Фев 16

Роскомнадзор набирает экспертов по персональным данным, но пока нашел только Кабест

Информационная безопасность, Персональные данные, Проверки регуляторов 6 Коммент. »

Пропустил я как-то новость о том, что Роскомнадзор стал проводить аттестацию граждан и организаций в качестве экспертов и для участия в проверках Роскомнадзора по теме персональных данных.

Что ж решение очень верное, как говорится: «Давно пора…»

Однако есть у этого мероприятия нюансы. В частности, что «участие экспертов и экспертных организаций в проводимых контрольно-надзорных мероприятиях будет осуществляться на БЕЗВОЗМЕЗДНОЙ ОСНОВЕ».

Понятно, что “неоплачиваемость” работы отобьет желание некоторых экспертов При этом, возможность поучаствовать «в теме» не упустят интеграторы. Интересно им это по нескольким причинам. Во-первых, банальный PR. Во-вторых, лишний шанс «подружиться» с регулятором. В-третьих, есть возможность набраться опыта в проведении реальных проверок. В сумме получается немалая помощь интеграторскому бизнесу.

Ну, это все в теории. А как же практика? А практика очень проста. Спустя 3 дня после новости на сайте регулятора о начале аттестации граждан и организаций, выходит пресс-релиз о том, что компания Кабест (Астерос) получила свидетельство об аккредитации Роскомнадзора, так же как и 10 ее сотрудников. В реестре аккредитованных граждан указано, что аккредитованы все 10 человек еще 3 недели назад, а именно 24 января 2012 г. Интересно? А еще интересно, что аккредитацию получил почти весь ТОР-менеджмент Кабеста ;-) . Но тут не нужно ерничать, все понятно, для бизнеса дружба с регуляторами полезна. Поэтому Кабест можно только поздравить с таким эксклюзивом! Молодцы!

А вот что касается Роскомнадзора, то тут не все так просто. Некоторые могут усмотреть, по меньшей мере, необъективность регулятора. Очень уж странная выборка ;-) получается. Также глубоко абсурдным выглядит факт, что Роскомнадзор реально верит, что ТОП-менеджеры крупного российского интегратора будут ездить по проверкам Индивидуальных предпринимателей или ООО из 2 человек, будут задавать им вопросы, писать экспертные заключения и т.п. Ну, смешно, коллеги, ей Богу…

И от этого становится интересно, как будет вести себя Роскомнадзор в дальнейшем? Кого будут регистрировать? Как быстро? Насколько «случайно» будет работать выборка экспертов и экспертных организаций? Будет ли вообще работать институт экспертов и экспертных организаций или останется лишь инструментом пиара? В общем вопросов много…

Кому интересно заявиться в Роскомнадзор в качестве эксперта вот документы к изучению:

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , ,

Янв 27

Евросоюз открыто объявил о реформировании законодательства в сфере защиты персональных данных

Информационная безопасность, Персональные данные, Проверки регуляторов Добавить комментарий »

В среду Евросоюз открыто объявил о реформировании законодательства в сфере защиты персональных данных. Реформы готовились давно и вот о них объявили открыто. Суть изменений в первую очередь сводится к созданию единых правил по защите персональных данных во всей Европе. Однако помимо очевидных преимуществ интеграции, реформы несут в себе серьезные эволюционные изменения в плане регулировании этой темы.

К слову, интересен подход европейцев к решению этой задачи. В частности они сделали ряд разъясняющих и промороликов реформы. Все их можно посмотреть на официальном канале в Youtube. Вот один из роликов:

Вот ключевые тезисы по реформе:

  • Создаются единые правила по защите персональных данных, действительные во всем ЕС. Исключаются излишние административные требования, такие как отправка компаниями уведомлений об обработке персональных данных в контролирующие органы. По расчетам Брюсселя это позволит сэкономить предприятиям примерно 2,3 млрд. евро в год.
  • Вводятся общие принципы и правила по защите персональных данных в целях межгосударственного сотрудничества в т.ч. и по уголовным делам.
  • Компании должны уведомлять национальный контролирующий орган об инцидентах с данными в кротчайшие сроки (если это возможно, то в течение 24 часов).
  • Организации будет иметь дело только с одним национальным контролирующим органом по защите персональных данных. Кроме того, граждане могут обратиться в орган по защите персональных данных в стране своего пребывания, даже если их данные обрабатывает компания, базирующаяся за пределами ЕС или в других странах ЕС.
  • «Право на переносимость персональных данных». По новому законодательству граждане должны получить упрощенную процедуру передавать свои персональные данные от одного поставщика услуг к другому. Это повысит конкуренцию среди поставщиков услуг.
  • «Право быть забытым». По новому законодательству граждане должны получить упрощенную процедуру уничтожения своих персональных данных, если нет законных оснований для их сохранения.
  • Новые правила ЕС должны приниматься также и нерезидентами ЕС, если они активно работают на рынке ЕС и предоставляют свои услуги гражданам ЕС.
  • Национальные контролирующие органы по защите персональных данных получат дополнительные полномочия и ресурсы. Они будут иметь право применять меры взыскания к компаниям, которые нарушают правила ЕС по защите персональных данных. В частности смогут взыскивать штрафы в размере до 1 милл. евро или до 2% от общемирового годового оборота компании.

