CISO 8.0  /  Модуль 3
Модуль 03 из 08

Технологический стек: выбор, интеграция и управление Open Source

CISO-стек 2026: что закупать, как интегрировать и как не утонуть в Open Source. 4 живых разбора supply chain атак 2024–2026 и матрица выбора с TCO на руках.

● Модуль состоялся · доступен в записи
14
часов лекций
2
часа домашних заданий
4
supply chain кейса
5
артефактов на выходе
Записаться → Модуль доступен в записи — получить
Зачем этот модуль

В 2026 году неправильный выбор стека стоит миллионов

Рынок ИБ консолидируется, цепочки поставок ПО атакуют за минуты, а регулятор ужесточает сроки. Этот модуль даёт рабочую систему: что закупать, как интегрировать и как держать под контролем Open Source.

Вендоры-однодневки

На российском рынке NGFW сегодня более 40 вендоров. Через 2–3 года выживут не более 5 — и ставка не на того стоит миграции и бюджета.

40+ вендоров → 5

Supply chain — новая нормальность

Сентябрь 2025: 16 минут от фишинга мейнтейнера до раскатки вредоноса в npm-пакеты с 2 млрд скачиваний/неделю. XZ Utils, Shai-Hulud, qix/chalk — уже не экзотика.

16 минут → 2 млрд

24-часовой дедлайн ФСТЭК

С 1 марта 2026 Приказ ФСТЭК №117 требует устранения критических уязвимостей за 24 часа. Без управляемого стека и SCA это невыполнимо.

24 часа на CVE · 117 ФСТЭК
Программа модуля — 4 дня, 20 занятий

От ландшафта стека ИБ-2026 до supply chain и практического воркшопа

Онлайн: вебинары, разборы кейсов и практический воркшоп. 4 живых разбора supply chain атак 2024–2026, 5 рабочих артефактов на выходе. Видеозаписи занятий — ниже.

Роман Шапиро
День 1 4 ак.ч · Сравнение, AI и облако

Сравнение решений, интеграция, AI и облако

Роман Шапиро · Руководитель дирекции информационной безопасности, Почта России
Запись Дня 1🔒 Доступна участникам →
3.6 35 мин

TCO как язык разговора с CFO

  • Полная модель TCO на 5 лет: лицензии, инфра, внедрение, миграция, выход
  • Что забывают учесть: сквозной пример NGFW
  • Разница между прайс-листом и реальной стоимостью владения
→ Excel-шаблон «Матрица выбора решений» с TCO-калькулятором
3.7 40 мин

Пятишаговый метод объективного сравнения

  • 5–7 ключевых сценариев работы продукта
  • Запрос внутренних тестов вендора + мини-PoC
  • Анонимные опросы коллег по шаблону
  • Взвешенный оценочный лист и решение на цифрах
→ Заполненный пример матрицы по 3 российским NGFW
3.8 35 мин

AI-инструменты в стеке ИБ-2026

  • Где ИИ реально работает: UEBA, NDR с ML, SOC-копилоты, AI-DLP
  • Как отличить «маркетинговый ИИ» от «ИИ под капотом»
  • SIEM vs XDR с AI vs гибрид; MaxPatrol O2, Kaspersky SIEM, Solar JSOC
→ Чек-лист «AI-tooling в продуктах ИБ»
3.9 35 мин

Облачная безопасность как часть стека

  • CSPM, CWPP, CNAPP: что когда применять
  • Yandex Cloud, VK Cloud, MTS Cloud, СберCloud — особенности
  • Облачный сервис ИБ или on-premise; 152-ФЗ и локализация ПДн как драйвер
3.10 30 мин

Интеграция стека: как не получить «зоопарк»

  • Когда SIEM/SOAR недоступен: альтернативы
  • Общая шина данных, syslog, единый формат логов
  • Кейс ритейлера: DLP + NGFW + SOC без коммерческого SIEM
→ Архитектурный шаблон интеграции для 3 размеров бизнеса
ДЗ к воркшопу
🏠 Домашнее задание

