Киберучения для руководства: как провести tabletop по утечке, вымогателю и компрометации подрядчика

Практическое руководство для тех, кто отвечает за решения, а не за технику

Введение: почему топ-менеджеры должны сидеть за этим столом

Традиционно кибербезопасность в российских компаниях воспринималась как техническая задача ИБ-отдела или ИТ-службы. Инциденты фиксировались где-то внизу иерархии и редко поднимались до уровня генерального директора или совета директоров — если только не происходило катастрофы публичного масштаба.

Это время прошло.

Указ Президента РФ № 250 от 1 мая 2022 года прямо закрепил персональную ответственность руководителей организаций за состояние информационной безопасности [1]. Эксперты оценивают, что документ затрагивает около 500 тысяч российских организаций — практически 95% экономики страны [2]. Одновременно законодательство ужесточилось: с декабря 2024 года в Уголовный кодекс введена статья 272.1, а с 30 мая 2025 года вступили в силу оборотные штрафы за утечку персональных данных, достигающие 1–3% годовой выручки при повторном нарушении [3].

В 2024 году Роскомнадзор зафиксировал 135 случаев утечек баз данных, охвативших более 710 млн записей о гражданах России [4]. По оценкам TAdviser, всего с 2023 по 2025 год в России утекло около 4,5 млрд записей персональных данных [4]. На этом фоне каждые четыре российские компании из десяти в 2024 году столкнулись с успешными кибератаками [5].

Глобальная картина не лучше: средняя стоимость одного взлома данных в мире достигла $4,88 млн в 2024 году — рост на 10% за год, крупнейший скачок со времён пандемии [6]. При этом организации, имеющие отработанный и протестированный план реагирования на инциденты, несут расходы в среднем на 58% ниже, чем те, у кого нет ни команды, ни плана [7].

Tabletop-упражнение (TTX, Tabletop Exercise) — это структурированная дискуссионная симуляция, в которой ключевые участники организации разбирают гипотетический инцидент «за столом», без реального воздействия на инфраструктуру. Формат существует с 1970-х годов в военном и кризисном управлении, а в корпоративной кибербезопасности он закрепился после того, как NIST (американский Национальный институт стандартов и технологий) включил его в стандарт SP 800-84 как один из базовых инструментов готовности [8]. Российские регуляторы — ФСТЭК и ФСБ — также включают требования к регулярным учениям в отраслевую нормативную базу [9].

Эта статья — практическое руководство для того, кто принимает решения: генерального директора, финансового директора, директора по безопасности, юридической службы и других членов топ-команды. Не для технических специалистов, которые и так знают, что делать, — а для тех, кто должен знать, что решать, когда технические специалисты приходят с плохими новостями.

Что такое tabletop и чем он отличается от других форматов учений

Прежде чем переходить к сценариям, важно разграничить понятия — особенно потому, что в российском корпоративном пространстве термины нередко используются хаотично.

Tabletop Exercise (TTX) — дискуссионное упражнение. Участники обсуждают свои действия в ответ на развивающийся сценарий инцидента. Нет реальных атак, нет выключения систем, нет взаимодействия с реальными вендорами. Задача — проверить процессы, роли и коммуникацию, а не технические средства защиты [10].

Функциональное упражнение (Functional Exercise) — следующий уровень: команды уже выполняют реальные процедуры реагирования, но без воздействия на рабочую среду. Например, реально звонят в службу поддержки или реально составляют черновик пресс-релиза.

Red Team / Pentest — полноценная техническая атака на инфраструктуру с целью обнаружения уязвимостей. Это не симуляция, а реальное проникновение.

Standoff и CTF-соревнования — формат, популярный в России (в частности, соревнования Positive Technologies Standoff проводятся с 2016 года [11]). Направлены на развитие технических навыков специалистов ИБ.

TTX для руководства занимает особую нишу: это единственный формат, который позволяет протестировать именно управленческий слой — цепочку эскалации, коммуникацию с регуляторами, публичные заявления, решение о выплате выкупа или об отключении систем — без риска для реальных операций.

Типичная продолжительность — 2–4 часа для базового сценария и до 8 часов для комплексного упражнения с несколькими инъекциями [10]. Размер группы: обычно 8–20 человек, чтобы обеспечить управляемую дискуссию.

