Что нам до ВТО? или как открытие рынка повлияет на отрасль ИБ

ВТО – это организация, в которую мы вступаем уже лет 15. Мы уже привыкли, что «наверху» об этом постоянно говорят, но результата нет. Однако, рано или поздно на каких-то условиях мы войдем в ВТО. Это объективная необходимость в первую очередь для нашей страны. Что это означает для экономики более или менее понятно, но чем это обернется для сообщества ИБ?

Начнем с основного конфликта. ВТО требует отмены прямого регулирования.

Что такое прямое регулирование?

Это то, что мы привыкли называть административным регулированием. Лицензии, сертификаты, проверки, таможенный контроль и т.д. Идеология ВТО подразумевает такой уровень развития государства и гражданского общества, когда государство оставит за собой лишь маленькую долю административного рычага. Схема такая:

Регулированием большинства отраслей занимаются ассоциации, объединения, саморегулируемые организации и т.д. Регулирование осуществляется через разработку стандартов, требований и деловой практики и т.п. Например, если вы производите строительный материал, то вам не нужны сертификаты на продукцию, которую выдает чиновник по договорной цене. Все что вам нужно, так это входить в какую-то отраслевую организацию, в правилах членства которой прописаны требования по качеству продукции. По-русски говоря, если вы вдруг стали производить некачественную продукцию, то отраслевая организация не продлит членство, а для бизнеса это равносильно смерти (производить-то вы сможете, но кто это купит???). Никто не захочет покупать продукцию у организации, которая себя скомпрометировала.

В России отраслевые организации сплошь коррумпированы. Единственный пример реально работающей СРО я знаю в Томске (по крайней мере, так было, если кто в курсе, поправьте). Не помню, как называется, но эта ассоциация объединяет девелоперов. Членство в ней имеют процентов 40% игроков рынка, и за несколько лет они практически «выдавили» с рынка оставшиеся 60%. Отметка о членстве в этой организации де-факто является гарантией, что клиента не кинут при сделке с недвижимостью. Были факты некорректного ведения бизнеса членов ассоциации, так вот они вылетели из нее сразу и права на восстановления уже нет. Жестко и эффективно. Но это единственный успешный пример, который мне известен. Большинство отраслевых объединений либо не работают, либо работают плохо. Вот и получается, что гражданское общество в России мы не вырастили и от административного рычага отказаться не можем.

Понятное дело, что в стране, где 50-70% всей экономики контролируется государством, радикально сократить административное регулирование невозможно (власть боится быстрого увеличения и без того фантастического уровня коррупции). Невозможно избавиться от административного регулирования, а ВТО требует. Конфликт интересов. Именно в этом причина затягивания переговоров по вступлению в ВТО.

Хорошо, а что нам до этого административного регулирования?

А то, что большей «зарегулированности» в области информационной безопасности, чем у нас даже придумать нельзя.

Не будем брать во внимание гостайну и компании, которые с ней работают. Государства всех крупных стран жестко регулируют эту сферу. Например, ни в Штатах, ни в Европе вы не продадите российское средство защиты под их гостайну, даже если предположить что оно лучше местного аналога. Это вопрос политики и информационной безопасности, все это понимают. Здесь мы все делаем правильно. Просто у нас эта политика реализуется через институты лицензирования и сертификации.

С государственным регулирование темы гостаны все понятно, здесь необходимо развивать существующие механизмы эволюционным методом.

Но что делать с коммерческим сектором?

А тут с административным регулированием придется что-то делать.

Ну не понимают западные компании нашей песни про сертифицированные средства защиты информации. И НЕ ПОЙМУТ. А раз не понимают, то игнорируют российские правила. В результате  отрасль не может встать на путь эволюционного развития и мировое сообщество получает еще один повод не работать «с русскими». Вот и получается, что если мы хотим войти в мировое экономическое пространство, нам придется отказаться от моделей сертификации и лицензирования в коммерческой среде (где нет гостайны), либо очень серьезно их переработать. Самое поразительное, что это будет выгодно даже регуляторам, хоть и в средне- и долгосрочной перспективе (за счет лучшей регуляции рынка, контроля над стандартами и лучшей управляемости).

