CISO 8.0  /  Модуль 3
Модуль 03 из 08

Технологический стек: выбор, интеграция и управление Open Source

CISO-стек 2026: что закупать, как интегрировать и как не утонуть в Open Source. 4 живых разбора supply chain атак 2024–2026 и матрица выбора с TCO на руках.

21 мая · ландшафт стека ИБ-2026 22 мая · сравнение, AI и облако 28 мая · Open Source и цепочки поставок 29 мая · практический воркшоп
4
учебных дня
16
академических часов
4
supply chain кейса
5
артефактов на выходе
Записаться на консультацию Смотреть программу ↓ 35 000 ₽ за модуль
Зачем этот модуль

В 2026 году неправильный выбор стека стоит миллионов

Импортозамещение поджимает. Open Source перестал быть «просто бесплатным». ФСТЭК ужесточает требования. Модуль помогает CISO принять решения, которые проживут 5 лет.

Вендоры-однодневки

На российском рынке NGFW сегодня 40+ вендоров. По неофициальным оценкам, через 2–3 года выживут не более 5. Закупочное решение становится ставкой на выживание поставщика.

40+ вендоров → 5

Supply chain — новая нормальность

Сентябрь 2025: 16 минут от фишинга мейнтейнера до раскатки вредоносного кода в npm-пакетах с 2 млрд скачиваний/неделю. XZ Utils, Shai-Hulud, qix/chalk — это уже стандарт, а не экзотика.

16 минут до 2 млрд

24-часовой дедлайн ФСТЭК

С 1 марта 2026 Приказ ФСТЭК №117 требует устранять критические уязвимости за 24 часа. Стек должен быть таким, чтобы это было физически возможно — иначе требование не выполнить.

24 часа на CVE
Программа модуля

4 дня: от инвентаризации до защиты матрицы выбора

Три дня теории и разборов реальных кейсов 2024–2026, четвёртый — живой воркшоп в малых группах с действующими CISO. Каждый день — рабочие шаблоны, которые забираете в свою компанию.

01

Ландшафт стека ИБ-2026 и инвентаризация

21 мая · 4 ак.ч. · Теоретический вебинар
3.1 25 мин

От «зоопарка» точечных продуктов к платформам

  • 40+ российских NGFW-вендоров на месте 10 в начале 2022
  • Объёмы рынка по сегментам: NGFW, SIEM, DLP, EDR, NTA
  • Поглощения и консолидации 2022–2026
  • Когда стек важно видеть целиком, а не по классам
3.2 35 мин

Регуляторная рамка выбора решений

  • Указ № 250 (1 мая 2022) и Указ № 500 (13 июня 2024)
  • Требования ФСТЭК для NGFW класса 4
  • Реестр Минцифры: что регулятор ждёт увидеть в стеке
  • Признаки добросовестного российского вендора
→ Чек-лист проверки вендора при импортозамещении
3.3 35 мин
⚡ Разбор кейса

Импортозамещение без сюрпризов

  • Методика PoC: критерии успеха, типовые ошибки
  • Договор с вендором: SLA, право на аудит, выход
  • Кейс: миграция банка с Cisco ASA на российский NGFW
  • Бюджет, сроки, грабли — конкретные цифры
→ Шаблон плана миграции на 12–18 месяцев
3.4 35 мин

Карта классов решений ИБ-стека 2026

  • 12 обязательных + 4 опциональных класса
  • Лидеры, второй эшелон, нестабильные вендоры
  • Опора на «Матрицу импортозамещения 2025» СТРИМ Консалтинг (118 организаций, 15 868 NGFW)
→ Карта рынка ИБ-вендоров России 2026
3.5 40 мин
🔍 Практикум

Инвентаризация стека: пошаговый метод

  • 5 шагов: договоры → опросы → API → карта → белые пятна
  • Кейс: компания нашла 15 спящих лицензий, экономия 3 млн ₽/год
  • Демонстрация шаблона на учебных данных
→ Excel-шаблон «Инвентаризация ИБ-стека» (10 классов × 8 атрибутов)
02