Почему именно три этих сценария

Среди десятков возможных типов инцидентов три сценария выделяются как наиболее релевантные для управленческого уровня в российском контексте 2024–2025 годов.

Утечка персональных данных напрямую задействует новое законодательство: с 30 мая 2025 года штраф за утечку данных более 100 000 человек составляет от 10 до 15 млн рублей за первичный инцидент, а повторная утечка грозит оборотным штрафом от 1 до 3% годовой выручки, но не менее 20 млн рублей [3]. Новая статья 272.1 УК РФ предусматривает уголовное преследование должностных лиц. Руководитель должен понимать, что он должен сделать в первые 24 часа: обязательное уведомление Роскомнадзора, далее — развёрнутый отчёт в течение 72 часов [3]. Это не ИТ-задача — это задача генерального директора и юридической службы.

Атака вымогателя (ransomware) остаётся крупнейшей угрозой для бизнеса глобально. В 2024 году число публичных жертв на сайтах утечек достигло 5 243 — рост на 15% по сравнению с 2023 годом [12]. За первую половину 2024 года в мире зафиксировано 2 321 атака [12]. Ключевое решение, которое никогда не принимает ИТ-команда самостоятельно: платить ли выкуп? Отключать ли критические системы? Как общаться с клиентами и партнёрами? Всё это — зона топ-менеджмента.

Компрометация подрядчика (supply chain compromise) — самый технически сложный сценарий для управленческого понимания, но с колоссальными последствиями. Атаки через цепочку поставок, подобные инцидентам MOVEit и SolarWinds, показали, что злоумышленники часто предпочитают атаковать не саму компанию, а её доверенного поставщика [13]. Согласно исследованию 2023 года, 61% опрошенных компаний сталкивались с инцидентом безопасности, связанным с третьей стороной, в течение предшествующего года [14]. В российском контексте это особенно актуально: многие организации используют единые ИТ-платформы и общие подрядчики, риск «цепного заражения» высок.

Подготовка к упражнению: от идеи до дня X

Состав участников

Одна из типичных ошибок — проводить TTX только с ИБ-командой. Это репетиция одного актёра в спектакле, где роли у десятков. Оптимальный состав для руководящего tabletop [15]:

1. Генеральный директор или его заместитель — принимает окончательные решения об остановке систем, выплате выкупа, публичных коммуникациях.
2. Директор по информационной безопасности (CISO) / ответственный по ИБ — выполняет требования Указа № 250.
3. Юридическая служба — отвечает за уведомления регуляторов (Роскомнадзор, ФСБ/НКЦКИ при КИИ), за взаимодействие с правоохранительными органами.
4. Финансовый директор — принимает решения о финансовых последствиях: выкуп, страховка, резервы.
5. Директор по коммуникациям / PR — управляет публичными заявлениями, работает с клиентами и СМИ.
6. Руководитель ИТ — понимает технические возможности изоляции и восстановления.
7. HR-директор — при сценариях внутренних угроз или при утечке данных сотрудников.
8. Руководители ключевых бизнес-подразделений — для оценки операционного воздействия.

Оптимальное число участников — 10–15 человек. Больше — разговор превращается в монологи; меньше — не хватает перспектив.

Роли в упражнении

Помимо участников, для каждого TTX нужны три служебные роли:

Фасилитатор — ведёт сессию, вводит новые вводные (инъекции), управляет темпом, не даёт участникам «уйти в технику». В идеале — внешний эксперт или внутренний специалист, которого все воспринимают как нейтральную фигуру.

Наблюдатель-оценщик — не участвует в дискуссии, но фиксирует: кто принял решение, в какой момент, какие пробелы обнаружились, что не было обговорено. Результаты идут в отчёт After-Action Report (AAR).

Секретарь — ведёт протокол: решения, вопросы, которые остались без ответа, выявленные пробелы.

Технические материалы

До начала упражнения фасилитатор готовит:

1. Вводный пакет для участников (1–2 страницы): контекст сценария, правила игры, описание «начального состояния» компании.
2. Карточки инъекций (inject cards) — последовательные обновления ситуации, которые вводятся в ходе упражнения и усиливают давление.
3. Список направляющих вопросов — для каждого этапа развития инцидента.
4. Шаблон AAR — для фиксации выводов.

