«Подбор CISO — это не экзамен по билетам, а поиск человека, который сможет превратить абстрактные требования регуляторов в работающие процессы. Неправильный выбор обходится дороже, чем уязвимость в системе. Вот как отличить управленца от теоретика.»
Зачем нужны правильные вопросы
Типичное собеседование на позицию CISO скатывается в две крайности: либо поверхностный разговор о «видении безопасности», либо технический допрос по последним CVE. Оба подхода бесполезны. Первый позволяет кандидату отделаться общими фразами, второй — проверить не его компетенцию, а память. Настоящая задача — оценить, как человек мыслит в условиях ограниченных ресурсов, неопределённости и давления со стороны бизнеса и регуляторов.
Его ответы должны показывать не знание нормативки наизусть, а понимание, как её применять, когда требования противоречат друг другу или просто невыполнимы в срок. Ключевое — это не «что», а «как» и «почему именно так».
Блок 1: Стратегия и управление рисками
Этот блок проверяет, способен ли кандидат выйти за рамки операционки и связать безопасность с бизнес-целями. Слабый CISO будет говорить о «закрытии уязвимостей», сильный — о «приемлемом уровне риска».
Вопрос 1: Опишите, как вы интегрировали управление ИБ-рисками в процесс принятия бизнес-решений в вашей прошлой компании.
Что слушать: Конкретные примеры, а не теорию. Хороший ответ включает упоминание процессов (например, интеграция в цикл разработки продукта, финансовое планирование), конкретные метрики риска, которые использовались для диалога с бизнесом, и кейс, где его вмешательство изменило или остановило проект. Плохой ответ: общие слова о «важности безопасности для бизнеса».
Вопрос 2: Допустим, два ключевых регуляторных требования (например, из 152-ФЗ и отраслевого стандарта) вступают в частичный конфликт по срокам или методам реализации. Как вы будете действовать?
Что слушать: Понимание иерархии нормативных актов и умение вести переговоры. Сильный кандидат упомянет анализ первичности закона, поиск экспертных заключений, коммуникацию с регуляторами для получения разъяснений и документирование принятого решения для аудита. Слабый начнёт гадать или предложит выполнить всё сразу, невзирая на ресурсы.
[ИЗОБРАЖЕНИЕ: Схема, показывающая конфликт требований между 152-ФЗ и отраслевым стандартом (например, ПКЗ), с вариантами действий: анализ приоритетов, запрос разъяснений, принятие risk-based решения.]
Блок 2: Регуляторика и соответствие требованиям (Compliance)
Здесь важно отличить формалиста, который завалит отдел бумагами, от архитектора, который выстроит систему, изначально соответствующую требованиям.
Вопрос 3: Как вы измеряете реальную эффективность программы compliance, а не просто процент выполненных пунктов чек-листа?
Что слушать: Упоминание опережающих и результирующих индикаторов (leading & lagging indicators). Например, не только «число инцидентов», но и «среднее время на устранение критических несоответствий», «степень автоматизации контроля», «результаты имитации проверок». Если кандидат говорит только о подготовке к аттестации ФСТЭК — это красный флаг.
Вопрос 4: Опишите ваш опыт прохождения плановой проверки ФСТЭК или другого регулятора. Какую самую сложную претензию вам пришлось парировать и как?
Что слушать: Детали. Название проверяющего органа, суть претензии (например, к методике категорирования или организации криптографической защиты), конкретные действия (дополнительные тесты, предоставление альтернативной документации, апелляция к практике). Общие фразы вроде «всё прошло гладко» говорят либо о неопытности, либо о неискренности.
Блок 3: Техническая глубина и архитектура
CISO не должен быть senior-администратором, но должен понимать, как технические решения ложатся на архитектуру и порождают риски.
Вопрос 5: Представьте, что вам нужно обосновать перед советом директоров инвестиции в новую DLP-систему вместо старой. На каких трёх ключевых аргументах вы построите свою презентацию?