Матрица и схема интеграции

  • Заполнить матрицу выбора и оценочный лист (минимум 2 продукта)
  • Простая схема интеграции своего стека
Виктор Бобыльков Андрей Моисеев
День 2 4 ак.ч · Open Source и цепочки поставок

Open Source в корпоративном стеке

Виктор Бобыльков · Директор по кибербезопасности, MWS Cloud
Андрей Моисеев · Senior DevSecOps, MWS Cloud
Запись Дня 2🔒 Доступна участникам →
3.11 30 мин

Почему Open Source — не «бесплатный сыр»

  • 90–97% приложений содержат OSS-компоненты
  • 33% российского ПО на OSS содержит серьёзные уязвимости
  • Bus factor: риск проектов с одним мейнтейнером
3.12 45 мин
⚡ 4 кейса

Атаки на цепочки поставок ПО: разбор четырёх кейсов

  • Март 2024: XZ Utils backdoor (CVE-2024-3094), CVSS 10.0
  • Сентябрь 2025: Shai-Hulud в npm — 500+ пакетов, кража PAT и ключей
  • 8 сентября 2025: qix/chalk — 16 минут до 2 млрд
  • Ноябрь 2025 → апрель 2026: Shai-Hulud 2.0 и The Third Coming
→ Актуальный ландшафт supply chain атак и что против них работает
3.13 45 мин
🔍 Практикум

SCA и SBOM на пальцах для CISO

  • SCA как сканер библиотек, SBOM как «список ингредиентов»
  • Контекст: EO 14028, ФСТЭК и АРПП «Отечественный софт»
  • Запуск OWASP Dependency-Check; CodeScoring, AppSec.Hub, AppSec.Sting
→ Инструкция по OWASP Dependency-Check + карта SCA/SBOM-инструментов 2026
3.14 35 мин

Лицензионная чистота: ликбез для CISO

  • Безопасные лицензии: MIT, Apache 2.0, BSD
  • «Заразные»: GPL, AGPL — когда придётся открывать свой код
  • LGPL: динамическая vs статическая линковка; что делать с GPL в продукте
→ Шпаргалка по open-source лицензиям
3.15 25 мин

Чек-лист оценки здоровья OSS-проекта

  • Когда последний релиз? Как часто исправляются CVE?
  • Bus factor: сколько активных контрибьюторов
  • Есть ли коммерческая компания за проектом
→ Чек-лист «Оценка здоровья open-source проекта»
ДЗ к воркшопу
🏠 Домашнее задание

SCA на своём проекте

  • Запустить SCA и OWASP Dependency-Check на реальном или учебном проекте
  • Оценить здоровье 5–10 ключевых OSS-компонентов по чек-листу
  • Принести отчёт на воркшоп для разбора с экспертом
Дмитрий Шарапов Андрей Эли Данила Вайсбург
День 34 ак.ч · Ландшафт стека ИБ-2026

Ландшафт стека ИБ-2026 и инвентаризация

Дмитрий Шарапов · Управляющий директор, ДОМ.РФ
Андрей Эли · Директор по информационной безопасности, Hoff Tech
Данила Вайсбург · Начальник отдела кибербезопасности
Запись Дня 3🔒 Доступна участникам →
3.1 25 мин

От «зоопарка» точечных продуктов к платформам

  • 40+ российских NGFW-вендоров на месте 10 в начале 2022
  • Объёмы рынка по сегментам: NGFW, SIEM, DLP, EDR, NTA
  • Поглощения и консолидации 2022–2026
3.2 35 мин

Регуляторная рамка выбора решений

  • Указ №250 (1 мая 2022) и Указ №500 (13 июня 2024)
  • Требования ФСТЭК для NGFW класса 4
  • Реестр Минцифры; признаки добросовестного российского вендора
→ Чек-лист проверки вендора при импортозамещении
3.3 35 мин

Импортозамещение без сюрпризов

  • Методика PoC: критерии успеха, типовые ошибки
  • Договор с вендором: SLA, право на аудит, выход
  • Кейс: миграция банка с Cisco ASA на российский NGFW
→ Шаблон плана миграции на 12–18 месяцев
3.4 35 мин