Важный принцип: участники не должны знать сценарий заранее. Участники знают только начальный контекст; все последующие события — сюрприз, имитирующий реальный инцидент [9].

Сценарий 1: Утечка персональных данных

Вводная

Компания — крупный ритейлер или финансовая организация с клиентской базой в несколько сотен тысяч человек. Утро понедельника.

Начальный брифинг для участников: «В 8:47 сотрудник ИБ обнаружил пост на одном из хакерских форумов. В нём предлагается к продаже база данных с именами, телефонами, адресами электронной почты и частично — паспортными данными. Автор утверждает, что данные принадлежат вашей компании. Файл-образец содержит 50 записей, из которых несколько верифицированных клиентских аккаунтов. Точный объём и источник утечки неизвестны».

Фазы упражнения и вопросы для каждой

Фаза 1 — Первый час: обнаружение и первичная оценка.

Вопросы для группы:

• Кто является «владельцем» этого инцидента внутри компании? Кто кому докладывает?
• Есть ли у нас инвентаризация баз данных с персональными данными — понимаем ли мы, какая именно база могла утечь?
• Знаем ли мы, какие подрядчики имеют доступ к клиентским данным?
• Когда мы обязаны уведомить Роскомнадзор согласно ФЗ-420? (Ответ: в течение 24 часов.)

Фаза 2 — Инъекция: спустя 30 минут обсуждения.

Фасилитатор зачитывает: «Технический анализ показал, что утечка произошла 17 дней назад. По предварительным оценкам, затронуто от 80 000 до 120 000 записей, включая паспортные данные части клиентов. Источник — одна из баз данных в системе лояльности, доступ к которой имеет внешний подрядчик по аналитике».

Вопросы:

• Меняет ли это масштаб нашей юридической ответственности? (Да: 80 000–100 000 записей — штраф 5–10 млн рублей.)
• Что происходит с нашим уведомлением Роскомнадзору? Если мы уже «пропустили» 24-часовое окно с момента технического обнаружения — каковы риски?
• Как мы взаимодействуем с подрядчиком? Есть ли у нас в договоре требования к уведомлению с его стороны?
• Что и когда мы говорим клиентам?

Фаза 3 — Инъекция: ещё через 20 минут.

«Журналист крупного делового издания прислал запрос в пресс-службу. Очевидно, кто-то слил им информацию. Статья выйдет завтра утром независимо от вашего ответа. Одновременно несколько клиентов начали писать в соцсетях».

Вопросы:

• Кто согласовывает официальную позицию? Генеральный директор, юрист или PR-директор?
• Что именно мы говорим — и чего не говорим — до завершения расследования?
• Решение о «добровольном раскрытии» информации — это снижение или увеличение регуляторных рисков?

Ключевые выводы, которые обычно обнаруживает этот сценарий

По данным ICI After-Action Report по аналогичному упражнению в 2024 году, типичные пробелы включают: отсутствие альтернативных каналов коммуникации при компрометации основных, нечёткую цепочку принятия решений и неготовность к взаимодействию с регуляторами [16]. В российском контексте к этому добавляется отсутствие актуальной карты персональных данных: компании нередко не знают, в каких именно системах и у каких подрядчиков хранятся ПДн.

Сценарий 2: Атака вымогателя (Ransomware)

Вводная

Производственная или логистическая компания. Среда, 7 утра.

Начальный брифинг: «В 6:42 сотрудники нескольких подразделений получили сообщение на своих компьютерах: файлы зашифрованы. На экране — требование: перевести 1,5 млн рублей в криптовалюте в течение 48 часов в обмен на ключ расшифровки. Корпоративная почта недоступна. Несколько серверов, включая ERP-систему, не отвечают. Операционный директор сообщает, что производственная линия остановлена».

Фазы упражнения

Фаза 1 — Первые 30 минут: кризисное управление.

Вопросы:

• Кто принимает решение об отключении оставшихся систем? По каким критериям?
• Есть ли у нас план непрерывности бизнеса, который описывает ручные процедуры на случай недоступности ERP?
• Кому мы сообщаем первым — совету директоров, крупным клиентам, партнёрам?
• Нужно ли нам уведомить ФСБ или НКЦКИ, если мы попадаем под категорию КИИ?

Фаза 2 — Инъекция.

