Анализ изменений в ИБ и как к ним адаптироваться #записьвебинара

Обсудили с Ольгой Поповой, экспертом по правовым вопросам ИБ, критически важные изменения (импортозамещение, ПДн и КТ). Узнайте, что горит и требует немедленного внимания, а что можно планировать поэтапно, а также конкретные шаги для адаптации к изменениям.

Смотреть запись
😄 ВК | 🥰 RuTube |😉 YouTube

➡️ Посмотреть и скачать презентацию

📌 Ключевые тезисы эфира

Тренды законодательства 2025-2026

Законодательное регулирование развивается по четырем основным векторам:
1. Ужесточение требований к разработке программного обеспечения и к организациям критической информационной инфраструктуры (КИИ);
2. Введение особых требований к документам по защите информации;
3. Усиление норм по защите персональных данных и коммерческой тайны;
4. Расширение контрольных функций регуляторов за обработкой данных и использованием средств защиты.

Главные изменения

Запрет иностранного ПО: С 1 января 2025 года для объектов КИИ и госорганов действует полный запрет на закупку зарубежного ПО, переход на российское ПО обязателен.

Ужесточение ответственности: 30 мая 2025 года введены многократно увеличенные штрафы за утечки. Уголовная ответственность (по 421-ФЗ) грозит за незаконные действия с данными, особо — сотрудникам, ответственным за ИБ.

Новые правила обработки персональных данных: С 1 сентября 2025 года согласие на обработку ПДн должно быть получено только в виде отдельного документа. Обязательны уведомления регулятора о начале обработки и об инцидентах утечки.

Сертификация СЗИ: С июня 2025 года СЗИ должны соответствовать новому ГОСТу. Использование несертифицированных средств — отягчающее обстоятельство.

Приказ ФСТЭК №117 (с 1 марта 2026 года): Ограничивает использование несертифицированных СЗИ в государственных и смежных информационных системах. Требует специального образования для 30% сотрудников, работающих с конфиденциальной информацией.

Новые системы: С 1 марта 2026 года создается ГИС «Антифрод» для обмена данными о кибератаках. Центр по киберинцидентам получает расширенные полномочия.

Легитимизация мониторинга: Проект национального стандарта прямо разрешает мониторинг действий сотрудников для защиты информации при их уведомлении.

Практические рекомендации для организаций

Для подготовки к новым реалиям организациям рекомендуется: провести аудит защищенности ИТ-инфраструктуры и ПО; централизовать и зашифровать хранилища конфиденциальных данных; внедрить строгое управление доступом, сквозное журналирование всех операций и обязательную двухфакторную аутентификацию. Также критически важно обеспечить физическую защиту бумажных носителей, регламентировать их перемещение, регулярно обновлять ПО и проводить «гигиену» данных.

Мы оперативно публикуем в группе ВК записи всех эфиров Код ИБ. Подписывайтесь, чтобы не пропустить новые видео!

Лаборатория CISO
Элемент Recovery: Кризисный менеджмент и восстановление

📌 Москва, 20-22 февраля
➡️ Регистрация

В 2026 году Код ИБ запускает новый образовательный трек — закрытые камерные Лаборатории CISO, где участники не просто слушают доклады, а через тесное взаимодействие с другими CISO и экспертами калибруют систему управления ИБ своей компании.

Учебный план первой Лаборатории CISO:

Сессия 1: Философия киберуйстойчивости

Почему 90% компаний фокусируются на предотвращении атак (Prevention), но проваливаются на восстановлении (Recovery)? В чем разница между IRP (Incident Response) и DRP (Disaster Recovery).

Сессия 2: Принятие решений в условиях неопределенности

Этой сессией мы смоделируем настоящий кошмар CISO, когда нужно быстро принять решение о том, восстанавливаться ли из backup или платить выкуп хакерам, чтобы нанести минимальный урон бизнесу?

Сессия 3: Стресс-тест Планов реагирования (Incident Response Plan — IRP)

Большинство планов реагирования (IRP) пылятся на полке. Здесь на Лаборатории CISO мы детально изучим обезличенные планы восстановления участников Лаборатории.

Сессия 4: Кризисные коммуникации в эпоху дипфейков

Сегодня кризис — это не только взлом, но и фейковое видео с «речью CEO» или отправка недостоверного пресс-релиза в СМИ. Лаборатория учит защищать и восстанавливать репутацию компании.

Сессия 5: Практикум "Расследование на время"

За ограниченное время собрать достаточное количествоё доказательств для принятия решения, чтобы остановить распространение атаки прямо сейчас.

Сессия 6: Сборка Плана восстановления (DRP)

Продумать план восстановления не как документ для ИБ-отдела, а как инструкцию для бизнеса, написанную на языке бизнес-процессов, которую должны понимать и исполнять IT, юристы, PR и руководство.

