Руководитель службы информационной безопасности
Роман Олегович
Возраст
39 лет (29 Октября 1986)
Город
Москва
,
м. Яхромская
Возможен переезд в другой город
Гражданство
Россия
Полная занятость
20 лет 7 месяцев
Производство / Промышленность
Антикризисный управляющий по информационной безопасности и защите персональных данных.
Руководство комплексным антикризисным проектом по приведению критической информационной инфраструктуры (КИИ) предприятия ОПК в соответствие с требованиями законодательства РФ (ФЗ-152, ФЗ-187, ст. 274.1 УК РФ), включая категорирование объектов IT и АСУ ТП, разработку модели угроз, оптимизацию мер защиты персональных данных и минимизацию затрат на защиту в условиях предписаний ФСТЭК и запросов УФСБ.
Ключевые задачи:
✓ Возглавил проект по категорированию объектов КИИ по ПП РФ №127, ФЗ-187, Приказам ФСТЭК (№235,239,247,254) в условиях уже выданного предписания ФСТЭК. Руководил работой постоянно действующей комиссией, разработал и адаптировал юридическую стратегию на основе поступающей информации (обнаружение АСУ, статус по ГОЗ). Управлял официальными коммуникациями и подготовкой ответов для ФСТЭК и УФСБ.
✓ Провел юридический анализ предписания ФСТЭК и провального Акта категорирования 2024 года для выявления сути претензий регулятора. Руководил аудитом 6 ключевых IT и OT-систем, включая ранее не учтенные АСУ и станки с ЧПУ.
✓ Создал с нуля полный комплект юридически значимых документов, включая Протокол технического анализа оборудования (обоснование незначимости АСУ), Справку по ГОЗ (минимизация рисков по показателю 13) и Модель угроз с расчетами по 14 показателям, доказав отсутствие пороговых значений ущерба.
✓ Интерпретировал требования законодательства (ФЗ-187, перечни ОПК) и отслеживал изменения в нормативной базе (новые Приказы ФСТЭК №247/254) для обеспечения полной актуальности итогового пакета документов.
✓ Руководил комплексным аудитом системы обработки персональных данных с использованием методологии ФСТЭК и методических рекомендаций Роскомнадзора на 2025 год, выявив критические несоответствия: обработку биометрических данных в СКУД без специального согласия, устаревшие документы, отсутствие защиты для B2B-портала, несоответствие мер защиты статусу субъекта КИИ.
✓ Разработал и внедрил интегрированную модель угроз безопасности информации, объединяющую требования по защите персональных данных и КИИ, с синхронизацией параметров для устранения противоречий между документами по категорированию КИИ и защите ПДн (согласование уровней защищенности для единой информационной системы 1С).
✓ Создал и реализовал программу легализации биометрических данных в системе контроля доступа в соответствии со ст. 11 ФЗ-152 и методическими рекомендациями ФСТЭК, включая разработку специализированных согласий, форм отзыва согласия и альтернативных процедур прохода без биометрической идентификации, что обеспечило соответствие требованиям регуляторов.
✓ Реализовал методику оценки применимости законных интересов (ОПЗИ) для обработки персональных данных в ключевых бизнес-процессах завода (работа с контрагентами, кадровые процедуры, B2B-взаимодействия), разработав и внедрив локальный нормативный акт с чек-листами, шаблонами протоколов оценки и механизмами уведомления субъектов ПДн в соответствии с актуальной практикой Роскомнадзора.
✓ Организовал и провел обновление всех организационно-распорядительных документов по защите персональных данных в соответствии с Приказами ФСТЭК №17, №21 и №31 на 2025 год, включая Акт оценки вреда, Акт определения уровня защищенности, Акт классификации ИСПДн, согласованный с актами категорирования КИИ, а также разработку регламента реагирования на инциденты, отвечающего требованиям одновременно Роскомнадзора (уведомление 24ч) и ФСБ (ГосСОПКА).
✓ Подготовил и осуществил взаимодействие с контролирующими органами, включая подачу обновленных сведений в реестр операторов ПДн Роскомнадзора (согласно Приказу №179), формирование пакета документов для ФСТЭК по защите ПДн в составе КИИ и подготовку ответов на запросы УФСБ, используя единый подход к документированию на основании ранее полученного опыта в категорировании объектов КИИ.
✓ Разработал и внедрил систему защиты B2B-портала и сбора ПДн клиентов с учетом новых требований ч.5 ст.18 152-ФЗ (вступающих в силу с 01.07.2025), включая настройку cookie-баннеров с активным согласием, создание политик конфиденциальности для B2B-клиентов, реализацию механизмов раздельных согласий для маркетинговых коммуникаций и трансграничной передачи данных в соответствии со ст. 15 152-ФЗ.
✓ Организовал обучение и инструктаж сотрудников по вопросам защиты персональных данных с учетом специфики химического производства и статуса субъекта КИИ, разработав адаптированные программы для различных категорий персонала (работники СКУД, кадровая служба, ИТ-специалисты, руководители подразделений) с фокусом на новых требованиях законодательства и минимизации рисков уголовной ответственности по ст. 274.1 УК РФ.
Ключевые результаты:
✓ Успешно завершил категорирование, юридически обосновав "незначимый" статус для всех 6 ключевых объектов (включая АСУ), что вывело компанию из-под действия наиболее строгих и затратных требований Приказов ФСТЭК №235 и №239.
✓ Предотвратил многомиллионные затраты на закупку, внедрение и аттестацию сертифицированных средств защиты, которые были бы обязательны в случае присвоения объектам категорий значимости.
✓ Минимизировал регуляторные риски и риски по линии госбезопасности, создав юридически безупречный пакет документов для проверок ФСТЭК и ФСБ и обеспечив подачу сведений по новой форме (Приказ ФСТЭК №247).
✓ Предотвратил штрафные санкции до 750 тыс. рублей за нарушение требований по обработке биометрических данных в СКУД, юридически грамотно легализовав существующую систему контроля доступа и подготовив компанию к проверкам Роскомнадзора и ФСБ в условиях предписания ФСТЭК.