Пока у нас тенденция обратная. Федеральные службы усиливают контроль в коммерческой среде старыми методами. Но, на мой взгляд, долго это не продлится, т.к. это тупиковый путь. Рано или поздно придется отказаться от жесткого административного регулирования коммерческой среды государством. На смену должны прийти все теже ассоциации, союзы, СРО и т.д. Принесут они с собой новые инструменты регулирования отрасли ИБ (стандарты, рекомендации, профессиональные объединения и комитеты). Следуя российской традиции, общественные объединения будут плотно работать с регуляторами по теме разработки и использования этих стандартов, рекомендаций и т.п. Но РД в сегодняшнем виде должны уйти в прошлое.

Интересно другое. Кто из общественников будет первым? Различных ассоциаций в теме ИБ появилось много… Кто из них первый поймет, куда дует ветер?.. Вопрос открытый.

Принципы защиты персональных данных на предприятии и подводные камни привлечения интегратора. Слайдкаст

Проекты по защите персональной информации, в Европе и США делают с целью снижения операционных и правовых рисков. В России такие проекты выполняют с целью снижения рисков общения с «государством». Отсюда идут особенности российских проектов. Если бизнес реализует проект, стремясь снизить операционные риски, то критерий успешности проекта – реальное снижение операционных рисков. Если бизнес стремится снизить риски связанные с «государством», то где критерий успешности проекта? Очевидно успешное прохождение проверки регулятора. А что если регулятор не придет или придет не скоро, то как оценить качество выполнения работ? На сегодняшний день успешность проекта реально никто не оценивает. В лучшем случае какую-то оценку проведет руководитель проекта со стороны заказчика. Если он подтверждает, что проект успешен, то на этом и «порешили». Супер, но РП может сказать, что проект ему нравится, а регуляторы скажут, что это ерунда. Что тогда? Другими словами, выделить какие-то единые критерии успешности проекта по защите персональных данных сложно.

Учитывая разницу в предлагаемых интеграторами решениями и отсутствие здравых и согласованных позиций регуляторов приводит к тому, что невозможно создать чеклист пройдя по которому можно определить «Хороший проект\Нехороший проект».

Появилась проблема, которую никто решать не стремится.

Большинству интеграторов, в общем-то, все равно (свою оплату они получат), а вот что с заказчиком? Получит ли он должный результат? Вопрос открытый…

За последние 2 с лишним года я провел встречи с представителями более чем с 200 компаний, которые запускали проекты по защите персональных данных. Доводилось сталкиваться с разными ситуациями. Поэтому целью данного слайдкаста я вижу описание некоторых принципов защиты персональных данных на предприятии, а также хочу указать на часто встречающиеся подводные камни, о которых интеграторы не любят говорить.

Истина в обсуждении и практике.

Некоторые из наших уважаемых регуляторов очень хотели и хотят установить жесткие требования, чтобы было понятно, если система такого-то класса, то должно быть установлено то-то. Оценка рисков мешает регулятору по объективным причинам. Если вы классифицируете систему как специальную, то наказать вас как «невыполнившего требования» сложно. Так вот, таких спорных вопросов в теме защиты персональных данных чрезвычайно много. Побеждать в вероятных спорах будут самые подготовленные. Отсюда первый посыл, если вы хорошо разбираетесь в теме и можете аргументировать свою позицию, то проверка вам не страшна.

Договор НУЖНО читать.

Многие решают работать с регулятором для того чтобы переложить на него риски. Желание достойное, но, ни один нормальный интегратор не возьмет на себя ответственность за обработку персональных данных. Ответственность берется за проект. Другими словами интегратор гарантирует, что он выполнит работы в рамках договора, а уж как будет осуществляться обработка после его ухода решать самому оператору. Ключевое слово- договор. В свое время, работая в продажах, я регулярно запускал проекты с крупными заказчиками еще до заключения договора. Это было выгодно как заказчику, так и исполнителю, всем кроме меня и конкретного исполнителя заказника. Мы рисковали своей репутацией. Раньше интеграторы могли себе позволить проводить работы даже в ущерб себе, лишь бы не обидеть заказчика, т.к. последующие контракты могли отбить все расходы. Мы не видели риска больших экономических потрясений и могли быть уверены, что все закончится успешно. Сейчас ситуация поменялась. В наши смутные времена, когда ситуация 2008 года более чем вероятна, лучше приступать к работам только после детального согласования договора.

В договоре на работы может быть указана ответственность сторон, можно переложить на интегратора какие-то финансовые риски, или предусмотреть доработку решения в каких-то случаях. Поэтому в лучшем случае интегратор поможет вам разделить с ним риски, что уже очень здОрово.

Кавалерия может не спасти.