Сравнение решений, интеграция, AI и облако

22 мая · 4 ак.ч. · Вебинар + расчёты + демо
3.6 35 мин
🔍 Расчёт

TCO как язык разговора с CFO

  • Полная модель TCO на 5 лет: лицензии, инфра, внедрение, миграция, выход
  • Что забывают учесть: сквозной пример NGFW
  • Разница между прайс-листом и реальной стоимостью владения
→ Excel-шаблон «Матрица выбора решений» с TCO-калькулятором
3.7 40 мин

Пятишаговый метод объективного сравнения

  • 5–7 ключевых сценариев работы продукта
  • Запрос внутренних тестов вендора + мини-PoC
  • Анонимные опросы коллег по шаблону
  • Взвешенный оценочный лист и решение на цифрах
→ Заполненный пример матрицы по 3 российским NGFW
3.8 35 мин

AI-инструменты в стеке ИБ-2026

  • Где ИИ реально работает: UEBA, NDR с ML, SOC-копилоты, AI-DLP
  • Как отличить «маркетинговый ИИ» от «ИИ под капотом»
  • Архитектурный выбор: SIEM vs XDR с AI vs гибрид
  • Российские примеры: MaxPatrol O2, Kaspersky SIEM, Solar JSOC
→ Чек-лист «AI-tooling в продуктах ИБ»
3.9 35 мин

Облачная безопасность как часть стека

  • CSPM, CWPP, CNAPP: что когда применять
  • Yandex Cloud, VK Cloud, MTS Cloud, СберCloud — особенности
  • Облачный сервис ИБ или on-premise: критерии выбора
  • 152-ФЗ и локализация ПДн как драйвер выбора
3.10 30 мин

Интеграция стека: как не получить «зоопарк»

  • Когда SIEM/SOAR недоступен: альтернативы
  • Общая шина данных, syslog, единый формат логов
  • Кейс ритейлера: DLP + NGFW + SOC без коммерческого SIEM
→ Архитектурный шаблон интеграции для 3 размеров бизнеса
ДЗ подготовка
📝 К воркшопу

Заполнить матрицу и схему интеграции

  • Оценочный лист для выбранного класса решений (минимум 2 продукта)
  • Простая схема интеграции своего стека
03

Open Source в корпоративном стеке

28 мая · 4 ак.ч. · Вебинар + живые демо инструментов
3.11 30 мин

Почему Open Source — не «бесплатный сыр»

  • 90–97% приложений содержат OSS-компоненты
  • 33% российского ПО на OSS содержит серьёзные уязвимости
  • Bus factor: риск проектов с одним мейнтейнером
3.12 45 мин
⚡ Флагманский разбор · 4 кейса 2024–2026

Атаки на цепочки поставок ПО: разбор четырёх кейсов

Хронология эволюции supply chain атак — от двухлетней социальной инженерии до промышленного червя с «выключателем мертвеца». То, что сегодня — это новая нормальность, а не разовый инцидент.

Кейс 1 · март 2024
XZ Utils backdoor (CVE-2024-3094)

Двухлетняя социальная инженерия: Jia Tan получил позицию мейнтейнера и встроил бэкдор в OpenSSH через liblzma. CVSS 10.0.

Кейс 2 · сентябрь 2025
Shai-Hulud в npm

Первый самораспространяющийся червь: 500+ скомпрометированных пакетов, кража GitHub PAT и ключей AWS/GCP/Azure.

Кейс 3 · 8 сентября 2025
qix/chalk — 16 минут до 2 млрд

Фишинг мейнтейнера chalk → внедрение вредоносного кода в 18 пакетов с 2 млрд скачиваний/неделю за 16 минут.

Кейс 4 · ноябрь 2025 → апрель 2026
Shai-Hulud 2.0 и The Third Coming

Эволюция червя с «выключателем мертвеца». Mini Shai-Hulud (29 апреля 2026) — текущая волна.