Что слушать: Баланс между рисками,合规 (compliance) и эффективностью. Ожидаемые аргументы: 1) Снижение операционных рисков утечек и соответствие требованиям 152-ФЗ к защите ПДн. 2) Экономия за счёт консолидации и снижения трудозатрат на расследование инцидентов. 3) Новые возможности (например, защита данных в облачных сервисах), которых нет в старой системе. Ответ «потому что старая устарела» — провал.
Вопрос 6: Как вы организуете процесс управления уязвимостями в гибридной среде (on-prem + облака нескольких провайдеров)?
Что слушать: Понимание специфики облаков и инструментов. Упоминание агентского и agentless-сканирования, интеграции с CSPM (Cloud Security Posture Management), приоритизации на основе контекста активов, а не просто CVSS. Если кандидат описывает процесс так, будто облаков не существует, это показатель отставания.
Блок 4: Инцидент-менеджмент и устойчивость
Реакция на инцидент — стресс-тест для всей системы управления безопасностью.
Вопрос 7: Опишите самый сложный инцидент информационной безопасности, которым вы руководили. Какие были ключевые точки принятия решений и что вы сделали бы иначе сейчас?
Что слушать: Чёткую структуру: обнаружение, эскалация, сдерживание, устранение, восстановление, работа над ошибками. Важны детали о взаимодействии с Legal, PR, регуляторами. Рефлексия («сделал бы иначе») показывает зрелость. Если инцидентов «не было» — это неправда или кандидат был не при делах.
Вопрос 8: Как вы обеспечиваете, чтобы планы восстановления после сбоев (DRP) и инцидентов ИБ (IRP) не превращались в «полочные документы»?
Что слушать: Регулярные тренировки (tabletop exercises) с вовлечением не только IT, но и бизнес-подразделений, обновление планов на основе их результатов, интеграцию тестов в ежегодный цикл. Ответ «мы их ежегодно пересматриваем» без упоминания практических проверок недостаточен.
Блок 5: Мягкие навыки и управление
Технические знания бесполезны, если CISO не может донести их значение до коллег и руководства.
Вопрос 9: Приведите пример, когда вам пришлось сказать «нет» серьёзному бизнес-проекту из-за неприемлемых рисков ИБ. Как вы это обосновали и к какому компромиссу пришли?
Что слушать: Конкретный кейс с цифрами или оценками риска. Как риск был переведён в финансовые или репутационные термины, понятные бизнесу. Итогом могло быть не просто «нет», а «да, но с дополнительными контролями, этапами или изменением архитектуры». Это показывает умение вести переговоры, а не просто блокировать.
Вопрос 10: Как вы выстраиваете отношения и разделение ответственности с руководителем IT-департамента (CIO/CTO), чтобы безопасность не воспринималась как «отдел, который всё тормозит»?
Что слушать: Практики совместного планирования, встраивание security-специалистов в DevOps-команды (DevSecOps), общие метрики успеха. Фразы вроде «я требую» или «они должны» указывают на конфликтный подход.
Как оценивать ответы
Слушайте не только содержание, но и форму. Некомпетентность часто проявляется в характерных паттернах:
- Уход в абстракции: Ответы состоят из клише («необходимо выстроить процессы», «важно следовать лучшим практикам») без конкретики.
- Поиск виноватых: В прошлых проблемах виноват «недальновидный CEO», «некомпетентный отдел» или «нехватка бюджета» без анализа собственных действий.
- Незнание российского контекста: Путаница в требованиях 152-ФЗ, 187-ФЗ, ФСТЭК, ФСБ. Ссылки исключительно на зарубежные frameworks (NIST, ISO) без понимания их применимости локально.
- Отсутствие рефлексии: Не может назвать ни одной своей ошибки или урока. Всё представлено как цепь успехов.
Цель этих вопросов — не поймать на незнании, а спровоцировать на развёрнутый, содержательный ответ, который покажет образ мышления. Настоящий CISO на собеседовании должен больше спрашивать сам о бизнесе, рисках и культуре компании, чем давать заученные ответы. Если этого не происходит — перед вами исполнитель, а не стратег.