У серьезных интеграторов в штате есть представители регуляторов (в отставке). Это необходимо для успешного GR. И в случае необходимости «кавалерия» может выехать. Все бы ничего, но мероприятие это дорогое, поэтому если заказчик просит обеспечить помощь при проверке, то стоимость этих мероприятий должна отразиться цене договора, плюс эти мероприятия должны быть явно прописаны в договоре, в противном случае все это останется лишь словами. Это же можно сказать и о согласовании модели угроз с регуляторами.

В любом случае не стоит полагаться только на кавалерию. Нужно разбираться в теме самим.

Закон и подзаконные акты – инструмент

Если у «власти» появится желание (причина неважна) надавить на компанию при помощи закона о персональных данных, то никакой проект не спасет. Закон о персональных данных – как и любой другой, это ПРОСТО ИНСТРУМЕНТ, который можно использовать, в том числе и для давления на бизнес. К счастью (для кого-то к сожалению) закон о персональных данных не самый удобный и действенный инструмент давления на бизнес, хотя прецеденты, когда закон использовали в конкурентной борьбе, уже были.

К теме персональных данных нужно подходить с точки зрения управления рисками.

Если провести оценку рисков, связанных с законом о персональных данных, то групповой риск окажется невысоким (сила риска низкая и вероятность также низкая). А раз так, то большинству операторов дешевле ничего не делать, это правда жизни. Однако по ряду причин с государством мы шутить не любим, поэтому стремимся сделать все от нас зависящее, чтобы нивелировать риски. Как я уже говорил, для большинства компаний риск невелик, а вот для неокрепшего отдела информационной безопасности, и работающих там людей этот удар может оказаться фатальным.

На мой взгляд, при проведении работ по защите персональных данных не нужно «выкручиваться» и заниматься какими-то махинациями в документации, например, изо всех сил доказывать, что персональных данных в кадровом холдинге нет. Нужно делать все, что в наших силах, без фанатизма.

Если делать, то делать хорошо.

Не нужно соглашаться на предложения интегратора провести обследование какой-то части процессов, чтобы «поменьше было защищать». Если согласитесь, то в результате не получите ни нормального внедрения, ни проекта, ни обследования. Если не хватает бюджета, то остановитесь на этапе полноценного обследования и проводите остальные работы по мере выделения денег или самостоятельно.

Большинство безопасников не может обосновать бизнесу необходимость покупки средств защиты на десятки миллионов рублей. Если так, то и «не нужно биться головой об стену», донесите до бизнеса риски и сделайте что можете.

Устранить все риски невозможно.

Сколько бы денег оператор персональных данных не вложил, все равно у него не будет гарантии, что вопрос окончательно решен, а раз так, то управляйте рисками.

ИТ и ИБ специалисты должны разбираться в юридических вопросах.

Сложна жизнь современного сотрудника ИТ или ИБ…

Проекты выполняют не компании, а конкретные исполнители

Постоянно сталкиваюсь с фразами типа: «Компания «А» выполнила 20 проектов, а компания «В» выполнила в 2 раза больше, значит нужно работать с «В» (они круче)».

Если год назад компания выполнила 40 проектов, то не факт что сегодня там есть хоть один человек из этого направления. Движение кадров между интеграторами идет постоянно, поэтому, гораздо важнее не количество завершенных проектов, а количество проектов в работе.

На чем зарабатывает интегратор?

Наверное, это один из самых важных вопросов, на который нужно ответить перед выбором интегратора. До заключения договора заказчику желательно примерно понять каков состав выручки у интегратора. Условно интеграторов можно разделить на 2 типа:

1) Те, которые зарабатывают на поставке технических решений
2) Те, которые зарабатывают на консалтинге

В первом случае заказчику могут предложить очень выгодные цены на обследование, разработку документов и т.п. Легко! Ведь на этапах проектирования и внедрения интегратор получит сверхприбыль и с лихвой покроет убытки по консалтингу. Как правило, по такому пути идут крупные интеграторы. У них большие обороты, которые позволяют получать от вендоров хорошие скидки (либо у компании есть свои технические решения). В результате в техническом проекте такие интеграторы традиционно прописывают большое и дорогое внедрение. Недополучив деньги на консалтинге, снять сверхприбыль с внедрения – распространенный трюк.

На консалтинге зарабатывают в основном небольшие интеграторы, у которых нет возможности конкурировать в поставках технических решений с более крупными коллегами. Кроме того у таких компаний часто нет специалистов, которые могут быстро и качественно провести внедрение. В результате такие консультанты стараются закрыть максимум требований организационными мерами, чтобы избежать тяжелого внедрения.