✓ Оптимизировал бюджетные затраты на защиту ПДн на 35% за счет интеграции требований ФЗ-152 и ФЗ-187 в единую систему защиты, синхронизации моделей угроз и использования ранее наработанной документации по КИИ, что позволило избежать дублирования средств защиты и нецелевого расходования средств.
✓ Создал юридически безупречный механизм обработки персональных данных на основе законных интересов для ключевых бизнес-процессов химического производства (работа с поставщиками, подрядчиками, дистрибьюторами), прошедший проверку Роскомнадзора и обеспечивший защиту от штрафов до 3% от выручки согласно новым требованиям с июля 2025 года.
✓ Обеспечил 100% соответствие требованиям к защите ПДн для работы по госзаказам (44-ФЗ, 223-ФЗ) путем разработки специализированных согласий на передачу данных третьим лицам (банкам для зарплатных проектов, страховым компаниям), с указанием конкретных названий и адресов получателей в соответствии со ст. 88 ТК РФ.
✓ Защитил руководство завода от уголовной ответственности по ст. 274.1 УК РФ, внедрив систему контроля обработки ПДн с четким распределением ответственности, регулярной отчетностью и автоматизированным мониторингом выполнения требований законодательства, что подтверждено положительными результатами внутренних аудитов.
✓ Реализовал передовые решения по защите B2B-портала с учетом практики Роскомнадзора 2025 года: настроил cookie-баннеры с активным согласием, разработал политику конфиденциальности для B2B-клиентов, внедрил механизмы раздельных согласий для рассылок и трансграничной передачи данных, что обеспечило бесперебойную работу бизнес-направления и защиту от штрафов.
✓ Успешно завершил обновление сведений в реестре операторов ПДн Роскомнадзора в сжатые сроки, синхронизировав его с категорированием объектов КИИ по ПП РФ №127, что устранило противоречия в документации и повысило доверие регуляторов к компании после получения предписания ФСТЭК.
✓ Разработал и внедрил систему реагирования на инциденты с ПДн, которая прошла проверку Роскомнадзора и ФСБ, сократив среднее время уведомления регуляторов до 4 часов (при нормативе 24 часа) и обеспечив автоматизированное формирование отчетов по шаблонам Приказа ФСТЭК №179, что минимизировало риски штрафных санкций при возможных утечках данных.
✓ Устранил риск немедленных штрафных санкций (по ст. 19.7.15 КоАП РФ), в сжатые сроки закрыв предписание ФСТЭК и сформировав аргументированный ответ на запрос УФСБ.
Продажи / Торговля
Возглавил направление информационной безопасности в одной из ведущих торгово-производственных компаний РФ, отвечая за разработку и реализацию стратегии защиты с нуля.
Должностные обязанности:
✓ Провел комплексный аудит ИБ-зрелости компании, разработал Политику ИБ, модель угроз, дорожную карту развития на 2 года с бизнес-приоритезацией, матрицу доступа к информации и реализовал ее через централизованную систему управления идентификацией и доступом (Active Directory + PAM/IAM).
✓ Сформировал и возглавил дивизион ИБ, разработал организационную структуру подразделения, подобрал и обучил команду специалистов, определил зоны ответственности.
✓ Разработал и защитил перед руководством стратегический бюджет (CAPEX/OPEX) на 2 года, обосновав инвестиции через модель снижения бизнес-рисков. Внедрил ключевые процессы управления ИБ (управление рисками, уязвимостями, инцидентами, доступом) и комплексную программу повышения осведомленности сотрудников.
✓ Внедрил комплексную программу повышения осведомленности сотрудников, включая автоматизированную платформу с симуляциями фишинговых атак.
✓ Создал систему управления информационной безопасностью на основе ГОСТ Р ИСО/МЭК 27001-2022: разработал и внедрил с нуля полный комплект организационно-распорядительной документации (135+ документов), включая политики, процедуры и регламенты, обеспечивающие соответствие требованиям 152-ФЗ, 98-ФЗ, 149-ФЗ и 63-ФЗ. Реализовал подход с учётом приоритетных рисков при проектировании СУИБ с учётом реальной ИТ‑инфраструктуры компании.
✓ Внедрил режим коммерческой тайны в соответствии с 98-ФЗ, разработал и утвердил Положение о коммерческой тайне, определил конкретный перечень конфиденциальной информации, установил порядок доступа и контроля с применением грифа КТ с указанием обладателя. Организовал ознакомление всех сотрудников под роспись и заключил NDA с 250+ работниками и контрагентами, обеспечив правовую защиту интеллектуальной собственности.
✓ Легализовал системы контроля и мониторинга: разработал и внедрил правовые механизмы для использования СКУД с обработкой биометрических данных (включая формы согласия и отзыва согласия), систем видеонаблюдения и программного мониторинга рабочих мест. Адаптировал ПВТР и локальные нормативные акты для законного контроля использования корпоративных ресурсов в соответствии с ТК РФ и 98-ФЗ.
✓ Разработал комплексную систему защиты данных с интеграцией международных стандартов: создал полный комплект ОРД по защите персональных данных (120+ документов), внедрил требования GDPR для европейских клиентов (DPIA, механизмы реализации прав субъектов данных, уведомление об инцидентах в течение 72 часов) и стандарт PCI DSS для защиты платежных данных в 3 интернет-магазинах (Lemark, Rossinka, Decoroom, оборот 4 млрд руб). Обеспечил сегментацию платежных систем, настроил регулярное сканирование уязвимостей внешними ASV-провайдерами.
✓ Актуализировал сведения компании в реестре операторов Роскомнадзора в соответствии с требованиями 2025 года: внедрил механизмы раздельных согласий, активное согласие в cookie-баннерах и синхронизацию с бизнес-процессами (B2B-портал, работа с контрагентами, трансграничная передача данных).
✓ Создал единую систему управления данными, объединяющую требования российского законодательства, GDPR и PCI DSS с минимизацией дублирования контролей.
✓ Спроектировал и внедрил эшелонированную архитектуру защиты по модели Zero Trust для корпоративной IT‑инфраструктуры и четырёх ключевых веб‑приложений с годовым оборотом 3,9 млрд руб.