Комментировать и сравнивать европейский подход с нашим даже не хочу.

Другие записи

Автор: Царев Евгений | Метки: , , , , ,

Ноя 14

Бизнес-курс для руководителей служб информационной безопасности

Инновации, Информационная безопасность 8 Коммент. »

Давно было желание подготовить бизнес-курс для руководителей служб ИБ. Теперь решил этим плотно заняться.

Так уж сложилось, что на рынок ИБ я пришел из бизнес-среды, да и на рынке ИБ в основном занимался налаживанием взаимодействия между ИБ и бизнесом. В зоне ответственности были самые разные вещи, начиная от подготовки обоснований затрат на ИБ и их презентаций руководству, и заканчивая переработкой планов CISO по дальнейшим ИБ-мероприятиям в компании. Работал с компаниями в десятках регионов нашей необъятной родины. С головой окунался в корпоративную культуру заказчиков (иногда бескультурье), внутренние политические игры и т.п. В общем повидал всякого, так что подготовка такого курса – это скорее логичное следствие полученного опыта, коего накопилось предостаточно. Осталось лишь структурировать его и оформить в виде курса.

Идея курса заключается в позиционировании CISO как бизнес-менеджера, а службы ИБ как бизнес-подразделения. Причем сосредоточится не на пространных рассуждениях на тему, а конкретных инструментах – как это делать? В результате получается что-то вроде «Micro-MBA» для CISO© ;-) .

Подготовил предварительное описание курса и план, буду рад обратной связи:

Между CISO и бизнесом часто возникает недопонимание. Основная причина заключается в том, что профессионалы в области ИБ и бизнес говорят на «разных языках». Например, с позиции многих профессионалов в области ИБ работа над повышением уровня ИБ приносит компании огромную пользу, а серьезный инцидент ИБ может поставить под угрозу существование бизнеса. Однако по мнению бизнеса, работа над повышением уровня ИБ приносит лишь прямые затраты, а инциденты ИБ, по величине своего ущерба, не соответствуют даже затратам на службу ИБ. У каждой позиции есть свои аргументы «за» и аргументы «против». Решить возникающие противоречия через повышение осведомленности бизнеса (как рекомендует большинство экспертов), на практике оказывается невозможным. Единственным способом выстроить эффективную работу между службой ИБ и бизнесом является переход службы ИБ на уровень бизнес-подразделения с соответствующими атрибутами, а также позиционирование CISO как бизнес-менеджера. Все это позволяет разговаривать с бизнесом на «одном языке» и как следствие резко повышает эффективность работы службы ИБ в рамках целей и задач компании.

Целью данного курса является предоставление слушателям инструментария, позволяющего выстроить службу ИБ как эффективное бизнес-подразделение, а также инструментария по обоснованию необходимых инвестиций в ИБ компании.

Предварительная программа:

1) CISO как бизнес-менеджер. Требования, функциональные обязанности и зона ответственности. Модель эффективного руководителя службы ИБ.

2) Взаимодействие CISO с руководителями и сотрудниками других структурных подразделений компании.

3) Выстраивание службы ИБ как бизнес-подразделения компании. Что именно необходимо?

4) Анализ внутренней и внешней среды службы ИБ. Адаптация и использование общепринятых инструментов.

a. SWOT-анализ
b. Анализ пяти сил Портера
c. PEST-анализ

5) Согласование стратегии службы ИБ со стратегией компании.

6) Согласование целей службы ИБ с целями компании.

7) Согласование задач службы ИБ задачами компании.

8 ) Ценность службы ИБ для бизнеса. Позиционирование службы ИБ внутри компании.

9) Разработка концепции, стратегии и политики ИБ, которые работают.

10) Выстраивание «полноценной СОИБ»… А нужно? Как и кто решает? Стоит ли браться?

11) Показатели эффективности службы ИБ. Выбор и оценка.

a. Как адаптировать понятные в бизнесе показатели, и применить их к службе ИБ?
b. В чем их смысл и для кого они нужны?

12) Планирование мероприятий по ИБ и выделение необходимых ресурсов.

a. Выбор модели выполнения задач по ИБ («делаем все сами» или привлекаем интеграторов). Выбор оптимального варианта.
b. Подготовка финансового обоснования выбранной модели.
c. Планирование мероприятий по ИБ в рамках выбранной модели.
d. Выделение ресурсов (материальные, трудовые, финансовые и т.д.)

13) Финансовый анализ проектов по ИБ

a. Финансовые показатели применимые к службе ИБ.
b. Почему по классическим показателям эффективности все ИБ-проекты убыточны?
c. Как адаптировать понятные для бизнеса показатели, и применить их к проектам по ИБ?

14) Compliance с действующим российским законодательством в области ИБ и международными стандартами по ИБ. Кому, что и как делать? Выбор оптимального пути.

a. ISO 27001, COBIT, ITIL, СТО БР ИББС
b. Коммерческая тайна
c. Персональные данные

15) Кризисный менеджмент ИБ. Кризис как штатная ситуация.

a. Как бизнес реагирует на кризис? Модели и практика.
b. Прогнозирование поведения руководства компании.
c. Действия CISO в кризисной ситуации (резкое сокращение финансирования, остановка проектов, сокращение персонала и т.п.).

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , , , , , , ,

Назад