Карта классов решений ИБ-стека 2026

  • 12 обязательных + 4 опциональных класса
  • Лидеры, второй эшелон, нестабильные вендоры
  • Опора на «Матрицу импортозамещения 2025» СТРИМ Консалтинг
→ Карта рынка ИБ-вендоров России 2026
3.5 40 мин

Инвентаризация стека: пошаговый метод

  • 5 шагов: договоры → опросы → API → карта → белые пятна
  • Кейс: компания нашла 15 спящих лицензий, экономия 3 млн ₽/год
  • Демонстрация шаблона на учебных данных
→ Excel-шаблон «Инвентаризация ИБ-стека» (10 классов × 8 атрибутов)
Андрей Эли
День 4· 4 ак.ч · Практический воркшоп

Практический воркшоп

Андрей Эли · Директор по информационной безопасности, Hoff Tech  ·  малые группы 5–7: действующий CISO + архитектор
Запись Дня 4🔒 Доступна участникам →
3.16 15 мин

Установочная сессия

  • Распределение по трекам и экспертам
  • Трек А: 1000+ сотрудников
  • Трек Б: 200–1000 · Трек В: до 200 + стартапы
3.17–3.19 3 × ~70 мин
🔍 3 ротации

Три ротации защиты артефактов

  • Ротация 1 — защита матрицы выбора: 2–3 продукта, веса, TCO, рекомендация
  • Ротация 2 — разбор плана интеграции: точки отказа, дублирование, разрывы
  • Ротация 3 — Open Source-аудит: SCA-отчёт и здоровье OSS, приоритизация
→ Доработанный итоговый пакет + письменная обратная связь от эксперта
3.20 15 мин

Закрытие модуля

  • Сводка ключевых выводов воркшопа
  • 7 дней на доработку артефактов на полных данных компании
  • Итоговое тестирование (30 вопросов, проходной балл 70%)
  • Бонус: лучшие 3 работы разберём на «Безопасной среде» через месяц
Что вы получите

5 рабочих артефактов под свою компанию

Не абстрактные знания, а готовые рабочие документы — забираете с собой и применяете с первого дня после модуля.

Инвентаризация стека

10–12 классов решений вашей компании с заполненными атрибутами по шаблону.

Excel-шаблон

Матрица выбора с TCO

Сравнение 2+ продуктов с расчётом TCO на 5 лет, веса критериев, рекомендация — рабочий документ для CFO.

Excel + калькулятор

Схема интеграции стека

Текущая и целевая архитектура на 1–2 года с разбором точек отказа и разрывов покрытия.

draw.io / Visio

SCA-отчёт с планом исправления

OWASP Dependency-Check по проекту: список уязвимостей, приоритизация, план действий.

PDF-отчёт

Оценка здоровья OSS

Топ-10 используемых open-source зависимостей по чек-листу с решением о замене проблемных компонентов.

Excel-чек-лист

Карта рынка ИБ-2026

12+ классов решений, лидеры, второй эшелон, нестабильные вендоры — стартовая точка для любых будущих закупок.

PDF-карта

Шаблоны и чек-листы

Проверка вендора, шпаргалка по OSS-лицензиям, инструкция по OWASP Dependency-Check, чек-лист AI-tooling.

5 PDF-документов

Видеозаписи модуля

Записи всех 4 учебных дней с доступом на 1 год.

12 месяцев

Удостоверение о ПК

Установленного образца — 16 ак.ч, по итогам аттестации. Тариф «С обратной связью».

16 ак.ч · установленного образца
Аттестация

Аттестационное задание — три артефакта на ваших данных

Что нужно сделать

Собрать три рабочих артефакта на данных своей компании: матрицу выбора с TCO (сравнение 2+ продуктов, расчёт на 5 лет, готовая к защите перед CFO), SCA-отчёт + план исправления (реальный отчёт OWASP Dependency-Check по вашему проекту) и инвентаризацию стека (карта 10–12 классов решений компании).

Это рабочие документы, а не формальное задание — забираете с собой и применяете сразу как стартовую точку для будущих решений.