«ИБ-команда докладывает: злоумышленники также exfiltrovали данные до шифрования. На форуме в даркнете размещено объявление: если выкуп не будет уплачен, данные будут опубликованы. Среди предполагаемых данных — информация о сотрудниках и часть клиентской базы».

Вопросы:

• Меняет ли это решение о выплате выкупа? Какие юридические риски несёт выплата?
• Есть ли у нас киберстрахование? Покрывает ли оно этот случай? Есть ли ограничения?
• Если мы платим — гарантирует ли это восстановление данных? (Согласно данным CISA, привлечение правоохранительных органов позволяет организациям в среднем сэкономить $1 млн на последствиях и 63% жертв ransomware, привлёкших полицию, смогли избежать выплаты выкупа [17].)

Фаза 3 — Инъекция.

«Крупнейший клиент, узнав о сбое из отраслевого чата, звонит лично генеральному директору. Он сообщает, что рассматривает переход к конкуренту, если компания не даст гарантий по срокам восстановления и защите их данных».

Вопросы:

• Что именно мы говорим клиенту? Есть ли у нас SLA по уведомлению?
• Кто принимает решение о публичном заявлении?
• Каков реалистичный RTO (Recovery Time Objective) по критическим системам?

Почему этот сценарий критичен для руководства

Memorial Health Systems — американская некоммерческая больничная сеть — пережила атаку ransomware, которая затронула все системы от МРТ до кассовых аппаратов кафетерия. Организация смогла продолжить работу благодаря тому, что незадолго до инцидента все руководители отделов прошли tabletop-упражнение. Руководитель по аварийному управлению описала: «Мы смогли избежать первоначального шока», потому что у людей уже была мышечная память [18].

Сценарий 3: Компрометация подрядчика

Вводная

Этот сценарий — самый «невидимый» из трёх. Угроза приходит не через вашу собственную инфраструктуру, а через доверенного партнёра, у которого есть доступ к вашим системам.

Начальный брифинг: «Четверг, 14:30. Ваш подрядчик по ИТ-аутсорсингу, компания „Ромашка", которая обслуживает вашу ERP и CRM, прислала срочное письмо. Они сообщают, что подверглись кибератаке и принимают меры по локализации. Они не могут сказать, были ли скомпрометированы учётные данные, которые они используют для подключения к вашим системам. Они просят "немного времени" для внутреннего расследования».

Фазы упражнения

Фаза 1 — Первоначальная оценка.

Вопросы:

• Знаем ли мы, какой именно доступ имеет этот подрядчик к нашим системам? Есть ли документация?
• Можем ли мы немедленно отозвать его учётные данные без остановки критических процессов?
• Есть ли у нас в договоре обязательства по уведомлению с его стороны — и в какие сроки?
• Кому и что мы должны сообщить о потенциальной компрометации?

Фаза 2 — Инъекция.

«Спустя 6 часов подрядчик сообщает, что атакующие находились в его сети около трёх недель. Система мониторинга ваших собственных сетей зафиксировала несколько аномалий за последние две недели, но они были расценены как технические сбои. Вы не знаете, проводили ли атакующие разведку в вашей среде через VPN-туннель подрядчика».

Вопросы:

• Как мы определяем масштаб потенциальной компрометации, если у нас нет полной карты активности подрядчика?
• Каков наш приоритет — расследование или восстановление операций?
• Что мы делаем с другими подрядчиками, которые имеют аналогичный доступ?

Фаза 3 — Инъекция.

«Один из ваших крупных клиентов из финансового сектора проводит собственный аудит после новостей об инциденте у подрядчика (информация просочилась в отраслевые СМИ). Они запрашивают у вас гарантийное письмо о том, что их данные не были скомпрометированы. Вы пока этого не знаете».

Вопросы:

• Что мы пишем клиенту в этом письме? Как защититься от юридических рисков «ложного заверения»?
• Если мы не можем дать гарантию — как удержать клиента от немедленного разрыва контракта?
• Какие изменения в управлении подрядчиками нам нужно внедрить после этого инцидента?

Особая значимость в российском контексте

Сценарии компрометации через подрядчиков актуальны ещё по одной причине: в реестре субъектов КИИ и у крупных операторов ПДн нередко работают одни и те же ИТ-подрядчики. Компрометация одного из них потенциально создаёт риск сразу для нескольких значимых организаций. Контроль доступа сторонних организаций к вашим системам и понимание того, где хранятся и как движутся персональные данные — критическое условие для быстрой реакции на этот тип инцидентов.