→ Понимание актуального ландшафта supply chain атак и что против них работает
3.13 45 мин
🛠️ Live demo

SCA и SBOM на пальцах для CISO

  • SCA как сканер библиотек, SBOM как «список ингредиентов»
  • Контекст: Executive Order 14028, ФСТЭК и АРПП «Отечественный софт»
  • Запуск OWASP Dependency-Check на демо-проекте
  • Российские: CodeScoring, AppSec.Hub (Swordfish), AppSec.Sting
→ Инструкция по OWASP Dependency-Check + карта SCA/SBOM-инструментов 2026
3.14 35 мин

Лицензионная чистота: ликбез для CISO

  • Безопасные: MIT, Apache 2.0, BSD
  • «Заразные»: GPL, AGPL — когда придётся открывать свой код
  • LGPL: динамическая vs статическая линковка
  • Что делать, если разработчик уже принёс GPL в коммерческий продукт
→ Шпаргалка по open-source лицензиям
3.15 25 мин
🔍 Активность

Чек-лист оценки здоровья OSS-проекта

  • Когда последний релиз? Как часто исправляются CVE?
  • Bus factor: сколько активных контрибьюторов
  • Есть ли коммерческая компания за проектом
  • Каждый участник оценивает один проект из своего стека (5–7 мин) → обсуждение
→ Чек-лист «Оценка здоровья open-source проекта»
ДЗ к воркшопу
📝 К Дню 4

Запустить SCA на своём проекте и принести отчёт

  • Запустить OWASP Dependency-Check на одном реальном или учебном проекте
  • Оценить здоровье 5–10 ключевых OSS-компонентов по чек-листу
  • Принести на воркшоп для разбора с экспертом
04

Практический воркшоп

29 мая · 4 ак.ч. · Малые группы с действующими CISO
⚡ Главный практический день

Защита матриц выбора, схем интеграции и планов импортозамещения перед действующими CISO и архитекторами. Это основная ценность модуля — персональный разбор задачи участника от практиков, а не очередная лекция.

3.16 15 мин
⚡ Установочная сессия

Распределение по трекам и экспертам

  • Малые группы по 5–7 участников, в каждой — действующий CISO + архитектор
  • Распределение по сегментам: крупный, средний, малый бизнес
  • Трек А: 1000+ сотрудников · Трек Б: 200–1000 · Трек В: до 200 + стартапы
3.17–3.19 3 × ~70 мин
⚡ Три ротации

Защита артефактов перед экспертами

Ротация 1
Защита матрицы выбора

5 минут на участника: 2–3 продукта, веса критериев, TCO, рекомендация. Эксперт даёт 3–5 пунктов на доработку.

Ротация 2
Разбор плана интеграции

Текущая схема стека → точки отказа, дублирование, разрывы. Альтернативы: где обойтись без SIEM, как организовать шину данных.

Ротация 3
Open Source-аудит

Защита SCA-отчёта и оценки здоровья OSS-компонентов. Приоритизация исправлений с учётом контекста использования.

→ Доработанный итоговый пакет + письменная обратная связь от эксперта
3.20 15 мин

Закрытие модуля и постановка финального ДЗ

  • Сводка ключевых выводов воркшопа
  • 7 дней на доработку артефактов на полных данных компании
  • Обзор итогового тестирования (30 вопросов, проходной балл 70%)
  • Бонус: лучшие 3 работы будут разобраны на «Безопасной среде» через месяц
Спикеры модуля

Учитесь у тех, кто прошёл импортозамещение и строит стек 2026

Действующие CISO с реальным опытом миграций, выбора решений и управления Open Source-рисками в крупных компаниях.

Виктор Бобыльков

Виктор Бобыльков

Директор по кибербезопасности
MWS Cloud
Михаил Макаров

Михаил Макаров

Руководитель продукта AppSec.Track
AppSec Solutions
Итоговый результат

5 рабочих артефактов + удостоверение

Не абстрактные знания, а конкретные документы для вашей компании, которые сразу можно показать CFO, CTO или регулятору.

Инвентаризация стека

10–12 классов решений вашей компании с заполненными атрибутами по шаблону. База для всех остальных решений.

Excel-шаблон

Матрица выбора с TCO

Сравнение 2+ продуктов в выбранном классе. Расчёт TCO на 5 лет, веса критериев, итоговая рекомендация — рабочий документ для CFO.

Excel + калькулятор

Схема интеграции стека

Текущая архитектура и целевая на 1–2 года. С разбором экспертом точек отказа и разрывов в покрытии.

draw.io / Visio

SCA-отчёт с планом исправления

OWASP Dependency-Check по одному проекту: список найденных уязвимостей, приоритизация, план действий.

