Поддержка и развитие бизнес-процессов компании: • организация работы в рамках направления ИБ в компании: координация команд ИТ по выполнению задач ИБ, контроль выполнения, проведение экспертной оценки технических решений, применяемых в ИТ-системах и бизнес-системах, подготовка предложений по развитию, подбор персонала (подчинённых); • разработка нормативных документов системы управления информационной безопасностью компании и организация внедрения процессов информационной безопасности в соответствии с требованиями отечественных регуляторов, международных, отраслевых и региональных стандартов; • разработка и внедрение процессов безопасной разработки; • адаптация требований по кибербезопасности материнской компании, организация их внедрения; • управление внедрением и модернизацией систем и средств защиты информации; • разработка курсов по информационной безопасности (security awareness) для сотрудников компании. Соответствие компании внутренним или внешним требованиям и нормам (compliance): • обследование ит-инфраструктуры компании, оценка состояния информационной безопасности компании, выявление источников угроз и рисков информационной безопасности, подготовка предложений по минимизации рисков; • организация работ по второму этапу работ (категорирование) в рамках приведения компании в соответствие 187-ФЗ (закон о КИИ); • формирование отчётности для руководства, подготовка необходимых документальных свидетельств выполнения деятельности по обеспечению информационной безопасности для внешнего аудита, руководства компании и группы компаний ; • сбор информации и подготовка аналитических отчётов для предоставления в контролирующие органы (Минпромторг, ФСТЭК, МО РФ, ФСБ), участие в процессе получения лицензии МО РФ; • организация работ на основании информационных писем от ФСТЭК. Осуществление внутреннего контроля в компании: • контроль выполнения требований политик и процедур по обеспечению информационной безопасности; • взаимодействие со внешним SOC, реагирование на инциденты, сбор информации и постановка задач на устранение инцидентов; • расследование инцидентов и фактов нарушения информационной безопасности (нарушение правил доступа к информационным ресурсам, утечка конфиденциальной информации, мошенничество и т.п.); • проведение аудита прав доступа и полномочий сотрудников; • постановка и контроль задач, связанных с информационной безопасностью, подразделениям системного администрирования, технической поддержки и разработки. • эксплуатация и контроль технических средств защиты информации: Kaspersky Endpoint Security Enterprise, Kaspersky Secure Mail Gateway, Aladdin 2FA + JAS, CheckPoint NGFW; • взаимодействие со внешним SOC, реагирование на инциденты, сбор информации и постановка задач на устранение инцидентов; • бюджетирование направления в рамках компании, контроль за исполнением бюджета.

Поддержка и развитие бизнес-процессов компании: • разработка нормативных документов системы управления информационной безопасностью компании и организация внедрения процессов информационной безопасности в соответствии с требованиями отечественных регуляторов, международных, отраслевых и региональных стандартов; • внедрение процессов кибербезопасности, обработки и защиты персональных данных, безопасной разработки; • организация, координация и контроль мероприятий, направленных на обеспечение информационной безопасности в компании. Управление внедрением и модернизацией систем и средств защиты информации; • выработка организационных и технических требований, правил и рекомендаций по отражению и нейтрализации угроз информационной безопасности, разработка модели рисков; • обучение целевых аудиторий сотрудников компании внутренним регламентам ИБ и требованиям законодательства РФ в области информационной безопасности; • обновление существующих курсов по информационной безопасности (security awareness) для сотрудников компании. Проведение обучения. Организация и проведение периодических проверок знаний и псевдофишинговых рассылок. Соответствие компании внутренним или внешним требованиям и нормам (compliance): • оценка состояния информационной безопасности компании, выявление источников угроз и рисков информационной безопасности; • приведение компании в соответствие 152-ФЗ (закон о персональных данных); • организация работ по поддержанию соответствия бизнес-процессов компании законодательству в области персональных данных. Проверка выполнения требований. Консультации и обучение сотрудников; • руководство проектом по регистрации разработанного ПО в Роспатенте и внесение его в Реестр отечественного ПО; • организация работ по аудиту информационной безопасности и взаимодействие с внешним зарубежным аудитом, разработка и реализация плана корректирующих действий по результатам аудитов; • формирование отчётности для руководства, подготовка необходимых документальных свидетельств выполнения деятельности по обеспечению информационной безопасности для внешнего аудита. Осуществление внутреннего контроля в компании: • контроль выполнения требований политик и процедур по обеспечению информационной безопасности; • контроль деятельности сотрудников компании по линии безопасности; • расследование инцидентов и фактов нарушения информационной безопасности (нарушение правил доступа к информационным ресурсам, утечка конфиденциальной информации, мошенничество и т.п.); • проведение аудита прав доступа и полномочий сотрудников; • постановка и контроль задач, связанных с информационной безопасностью, подразделениям системного администрирования, DevOps и разработки. • проверка соискателей, претендующих на ключевые или значимые позиции в компании; • модернизация системы видеонаблюдения в компании, регулярный контроль её функционирования.