Методика проведения: от вступительного слова до отчёта

До упражнения (за 2–3 недели)

1. Определить цели: что именно вы хотите проверить — цепочку эскалации, коммуникационный план, скорость уведомления регулятора, или всё вместе.
2. Провести анализ угроз: какие сценарии наиболее реалистичны для вашей отрасли и профиля данных.
3. Подготовить вводные материалы: описание «нулевого состояния» компании для участников (без раскрытия деталей сценария).
4. Назначить роли: фасилитатор, наблюдатели, секретарь.
5. Установить правила: все ответы «от первого лица», нет неправильных ответов, цель — выявить пробелы, а не наказать участников.

В день упражнения

1. Вступительный брифинг (15–20 минут): объяснить формат, правила, цели. Подчеркнуть — это не проверка знаний, а совместное обучение.
2. Сценарий и фазы (90–150 минут): фасилитатор ведёт обсуждение, вводит инъекции, задаёт направляющие вопросы, не позволяет «уходить» от управленческих решений в технические детали.
3. Горячий разбор (Hot Wash, 20–30 минут): сразу после упражнения — краткое обсуждение первых впечатлений: что сработало, что вызвало затруднение, что оказалось неожиданным.

После упражнения (в течение 2 недель)

1. Подготовка After-Action Report: документ с перечнем выявленных пробелов, рекомендациями, назначенными ответственными и сроками исправления.
2. Обновление планов реагирования: TTX бесполезен без обратной связи в планы — каждый пробел должен быть закрыт конкретным действием.
3. Повторная проверка: следующее упражнение должно включать проверку исправленных пунктов.

По рекомендации бывшего агента ФБР Альвареса, ставшего советником по кибербезопасности, минимальная частота TTX — дважды в год, причём второе упражнение должно проверять, устранены ли уроки первого [19].

Типичные ошибки и как их избежать

Ошибка 1: TTX только для ИТ-команды. Если на упражнении нет юриста, PR-директора и генерального директора — вы проверяете лишь технический реагирование, но не управленческое. Именно разрывы в коммуникации между уровнями становятся причиной большинства дорогостоящих ошибок в реальных инцидентах.

Ошибка 2: Заранее согласованный «правильный» ответ. Когда участники знают сценарий и ожидаемые ответы, упражнение превращается в театр. Ценность TTX — в неожиданности, именно она выявляет реальные пробелы.

Ошибка 3: Упражнение без AAR и без изменений. Проведённый TTX, который не ведёт к конкретным изменениям в плане реагирования, — потраченное время. По данным ICI After-Action Report 2024, наиболее важным итогом упражнений оказалось обнаружение отсутствия чётко задокументированных процедур взаимодействия в кризисных ситуациях [16].

Ошибка 4: Игнорирование внешних коммуникаций. В реальном инциденте PR-аспект нередко стоит дороже технических последствий. Сценарии должны включать взаимодействие с журналистами, клиентами и регуляторами.

Ошибка 5: Отсутствие альтернативных каналов связи. Если корпоративная почта скомпрометирована — как участники инцидента будут общаться? По данным ICI 2024, это оказалось одним из ключевых уязвимых мест у участвовавших компаний: отсутствие защищённых внеполосных (out-of-band) каналов коммуникации [16].

Ошибка 6: Упражнение без привязки к реальному законодательству. В российском контексте участники должны понимать: каковы реальные сроки уведомлений (24 часа и 72 часа для Роскомнадзора), кто именно в компании имеет право уведомлять, что происходит при пропуске срока.

Кейсы и практические ориентиры

Кейс 1: Memorial Health Systems. Атака ransomware поразила всю инфраструктуру больничной сети. Организация сохранила работоспособность благодаря тому, что несколько месяцев назад все руководители подразделений прошли TTX, в ходе которого мысленно проработали, что делать при именно таком типе инцидента. Итог: «Мы смогли избежать первоначального шока» [18]. Это классический пример того, как TTX создаёт «мышечную память» для принятия решений под давлением.