Сессия 7: Питч-сессия и подведение итогов

Не просто презентовать, а отрепетировать ключевое выступление перед лицами, принимающими решения (правлением, CEO), и получить обратную связь, которая превратит сырой прототип в обоснованное предложение о финансировании.

Итог каждой лаборатории — не только удостоверение о повышении квалификации (16 часов), но и персональный набор инструментов для использования в вашей компании.

Соберите полную коллекцию компетенций за год

Восстановление — только первый элемент, который мы разберем в Лаборатории. Пройдите все четыре и получите полную «формулу киберустойчивости» для вашей компании:

*️⃣ 20-22.02 | Элемент R: Recovery
Кризисный менеджмент и восстановление
Москва

*️⃣ 27-29.03 | Элемент S: Shadow
Риски третьих сторон и цепочки поставок
Екатеринбург

*️⃣ 05-07.06 | Элемент M: Metrics
Метрики и дашборды для правления
Калининград

*️⃣ 13-15.11 | Элемент C: Compliance
Работа с регуляторами и 152-ФЗ
Санкт-Петербург

Выбирайте актуальные для себя темы и планируйте участие. При выборе нескольких Лабораторий вас ждет максимальная выгода и комплексный результат ➡️ Оставить заявку

P&L кибератаки #опытэкспертов

Делимся опытом Георгия Руденко, CISO крупного банка и автора Telegram-канала "Кибербез & Бизнес".

Большинство таргетированных кибератак (в отличие от сегмента массовых атак) имеют своего заказчика, цели, ресурсы и сроки реализации. Поэтому можно рассматривать такие кибератаки как условные "проекты", для которых можно посчитать метрику P&L = (доходы – расходы) за отчетный период.

В нашем контексте под P (Profit) будем понимать совокупную выгоду, которую получает атакующий по результатам кибератаки. А под расходами L (Loss) — совокупный объем ресурсов, необходимых для ее реализации. Давайте более подробно разберем каждую составляющую:

🟡 P (Profit) — что получает хакер?

Прямые выгоды (реальные деньги или активы):
➖Получение выкупа за зашифрованные/удаленные данные;
➖Прямое хищение денежных средств (например, со счетов компании/клиентов);
➖Продажа похищенных данных (база клиентов, логины/пароли, коммерческая тайна и т.п.);
➖Продажа доступов к внутренним системам и ресурсам;
➖Получение оплаты за реализацию атаки по заказу (crime-as-a-service);
➖Монетизация за счет добавления взломанных ресурсов в ботнет.

Косвенные выгоды (нематериальная польза/эффект):
➖Причинение прямого ущерба компании по личным причинам (остановка работы сервисов, уничтожение инфраструктуры, ухудшение репутации компании, получение компанией штрафов и т.п.);
➖Использование украденных данных для других схем (фишинг, мошенничество);
➖Улучшение своего бренда в публичной среде и на черном рынке;
➖Получение инсайдерской или другой полезной информации;
➖Увеличение экспертизы и опыта для повышения эффективности при новых атаках;
➖Закрепление в инфраструктуре компании для последующих атак.

🟡 L (Loss) — на что тратит хакер?

Прямые затраты (реальные деньги):
➖Покупка 0-day уязвимостей, эксплойтов и других инструментов;
➖Аренда или покупка инфраструктуры для атаки (серверы, ботнеты и т.п.);
➖Затраты на сбор информации о жертве (анализ открытых источников, инсайды);
➖Оплата труда/услуг специалистов, участвующих в атаке;
➖Расходы на вывод денег после реализации кибератаки.

Дополнительные риски:
➖Финансовые (превышение исходного бюджета на атаку, потеря вложенных средств, невозможность получить прибыль);
➖Репутационные (снижение репутации при провале атаки);
➖Юридические (раскрытие личности и привлечение к ответственности согласно законодательству);
➖Временные (нарушение планируемых сроков реализации атаки).

При неограниченных ресурсах и сроках можно взломать практически любую компанию. Но в реальности у большинства атакующих, даже имеющих не только финансовые, но и личные/политические мотивы, существуют определенные ограничения.

🟡 Что с этим делать дальше?

Если говорить про малый и средний бизнес, то стоит реализовать базовые меры защиты (т.к в этом случае более актуальна защита не от таргетированных, а от массовых кибератак).

Если говорить про крупный бизнес, то помимо реализации базовых мер защиты, нужно выделять наиболее релевантные сценарии таргетированных атак, которые актуальны для вашего бизнеса (о том, как именно это делать, будет отдельный пост).

А уже после определения этих сценариев в каждом отдельном случае нужно проработать дополнительные меры, которые позволят снизить совокупный Profit для атакующего и увеличат его Loss, чтобы снизить общий P&L анализируемого сценария кибератаки.