Поддержка и развитие бизнес-процессов компании: • разработка нормативных документов системы управления информационной безопасностью компании и организация внедрения процедур информационной безопасности в соответствии с требованиями отечественных регуляторов, международных и отраслевых стандартов и стандартов материнской компании; • адаптация и внедрение стандартов материнской компании в области кибербезопасности и обработки и защиты персональных данных; • внедрение процессов кибербезопасности, обработки и защиты персональных данных, безопасной разработки; • разработка и согласование с материнской компанией плана развития кибербезопасности; • организация, координация и контроль мероприятий, направленных на обеспечение информационной безопасности в компании. Управление внедрением систем и средств защиты информации, выбор и согласование методов защиты с материнской компанией; • выработка организационных и технических требований, правил и рекомендаций по отражению и нейтрализации угроз информационной безопасности, разработка модели угроз; • обучение целевых аудиторий сотрудников компании внутренним регламентам ИБ и требованиям законодательства РФ в области информационной безопасности; Соответствие компании внутренним или внешним требованиям и нормам (compliance): • оценка состояния информационной безопасности компании, выявление источников угроз и рисков информационной безопасности; • организация работ по поддержанию соответствия бизнес-процессов компании законодательству в области персональных данных. Проверка выполнения требований. Консультации и обучение сотрудников; • организация работ по аудиту информационной безопасности и взаимодействие с внешним аудитом (Bi.zone, Сбер); • формирование отчётности для материнской компании, подготовка необходимых документальных свидетельств выполнения деятельности по обеспечению информационной безопасности для внешнего аудита. Осуществление внутреннего контроля в компании: • контроль выполнения требований политик и процедур по обеспечению информационной безопасности; • контроль деятельности сотрудников компании по линии информационной безопасности; • расследование инцидентов и фактов нарушения информационной безопасности (нарушение правил доступа к информационным ресурсам, утечка конфиденциальной информации, мошенничество и т.п.); • проведение аудита прав доступа и полномочий сотрудников, разработка матрицы доступа; • постановка и контроль задач, связанных с информационной безопасностью, подразделениям DevOps и разработки; • бюджетирование направления в рамках компании и группы компаний, контроль за исполнением бюджета.