Кейс 2: ICI Industry Tabletop Exercise 2024. В июле 2024 года 33 инвестиционные компании провели совместное отраслевое TTX-упражнение. Среди ключевых уроков: отсутствие внеполосных каналов коммуникации, неясность ролей и ответственности в кризисных коммуникациях, необходимость документировать процедуры «сверху вниз» [16].

Кейс 3: Рост спроса на киберучения в России. По данным отраслевого анализа, в 2024 году в России вырос спрос на проведение киберучений — это связано с участившимися успешными атаками. В 2025 году спрос продолжает расти, особенно со стороны госсектора, промышленности, банков и ИТ-компаний [5]. По данным «Лаборатории Касперского», 41% организаций испытывают нехватку персонала в области ИБ, что делает TTX ещё более ценными — они тренируют управленческий слой, не требуя привлечения редких технических специалистов [5].

Будущее формата: тренды 2025–2026

Искусственный интеллект в сценариях учений. По наблюдениям экспертов Google Cloud Office of the CISO, организации всё активнее включают в TTX сценарии с использованием deepfake-атак, целевого фишинга с помощью ИИ и атак на LLM-системы [19]. Одновременно ИИ используется для генерации более реалистичных сценариев и инъекций.

Аналоговые противовесы. Антон Чувакин из Google Cloud Office of the CISO рекомендует не «бороться с ИИ с помощью ИИ», а внедрять аналоговые барьеры: обязательные звонки по телефону для верификации перед финансовыми транзакциями, оффлайн-копии критических данных [19].

Межотраслевые учения. В мире растёт практика совместных TTX между компаниями одной отрасли, банками или операторами КИИ — для отработки сценариев, в которых инцидент у одного участника затрагивает всю экосистему. В России аналогичный формат начинают использовать финансовый и телеком-секторы [9].

Интеграция с требованиями регуляторов. Новое российское законодательство по ПДн, Указ № 250 и требования к субъектам КИИ делают TTX не просто «лучшей практикой», а фактически обязательным элементом системы управления ИБ для широкого круга организаций. Регуляторы в ряде отраслей уже требуют подтверждения проведения учений.

Интеграция с аудитом данных. Нарастающий тренд — начинать подготовку к TTX с инвентаризации и картирования персональных данных. Организации, которые до учений не знают, где именно у них хранятся ПДн и кто к ним имеет доступ, не могут полноценно отрабатывать сценарии утечки — потому что в реальном инциденте они точно так же не будут знать, что именно утекло.

Заключение: что делать завтра

Tabletop-упражнение — не магия. Оно не защищает от атаки. Но оно делает нечто не менее важное: оно показывает вам, как ваша организация реально работает под давлением, прежде чем это покажет вам злоумышленник.

Кибербезопасность перестала быть технической темой. Штрафы, уголовная ответственность, уведомления регуляторов, публичные заявления, решения о выплате выкупа — всё это управленческие решения. Именно их и нужно репетировать.

Практические шаги для начала:

1. Выберите один сценарий из трёх описанных — тот, который наиболее актуален для вашей отрасли и профиля рисков.
2. Назначьте фасилитатора — внутреннего или внешнего.
3. Пригласите за стол людей, принимающих решения, а не только технических специалистов.
4. Проведите упражнение — пусть оно будет несовершенным, это нормально.
5. Зафиксируйте три главных пробела в плане реагирования.
6. Устраните эти пробелы до следующего упражнения.
7. Повторите через 6 месяцев.

«Пятый фактор»: когда нужна карта ваших данных

Один из ключевых выводов, который обнаруживают организации по итогам TTX-сценариев с утечкой ПДн и компрометацией подрядчика, — они не знают, где именно хранятся их персональные данные.

«Какая база данных утекла?» — первый вопрос в сценарии утечки. «Какие именно данные были доступны подрядчику?» — первый вопрос при компрометации цепочки поставок. Без актуальной карты персональных данных ответить на эти вопросы в течение 24 часов, которые даёт российское законодательство, невозможно.

Именно эту проблему решает платформа «Пятый фактор» — on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почтовых серверах, AD/LDAP, CRM, 1С и API. Ключевое отличие от большинства аналогов — работа исключительно с метаданными, структурой и агрегатами, без передачи и хранения «сырых» значений персональных данных. Это означает, что сама платформа не становится новым источником риска.