PDF-отчёт

Оценка здоровья OSS

Топ-10 используемых open-source зависимостей вашей компании, оценённых по чек-листу. С решением о замене проблемных компонентов.

Excel-чек-лист

Карта рынка ИБ-2026

12+ классов решений, лидеры, второй эшелон, нестабильные вендоры. Стартовая точка для любых будущих закупок.

PDF-карта

Шаблоны и чек-листы

Чек-лист проверки вендора, шпаргалка по OSS-лицензиям, инструкция по OWASP Dependency-Check, чек-лист AI-tooling.

5 PDF-документов

Видеозаписи модуля

Записи всех 4 дней с доступом на 1 год — для повторного просмотра и передачи знаний коллегам.

Доступ 12 мес.

Удостоверение

Удостоверение о повышении квалификации установленного образца после успешной сдачи итогового теста.

16 ак.ч. · Уст. образца
Формат обучения

Как проходит модуль

12
ак.ч
Теория и разборы кейсов 2024–2026
4
ак.ч
Живой воркшоп с действующими CISO
4
кейса
Supply chain атак 2024–2026 на живом разборе
16
ак.ч
Удостоверение установленного образца
Аттестация

Аттестационное задание

Три рабочих артефакта на ваших данных

По итогам модуля вы сдаёте экспертам три документа на разбор: матрицу выбора с TCO, отчёт по SCA-сканированию и инвентаризацию стека своей компании.

Это не формальное задание, а три рабочих документа, которые сразу пойдут в дело: обоснование бюджета перед CFO, план исправления уязвимостей в продакшене, основа для дальнейших закупок.

Матрица выбора с TCO — сравнение 2+ продуктов с расчётом на 5 лет, готовая к защите перед CFO
SCA-отчёт + план исправления — реальный отчёт OWASP Dependency-Check по вашему проекту с приоритизацией
Инвентаризация стека — карта 10–12 классов решений вашей компании, стартовая точка для любых будущих решений
Удостоверение — 16 ак.ч. установленного образца после сдачи итогового теста
Стоимость

Директор по кибербезопасности 8.0

Годовая образовательная онлайн-программа

Модуль
Один модуль на выбор. Попробуйте формат.
35 000 ₽
1 участник
  • 1 модуль (16 академических часов)
  • Записи и материалы
  • Удостоверение установленного образца
  • Зачет стоимости модуля в счет годовой программы
  • Спецусловия при покупке от 3-х модулей
Оплатить картой Запросить счет
Профессионал
Полная программа. Максимум ценности.
200 000 ₽
Стоимость за одного участника
Привилегия корпоративного формата — дополнительный доступ для второго сотрудника
  • 8 модулей (128 академических часов)
  • Записи и материалы
  • Удостоверение установленного образца каждому участнику
  • Спецусловия на участие в Код ИБ ПРОФИ
  • ПОДАРОК при оплате от физлица: часовая стратегическая сессия по развитию карьеры с ОЛЬГОЙ ПОЗДНЯК (стоимость вне пакета — 25 000 ₽)
Оплатить картой Запросить счет
Команда
Для ИБ-подразделений. До 5 человек.
480 000 ₽
до 5 участников от компании
  • Всё из тарифа «Профессионал»
  • До 5 участников от компании
  • Закрытый воркшоп с любым спикером на выбор
  • Приоритетная поддержка
Запросить счет

Оплата от физического или юридического лица · Рассрочка 0% на 12 месяцев для физических лиц · При оплате от юрлица — полный пакет закрывающих документов

Средний ущерб от одной утечки данных — 5,5 млн ₽. Оборотный штраф за повторную — до 500 млн ₽. Стоимость годовой программы — 200 000 ₽. Это 0,04% от максимального штрафа.

Следующий шаг

Готовы выстроить стек, который проживёт 5 лет?

Запишитесь на 30-минутную консультацию. Обсудим вашу задачу и подберём оптимальный формат участия — отдельный модуль или полная программа CISO 8.0.

Записаться на консультацию Написать в Telegram

Модуль 3 — часть годовой программы «Директор по кибербезопасности 8.0». 35 000 ₽ за модуль или в составе полной программы.

← Вернуться к полной программе CISO 8.0