В рамках проекта управлял миграцией инфраструктуры в защищённое облако и развернул полный стек средств киберзащиты: DLP/DCAP‑системы для контроля утечек данных; SIEM для централизованного мониторинга событий безопасности; WAF/WAAP для защиты веб‑приложений от атак из списка OWASP Top 10 и DDoS‑атак; системы управления доступом (PAM/IAM) с многофакторной аутентификацией (MFA); СКЗИ для криптографической защиты информации; системы резервного копирования. Для углублённой защиты периметра внедрил NGFW, обеспечивший фильтрацию приложений на уровне L7, инспекцию SSL/TLS‑трафика и динамическую сегментацию сети.
На уровне конечных точек интегрировал Kaspersky EDR для непрерывного мониторинга активности, оперативного выявления и нейтрализации целевых атак, а также реагирования на вредоносную активность.
Для превентивной защиты от APT‑угроз развернул Kaspersky KATA, что позволило анализировать сетевой трафик в реальном времени, проверять подозрительные объекты в песочнице и коррелировать события с SIEM для комплексного анализа угроз.
В результате внедрения решения время обнаружения угроз сократилось на 60 %, а количество успешных атак снизилось на 75 %.
Достижения:
✓ Успешно завершил построение СУИБ с нуля в сжатые сроки, устранил 24 критических замечания внешнего аудита через внедрение 135+ документов, обеспечив 100% соответствие требованиям законодательства без привлечения внешних консультантов. Синхронизировал модели угроз для ПДн и КТ, что предотвратило противоречия в документации и создало юридически безупречную систему защиты.
✓ Предотвратил штрафы до 750 тыс. рублей за нарушение режима обработки биометрических данных в СКУД и видеонаблюдения, разработав и внедрив механизмы отзыва согласия и альтернативные процедуры прохода без фото. Оптимизировал операционные расходы на безопасность на 20% за счет рационального выбора решений и интеграции требований разных регуляторов в единую систему защиты.
✓ Повысил операционную эффективность защиты сократив время реагирования на инциденты безопасности на 65% (с 14 до 5 дней) за счет внедрения SIEM-системы и автоматизированных сценариев реагирования. Ускорил устранение критических уязвимостей на 60% через интеграцию сканеров уязвимости HScan и MaxPatrol VM с Jira и внедрение четких SLA.
✓ Обеспечил защиту ключевых бизнес-активов и E-commerce платформ при высоком ежемесячном трафике пользователей, предотвратив финансовые потери от DDoS-атак и инцидентов безопасности. Создал систему защиты персональных данных клиентов и контрагентов, минимизировав регуляторные риски и обеспечив бесперебойную работу всех бизнес-направлений.
✓ Повысил осведомленность сотрудников на 70% по результатам тестирования, внедрив персонализированную программу обучения с учетом специфики работы с ПДн и КТ. Это снизило количество инцидентов, связанных с человеческим фактором, на 35% (по данным фишинг-симуляций).
✓ Разработал и внедрил регламенты для работы с партнерами и удаленными сотрудниками, легализовал использование современных технологий контроля (DLP/DCAP), создал систему управления рисками третьих сторон для безопасного взаимодействия с контрагентами.
✓ Реализовал комплексную схему защиты платёжных операций для трёх интернет‑магазинов компании путём интеграции сертифицированного по стандарту PCI DSS платёжного агрегатора, благодаря чему ответственность за обработку и защиту платёжных данных была передана провайдеру, что позволило исключить прямую обработку платёжных данных на стороне компании, снять с неё обязательства по самостоятельной сертификации PCI DSS и обеспечить соответствие требованиям международных платёжных систем (Visa, Mastercard).
✓ Внедрил сегментацию внутренних информационных систем, что ограничило доступ к клиентским данным, минимизировало риски утечки конфиденциальной информации и повысило управляемость ИТ‑инфраструктуры.
Информационные технологии / IT / Интернет
Руководил направлением ИБ в компании-разработчике B2B-платформы для управления промышленными предприятиями. Отвечал за безопасность продукта, защиту корпоративной инфраструктуры и соответствие требованиям ключевых корпоративных заказчиков (Росатом, Газпром, Новатэк) и регуляторов.
Должностные обязанности:
✓ Разработал с нуля и внедрил полный, аудируемый комплект организационно-распорядительной документации, обеспечив 100% соответствие требованиям законодательства (152-ФЗ, 98-ФЗ, 149-ФЗ, 63-ФЗ) и регуляторов (ФСТЭК, ФСБ, Роскомнадзор).
✓ Возглавил направление безопасной разработки (DevSecOps), разработав и внедрив корпоративную программу Secure SDLC, которая охватила 11 продуктовых команд и интегрировала инструменты анализа кода (SAST/SCA) в процесс разработки.
✓ Выступал в роли единого центра экспертизы по безопасности продукта. В рамках этой роли отвечал как за развитие безопасности платформы Bimeister в целом (консультируя 11 продуктовых команд по безопасной архитектуре), так и за ее практическую реализацию: в каждом проекте внедрения лично разрабатывал ключевую документацию по ИБ (частные технические задания, проектные решения) и адаптировал платформу под индивидуальные требования безопасности заказчика.
✓ Инициировал и руководил полным циклом работ для лицензирования и сертификации: успешно получил лицензию ФСБ на криптографию, а также подготовил полный комплект документов и технических средств для последующего получения лицензий ФСТЭК (ТЗКИ, СЗКИ) и сертификации продукта по требованиям ФСТЭК (4 уровень доверия).
✓ Внедрил и администрировал комплексный стек средств защиты информации, включая NGFW, SIEM, DLP, СКЗИ, а также внедрил ключевые процессы управления ИБ (управление уязвимостями, доступом, моделирование угроз).
✓ Управлял бюджетом направления ИБ, организовывал закупки СЗИ и выстраивал технологические партнерства с ведущими российскими вендорами в рамках программы импортозамещения.
Достижения:
✓ Открыл компании доступ к рынку госсектора и крупным корпорациям, что напрямую способствовало росту выручки, за счет успешного получения лицензии ФСБ (№ Л051-00105–00/01401640) и подготовки полного пакета документов для лицензирования ФСТЭК.
✓ Повысил конкурентоспособность продукта, подготовив платформу к сертификации ФСТЭК по 4 уровню доверия, что стало ключевым преимуществом при работе с госсектором и субъектами КИИ.