Кто круче, вице-президент или менеджер по продажам?

Не верьте визиткам. Здесь интеграторы пишут все, что хотят. Вы можете вести переговоры с «плохеньким менеджером», а на визитке будет написано что он «первый вице-президент», поэтому даже не стоит читать должности. Если получится, то проследите как они общаются между собой во время встречи и все станет ясно.

Если в сердце дверь закрыта, куда постучаться?

Вы заключили договор с каким-то консультантом. Как с ним работать? Начнем с того, что работаете вы с людьми, а не с компанией. Эти люди занимают разное место по должности и по влиянию.

Кого обычно знает руководитель проекта со стороны заказчика?

1. Продавец\Менеджер по продажам\Менеджер по развитию\Менеджер по работе с корпоративными заказчиками\Директор по развитию\Директор по продажам\Директор по работе с корпоративными клиентами\Вице-президент по продажам и т.п.
2. Менеджер проекта\Менеджер по управлению проектом\Руководитель проекта\Начальник проектной команды\Директор проектного отдела и т.п.
3. Главный инженер проекта\Ведущий консультант по «чему-то»\Главный консультант по «такой-то услуге»\Руководитель направления и т.п.

Тут главное понять, кто и что делает. 1-й это тот с кем вы общались до заключения контракта, от отправлял вам предложения, ездил к вам в гости и т.п. 2-й это тот с кем вы стали общаться после заключения контракта в большей степени, чем продавец. 3-й это, как правило, самый умный 😉 в предмете проекта.

Теперь нужно определить, кто и что из себя представляет, и к кому обращаться по тому или иному вопросу.

Условно интеграторов можно разделить на 2 типа:

1) Продажно-ориентированные

В таких интеграторах Менеджер по продажам – царь и бог 😉 . Он имеет быстрый доступ к первому лицу компании (вне зависимости от размера компании) и может решить возникшую проблему быстро и эффективно. Менеджер проекта и Главный инженер проекта имеют значительно меньший вес.

2) Проектно-ориентированные

В таких компаниях вес всего производственного подразделения значительно выше, веса коммерческого отдела.

Деление условное, и отнести интегратора к тому или иному типу можно очень условно. Однако если вы разобрались, что компания, с которой вы работаете продажно-ориентированная, то по всем серьезным вопросам стоит обращаться к Менеджеру по продажам, который имеет ресурс «повоздействовать» на производственный отдел решить вопрос. В таких компаниях ругаться с Менеджером проекта или Главным инженером проекта просто бессмысленно, ничего серьезного они решить не могут. А раз ругаться смысла нет, то остается только один вариант – дружить с ними 😉 . Если что-то вам не нравится, то стимулируйте их через Менеджера по продажам (и его начальство) и должное внимание вам обеспечено.

Если вы определили, что компания, с которой вы работаете, проектно-ориентированная, то стоит забыть телефон и почту Менеджера по продажам, пусть он вам пишет и звонит. Выстраивать отношения нужно с Менеджером проекта и Главным инженером проекта, также постарайтесь познакомиться с главой всего производственного подразделения, если найдете общий язык, то шансы повысить успех проекта резко увеличатся.

Консультанты врут и заблуждаются.

Рынок защиты персональных данных очень непрозрачен. Есть такая поговорка «Два юриста – три мнения», на тему персональных данных ее можно перефразировать так «Два ИБ-шника – тридцать три мнения». Обсуждение всех коллизий законодательства идет не первый год, и до сих пор даже в рамках блог-сообщества мы не можем прийти к общему знаменателю как минимум по 20% вопросов. И эта ситуация будет продолжаться еще долго. С учетом появления новых тем по информационной безопасности, коллизий будет еще больше.

На этой почве появляется много спекуляций. Многие консультанты откровенно врут в своих интересах. Кроме того лицемерие никто не отменял и в проектах некоторых консультантов для разных «похожих» заказчиков вы можете увидеть прямо противоречащие друг другу утверждения. Больше всего мне нравится такая «подстройка» под потребности заказчика – если заказчик не готов ставить сертифицированные средства защиты (многие западные компании), то интегратор прописывает в своих результатах отсутствие необходимости использования сертифицированных решений и продает по полной программе DLP, западную криптографию и т.д. в качестве средств защиты персональных данных. Мне была бы понятна ситуация, когда исполнителям заказчика все было популярно разъяснено, и он сам запросил несертифицированные решения, однако сплошь и рядом встречаются ситуации откровенного обмана.