Поддержка и развитие бизнес-процессов компании: • актуализация нормативных документов системы управления информационной безопасностью компании и организация внедрения процедур информационной безопасности в соответствии с требованиями отечественных регуляторов, международных стандартов; • организация, координация и контроль мероприятий, направленных на обеспечение информационной безопасности в компании. Управление внедрением и эксплуатацией систем и средств защиты информации; • выработка организационных и технических требований, правил и рекомендаций по отражению и нейтрализации угроз информационной безопасности в рамках территориально распределённой компании; • разработка стратегии развития направления информационной безопасности в компании. Соответствие компании внутренним или внешним требованиям и нормам (compliance): • оценка состояния информационной безопасности компании, выявление источников угроз и рисков информационной безопасности; • организация работ по поддержанию соответствия бизнес-процессов компании законодательству в области персональных данных. Приведение в соответствие. Проверка выполнения требований. Консультации и обучение сотрудников; • согласование и проведение экспертизы договоров, технических заданий/проектов, функциональных требований, справок, отчётной документации и т.п. в части их соответствия требованиям внутренних регламентов системы обеспечения информационной безопасности; • организация работ по аудиту информационной безопасности и взаимодействие с внешним аудитом (Big4 и т.д.) по вопросам соответствия подразделений компании (в части касающейся) требованиям аудита (ISO, ITGC, 152-ФЗ); • формирование отчётности, подготовка необходимых документальных свидетельств выполнения деятельности по обеспечению информационной безопасности для внешнего аудита и руководства компании. Осуществление внутреннего контроля в компании: • контроль выполнения требований политик и процедур по обеспечению информационной безопасности; • контроль деятельности сотрудников ИТ-подразделений по линии информационной безопасности; • контроль выполнения задач по повышению технической защищённости информационных систем, предусмотренных планами компании; • организация процесса и непосредственное участие в реагировании на запросы (обращения) субъектов персональных данных и надзорных органов, контроль реализации автоматизации процессов; • расследование инцидентов и фактов нарушения информационной безопасности (нарушение правил доступа к информационным ресурсам, утечка конфиденциальной информации, мошенничество и т.п.); • проверка (согласование) заявок на оформление сотрудниками доступа к информационным ресурсам и проведение аудита прав доступа и полномочий сотрудников; • контроль состояния информационной безопасности в компании с помощью информационных систем классов DLP, SIEM, PAM и т.п. • постановка и контроль задач, связанных с информационной безопасностью; • бюджетирование направления в рамках компании и контроль за исполнением бюджета.

Поддержка и развитие бизнес-процессов компании: • разработка нормативных документов системы управления информационной безопасностью компании и организация внедрения процедур информационной безопасности в соответствии с требованиями отечественных регуляторов, международных и отраслевых стандартов и стандартов международной группы компаний; • поддержка и совершенствование процесса повышения осведомлённости по информационной безопасности (security awareness) для сотрудников компании. Организация и проведение периодических проверок знаний; • организация, координация и контроль мероприятий, направленных на обеспечение информационной безопасности в компании. Управление внедрением систем и средств защиты информации; • выработка организационных и технических требований, правил и рекомендаций по отражению и нейтрализации угроз информационной безопасности в рамках территориально распределённой компании; • обучение целевых аудиторий сотрудников компании внутренним регламентам ИБ и требованиям законодательства РФ в области информационной безопасности; • организация и контроль работ в рамках подготовки реализации Планов обеспечения непрерывности и восстановления деятельности (BCP). Организация регулярных проверок; • сопровождение интеграции информационных систем Страховой компании с информационными системами Банка при смене собственника компании; Соответствие компании внутренним или внешним требованиям и нормам (compliance): • оценка состояния информационной безопасности компании, выявление источников угроз и рисков информационной безопасности; • организация работ по поддержанию соответствия бизнес-процессов компании законодательству в области персональных данных. Проверка выполнения требований. Консультации и обучение сотрудников; • согласование и проведение экспертизы договоров, технических заданий/проектов, функциональных требований, справок, отчётной документации и т.п. в части их соответствия требованиям внутренних регламентов системы обеспечения информационной безопасности; • участие в мероприятиях, проводимых в рамках внутреннего аудита как в рамках страховой компании, так и в рамках группы компаний (ежегодно); • организация работ по аудиту информационной безопасности и взаимодействие с внешним аудитом (ЦБ, Verizon, Big4 и т.д.) по вопросам соответствия подразделений компании (в части касающейся) требованиям аудита (ISO, ITGC, 152-ФЗ, стандарты LM, Verizon CRP, стандарты группы СКБ); • формирование отчётности для головного офиса, подготовка необходимых документальных свидетельств выполнения деятельности по обеспечению информационной безопасности для внешнего аудита. Осуществление внутреннего контроля в компании: • контроль выполнения требований политик и процедур по обеспечению информационной безопасности; • осуществление контроля выполнения требований информационной безопасности в удалённых филиалах компании. Проведение выездных мероприятий в филиалах для анализа выполнения требований внутренних регламентов по информационной безопасности; • контроль деятельности сотрудников ИТ-подразделений по линии информационной безопасности; • контроль выполнения задач по повышению технической защищённости информационных систем, предусмотренных планами компании; • организация процесса и непосредственное участие в реагировании на запросы (обращения) субъектов персональных данных и надзорных органов, контроль реализации автоматизации процессов; • расследование инцидентов и фактов нарушения информационной безопасности (нарушение правил доступа к информационным ресурсам, утечка конфиденциальной информации, мошенничество и т.п.); • проверка (согласование) заявок на оформление сотрудниками доступа к информационным ресурсам и проведение аудита прав доступа и полномочий сотрудников; • контроль состояния информационной безопасности в компании с помощью информационных систем классов DLP, SIEM, VM, PAM и т.п. • постановка и контроль задач, связанных с информационной безопасностью, собственному подразделению, а также вовлечённых подразделений; • бюджетирование направления в рамках компании и контроль за исполнением бюджета.