✓ Повысил скорость и эффективность разработки, сократив среднее время устранения критических уязвимостей на 40% за счет внедрения обязательного процесса моделирования угроз и регламента управления недостатками на базе Jira с четкими SLA.
✓ Снизил количество уязвимостей в коде, позволив выявлять их на 80% раньше в цикле разработки, благодаря интеграции инструментов SAST/SCA в CI/CD и обеспечению соответствия требованиям ГОСТ Р 56939-2024.
✓ Выступал в роли ключевого эксперта по ИБ в pre-sale цикле, обеспечивая адаптацию продукта и документации для соответствия строгим требованиям ИБ более чем 14 корпоративных заказчиков (включая Росатом, Газпром, Новатэк). Проактивно взаимодействовал с командами информационной безопасности потенциальных клиентов, трансформируя их запросы в конкретные технические решения и доработки платформы Bimeister, что снимало ключевые возражения и становилось решающим фактором для заключения контрактов.
✓ Организовал успешное проведение аттестации ИСПДн (Аттестат № 3724.00006.2024), подтвердив полное соответствие процессов обработки персональных данных требованиям законодательства.
Информационные технологии / IT / Интернет
Выступал в роли ведущего эксперта по ИБ, обеспечивая защиту ГИС здравоохранения Московской области и связанных объектов КИИ в период цифровой трансформации региона.
Отвечал за построение комплексной системы безопасности (информационной, экономической, физической, кадровой) и соответствие требованиям регуляторов.
Реализовал стратегию защиты инвестиций в проектах импортозамещения, управляя техническими, финансовыми и административными рисками для предотвращения нецелевого расходования бюджетных средств.
Должностные обязанности:
✓ Выстроил с нуля систему управления ИБ в соответствии с требованиями ФЗ-152, ФЗ-187, Указов Президента РФ №250 и №166, обеспечив правовую основу для безопасной IT-трансформации.
✓ Разработал стратегию защиты бюджетных инвестиций при миграции инфраструктуры на отечественные решения. Сформировал дорожную карту исполнения Указа №166, интегрировав требования ИБ в архитектуру проектов (создание защищённой архитектуры на этапе проектирования), что исключило затраты на переделку систем.
✓ Реализовал комплексное управление рисками цифровизации: техническим (превентивная защита архитектуры), финансовым (исключение оборотных штрафов по 152-ФЗ при миграции данных) и административным (обеспечение непрерывности сервисов и соблюдение директивных сроков).
✓ Создал унифицированный контур безопасности, закрывающий требования ГИС (Приказ №17), ПДн (Приказ №21) и КИИ (Приказ №239), что позволило избежать дублирования СЗИ и сэкономить бюджет.
✓ Внедрил полный комплект документации: Политики ИБ, Модели угроз (ФСТЭК), регламенты обработки ПДн, положения о защите информации ограниченного доступа, инструкции по СКЗИ и планы реагирования (IRP).
✓ Инициировал и руководил циклом подготовки организации к лицензированию ФСБ (Криптография) и ФСТЭК (ТЗКИ, СЗКИ), включая подготовку помещений и аттестацию АРМ.
✓ Управлял полным циклом закупок (ФЗ-44/223). Осуществлял строгий контроль ТЗ на закупку СЗИ, серверного и сетевого оборудования на наличие в Реестрах отечественного ПО и сертификатов ФСТЭК. Контролировал качество услуг интеграторов.
✓ Участвовал в проектировании Единого регионального центра мониторинга (SOC) для перехода к проактивному реагированию и интеграции с ГосСОПКА.
✓ Организовал подготовку к аттестации: проводил классификацию систем (ГИС/ИСПДн) и внутренние аудиты, обеспечивая 100% готовность к проверкам лицензиатов с первого раза.
✓ Администрировал системы физической защиты (СКУД, видеонаблюдение), организовал пропускной режим. Реализовал программу повышения осведомленности с регулярными симуляциями фишинговых атак.
✓ Спроектировал эшелонированную защиту ГИС с выделением демилитаризованной зоны (DMZ) и сегментацией для снижения поверхности атаки.
✓ Администрировал комплекс сертифицированных средств: Secret Net, ПАК Соболь, АПКШ «Континент», VipNet Coordinator, КриптоПро, Kaspersky KSC, IAM-indeed, MaxPatrol VM, DLP InfoWatch, RedCheck, XSpider.
✓ Управлял процессами оценки кибер рисков по методологиям STRIDE и DREAD, разрабатывая меры снижения рисков для критических систем.
✓ Внедрил процессы управления уязвимостями, непрерывного мониторинга и защиты от DDoS-атак.
Ключевые достижения:
✓ Обеспечил защиту медицинских данных 500 тыс. пациентов, внедрив DLP-систему, что повысило контроль над утечками специальных категорий ПДн на 65% и минимизировало регуляторные риски.
✓ Оптимизировал архитектуру защиты, снизив поверхность атаки на критическую инфраструктуру на 50% за счет разделения технологического и офисного сегментов.
✓ Повысил операционную устойчивость ГИС, сократив среднее время обнаружения угроз на 35% за счет оптимизации процессов мониторинга и реагирования на инциденты.
✓ Систематизировал процессы контроля, сократив время подготовки к проверкам регуляторов на 30% благодаря внедрению эффективных методик внутреннего аудита.
✓ Трансформировал корпоративную культуру ИБ, снизив количество успешных фишинговых атак на 25% во втором квартале за счет внедрения автоматизированной платформы повышения осведомленности по информационной безопасности и повысило общий уровень осведомленности сотрудников на 70%.
✓ Устранил все критические замечания внешнего аудита, обеспечив полное соответствие ГИС требованиям законодательства.
Банки / Инвестиции / Лизинг
Выступал в роли руководителя проекта и ключевого эксперта, ответственного за создание и запуск процессингового центра с нуля, обеспечивая его полное соответствие требованиям Центрального Банка РФ и международным стандартам безопасности.
Должностные обязанности:
✓ Управлял всем жизненным циклом проекта по созданию процессингового центра, координировал команду, бюджет и взаимодействие с подрядчиками,
обеспечивая информационную и физическую безопасность.
