
сложные технологические процессы. Способен принимать взвешенные управленческие решения, ориентированные
на достижение стратегических целей компании. Всегда нацелен на поиск оптимальных решений, внедрение передовых
технологий и повышение эффективности работы подразделений.


Опыт работы
Май 2023 – настоящее время
ООО «МТС ДИДЖИТАЛ»  https://mts -digital.ru
Подразделение МТС, которое работает над созданием экосистемы цифровых сервисов, мобильными приложениями,
продуктами в финтехе, стриминге, гейминге, «облаках», AI и других направлениях. Выручка 32,5 млрд руб. за 2023 год.
Численность штата – более 8 тыс. че л.
Заместитель CIO по безопасной разработке
В функциональном подчинении 47 человек. Бюджеты в зоне ответственности (OPEX) – до 2 млн руб.

Функционал:
ͦ Разработка и внедрение стратегии безопасной разработки (Security Driven Development).
ͦ Интеграция инструментов безопасности в Gitlab CI/CD (SAST, OSA, SCA, DAST) и обеспечение процессов
DevSecOps.
ͦ Повышение технологической зрелости команд разработки через внедрение инструментов безопасной разработки
и процесса управления уязвимостями.
ͦ Автом атизация анализа безопасности с использованием AI -агентов и LLM для триажа уязвимостей.
ͦ Обучение команд разработки через тренинги, воркшопы и образовательные программы. Реализация форк
опенсорсного проекта OWASP Webgoat для проведения первого внутреннего C apture the flag в МТС.
ͦ Внедрение практик безопасного управления секретами и конфиденциальной информацией.
ͦ Разработка и актуализация регламентов, стандартов и ЛНА в части безопасной разработки.
ͦ Харденинг Docker и Kubernetes в облачных и гибридных инфраструк турах с использованием инструментов Docker
Bench for Security и Kube -bench , внедрение актуальных бенчмарков CIS Benchmarks , NIST Guidelines.

Результаты:
 Внедрена стратегия безопасной разработки, интегрированы пайплайны SAST/SCA/DAST в CI/CD, что привело
к снижению количества уязвимостей в продуктах на 2115 критических и 8153 высокого уровня критичности
уязвимостей, устраненных в 2024 году. Внедрение shiftleft подхода ускорило выход релизов на 20% . Техническая
зрелость продуктов повысилась на 35% .
 Разработ ано и проведено более 10 тренингов и воркшопов по безопасной разработке, также подготовлено
и проведено соревнование по безопасной разработке в формате Capture the flag . Мероприятиями охвачено 60%
разработчиков, что привело к снижению количества уязвимост ей в коде и повышению осведомленности команд
о принципах безопасной разработки.
 Внедрена практика безопасного управления персональными данными и секретами, что позволило исключить
утечки чувствительных данных и снизить риски компрометации данных на 100% .
 По практике SCA автоматизирован этап триажа с использованием AI -агентов и LLM, что позволило сократить
время анализа кода на 60% за счет фильтрации 90% ложных срабатываний.


Октябрь 2021 – Март 2023
АО «ДОМ.РФ»  https://дом.рф
Финансовый институт развития в жилищной сфере. Направления деятельности: привлечение инвестиций,
повышение качества и доступности жилья за счет разработки и внедрения федеральных стандартов, для выгодного
приобретения жилья в ипотеку. Чистая прибыль в 2023 г. – 47 млрд руб.
Руководитель центра безопасной разработки
В прямом подчинении 11 человек, в функциональном – около 35 человек. Бюджеты в зоне ответственности – OPEX
37 млн руб. / CAPEX 130 млн руб.

Функционал:
ͦ Формирование, подбор и руководство многопрофильной командой в области ИБ и разработки ПО.
ͦ Разработка платформы безопасной разработки и внедрение инструментов безопасной разработки (DevSecOps)
на всех этапах жизненного цикла ПО.
ͦ Участие в оценке безопасности ИТ -проектов на архит ектурном комитете и оценка операционных рисков ИБ
для комитета по рискам.
ͦ Внедрение системы управления уязвимостями и автоматизация процессов сканирования в Gitlab CI/CD.
ͦ Анализ уязвимостей и создание обратной связи по определению трудоемкости и устранени ю уязвимостей
с помощью секьюрити чемпионов в командах разработки. Определение техдолга и аудит закрытия уязвимостей.
ͦ Взаимодействие с центром кибербезопасности для интеграции практик Red Team + Blue Team = Purple Team.
ͦ Подбор и развитие специалистов по И Б, формирование культуры безопасной разработки. Разработка разделов
ИБ для ТЗ на закупку ПО/ПАК и разработка полного набора документов в зоне ответственности ИБ: М УиН , ЧТЗ,
ПЗ для ИС собственной разработки.
ͦ Разработка системы мониторинга и отчетности по б езопасности разработки и инцидентам.
ͦ Организация дежурств по защите ИС и интернет -ресурсов группы компаний, пользователей, ИТ -инфраструктуры
КСПД ( on-prem и облачной) для предотвращения, выявления, анализа, реагирования на инциденты
кибербезопасности и предоставления соответствующей отчетности.
ͦ Организация расследования критических инцидентов.