Общая численность сотрудников компании - 9000 человек. Поддержка и развитие бизнес-процессов компании: • разработка нормативных документов системы управления информационной безопасностью компании и организация внедрения процедур информационной безопасности; • осуществление методического обеспечения и информационной поддержки в области обеспечения безопасности информации. Консультации бизнес-подразделений и отдельных пользователей по вопросам, касающимся информационной безопасности. Поиск возможных соисполнителей в смежных областях (патентное право, интеллектуальная собственность); • планирование мероприятий по обеспечению информационной безопасности компании, управление внедрением систем и средств защиты информации (DLP, AV, IDS/IPS, NGFW, Unified Threat Management, Change Auditing System); • выработка организационных и технических требований, правил и рекомендаций по отражению и нейтрализации угроз информационной безопасности в рамках территориально распределённой компании; • разработка и внедрение обучающего курса по информационной безопасности (security awareness) для сотрудников компании. Организация и проведение периодических проверок знаний. Соответствие компании внутренним или внешним требованиям и нормам (compliance): • оценка состояния информационной безопасности компании, выявление источников угроз и рисков информационной безопасности; • самостоятельное проведение экспресс-аудитов по стандарту ISO 27001 (система менеджмента информационной безопасности); • приведение розничной сети в соответствие 152-ФЗ (закону о персональных данных); • проведение оценки реализуемых в компании проектов на соответствие требованиям информационной безопасности; • организация работ по аудиту информационной безопасности и взаимодействие с внешним аудитом по вопросам соответствия подразделений компании (в части касающейся) требованиям аудита (ISO, ITGC, 152-ФЗ). Осуществление внутреннего контроля в компании: • контроль выполнения требований политик и процедур по обеспечению информационной безопасности; • осуществление контроля выполнения требований информационной безопасности в удалённых филиалах компании; • организация процесса и непосредственное участие в реагировании на запросы (обращения) субъектов персональных данных и надзорных органов; • расследование инцидентов и фактов нарушения информационной безопасности; • бюджетирование направления в рамках компании и контроль за исполнением бюджета.

Общая численность сотрудников компании - 33000 человек. Поддержка и развитие бизнес-процессов компании: • разработка нормативных документов системы управления информационной безопасностью компании и организация внедрения процедур информационной безопасности; • осуществление методического обеспечения и информационной поддержки в области обеспечения безопасности информации; • планирование мероприятий по обеспечению информационной безопасности компании и выступление в роли менеджера проектов по внедрению систем и средств защиты информации (DLP, IDS/IPS, NGFW, Unified Threat Management); • выработка организационных и технических требований, правил и рекомендаций по отражению и нейтрализации угроз информационной безопасности; • внедрение бизнес-процессов обеспечения безопасности персональных данных в рамках компании, разработка нормативных документов по ПДн; Соответствие компании внутренним или внешним требованиям и нормам (compliance): • оценка состояния информационной безопасности компании, выявление источников угроз и рисков информационной безопасности; • проведение оценки реализуемых в компании проектов на соответствие требованиям информационной безопасности; • организация работ по аудиту информационной безопасности и взаимодействие с внешним аудитом по вопросам соответствия подразделений компании (в части касающейся) требованиям аудита (ISO, SOX, PCi DSS, GRC, ITGC, 152-ФЗ); Осуществление внутреннего контроля в компании: • контроль выполнения требований политик и процедур по обеспечению информационной безопасности; • организация процесса и непосредственное участие в реагировании на запросы (обращения) субъектов персональных данных и надзорных органов; • расследование инцидентов и фактов нарушения информационной безопасности.