✓ Отвечал за приведение всех процессов в соответствие с требованиями регуляторов и стандартов (ЦБ РФ 382-П/683-П, PCI DSS, PCI PIN Security, МПС Visa/MasterCard).
✓ Управлял комплексом средств защиты информации, включая СЗИ (Symantec Endpoint Protection, SIEM, DLP), HSM (Thales, SafeNet), СКЗИ (КриптоПро, VipNet), СДЗ (Dallas Lock, ПАК Соболь).
✓ Контролировал персонализацию и безопасность банковских карт, права доступа в OpenWay4.
✓ Организовывал и контролировал ключевые операционные процессы: управление уязвимостями, тесты на проникновение, реагирование на инциденты, фрод-мониторинг и анализ данных.
✓ Создавал и внедрял полный пакет ОРД по направлениям ИБ, КИИ, СКЗИ и защиты персональных данных.
✓ Обеспечивал безопасность офиса и ЦОД, включая организацию переездов, и нес материальную ответственность за активы на сумму более 286 млн руб.
✓ Руководил подготовкой и успешно проходил аудиты PCI DSS и PCI PIN Security, проверки ЦБ РФ.
Достижения:
✓ Обеспечил запуск и функционирование процессингового центра с нуля в полном соответствии с требованиями PCI DSS 3.2.1, PCI PIN Security 2.0 и 382-П/683-П ЦБ РФ; аудит PCI DSS пройден успешно с нулевыми несоответствиями.
✓ Организовал успешное прохождение ежегодных проверок ФСБ и обеспечил получение лицензии ФСТЭК на техническую защиту конфиденциальной информации (ТЗКИ).
✓ Выстроил с нуля ключевые процессы ИБ (Incident, Vulnerability, Access, Risk, Fraud Management), разработал и внедрил полный комплект организационно-распорядительной документации (ОРД).
✓ Внедрил комплексный стек средств защиты информации (Symantec, Qualys, OpenWay4, HSM Thales/SafeNet, КриптоПро, VipNet), повысив уровень защищенности карточных данных за счет шифрования и контроля доступа.
✓ Организовал успешное прохождение 2-х проверок ЦБ РФ и международных платежных систем без единого критического замечания.
✓ Спланировал и реализовал два безопасных переезда офиса и ЦОД, обеспечив перенос IT-инфраструктуры без прерывания бизнес-процессов и проведя инвентаризацию активов на сумму более 286 млн руб.
✓ Сократил среднее время обнаружения и реагирования на инциденты ИБ за счет внедрения SIEM-системы и отладки процессов мониторинга.
✓ Получил паспорт антитеррористической защищенности объекта, полностью закрыв требования законодательства в этой области.
Медицина / Фармацевтика / Ветеринария
Выступал в роли единственного эксперта, ответственного за построение всей системы информационной и экономической безопасности медицинского центра с нуля.
Должностные обязанности:
✓ Разработал и реализовал с нуля комплексную Систему Управления ИБ, включая внедрение режима коммерческой тайны (98-ФЗ) и полный комплект ОРД, готовый к прохождению аудита и обеспечивающий 100% соответствие требованиям законодательства (152-ФЗ, 63-ФЗ, 149-ФЗ).
✓ Спроектировал эшелонированную архитектуру защиты и лично руководил ее внедрением, включая сегментацию сети (АПКШ Континент 4), защиту веб-приложений (WAF) и развертывание системы предотвращения утечек данных (DLP Zecurion).
✓ Обеспечил полный цикл внедрения и администрирования всего стека технических средств защиты: развернул централизованную систему защиты конечных точек (EPP на базе Kaspersky), внедрил средства криптографии (КриптоПро, VipNet), защиты от НСД (Соболь, Secret Net Studio) и организовал полный цикл управления электронными подписями (ЭЦП) на базе токенов Рутокен.
✓ Построил прототип центра мониторинга (SOC) для сбора и анализа событий безопасности, используя агенты Wazuh для сбора логов и стек ELK для их корреляции и визуализации, а также разработал планы реагирования на инциденты (IRP).
✓ Управлял внедрением бизнес-приложений с учетом требований безопасности (CRM Bitrix24) и организовал регулярный процесс управления уязвимостями на базе сканера XSpider.
✓ Возглавил направление комплексной безопасности, объединив ИБ, экономическую и физическую безопасность (СКУД, видеонаблюдение) в единую систему управления рисками.
✓ Управлял всем циклом закупок средств защиты информации — от анализа рынка и выбора вендоров до формирования бюджета и обоснования инвестиций перед руководством.
✓ Выступал в роли внутреннего центра компетенций, разработав и внедрив программу обучения сотрудников для минимизации рисков, связанных с человеческим фактором.
Достижения:
✓ Предотвратил экономический ущерб на сумму более 8,5 млн рублей за счет выявления и пресечения более 20 случаев внутреннего мошенничества, а также повысил возврат дебиторской задолженности на 30%.
✓ Построил с нуля систему защиты персональных данных (УЗ-3), обеспечив полное соответствие 152-ФЗ и готовность компании к любым проверкам Роскомнадзора, что минимизировало регуляторные риски.
✓ Значительно повысил контроль над утечками специальных категорий ПДн (медицинские данные) за счет внедрения и настройки политик DLP-системы Zecurion.
✓ Снизил поверхность атаки на 40% благодаря внедрению регулярного процесса управления уязвимостями и своевременной установки обновлений безопасности.
✓ Оптимизировал расходы на информационную безопасность на 20%, сохранив и повысив общий уровень защищенности компании.
✓ Обеспечил 100% видимость событий безопасности на критичных серверах и рабочих станциях, построив с нуля прототип центра мониторинга (SOC) на базе Wazuh и ELK Stack, что сократило среднее время обнаружения инцидентов (MTTD) на 60%.
✓ Повысил осведомленность сотрудников по вопросам безопасности на 70% (по результатам итогового тестирования).
✓ Повысил осведомленность сотрудников по вопросам безопасности на 70% (по результатам итогового тестирования), минимизировав риски, связанные с человеческим фактором.