Проверка экспертами — персональная обратная связь от практиков (тариф «С обратной связью»)
Рабочие документы — применяете в компании сразу после модуля
Удостоверение — 16 ак.ч установленного образца по итогам итогового теста
Отзывы

Обратная связь участников модуля

Что говорят те, кто уже прошёл модуль.

Николай Сергеевич
Руководитель ИБ направления

Второй модуль очень хорошо показал, как сегодня меняется роль CISO. Уже недостаточно просто отвечать за ИБ — нужно понимать бизнес, процессы, риски подрядчиков, импортозамещение и работу с регуляторами. Много практических мыслей, которые можно применять сразу.

Алексей Сафронов
Специалист по ИБ

Нравится, что курс построен вокруг реальности отрасли, а не “идеальных схем”. Эксперты открыто обсуждают ошибки, сложные решения и компромиссы, через которые проходят компании. Для руководителей ИБ это особенно ценно. Взглянуть на кейсы коллег было особенно ценно.

Лукьянов Евгений
Аналитик ИБ

Курс даёт именно системный взгляд на современную кибербезопасность: от стратегии и управления до технологий и регуляторики. Очень сильный состав экспертов и много того, что обычно остаётся “за кадром” публичных выступлений. Вебинары Валерия Комарова и про 117 ФЗ сильно изменили взгляд на привычные вещи.

Как проходил модуль

Видеозаписи занятий

Модуль состоялся в мае 2026. Полные видеозаписи всех 6 сессий доступны участникам по любому из тарифов.

Сессия 01 · Роман ШапироСравнение решений, интеграция, AI и облако
Сессия 02 · Виктор бобыльков, Андрей Моисеев Open Source в корпоративном стеке
Сессия 03 · Дмитрий Шарапов, Андрей Эли, Данила ВайсбургЛандшафт стека ИБ-2026 и инвентаризация
Сессия 04 · Андрей ЭлиПрактический воркшоп
Стоимость

Как пройти модуль

Модуль можно пройти отдельно — в записи или с обратной связью от экспертов. А можно подписаться на всю годовую программу.

Записи
Самостоятельное прохождение в записи.
25 000 ₽
1 участник от компании
  • Видеозаписи всех 4 учебных дней (16 ак.ч)
  • Шаблоны, чек-листы и материалы модуля
  • Общий чат участников
  • Доступ к записям 1 год
  • Без обратной связи и удостоверения
Оплатить картой Запросить счёт
Рекомендуемый
С обратной связью
С разбором ваших артефактов и удостоверением.
35 000 ₽
1 участник от компании
  • Всё из тарифа «Записи» (доступ 1 год)
  • Персональная обратная связь экспертов по 3 артефактам
  • Удостоверение установленного образца (16 ак.ч)
Оплатить картой Запросить счёт
Профессионал
Полная годовая программа.
200 000 ₽
+ доступ для 2-го сотрудника
  • 8 модулей (128 ак.ч)
  • Записи и материалы
  • Обратная связь и удостоверение каждому
  • Спецусловия на Код ИБ ПРОФИ
Оплатить картой Запросить счёт
Команда
Для ИБ-подразделений, до 5 человек.
480 000 ₽
до 5 участников от компании
  • Всё из тарифа «Профессионал»
  • До 5 участников от компании
  • Закрытый воркшоп со спикером на выбор
  • Приоритетная поддержка
Запросить счёт

Прошли модуль и решили продолжить? Стоимость модуля зачтём в годовую программу «Директор по кибербезопасности 8.0» — доплатите только разницу.

Оплата от физического или юридического лица · Рассрочка 0% на 12 месяцев для физлиц · При оплате от юрлица — полный пакет закрывающих документов

Остались вопросы?

30 минут, чтобы понять, подходит ли вам формат

Обсудим вашу задачу и подберём оптимальный формат участия — отдельный модуль, полная программа или командный тариф.

Записаться на консультацию → Скачать презентацию

Модуль 3 — часть годовой программы «Директор по кибербезопасности 8.0». Можно приобрести отдельно или в составе полной программы.