Результаты:
 Разработан и внедрен комплексный процесс безопасной разработки информационных систем (БРИС), включающий
политику, требования НПА, концепции Shift Left и Zero Trust, а также управление безопасностью цепочек
поставки. Внедрены ворота безопасности (Security Gates: SAST /SCA /DAST ) на этапах жизненного цикла ПО,
на stage /предпродакшн внедрено комплексное исследование безопасности (Pentest, Red Team), что при вело
к выявлению и устранению более 700 критических и около 900 высокого уровня критичности уязвимостей.
 Обеспечено эффективное руководство внедрением платформы БРИС в интегрированную платформу разработки
(CI/CD), обеспечено взаимодействие с руководством ИТ и бизнеса, что позволило в течении первого года
выполнить KPI с превышением на 30% .
 С нуля сформирована высокоэффективная команда безопасной разработки ИС и выстроены процессы
взаимодействия с партнерскими подразделениями ИТ -блока и бизнес -вертикали, чт о обеспечило снижение T2M
на 25% .
 Специалисты Центра безопасной разработки участвовали в настройке и управлении инструментами: Anti -
DDoS /CPE , WAF , NGFW , SIEM, TIP, EDR, UEBA, что позволило уменьшить время реагирования
на киберугрозы на 15% и время провед ения расследований критических инцидентов на 25%.
 Повышение эффективности использования СЗИ и внедрение новых процессов ИБ позволило модифицировать
операционные риски в части ИБ и достигнуть приемлемого остаточного риска без дополнительных капитальных
влож ений , обеспечить устойчивость и непрерывность бизнес -процессов в части ИБ,

Сентябрь 2020 – Сентябрь 2021
ООО «ГАЗПРОМНЕФТЬ ИТО»  https://ito.gazprom -neft.ru
Единый оператор и интегратор инфраструктуры и связи «Газпром нефти», доверенный поставщик
ИТ -инфраструктуры и сервисов для создания и развития единого информационного пространства. В штате более
2500 человек. Выручка в 2021 г. – 8,9 млрд руб.
Начальник у правления эксплуатации сети ИБ
В подчинении 3 отдела, 35 сотрудников. Бюджеты в зоне ответственности – OPEX 50 млн руб. / CAPEX 240 млн руб.

Функционал:
ͦ Управление эксплуатацией средств защиты информации СЗИ и СКЗИ компании.
ͦ Экспертиза архитектуры ЦОД в части ИБ, внедрение решений, повышающих безопасность, надежность и гибкость
передачи данных между ЦОД на сетевом уровне.
ͦ Разработка МУиН, ЧТЗ, ПЗ для новых площадок.
ͦ Управление процессами эксплуатации СЗИ/СКЗИ, согласование доступов и проведение аудитов б езопасности
КСПД в соответствии с установленными в группе компаний SLA.
ͦ Руководство 3 отделами, 35 сотрудниками, работа с СЗИ, СКЗИ, маршрутизаторами и коммутаторами.

Результаты:
 За счет внедрения новых подходов ServiceMesh для микросервисов и SDN -решений на уровнях агрегации и ядра
сети обеспечен стабильно высокий уровень сетевой безопасности, надежности и доступности ИС и ресурсов,
достигнут SLA на уровне 99,995% , что гарантировало выполнение требований к непрерывности бизнес -процессов.
 За счет эффективного руководства тремя отделами управления повышены оперативность и качество решения задач
по обеспечению ИБ, что привело к росту выполненных технологических задач на 10% без снижения SLA за год.
После всестороннего анализа проблем для реше ния сложных задач в систему диспетчеризации введен
3-й экспертный уровень, что позволило ускорить проведение стандартных работ, по сложным задачам перестали
«гореть» SLA .
 Реализована сегментация информационных систем в ЦОД на основе NSX, что значительно п овысило уровень
безопасности и контроля доступа к критически важным ресурсам.


Сентябрь 1999 – Сентябрь 2020
ВОЕННАЯ СЛУЖБА

Функционал:
ͦ Администрирование и управление ИТ -системами, обеспечение их надежного функционирования и поддержания
заданного уровня информационной безопасности.
ͦ Разработка и внедрение политик защиты информации и предотвращения утечек данных.
ͦ Обучение и подготовка личного состава по вопросам безопасности ИТ -систем и защиты информации.
ͦ Участие в разработке и реализации мер по сокр ащению поверхности атак защищаемых ИС.

Результаты:
 Внедрены новые научно -практические методы, что позволило повысить уровень осведомленности персонала
о рисках ИБ на 60% .


БОЛЕЕ РАННИЙ ОПЫТ
Август 1998 – Май 1999, Главгоссвязьнадзор России / Инженер.


Дополнительная информация
Высшее образование:
1998 Московский технический университет связи и информатики, факультет «Радиотехника»., специальность
«Радиотехника».
Дополнительное образование:
2026 Московский институт профессионального образования, профессиональная переподготовка по программе
«ИТ -директор» с получением диплома установленного образца, квалификация «Менеджер по информационным
технологиям».
2024 Летняя академия Global CIO, «Соврем енное управление ИТ в компаниях».
2022 -2024 Более 40 ИТ -курсов, в т. ч. Hashicorp; Vault, управление секретами; Инфраструктура Big Data; Курс
по квантовым технологиям; Критическое мышление по методике подготовки чемпионов мира по шахматам;
Контейнеризация в облачной среде. DevOps практики; Автоматизация триггеров Jira при работе с Gitlab и др.