Бороться с враньем консультанта можно лишь тогда, когда появятся четкие и прозрачные правила. Пока этого невидно, поэтому заказчику нужно стараться искать Менеджеров по продажам, с которыми он работал и они его не подводили, а еще лучше искать сильные проектные команды которых он также хорошо знает. В крайнем случае, отрасль очень узкая, все друг друга знают, можно поспрашивать коллег и все-таки найти надежных людей.

Новые способы подачи информации или подкасты, слайдкасты и видеокасты по информационной безопасности

Tsarev liveСтолкнулся с ситуацией, когда далеко не всю информацию , которую пишу в блог, оказывается эффективно преподносить по средством текста. И не потому, что сложно переложить мысль в слова, а по причине того, что есть много тем, которые в своей сути носят дискуссионный характер. Вспомним, такие специфические темы из области персональных данных, как обезличивание, лицензирование, аттестация, необходимость подачи уведомления и т.д. Таким темам только на этом ресурсе посвящаются миллионы текстовых символов. И даже при большом желании далеко не каждый читатель сможет найти всю эту информацию, не говоря о том, чтобы прочитать и сделать выводы.

Существует ли решение?

Традиционно в качестве средства доставки информации мы используем написанный и выложенный в сеть текст, однако существуют и другие средства доставки информации. В интернете чаще всего используются два: подкасты и видеоролики.

Подкасты

Слово «подкаст» появилось многомиллиардными усилиями компании Apple. Компания спозиционировала свои устройства iPod, iPhone и iPad, как нечто революционное, расширяющее горизонты для жаждущих информации людей. От слова iPod и произошло слово «подкаст». По сути подкастами называют обычные mp3-шки, которые автор выкладывает в сеть с периодичностью, в результате получается подобие регулярной передачи по радио.

Подкасты очень распространены в Европе и США, здесь число поклонников подкастинга исчисляется миллионами. У нас эта культура пока не прижилась (по всей видимости, из-за слабого проникновения интернета и нежелания Apple двигать свои решения в России также как в США).

Видеокасты

Второе средство доставки информации (видеоролики или видеокасты) в представлении не нуждается. Очевидно, что по средствам видео можно передать массу самой разной информации. А учитывая кратный рост видеотрафика каждые пару лет, мне кажется, что за этим будущее…

Что из этого мы могли бы использовать? А главное КАК?

У подкастов есть перспектива, однако я с трудом верю, в их широкое применение. Такое средство можно использовать для обсуждения вопросов, на которые нельзя дать однозначный ответ (например те, о которых я писал вначале). Однако сфера применения подкастинга в теме информационной безопасности очень ограничена. Во-первых, не так много аудиалов (тех, у кого доминирует слуховой канал восприятия). Во-вторых, мне просто трудно представить людей, которые захотят где-нибудь в дороге или лежа на диване слушать про информационную безопасность. Хотя, при определенных условиях подкастинг может оказаться наиболее удачным средством подачи информации в некоторых конкретных случаях.

Что касается видеокастов, то, на мой взгляд, у них значительно больший потенциал, чем у подкастинга. При просмотре видеокастов, помимо звука у вас перед глазами есть видеоряд, такой материал значительно проще воспринимать, чем простой звук. В ролики можно вставить текст, графики, диаграммы… в общем все к чему мы привыкли, плюс интерактивность и звуковое сопровождение позволит проще воспринимать информацию. Самый главный недостаток – скорость интернета. Далеко не везде скорость интернета позволяет в режиме «нажал play и поехали» смотреть ролики. Часто езжу по стране и почти везде (кроме «центра») есть проблемы со скоростным интернетом.

Какие есть варианты?

Слайдкасты

Помимо видео- и аудиозаписей можно делать, так называемые слайдкасты. По сути это просто презентация с аудиорядом.

Заметил, что если просто выложить презентацию, то ее смотрят очень немногие. В лучшем случае пролистают несколько слайдов. Учитывая мою привычку делать презентации, в которых почти нет текста вариант обычной выкладки просто «ИНвариант».

В случае со слайдкастом мы можем пользоваться почти всеми преимуществами видео без раздувания трафика.

В итоге…

В общем, в краткосрочной перспективе я делаю ставку на слайдкасты, а в средне- и долгосрочной на видеоконтент.

Первый сладкаст я уже сделал. Выложу в ближайшее время.