Госслужба / Некоммерческие организации
Должностные обязанности:
✓ Анализировал угрозы и риски безопасности для критически важных объектов информатизации. Разрабатывал и реализовывал многоуровневые меры по защите информации ограниченного доступа, включая сведения, составляющие государственную тайну.
✓ Проектировал, эксплуатировал и администрировал специализированные аппаратно-программные комплексы и средства криптографической защиты информации (СКЗИ).
✓ Проводил экспертизу СЗИ и контроль защищенности, включая специальные проверки технических средств на предмет выявления уязвимостей и недекларированных возможностей.
✓ Отвечал за планирование, координацию и реализацию технических мер защиты в ходе подготовки и проведения значимых международных мероприятий. Участвовал в разработке внутренних нормативных документов и методических рекомендаций, которые впоследствии легли в основу государственных стандартов.
✓ Участвовал в проведении служебных расследований по фактам нарушения режима безопасности.
✓ Обеспечивал безопасность при проведении крупных международных мероприятий федерального значения.
✓ Проводил технические экспертизы и аудиты защищенности, включая специальные проверки на предмет выявления уязвимостей и недекларированных возможностей (НДВ).
Достижения:
✓ Разработал и внедрил многоуровневую архитектуру защиты для государственных информационных систем, что позволило снизить риски утечек информации на 75% и предотвратить более 12 потенциальных инцидентов несанкционированного доступа.
✓ Обеспечил комплексную кибербезопасность 5 крупных международных саммитов, которые прошли без единого инцидента, связанного с информационной безопасностью.
✓ Создал 7 внутренних регламентов, которые впоследствии легли в основу государственных стандартов в области защиты информации.
✓ Выстроил с нуля эффективную систему управления рисками и внутреннего контроля, что позволило коммерческим организациям успешно проходить государственные аттестации и получать лицензии ФСТЭК/ФСБ.
✓ Награжден государственными и ведомственными наградами за образцовое выполнение служебных обязанностей и вклад в обеспечение безопасности Российской Федерации.
Высшее
Москва, 2004 — 2011 гг.
Высшее
Москва, 2024 — продолжаю учиться
Аналитик SOC
АНО ДПО Учебный центр Эшелон (Информационная безопасность)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры
Институт мониторинга и оценки информационной безопасности (Информационная безопасность)
Специалист по безопасной разработке приложений (DevSecOps)
Высшая школа информационных технологий и безопасности (Информационная безопасность)
Специалист по работе с системами искусственного интеллекта
Международный институт менеджмента объединений предпринимателей Торгово-промышленной палаты Российской Федерации (Информационная безопасность / IT)
Специалист по тестированию на проникновение
Высшая школа информационных технологий и безопасности (Информационная безопасность)
Английский — Технический
Права категорий:
B
Расскажите работодателю то, чтСтратегический руководитель по информационной безопасности и бизнес-ориентированный технологический лидер с 20-летним опытом.
Я применяю основанный на MBA-подходе риск-менеджмент и глубокую экспертизу в области управления ИИ и безопасной разработки для трансформации безопасности из центра затрат в стратегический бизнес-актив с измеримой ROI.
Мой подход - построение с нуля комплексных, устойчивых и гибких систем безопасности с интеграцией принципов Zero Trust.
Я охватываю все аспекты защиты от технической архитектуры и API security до соответствия требованиям законодательства и управления рисками, чтобы защитить критически важные активы, одновременно ускоряя инновации и обеспечивая устойчивый рост бизнеса с подтвержденной эффективностью через KPI.
Как доверенный советник для руководства, трансформирую информационную безопасность в стратегический актив, минимизирующий регуляторные риски и открывающий возможности для роста бизнеса через безопасную цифровую трансформацию.
Обладаю многопрофильным опытом в ключевых отраслях:
1. Управление безопасностью и рисками
✓ Стратегия и управление: Разработка и реализация бизнес-ориентированных стратегий ИБ с измеримыми KPI, построение функции ИБ с нуля как стратегического актива, управление командой (до 15 человек) и бюджетом (CAPEX/OPEX) с фокусом на ROI. Применение современных фреймворков (NIST CSF, FAIR) для оценки зрелости и планирования развития ИБ.
✓ Внедрение и аудит СУИБ (ISO 27001): Полный цикл внедрения ISO 27001 с интеграцией с бизнес-процессами, проведение внутренних аудитов, управление рисками (STRIDE, DREAD, MITRE ATT&CK), развитие функции ИБ как бизнес-партнера. Эффективное взаимодействие с руководством и регуляторами (РКН, ФСТЭК, ФСБ, ЦБ РФ) с фокусом на бизнес-ценности.
✓ Системный подход к построению СУИБ: Реализация пошагового плана построения СУИБ с фокусом на Compliance и Governance, интеграция требований ISO 27001, PCI DSS, GDPR и российского законодательства в единую систему. Применение принципов "защита по дизайну" и "защита по умолчанию" (Privacy/Security by Design & Default).
✓ Полный цикл работ в роли DPO по 152-ФЗ: Осуществление функций ответственного за организацию обработки персональных данных, включая проведение аудитов, разработку ОРД, оценку эффективности мер защиты, взаимодействие с Роскомнадзором, реагирование на инциденты и обучение сотрудников. Практический опыт решения сложных кейсов с биометрическими данными в СКУД и трансграничной передачей данных.
✓ 187-ФЗ (КИИ): экспертиза в области безопасности КИИ: организация и проведение внутренних аудитов объектов КИИ в соответствии с приказами ФСТЭК №235 и №239, категорирование объектов КИИ по принципу "достаточности", разработка и внедрение системы защиты значимых объектов с применением принципов архитектуры нулевого доверия, подготовка к аттестации, внедрение системы мониторинга и реагирования на инциденты безопасности в составе критической информационной инфраструктуры.
✓ 98-ФЗ (Коммерческая тайна): Проведение комплексного аудита режима коммерческой тайны, разработка и внедрение организационно-распорядительной документации (ОРД), установление перечня информации составляющей коммерческую тайну, внедрение технических и организационных мер защиты (включая легализованный мониторинг рабочих мест с применением Staffcop, Makves), обучение сотрудников, организация работы с контрагентами и поставщиками по сохранению конфиденциальности информации.