Разработка систем защиты информации в рамках государственных и коммерческих контрактов, а также нормативной документации на данные системы: • участие в обследовании объектов информатизации и определение требований к автоматизированным системам в части защиты информации; выбор и обоснование применения СЗИ; • участие в разработке технических заданий на создание автоматизированных систем в защищенном исполнении; • участие в эскизном и техническом проектировании систем защиты информации; • участие в разработке рабочей, программной, эксплуатационной документации по вопросам защиты информации; • участие в стендовой отработке системотехнических решений по защите информации в автоматизированных системах; • участие в настройке программно-технических средств защиты информации автоматизированных систем на объектах информатизации и подготовке их к вводу в эксплуатацию; • взаимодействие со службами эксплуатации автоматизированных систем по вопросам защиты информации. Сопровождение лицензирования предприятия по линиям силовых структур: • разработка документов по защите информации при аттестации объектов информатизации; • взаимодействие с лицензирующими органами; • анализ выявленных недостатков и подготовка отчетов по результатам проверок. Модернизация политики безопасности предприятия и контроль за её соблюдением: • проведение аудита информационной безопасности; • сбор информации и ведение рабочих документов по проверкам; • подготовка и согласование результатов проверок с руководителями подразделений; • контроль за выполнением мероприятий по устранению нарушений в области информационных технологий и информационной безопасности, выявленных Службой в ходе проверок; • анализ проектов по разработке и внедрению новых и изменению существующих информационных систем; • анализ внутренних нормативных, распорядительных документов в области информационных технологий и информационной безопасности; • подготовка рекомендации по системе внутреннего контроля и по системе управления рисками в области информационных технологий и информационной безопасности; • разработка методик проведения аудита информационных технологий и информационной безопасности, • проведение консультаций по вопросам информационной безопасности.

Работал научным сотрудником научно-исследовательского центра в отделе проблем обеспечения информационной безопасности сетей, комплексов и систем связи. Занимался вопросами защиты от несанкционированного доступа, защиты персональных данных, мониторинга информационной безопасности систем управления и т.п.: • участвовал в НИР и ОКР, связанных с разработкой систем и подсистем связи, информационной безопасности и управления; • участвовал в разработке рабочей, программной, эксплуатационной документации; • участвовал в стендовой отработке системотехнических решений и экспериментальных испытаниях перспективных образцов; • принимал участие в работе комиссий на предварительных и государственных испытаниях; • занимался администрированием подсистемы ИБ и администрирование ЛВС в рамках подразделения; • занимался настройкой опытных систем связи и управления связью и осуществлял контроль их функционирования. Воинское звание – капитан. Являюсь соискателем ученой степени кандидата наук. Тема диссертационного исследования связана с аудитом информационной безопасности в автоматизированных системах управления. Все кандидатские экзамены успешно сданы. Помимо этого имеется два рационализаторских предложения, одно свидетельство о регистрации программного продукта (осуществлял научное руководство); являюсь соавтором патента РФ № 2355024 от 10.05.2009 г. (способ мониторинга безопасности автоматизированных систем).

Работал в научно-техническом центре мощной импульсной техники. Занимался модернизацией двух экспериментальных стендов, предназначенных для прецизионной обработки материалов.

Занимался консультированием и оказанием технической поддержки пользователям по телефону.