Для подготовки к TTX и реальным инцидентам платформа даёт:

• Живую карту ПДн — где и какие данные находятся, кто владелец, что изменилось.
• Раннее обнаружение новых рисков — новые поля в базах данных, новые интеграции, новые источники данных, появившиеся у подрядчиков.
• Сокращение времени аудита — вместо ручной инвентаризации занимающей недели, получение актуальной картины автоматически.
• Готовность к регуляторным требованиям — понятные нарушения, владельцы, статусы и согласования вместо разрозненных ручных проверок.

В контексте новых оборотных штрафов (до 500 млн рублей) и уголовной ответственности понимание того, где хранятся ваши персональные данные — это не вопрос технической гигиены. Это вопрос выживания бизнеса.

Источники

[1] Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (ред. от 13.06.2024) — https://www.consultant.ru/document/cons_doc_LAW_416198/

[2] Positive Technologies — Вебинар «Указ 250: кто и как теперь отвечает за кибербезопасность» — https://ptsecurity.com/ru-ru/research/webinar/ukaz-250-kto-i-kak-teper-otvechaet-za-kiberbezopasnost/

[3] КонсультантПлюс — Новые штрафы за утечку персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ) — https://www.consultant.ru/legalnews/28492/

[4] TAdviser — Утечки данных в России: статистика 2023–2025 — https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_России

[5] Softline Blog — Киберучения: готовим сотрудников к успешным отражениям атак (2025) — https://softline.ru/about/blog/kiberucheniya-gotovim-sotrudnikov-k-uspeshnym-otrazheniyam-atak

[6] IBM — Cost of a Data Breach Report 2024 — https://newsroom.ibm.com/2024-07-30-ibm-report-escalating-data-breach-disruption-pushes-costs-to-new-highs

[7] LMG Security — Top 2 Cybersecurity Tabletop Exercise Examples for 2024 — https://www.lmgsecurity.com/our-top-2-cybersecurity-tabletop-exercise-examples-for-2024/

[8] NIST SP 800-84 — Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities — https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-84.pdf

[9] CISOCLUB — Киберучения по информационной безопасности: мнения экспертов (2024) — https://cisoclub.ru/kiberuchenija-po-informacionnoj-bezopasnosti/

[10] Bitsight — What is a Tabletop Exercise in Cybersecurity? — https://www.bitsight.com/glossary/cybersecurity-tabletop-exercise

[11] Киберучения — Статья в Википедии (включая историю Standoff) — https://ru.wikipedia.org/wiki/Киберучения

[12] Netrix Global — You Can't Patch Panic: The Value of Ransomware Tabletop Exercises (2025) — https://netrixglobal.com/blog/cybersecurity/you-cant-patch-panic-the-value-of-ransomware-tabletop-exercises/

[13] CM-Alliance — Top Cyber Tabletop Exercise Scenarios Businesses Rehearsed in 2024 — https://www.cm-alliance.com/cybersecurity-blog/top-cyber-tabletop-exercise-scenarios-businesses-rehearsed-in-2024

[14] Microminder Cybersecurity — Tabletop Exercises as a Tool for Third-Party Risk Management — https://www.micromindercs.com/blog/tabletop-exercises-for-third-party-risk-management

[15] AlertMedia — How to Run a Ransomware Tabletop Exercise (2025) — https://www.alertmedia.com/blog/ransomware-tabletop-exercise/

[16] ICI — Cyber Industry Tabletop Exercise 2024: After-Action Report — https://www.ici.org/system/files/2025-01/25-ppr-cyber-tabletop-exercise.pdf

[17] CISA — Tabletop Exercise Packages (CTEPs) — https://www.cisa.gov/resources-tools/services/cisa-tabletop-exercise-packages

[18] AlertMedia — Cybersecurity Tabletop Exercise Template & Scenarios (кейс Memorial Health) — https://www.alertmedia.com/blog/cybersecurity-tabletop-exercise/

[19] The Register — Tabletop exercises look a little different this year (декабрь 2025) — https://www.theregister.com/2025/12/26/end_of_year_tabletop_exercises/

[20] ComNews — В 2025 г. шесть компаний получили штрафы за утечки (2026) — https://www.comnews.ru/content/243497/2026-01-29/2026-w05/1008/2025-g-shest-kompaniy-poluchili-shtrafy-za-utechki-2026-g-shtrafov-budet-bolshe