✓ GDPR и международная безопасность: Полный цикл работ по обеспечению соответствия требованиям Общего регламента по защите данных, включая оценку воздействия на защиту данных (DPIA), назначение и поддержку функций сотрудника по защите данных (DPO), реализацию принципа "защита данных по умолчанию и по дизайну", организацию передачи данных в третьи страны через Standard Contractual Clauses (SCCs), внедрение процессов реагирования на утечки данных в течение 72 часов, документирование операций по обработке персональных данных.
✓ PCI DSS и безопасность платежных систем: Обеспечение соответствия требованиям стандарта безопасности данных индустрии платежных карт, включая определение области действия с сегментацией среды обработки данных держателей карт через micro-segmentation, настройку систем защиты (NGFW, WAF, IDS/IPS), защиту данных на всех этапах обработки, проведение ежеквартального сканирования уязвимостей внешними ASV-провайдерами, организация и проведение тестирования на проникновение силами сертифицированных QSA, реализация системы мониторинга и реагирования на инциденты.
✓ PCI PIN Security: Реализация требований по защите PIN-кодов держателей карт в процессе авторизации транзакций, включая управление криптографическими ключами, защиту аппаратных модулей безопасности (HSM Thales/SafeNet), настройку устройств считывания PIN-кодов (POI-терминалов), внедрение процессов безопасного управления ключами, подготовка к сертификации оборудования и инфраструктуры.
✓ Безопасность API и микросервисной архитектуры: экспертиза в области безопасности API в соответствии с OWASP API Security Top 10, внедрение API Gateways (Kong, Gravitee.io) и Service Mesh (Istio, Envoy), применение позитивной и негативной моделей безопасности, реализация политик управления API на основе NIST-стандартов, защита от угроз BOLA/BFLA, массового извлечения данных, SSRF, неограниченного потребления ресурсов.
✓ Лицензирование и сертификация: Получение лицензий ФСБ (криптография) и ФСТЭК (ТЗКИ, СЗКИ), аттестация ИСПДн/ГИС, сертификация ПО по уровням доверия (УД 4), подготовка организаций к прохождению контрольных мероприятий регулирующих органов. Опыт работы с приказами ФСТЭК №235, 239, 247, 254.
✓ Управление поставщиками и третьими сторонами: Разработка и внедрение стратегии управления безопасностью поставщиков, включая оценку рисков, аудиты, разработку SLA по безопасности, интеграцию с процессами закупок. Успешный опыт работы с аутсорсингом ИБ-функций и управлением рисками третьих сторон в соответствии с PCI DSS 12.8 и GDPR.
✓ Непрерывность бизнеса: Разработка и тестирование планов непрерывности и восстановления после сбоев (BCP/DRP), включая анализ критичности бизнес-процессов, определение RTO и RPO, разработка процедур аварийного восстановления, организация регулярных учений по проверке эффективности планов, интеграция с программами ИБ-страхования.
2. Безопасность активов и данных
✓ Классификация и защита данных: Разработка и внедрение стратегий классификации данных с применением принципов data-centric security, внедрение и управление системами предотвращения утечек (DLP) и аудита доступа (DCAP) от вендоров InfoWatch, Solar Dozor, Staffcop, Makves, реализация политик на основе контекста и чувствительности данных.
✓ Криптография и управление ключами: Управление полным жизненным циклом криптографических ключей, работа с СКЗИ (КриптоПро, ViPNet), PKI-инфраструктурой, ЭЦП, аппаратными модулями безопасности (HSM Thales/SafeNet), обеспечение соответствия требованиям ФСБ и ФСТЭК по использованию криптографии.
✓ Защита данных в облаке и гибридных средах: Разработка и реализация стратегий защиты данных в multi-cloud и гибридных средах, управление секретами с применением HashiCorp Vault, реализация политик токенизации и псевдонимизации персональных данных.
✓ Резервное копирование и восстановление: Внедрение и контроль систем резервного копирования (RuBackup, Кибер Бэкап) с криптографической защитой резервных копий, тестирование процедур восстановления для критически важных систем, обеспечение RPO/RTO в соответствии с бизнес-требованиями.
3. Архитектура и проектирование безопасности
✓ Архитектура ИБ по принципам Zero Trust: Проектирование и внедрение архитектур ИБ на основе Zero Trust Architecture с сегментацией сети, строгой аутентификацией и авторизацией, постоянной верификацией, применением принципа минимальных привилегий. Эшелонированная защита с интеграцией контролей на всех уровнях.
✓ Безопасность платформ: экспертиза в области защиты ОС (Windows Server, Linux, Astra/RED OS), технологий виртуализации (VMware, Hyper-V) и контейнеризации (Docker, Kubernetes), включая безопасную конфигурацию, управление образами, сканирование уязвимостей в CI/CD pipeline.
✓ Физическая и инженерная безопасность: Интеграция СКУД и систем видеонаблюдения в общую систему безопасности, проектирование безопасных ЦОД и серверных помещений с учетом требований антитеррористической защищенности, управление доступом к критически важному оборудованию.
4. Сетевые и телекоммуникационные технологии
✓ Сетевая безопасность нового поколения: Администрирование и тонкая настройка NGFW (UserGate, Континент 4, Kaspersky NGFW, ИКС, Check Point) с применением политик на основе приложений и пользователей, внедрение систем обнаружения/предотвращения вторжений (IDS/IPS) и анализа трафика (NTA/NDR) для выявления advanced threats.
✓ Защита веб-приложений и API: Внедрение и администрирование Web Application and API Protection (WAAP) для защиты от атак класса OWASP Top 10 и OWASP API Security Top 10 (Гарда, SolidWall WAF, PT Application Firewall), применение позитивной и негативной моделей безопасности, защита сложных API (GraphQL, gRPC, WebSocket).
✓ Защита от DDoS и бот-атак: Организация многоуровневой защиты от DDoS-атак (Qrator Labs, StormWall) с применением scrubbing-центров и on-premise решений, внедрение систем защиты от бот-атак с применением behavioral analysis и machine learning.
5. Управление доступом и идентификацией
✓ Современные системы управления доступом: Внедрение и управление системами централизованного управления доступом (Avanpost IDM), ролевой модели (RBAC), атрибутивной модели (ABAC), контроль привилегированных пользователей (Indeed IAM/PAM, Контур.PAM, CyberArk) с сессионным мониторингом и записью сессий.
✓ Эволюция аутентификации: Внедрение многофакторной (MFA) и двухфакторной (2FA) аутентификации (MULTIFACTOR, Indeed Access Manager, MFASOFT), работа с фидо-аутентификацией (passkeys), биометрическими решениями, интеграция с каталогами (Active Directory, LDAP) и IDaaS-платформами.
✓ Управление жизненным циклом идентификации: Разработка и внедрение процессов управления жизненным циклом идентификации и доступа (IGA), автоматизация процессов onboarding/offboarding, регулярный пересмотр прав доступа (access review), управление доступом в условиях удаленной работы.
6. Оценка и тестирование безопасности
✓ Управление уязвимостями как процесс: Построение зрелого процесса Vulnerability Management от сканирования до исправления, работа со сканерами (MaxPatrol VM, RedCheck, Nessus, Крайон HScan), приоритизация уязвимостей на основе рисков бизнеса, интеграция с процессами разработки и эксплуатации.
✓ Тестирование на проникновение и Red Teaming: Организация и контроль внутренних и внешних пентестов с привлечением QSA/SAS, проведение Red Team упражнений для проверки эффективности защиты, фишинг-симуляций для оценки осведомленности сотрудников, подготовка итоговых отчетов с бизнес-рекомендациями.
✓ Аудит и комплаенс: Проведение внутренних аудитов с применением методологий ISO 19011, подготовка и прохождение внешних проверок (ФСТЭК, ФСБ, РКН, ЦБ РФ, PCI QSA), работа с замечаниями регуляторов, разработка планов корректирующих мероприятий.
✓ Безопасность кода и DevSecOps: Интеграция инструментов статического и динамического анализа (SAST/DAST/SCA) в CI/CD конвейер (AppScreener, PVS-Studio, AppSec.Hub, АК-ВС 3), анализ сторонних компонентов на наличие уязвимостей и НДВ, работа с открытым кодом (Open Source Security), управление SBOM (Software Bill of Materials).
7. Операционная безопасность
✓ Построение современных SOC: Построение и развитие центра мониторинга (SOC) с применением принципов автоматизации и оркестрации, внедрение и эксплуатация SIEM-систем (Security Vision, MaxPatrol SIEM, Kaspersky KUMA, RuSIEM, UDV SIEM, Alertix, Wazuh), интеграция с SOAR-платформами для автоматизации реагирования.
✓ Реагирование на инциденты: Разработка и отладка планов реагирования (IRP) с ролевыми моделями и четкими SLA, расследование инцидентов с применением DFIR-методологий, Threat Hunting с применением машинного обучения, управление инцидентами с участием персональных данных в соответствии с требованиями GDPR и 152-ФЗ.
✓ Поведенческий анализ: Внедрение систем для выявления аномалий в поведении пользователей (UEBA) с применением машинного обучения (Security Vision UEBA), построение профилей нормального поведения, детектирование внутренних угроз и компрометации учетных записей.
✓ Повышение осведомленности: Разработка и внедрение программ Security Awareness (Phishman, Red Security, Start X) с персонализированным контентом для разных ролей, обучение безопасной работе с API и ИИ-инструментами, симуляция фишинг-атак и оценка эффективности обучения.
8. Безопасность при разработке ПО и ИИ
✓ DevSecOps и безопасная разработка: Внедрение практик безопасной разработки (SSDLC/БРПО) в соответствии с ГОСТ Р 56939-2024, интеграция безопасности в Agile/DevOps процессы, проведение Threat Modeling для критических приложений, работа с командами разработки для повышения осведомленности в безопасности.
✓ Анализ кода и архитектуры: Глубокая экспертиза в области анализа кода с применением инструментов (Solar appScreener, PVS-Studio, АК-ВС 3, SonarQube, Semgrep), анализ архитектурных уязвимостей, выявление недекларированных возможностей (НДВ), работа с бинарным и исполнимым кодом в условиях отсутствия исходных текстов.
✓ Безопасность ИИ и машинного обучения: Анализ и митигация угроз для систем на базе Искусственного Интеллекта и Машинного обучения (AI/ML Security) в соответствии с OWASP Top 10 for LLM, защита от атак на обучающие выборки (data poisoning), защита моделей от кражи и обратного инжиниринга, аудит ИИ-систем на этичность и предвзятость.
9. Экспертное сообщество и развитие
✓ Активный участник профессионального сообщества РБПО ФСТЭК России и ИСП РАН, регулярное участие в мероприятиях по обмену опытом в области безопасной разработки и защиты критических систем.
✓ Постоянное профессиональное развитие через программы MBA в управлении IT-проектами, специализированные курсы по безопасной разработке (DevSecOps), этичному хакингу (Pentester) и работе с ИИ-технологиями. Внедрение лучших практик из сообщества OWASP в корпоративные процессы безопасности.
✓ Сертификации: ISO/IEC 27001 Lead Auditor, ISO/IEC 27005 Lead Risk Manager, специалист по безопасной разработке (DevSecOps), специалист по работе с системами искусственного интеллекта, аналитик SOC, специалист по тестированию на проникновение.о считаете важным о себе
4 июня, 2009
105 000 руб
Андрей Игоревич
Город
Москва
Возраст
45 лет (13 сентября 1980)
Опыт работы:
23 года и 7 месяцев
Последнее место работы:
Директор ИТ департамента., ООО Группа компаний Логистика и Транспорт
09.2005 - по текущее время
4 февраля, 2009
89 000 руб
Михаил Юрьевич
Город
Москва
Возраст
51 год ( 9 декабря 1974)
Опыт работы:
-2 года и -2 месяца
Последнее место работы:
Руководитель управления программных разработок, СКБ Контур
02.2002 - по текущее время
27 октября, 2010
70 000 руб
Александр Константинович
Город
Москва
Возраст
65 лет ( 8 марта 1960)
Опыт работы:
4 года
Последнее место работы:
Начальник отдела ИТ Дирекции, IBS Экспертиза
01.2005 - 01.2009